Як упізнати інсайдера и не дати йому нашкодити вам?

Закон, звичайно, захищає ваш бізнес від викрадення комерційної таємниці, але робить він це постфактум, коли гроші остаточно втрачені, а репутацію вже не врятувати. Експерти лабораторії кібербезпеки Університету Нью-Мексико ділять інсайдерські атаки на два типи: ситуативные, тобто, поодинокі витоки інформації, що відбулися через необережність або внаслідок системного збою і сплановані. Іншими словами, так чи інакше спричинені злими намірами. «Кротом» може виявитись будь-хто: ваша «права рука» або черговий економіст, імені цієї людини ви навіть не пам'ятаєте.

Згідно грудневого звіту компанії Secure Automatic Technologies, 99% європейських організацій мінімум тричі за всю історію свого існування стикалися з фінансовими втратами, що сталися внаслідок інсайдерської активності. 53% опитаних компаній-респондентів стикнулись мінімум із однією інсайдерською атакою за останні 12 місяців. У звіті американської асоціації Insider Threat 2019 йдеться про те, що сьогодні 61% банкрутств у США відбуваються з вини інсайдерів, причому загроза стає особливо гострою під час укладення великих контрактів.

На початку листопада фахівці російського аудиторсько-консалтингового агентства EY в інтерв'ю виданню «Коммерсант» заявили, що «дані так чи інакше краде мало не кожен четвертий російський службовець» і навіть справжні імена знаменитих «Туристів із Солсбері» Петрова і Бошірова журналісти дістали із даркнета, їх злили своїми ж колеги з ГРУ, цитата: «не від хорошого життя».

«Фантастичні тварини і місця, де вони мешкають» - типи інсайдерів

«Інсайдер» (від англійського – insider) – один із співробітників організації, що має доступ до інформації, закритої для широкої публіки. Може використовувати наявні відомості як для шкоди бізнесу, так і для власного збагачення.

Інсайдером може стати будь-хто (тобто, взагалі хто завгодно), однак, поведінкова психологія і кадровий профайлинг дозволяють виявити «крота» ще на етапі співбесіди або попередити розкрадання даних у вже сформованому колективі. Кадрові психологи виділяють шість типів інсайдерів, це: недбалі, маніпульовані, скривджені, нелояльні, «ті, що підробляють» і заслані співробітники. Вельми ситуативно, кого можна вважати найменш небезпечною ланкою в даній шкалі. «Халатні» співробітники можуть допустити просочування інформації внаслідок необережності (і вона може виявитися непоправною), в той час як діяльність «засланих» панів спрямована безпосередньо на підрив вашого бізнесу.

• «Халатний» інсайдер – найпоширеніший тип бізнес-шкідників, їх ще називають «необережний». Як правило, це – службовець рядового складу, який виконує «низько інтелектуальну» механічну роботу. Порушення політики безпеки носять невмотивований характер, в основному це – неспланований витік інформації з цифрового контуру організації та перенесення її на незахищений USB-носій. Сам по собі інцидент – не страшний, але якщо конфіденційні дані потраплять в чужі руки, загроза зросте. Інше питання – необережне поводження з електронною поштою або стікер з даними для входу в обліковий запис корпоративної мережі, дбайливо приклеєний до монітора робочого комп'ютера.
• «Маніпульований» інсайдер або «Буратіно». Тут все як в казці Олексія Толстого, головна проблема такого типу працівників – наївність і надмірна довірливість. Проти маніпульованого працівника виступають все: починаючи з колег, закінчуючи тим, що нині називається «соціальна інженерія» (а по факту, – банальна афера). Уявімо таке: лунає дзвінок, голос на іншому кінці представляється директором реально існуючої філії компанії і максимально детально (диявол же – в деталях) описує ситуацію, проблему і просить (дуже оперативно, звичайно) в обхід існуючої політики комерційної безпеки вислати йому на особисту пошту критично важливі документи. Навіть не подумавши про можливу загрозу, наш «Буратіно», потираючи руки від передчуття солідної премії, висилає файл з «чотирма золотими монетами» прямо на email конкуренту. Готово – витік відбувся.
• «Ображений» («саботажник»). Цей тип працівника не прагне викрасти інформації вашої компанії, йому взагалі наплювати на цінність інтелектуальної власності і практичну вигоду несанкціонованого використання баз даних. Він прагне завдати шкоди, так як тільки зможе. Образа, рушійна сила такого працівника, може бути на що завгодно: недостатній розмір платні, недооціненість в колективі, неналежне місце в офісної ієрархії ... Співробітник не має наміру покинути компанію, він буде до останнього залишатися «в тіні», поки не завдасть максимального збитку. Наприклад, він може фальсифікувати або знищувати важливі документи, красти офісне обладнання, байдикувати на робочому місці. Виходячи з власних уявлень про цінність інформації, цей співробітник визначає, які дані можна викрасти і кому їх передати. Найчастіше, це – преса або тіньові структури.
• «Нелояльні» інсайдери. Найчастіше збігаються з «скривдженим» типом, але, твердо вирішили змінити місце роботи або відкрити власний бізнес і стати сміливим конкурентом. Чомусь стало звичним, що після звільнення з комерційної служби, працівник забирає з собою копію клієнтської бази, а з економічної – фінансову. Це – радянська звичка «залишати сувеніри з робочого столу», від неї потрібно позбавлятися. Найпоширеніший спосіб розкрадання – «виробнича необхідність». Від «скривджених» інсайдерів нелояльні співробітники відрізняються тим, що, викравши інформацію, вони не приховують факту розкрадання, а іноді і використовують її, як гарант комфортного звільнення з компенсацією і позитивними рекомендаціями.
• Інсайдери «що підробляють» , тобто, такий тип, про який говорили експерти агентства EY, - працівники, може, і не погані, але гостро потребують грошей. Насправді, найбільш об’ємний тип інсайдерів. Сюди входять люди, як вирішили підзаробити кілька тисяч, так і ті, що потрапили в інсайд мимоволі, внаслідок шантажу, вимагання або впливу третіх осіб. Залежно від умов вони можуть імітувати виробничу необхідність, а в найбільш тяжких випадках піти на тиск або підкуп інших співробітників.
• «Заслані» інсайдери або шпигуни з голлівудських трилерів часів Холодної війни. Як приклад – один зі свіжих кейсів компанії Falcongaze: компанія займалася виробництвом штучних виробів з використанням верстатів ЧПУ (числове програмне управління). Замовник запідозрив відділ розробки в «зливі» технічної документації – креслень конкурентам. Складність була в тому, що це були не просто креслення, а програми, за алгоритмами яких працювали верстати. Завантажувалося ПЗ в обладнання через локальну мережу безпосередньо з офісу фірми. У самому верстаті воно сортувалося по папках, звідки їх вже забирали оператори і завантажували в софт обробки. Нюанс полягав у тому, що стійки верстатів наглухо закриті і опечатані, назовні виходили тільки монітор, миша і клавіатура. Підключити пристрій, що зчитує безпосередньо до комп'ютера було фізично неможливо. Виявилося, що миша підключається до верстата через USB. Співробітник знайшов схожий пристрій і вмонтував всередину миші обрізки USB-хаба, в який і встромили шпигунську флешку. Протягом місяця шпигунський пристрій крав інформацію, а після – дані пішли до конкурента. SecureTower ще на етапі тестового використання виявив причину витоку.

«Ніколи не було, і ось знову» - як протистояти інсайдерській загрозі

Якщо ділити недбалих співробітників на тих, з ким уже покінчено і кого ще можна врятувати, HR-група компанії Falcongaze рекомендує вашому відділу по роботі з персоналом звернути пильну увагу на «недбалих» і «маніпульованих» працівників. Можливо, їм просто не вистачає культури інформаційної безпеки. Вони не усвідомлюють шкоди, яку може завдати вашому бізнесу їх необдуманий жест, в той же час «скривджених», «нелояльних» і «засланих козачків» слід позбутись, як можна швидше. В першу чергу – від «скривджених», вигоди з них ви не отримаєте вже ніколи.

Встановіть DLP-систему. Софт створить потужний захищений цифровий контур навколо внутрішньої мережі вашої організації і буде сигналізувати про всі спроби витоку конфіденційної інформації за периметр підприємства. Системою передбачена фільтрація і аналіз трафіку по статистичному і смисловому значенню, що робить пошук нелояльних співробітників, а насправді засланих інсайдерів і працівників, котрі підривають економічну безпеку вашого бізнесу автоматичним. Діючи в рамках заданої політики безпеки, DLP повідомить уповноважений персонал про порушення встановлених протоколів, чи то email сумнівного змісту або відправка на друк конфіденційних документів.

Слідкуйте за неактуальними акаунтами. Найчастіше, причиною витоку інформації стають звільнені співробітники з діючими даними для входу в корпоративну мережу. Втім, порушення часом здійснюють не вони – логіни і паролі можуть потрапити в руки діючих співробітників, що здійснюють протиправні дії зсередини організації, відводячи від себе підозри. Для виявлення таких осіб, використовуйте приманку і звертайте увагу на «сліди» їх роботи. Свідомі інсайдери, як правило, видаляють великі обсяги файлів, намагаючись замаскувати свою діяльність. DLP-система зберігає всю хронологію дій співробітників і в автономному режимі робить резервні копії всіх файлів, що знаходяться в корпоративній мережі.

Поширений метод виявлення інсайдерів – «на живця». Зловмисник постійно «нишпорить» з корпоративної мережі в пошуках критично важливої інформації. Ви можете «залишити» у відкритому доступі масив надзвичайно цінних файлів і подивитися, хто відправить архів на USB, в хмару або на друк.

«Обманщик якого обдурили», або як розпізнати інсайдера

Крім самого по собі функціоналу DLP-систем, розпізнати інсайдера можна навіть на етапі співбесіди, для цього можна застосувати схожі універсальні інструменти – інтерв'ю і експеримент. Під інтерв'ю мають на увазі опитування, оброблені за методикою соціометрії. Ці ж способи можна застосувати і у вже сформованому колективі. HR-служба Samsung аналізує персонал корпорації на предмет ризику методом простого усного анкетування: «Кого зі своїх співробітників Ви б не взяли у відрядження» або «З ким би Ви поділилися новою творчою ідеєю». Для надійності інформації можна проводити повторні опитування, але при цьому використовувати інші питання. Спостерігаючи за виборами індивідуума, можна вивчити його типологію соціальної поведінки в групі. Використання соціометричної методики вимагає не більше 15 хвилин.

Експеримент же полягає в навмисному створенні спеціальних умов для спостережуваного, щоб по його вчинкам в певних ситуаціях визначити:

наскільки він егоцентричний, чи може співпереживати іншим людям. Взявши на роботу людину на випробувальний термін, можна заздалегідь домовитися зі старим перевіреним працівником, щоб той спровокував новачка, запропонувавши додатковий заробіток нечесним і неправомірним способом.

Висновок: слід розуміти, що інсайдерська активність не загрожує вашому бізнесу, тільки якщо ви – індивідуальний підприємець. Пам'ятайте, що конфіденційні відомості в умовах широкого доступу, як кубик льоду – на кожному етапі льоду все менше, а в руках – вода. Встановіть DLP-систему, вкладайтеся в службу безпеки і HR, регулярно проводьте тренінги та семінари, присвячені інформаційній безпеці і не переживайте, що «кроти» перерили вам весь бізнес-город.