«У компании N утекли данные» – фраза, которая часто встречается в заголовках СМИ. Только в июне в открытый доступ попала информация о клиентах сетей «Ашан», «Твой Дом», «Глория Джинс», «Аскона», «Буквоед», «Твое», «Леруа Мерлен» и т.д. Утечь может не только клиентская база, но и другая ценная информация: маркетинговые разработки, технологические карты, бизнес-стратегии, финансовые данные и прочее.

Почему сотрудники становятся на путь шпионажа
Шпионы есть не только в книгах и фильмах, они не обязательно внедрены в какие-то секретные государственные организации. Это вполне реальные люди, которые могут появится как в компании малого бизнеса, так и в большой корпорации. Можно выделить 4 категории сотрудников, которые предоставляют потенциальную опасность для организации.

Первая категория – «засланные казачки». Они приходят в компанию от конкурентов, чтобы незаметно собирать нужную информацию и передавать ее им. Такие специалисты изначально завоевывают хорошую репутацию своей высокой квалификацией и внушительным опытом работы. Они легко проходят собеседование, так как кажутся работодателям идеальными сотрудниками в своей специализации. «Засланные казачки» стараются устраиваться на должности, в которых можно получить доступ к коммерческой информации или базам данных.

Вторая – инсайдеры, которые пошли на шпионаж из-за финансовых проблем. До инцидента они могли быть продуктивными и добросовестными работниками, которые ни разу не вызывали подозрений у специалистов по информационной безопасности. Однако после смены жизненных обстоятельств они способны решать свои проблемы за счет компании.



Сотрудники группы риска – третья категория. В нее входят работники со своими «скелетами в шкафу», которые они не готовы рассекречивать. Если тайное станет явным для конкурента или недоброжелателя, то в их руках это может стать отличным инструментом для шантажа и вербовки сотрудника.

Последняя группа – обиженные работники. Они идут на сотрудничество с конкурентами или другие нарушения из мести – это один из самых распространенных мотивов.



Как инсайдеры выносят информацию из организации
Инсайдеры могут подойти к краже информации с фантазией. Например, инженер-атомщик ВМС США попытался продать чертежи атомной подлодки в бутерброде с арахисовым маслом. В переписке с представителем иностранного правительства (на самом деле это был агент ФБР под прикрытием) сотрудник предложил сделку: данные, связанные с реакторами атомной подлодки, в обмен на $10 тыс. Когда мужчина получил деньги, он загрузил информацию на SD-карту, а саму карту поместил между кусочками хлеба, смазанными арахисовым маслом. Позже ему перевели еще $70 тысяx, вторую карту мужчина спрятал в упаковку от жвачки.


Однако большинство шпионов идут по пути наименьшего сопротивления и сложных схем для слива не ищут. Они выносят информацию через электронную почту, выгружают данные в облако, печатают документ с базой на принтере или фотографируют его на телефон. Согласно нашему исследованию, чаще всего недобросовестные сотрудники крадут данные с помощью электронной почты и устройств хранения (флешки и телефоны в качестве внешнего жесткого диска). В последние годы также выросла актуальность защиты облаков и удаленного доступа через инструменты типа TeamViewer. Эти каналы нуждаются в повышенном техническом контроле.

Как обнаружить шпиона в компании
Проще всего вычислить «засланных казачков», которые нанимаются в компанию с целью заполучить ценную информацию и передать ее конкурентам. В этом помогает скрининговая или отборочная проверка. Проверить кандидата на должность можно несколькими способами:
• По базам данных – проверка фактов, которые человек про себя рассказывает.
• По рекомендациям с прошлых мест работы.
• По результатам проведенной опросной беседы.
• С помощью методов OSINT (разведки по открытым источникам) или полиграфа.

Другие категории шпионов могут проявится в коллективе стихийно. Например, при возникновении конфликтных ситуаций с начальством сотрудник может изменить свое отношение к работе и начать «вершить справедливость» – мстить. Чтобы вовремя пресечь подобные действия, служба безопасности и руководство компании должны работать в тандеме. Если коллектив небольшой, заметить неладное проще по косвенным признакам. Например, несоразмерные зарплате траты или резкое изменение поведения – это повод присмотреться к человеку.


В крупных компаниях такой вариант не сработает, так как у ответственных лиц просто не останется времени на работу, если ходить за каждым сотрудником и присматриваться к ним. Самое верное решение – использовать специальные инструменты для контроля работников (DCAP, DLP-системы). DCAP-системы помогут узнать, в каких сетевых папках и на каких компьютерах лежит конфиденциальная информация, кто имеет к ней доступ, а также ограничить этот доступ по отдельным операциям (например, копирование или изменение) или полностью запретить открывать документ. В результате у компании появляется полная картина хранения и использования чувствительных к утечке данных. DLP-система же поможет защитить компанию от утечек информации и корпоративного мошенничества. Функционал системы позволяет взять под контроль определенные каналы связи сотрудников (электронная почту, Skype, мессенджеры, облачные хранилища и др.), отслеживать их действия там и при необходимости пресекать подозрительную активность (блокировать). Аналитические инструменты позволяют восстанавливать цепочки событий и устанавливать всех причастных к нарушениям.

Также необходимо проводить профилактические меры: обучать сотрудников правилам информационной безопасности, во время обучений рассказывать, чем может быть чревата утечка корпоративной информации. Кроме того, можно рассылать легкие памятки, с поучительными примерами, как делать не нужно. Например, у нас есть мини-сборник советов: «ИБ-советы в стишках-пирожках». Они помогут провести профилактику по целому ряду угроз (фишинговым письмам, использованию легких паролей, установку программ и т.д.).

С новыми работниками нужно подписывать документ о неразглашении информации. Сотрудники должны понимать степень ответственности за раскрытие критической информации. Кроме того, такой документ пригодится в суде, если инсайдер совершит нерегламентированные действия. Однако перед этим необходимо ввести режим коммерческой тайны на предприятии, указав перечень конфиденциальных сведений, порядок их учета, хранения и использования.

Что делать c сотрудниками, которые работают на конкурента
В первую очередь стоит провести служебное расследование, чтобы узнать, точно ли сотрудник совершил проступок намеренно или его подставили, были ли сообщники или он работал один, какая информация пострадала и в каком объеме. Если вовремя не найти сообщника, то со временем нарушения продолжатся.

Как наказывать нарушителей? В каждой компании решают самостоятельно: оштрафовать или сделать выговор, уволить или подать судебный иск против нарушителя. Чаще всего увольнение оказывается наилучшим вариантом для организации. Оно позволяет избежать еще большего инцидента в будущем. Обычно разговора и самого факта, что человека поймали на шпионаже, бывает достаточно, чтобы он уволился самостоятельно. Однако при крупных инцидентах, будь то утечка базы персональных данных или заражение инфраструктуры вирусом, эффективнее применять более серьезную меру – судебный иск. На это компании идут неохотно, хотя именно такие прецеденты и меняют отношение к информации как к ценному активу.