Как выявить потенциальных инсайдеров 1. Выяснить, кто из сотрудников постоянно берет сверхурочные часы. Систематические задержки и посещения офиса в нерабочее время выглядят подозрительно. Обратите внимание на трудоголиков, изучите, чем они занимаются на работе. Главное — не делайте преждевременных выводов, поскольку причиной задержек может быть действительно ответственное отношение к работе. В таком случае излишняя подозрительность демотивирует подчиненного.
2. Проверить компьютеры персонала — по общей сети или каждое устройство в отдельности, лучше в нерабочее время. Большой объем данных на корпоративном ПК — причина заподозрить сотрудника в сборе лишней информации. Компания должна контролировать действия персонала и пресекать попытки нарушений. Для этого нужен доступ ко всем компьютерам. Кроме того, способ долгий и трудозатратный. Подходит для небольших компаний.
3. Выяснить, нарушает ли работник внутрикорпоративные правила. Инсайдеру могут потребоваться секретные файлы или информация с несанкционированных ресурсов. Мониторинг сетевой активности позволяет выявлять нарушителей. Специализированное ПО перехватывает сообщения в соцсетях и мессенджерах, контролирует запуск программ и помогает анализировать информационные потоки.
3. Фиксировать все действия сотрудников за ПК для того, что понять, нарушают ли они внутрикорпоративные правила. Для этого задействуется специальное ПО, которое может делать скриншоты и записывать видео с экранов в случае срабатывания политики безопасности, фиксирует запущенные сайты и приложения, файловые операции, напечатанные документы, переписки по электронной почте и т.д. Эти данные можно использовать в качестве доказательств в суде или при возбуждении дела в правоохранительных органах. Данный способ — альтернатива способу 2. Подходит для крупных компаний.
4. Проанализировать поведение персонала. Состоявшийся профессионал, у которого не было проблем с прохождением собеседования, может оказаться «засланным казачком». Советуем присмотреться к активности сотрудника, его интересу к деятельности, выходящей за пределы круга задач. Такой человек всем живо интересуется и с большой вероятностью попытается стать душой компании, чтобы «в кулуарах» узнавать интересующие его сведения. Главное — не спутать «разведку» с профессиональным любопытством. Под подозрением также слишком замкнутые люди, которые не проявляют интереса к происходящему внутри коллектива. Как известно, в тихом омуте... Поэтому будет полезно подобрать методики для диагностики морально-психологических качеств сотрудников и использовать их при приеме на работу.
5. Ищите недовольных. Например, если специалист работает несколько лет, но не получает такого признания, на которое рассчитывал, он испытывает недовольство. В какой-то момент он может совершить кражу данных. Эта кража даже не обязательно принесет ему много прибыли. Цель тут не в деньгах. Просто таким образом сотрудник пытается восстановить справедливость. Кроме того, любой сотрудник, находящийся в поиске работы, является потенциальным инсайдером (даже неосознанно). Например, он может использовать свои прошлые разработки или закрытую коммерческую информацию в качестве портфолио для нового места работы. Помните, что краже предшествуют ключевые предпосылки: основные проблемы, связанные с мотивацией инсайдера, возникают еще до того, как он совершает кражу.
Случайные сливы информации Иногда сотрудники «сливают» информацию не умышленно, а из-за невнимательности, нарушения правил техники безопасности или неверного понимания задач. В таком случае руководство может сделать работнику выговор или научить его осторожнее обращаться с данными. Как правило, подобные ошибки допускает младший персонал, поэтому компании нужно проводить разъяснительные беседы с сотрудниками всех уровней.
Например: Есть младший менеджер Вася. Представим, что в один прекрасный день раздается телефонный звонок. Голос на другом конце провода представляется директором реально существующего филиала компании, рассказывает о появившейся проблеме, которую нужно решить максимально оперативно. Для этого он просит в обход существующей политики безопасности выслать ему на личную почту конфиденциальные документы. Взамен косвенно обещает премию. Даже не задумавшись о возможной угрозе, Василий с благими устремлениями высылает документы прямиком на почту конкуренту. Готово — слив состоялся.
На сегодня 78% российских компаний сталкивались со сливом инсайдерской информации, для 61% из них такие сливы закончились серьезными убытками.
Посмотрите наш кейс , где мы рассказывали об одной из таких историй.
Что делать при обнаружении инсайдера 1. Полностью закрыть нарушителю доступ к любой информации. Известны случаи, когда работники уже после увольнения разглашали секретные сведения. Необходимо регулярно обновлять базы данных и предоставлять к ним доступ только действующим сотрудникам.
2. Убедиться в том, что информация, которая попала к посторонним, была секретной. Иногда компании не устанавливают границы конфиденциальности. Их нужно обсуждать при приеме на работу, а также указывать степень секретности в договорах и должностных инструкциях. Четкие критерии запрета или ограничения информации дают владельцу бизнеса возможность наказывать виновных в разглашении сведений.
3. Оценить ущерб в виде материальных и репутационных потерь. Важно понимать, насколько целесообразна полномасштабная кампания по защите внутрикорпоративной информации и наказанию инсайдеров. При незначительном ущербе можно перекрыть канал утечки и уволить работника, чтобы не акцентировать внимание на инциденте.
4. Предупредить партнеров компании об утечке и возможных последствиях. Сделать это необходимо максимально оперативно.
5. Провести внутреннее расследование. Вначале не нужно афишировать факт утечки. Источником информации могут стать слухи и неформальные беседы. Множество различных мнений позволит понять причину утечки и, возможно, выявить других потенциальных нарушителей.
6. Подключить к расследованию незаинтересованное лицо. Оно не должно подчиняться ни одной из сторон.
7. Вариативно — после обнаружения инсайдера дать объективную оценку происшествия и опубликовать эти материалы в СМИ или на корпоративном сайте. Задача компании — в нейтральном тоне сообщить об утечке и усилении мер безопасности, а не оправдываться. Можно представить инцидент как атаку конкурентов, если разглашенные данные вредят имиджу фирмы. При этом «слитые» сведения лучше назвать ложными.
8. Заблокировать источник утечки. Например, не следует работать на ПК или другом устройстве, с помощью которого инсайдер передавал сведения посторонним. Носитель информации нужно направить к специалисту, чтобы выяснить масштабы разглашения данных, а также обнаружить уязвимые места и выстроить тактику защиты. Устройство можно использовать как вещественное доказательство при судебном разбирательстве.
9. Установить защитную систему, например, DLP. Она будет в фоновом режиме анализировать файлы, которые работники передают по электронной почте.
10. Подписать со всеми сотрудниками договор о сохранении конфиденциальности.
11. Создавать бумажные копии документов с помощью программы, которая фиксирует время и дату их выдачи. В будущем это позволит выяснить, кто из работников поделился дубликатами с конкурентами.
Какие данные пытаются украсть чаще всего 24% — Техническая информация: чертежи и схемы, проектная документация, макеты, данные o сертификации товаров и пр.
19% — Бухгалтерские и финансовые документы: данные о финансовой отчетности, счета, сведения о начислениях зарплаты и бонусов и пр.
6% — Юридические документы: контракты и договоры, уставы, приказы и пр.
6% — Данные о клиентах и сделках: выдержки или полные технические базы, тендерная документация, прайс-листы и пр.
6% — Персональные данные клиентов и сотрудников: списки сотрудников, сканы трудовых книжек, стразовых свидетельств и паспортов, должностные инструкции и пр.
2% — Тендерная документация: технические задания на проведение закупок, списки поставщиков и пр.
Профилактика деятельности инсайдеров Ограничить доступ к важной информации проще, чем искать нарушителей. Как предотвратить утечки:
регулярно проверять действия сотрудников за ПК; контролировать установку ПО на любые носители; ограничить использование переносных каналов и накопителей информации; контролировать использование копировальной техники; разграничивать уровни доступа к информации. После обнаружения инсайдера необходимо наказать его. Как правило, компании увольняют нарушителей с негативными отметками в личных характеристиках. Это оптимальное решение, поскольку инсайдеры снижают продуктивность работы организации, что может привести к банкротству.