Почему сотрудники становятся преступниками
Я знаю не понаслышке, как часто инциденты в области информационной безопасности происходят по вине самых добропорядочных сотрудников. Мы в компании более десяти лет занимаемся разработкой корпоративных систем для предотвращения утечек информации, по-другому — DLP (Data Loss Prevention). У работников может не быть желания незаконно заработать, они не хотят кому-то отомстить, не планируют умыкнуть клиентскую базу, чтобы открыть собственное дело. Причины, по которым они попадают в неприятные ситуации, — пренебрежение правилами информационной безопасности, чрезмерное доверие к коллегам и простая беспечность.
Исследование наших аналитиков показало, что в большинстве российских компаний (84%) сотрудники подписывают соглашение о неразглашении корпоративных данных. Инструктаж по вопросам информационной безопасности проводят 72% организаций. Но эффективность этих мер будет низкой до тех пор, пока сотрудники сами не поймут необходимость определённых правил. Только тогда можно будет ожидать положительного результата.
Невинные жертвы, Буратино и скелеты в шкафу
Утечки информации редко происходят случайно. Мотивы сотрудников, которые украли конфиденциальные данные, понятны — это месть или корысть. С утечками, в которых виноваты добропорядочные сотрудники, всё сложнее. Анализируя подобные инциденты, мы пришли к выводу, что всех «хороших» сотрудников, из-за которых они происходят, можно разделить на три группы.
1. Невинные жертвы
В эту группу входят ничего не подозревающие сотрудники, которых кто-то из коллег намеренно подставил.
В компании нашего клиента специалисты по информационной безопасности выявили, что у одного из сотрудников локально на диске хранились особо важные документы, доступ к которым ему не предоставлялся. Это серьёзное нарушение внутреннего регламента, которое потребовало срочного разбирательства. Выяснилось, что на компьютере сотрудника часто использовалось программное обеспечение для удалённого доступа, которое в его работе просто не нужно. Расследование службы безопасности выявило, что подозреваемый в нарушениях работник даже не знал о хранящихся на его компьютере файлах. Виновником оказался технический специалист компании, который использовал компьютер нашего героя в качестве временного сетевого хранилища перед тем, как передавать конфиденциальные данные третьей стороне.
2. Буратино
Так я называю тех сотрудников, которые становятся виновниками утечек по неосторожности, незнанию или наивности.
Приведу пример. В компании, занимающейся строительством энергетических объектов, увольняющийся сотрудник переслал на свой личный почтовый ящик рабочую документацию, среди которой, как оказалось, была и конфиденциальная. Специалисты по информационной безопасности вовремя заметили это и смогли предотвратить инцидент. Однако, если бы эти данные попали к конкурентам, из-за небрежности бывшего сотрудника компании был бы нанесён ущерб на 10 млн рублей только за один год. Сотрудник не подозревал, что он «случайно» скачал секретные данные и какую цену они имеют.
3. Сотрудники со «скелетами в шкафу»
Такие сотрудники безопасны до тех пор, пока что-нибудь их не спровоцирует. В их личной жизни есть «крючок», которым могут воспользоваться злоумышленники. Это, например, долги, наркотическая или алкогольная зависимость, супружеская неверность или другие пороки. Специалисты по информационной безопасности относят таких сотрудников к группе риска, ведь преступники могут воспользоваться подобными «секретами» для шантажа.
Ещё один кейс из нашей практики. В компании по непонятной причине выбирались одни и те же поставщики, хотя условия, которые они предлагали, не были лучшими. Специалисты по информационной безопасности начали проверку специалиста по закупкам. Первое подозрение — сотрудник берёт откаты — не подтвердилось. Однако безопасники заметили другой интересный момент. Девушка, специалист по закупкам, интенсивно переписывалась с коллегой-мужчиной из другого отдела. Оказалось, что между молодыми людьми возникла симпатия. Этим чувством и пользовался молодой человек, чтобы склонять девушку к выбору тех поставщиков, от которых он получал «бонусы».
Буратино, который хочет стать человеком
Инциденты, которые случаются из-за «невинных жертв», могут выявить (и тем более предотвратить) только специалисты службы безопасности. У «жертвы», кроме того что она не подозревает о происходящем, не хватает технических навыков и профессиональных знаний, чтобы обнаружить и обезвредить злоумышленника. Сотрудники со «скелетами в шкафу» — всегда под особым контролем. На инциденты с их участием в большинстве случаев безопасники реагируют оперативно. А вот инциденты с сотрудниками из второй группы — теми, кого я называю Буратино, — случаются чаще всего из-за их преступной беспечности и небрежности по отношению к элементарным правилам.
Приведу несколько типичных примеров.
1. Что моё, то ваше
Специалисты по информационной безопасности обнаружили активность на компьютере из-под учётной записи сотрудника, который в этот момент находился в отпуске и не должен был себя никак проявлять. Оказалось, перед отпуском он передал все явки-пароли коллеге «на всякий случай» — мол, если вдруг понадобится какая-то информация, ты меня не дёргай, а поищи на моём компе сам. Внутренний распорядок компании подобное категорически запрещал. На компьютере работника хранилась конфиденциальная информация, которая в случае утечки привела бы к серьёзным финансовым и репутационным потерям. Утечки вовремя удалось избежать, а с беспечным сотрудником провели серьёзную беседу.
2. Любители селфи
У одного из наших клиентов на производственном предприятии два сотрудника неожиданно вышли на работу в выходные. В понедельник служба безопасности проанализировала, чем они были заняты. Оказалось, работники посетили секретный объект, сфотографировались на фоне разобранной ракеты и выложили фотографии в социальные сети. Безопасники оперативно отреагировали на инцидент — и фото были удалены. Распространение этих сведений привело бы к расторжению контракта с крупным заказчиком и потере более 250 млн рублей. Небрежных сотрудников пришлось уволить.
3. Облака с секретами
Главный бухгалтер компании, специализирующейся на грузоперевозках, выложила в общедоступное облако большой архив с документацией. Корыстных мотивов у неё не было — просто так ей было удобно. Служба информационной безопасности заинтересовалась этими действиями, так как по структуре предприятие — закрытое акционерное общество и разглашение некоторых сведений для него недопустимо. После проверки облака оказалось, что выложенная информация на самом деле не подлежит раскрытию. Если бы она попала к конкурентам, потери компании составили бы порядка 30 млн рублей.
Фотография на обложке: Howard Klaaste via Shutterstock