Чужие среди своих: как технологии помогают следить за сотрудниками

Фото Tetra Images / Diomedia
Фото Tetra Images / Diomedia
В кризис компании столкнулись с ростом внутренних угроз: утечки информации, мошенничество, откаты, сговоры и "левый бизнес". Службы безопасности закручивают гайки

Летом 2015 года в одном из крупных российских банков объявили «оптимизацию расходов». Менеджеры приуныли: в курилке начались разговоры о грядущих увольнениях, а в интернете — массовое паломничество на сайты для поиска работы. У службы безопасности хлопот заметно прибавилось: в один из дней рано утром сработал сигнал тревоги — специалист IT-отдела копировал на внешний диск клиентскую базу депозитного управления. Утечку засекла DLP-система Solar Dozor, которая занималась в банке мониторингом коммуникаций сотрудников. Айтишника в тот же день вместе с диском задержали на проходной, а в архиве его почты «безопасники» обнаружили переписку с бывшим коллегой: тот предлагал устроиться на работу к конкурентам, прихватив с собой клиентскую базу данных. 

Современные DLP-системы, предназначенные для защиты корпоративной информации, способны отслеживать каждый клик сотрудника в офисе  мониторить и перехватывать корпоративную и личную почту, сообщения в соцсетях, переговоры в Skype, документооборот и копирование данных на съемные носители и в облачные хранилища, запросы в поисковиках, использование приложений и т. д. Стоимость лицензии DLP-системы для крупной компании в среднем составляет около 10 млн рублей, но риски от внутренних угроз гораздо выше  ущерб от одного инцидента, по данным "Лаборатории Касперского"в среднем составляет около 20 млн рублей, еще 2,1 млн рублей придется потратить на ликвидацию последствий. 

В кризис растет риск внутренних угроз. По оценкам компании InfoWatch, с конца прошлого года наблюдается всплеск внутренних угроз: утечек информации, хищений, сговоров, откатов, мошенничества. «Сокращение доходов приводит к желанию подзаработать на стороне, а иногда просто что-то украсть,  поясняет Николай Здобнов, заместитель директора по продажам InfoWatch.  А увольнения сотрудников ведут к желанию прихватить с собой базу клиентов, чтобы отомстить работодателю или подороже продать себя на рынке труда»

Под виртуальным колпаком

Как работают DLP-системы, можно было увидеть на конференции BIS Summit 2015. На экране ситуационного центра Dozor в реальном времени показано, что происходит в компании и чем заняты сотрудники: в левой колонке инциденты — нарушения внутреннего режима документооборота, в центре «досье» — аватарки сотрудников из группы риска, справа — информация, требующая немедленной проверки: например, подозрительные письма, которые необходимо просмотреть перед отправкой. Разработчики уверяют, что система может перехватывать сообщения даже в защищенном мессенджере Threema еще до шифровки — с клавиатуры, хотя уже само использование сотрудниками VPN-сетей, анонимайзеров, защищенных мессенджеров шифрования должно сразу вызвать подозрение СБ.

«Мы не можем контролировать всех сотрудников, мониторим в первую очередь группы риска — 85% нарушений и утечек приходится на увольняющихся сотрудников, — замечает Галина Рябова, руководитель аналитической службы Solar Security. — Еще подозрения вызывает факт покупки квартир, машины в тот момент, когда у человека не было премий или бонусов, а расходы не совпадают с зарплатой». Рябова вспоминает недавнее расследование: кредитный инспектор отдела кредитования малого бизнеса одного из российских банков попал под подозрение. Проверяя его переписку и активность в интернете по семантическим словарям, DLP-система Dozor внесла его в две группы риска: «игроманы» и «неадекватные траты». Версия со взяткой не подтвердилась, но в рабочей почте инспектора обнаружили другую аномалию: стандартная переписка с клиентами, подавшими заявки на получение кредитов, составляет 15-20 писем, но были три фирмы, переписка с которыми уложилась всего в 4-5 писем — и они были одинаковыми. 

Экран ситуационного центра Dozor

Потом аналитики обнаружили нехарактерные контакты: рядовой инспектор напрямую переписывался со старшим кредитным контролером. "Повышенное внимание к кредитным заявкам возникало в те моменты, когда начальник отдела кредитования малого бизнеса отсутствовал, болел или был в отпуске", — вспоминает Рябова. 

В итоге «безопасники» обнаружили в своем банке "кредитную карусель" — сговор сотрудников банка для кредитования фиктивных фирм. Эта схема была довольно популярна в России. Например, кубанский филиал Россельхозбанка кредитовал агропредприятия братьев Цапков и депутата Цеповяза, которые имели взаимные поручительства по кредитам Россельхозбанка и в документах банка назывались ГВЗ (группа взаимосвязанных заемщиков) «Север Кубани» — в  разное время в нее входили до 30 предприятий, в том числе и фирмы-однодневки. Всего с 2006 по 2010 годы сумма выданных региональным Россельхозбанком кредитов их фирмам составила около 10 млрд рублей. В итоге главу краевого филиала банка Николая Дьяченко осудили за незаконную выдачу кредитов фирмам-однодневкам и неработающим предприятиям. 

Деликатная тема

Разработчики DLP-систем обычно советуют руководству компании поставить сотрудников в известность, что в рабочее время вся их корпоративная информация будет проверяться. Но происходит это не везде. А некоторые сотрудники не придают этому значения. Один из свежих примеров: в крупной металлургической компании главный инженер договорился с завскладом метизов — они занижали количество произведенной и привезенной на склад продукции, а излишки продавали. Вопросы обсуждали прямо в почте. “Наша InfoWatch DLP-система Traffic Monitor помогла выявить конфиденциальную информацию в электронной переписке и собрать доказательную базу для передачи дела в суд”, — рассказывает Ольга Горшкова, ведущий PR-менеджер InfoWatch.  

DLP-система Traffic Monitor

Обычно топ-менеджеры и руководители служб безопасности просят исключить себя из списка сотрудников, чьи действия контролирует DLP-система. Это тоже риск. "Наемный топ-менеджмент тоже может иметь мотивы для кражи. И чем выше должность, тем больше окажется ущерб для компании",  говорит Николай Здобнов из InfoWatch. Такие примеры были. В одной крупной IT-компании, которая продает в России собранные под собственном брендом в Китае гаджеты  смартфоны, планшеты, установили “пилот” DLP-системы от компании Zecurion. “За две недели собрали доказательства хищения денег одним из директоров,  рассказал Александр Ковалев, заместитель гендиректора Zecurion.  За полгода работы в компании он организовал сеть подставных китайских фирм. DLP-система перехватила переписку топ-менеджера со своими сотрудниками в Китае, где они обсуждали схемы работы и суммы”. Подсчитали, что своим левым бизнесом топ-менеджер нанес компании ущерб на сумму около $20 млн.

Конечно, систему пытаются перехитрить: сотрудник ведет переписку через личную почту на личном ноутбуке или смартфоне, хотя в серьезных компаниях это запрещено правилами внутренней безопасности. "Бывает и такое, но однажды у этого конспиратора садится батарея, а ему надо срочно отправить письмо: он входит с рабочего компьютера или через корпоративный wi-fi в gmail и отправляет письмо  и весь трафик снифирится (перехватывается — прим. Forbes)",  объясняет Игорь Ляпунов, генеральный директор Solar Security. 

Смартфон уже сейчас становится главным инструментом кражи информации — 75% приложений на гаджетах сотрудников, согласно отчету Gartner, опасны для работодателей. «Один сотрудник переснимал с экрана рабочего компьютера свежие протоколы тендерного комитета, дома перекидывал фото на компьютер и отправлял конкурентам», — привел пример в своем докладе на Business Information Security Summit (BISS) Алексей Волков, начальник отдела эксплуатации средств защиты информации ОАО «Северсталь». При этом, по словам Волкова, утечку поймала не DLP-система: сигнал от коллег получила служба экономической безопасности. «Какой бы замечательной ни была «железка» или «софт», нельзя списывать агентуру со счетов», — замечает Волков.

Ловцы сетью 

День рождения сотрудницы столичной IT-компании отмечали в переговорке: шарики, поздравления, торт. Ну и, конечно же, праздничное селфи. На одном из фото, которое выложили в Instagram, оказалась доска с цифрами и планами, которую забыли протереть после совещания. “Информация попадала под соглашение о неразглашении (NDA), и снимок был удален, девушек предупредили, что снимки в переговорной делать нельзя. Доску теперь после совещаний тщательно вытирают”, — рассказывает случай из своей практики Дмитрий Сидорин, основатель компании Sidorin Lab, занимающейся защитой репутации в интернете.

Мониторинг персональных аккаунтов и сообщений в социальных сетях сотрудников  “интимная тема”, и клиенты ее особо не афишируют, замечает Сидорин, но услуга весьма востребованная: за год он провел 30 обучающих корпоративных семинаров в банках, IT-компаниях, компаниях с большими дилерскими сетями. Недавно сотрудник одного из банков сфотографировал и выложил в Facebook корпоративную отчетность, которая была выложена в холле. Акционеры из США были возмущены, что теперь отчетность они получают через соцсети, сотрудника наказали.

Обычно работа строится так: компания передает Sidorin Lab список сотрудников, система мониторинга социальных медиа (например, Brandanalytics) находит их аккаунты в социальных сетях  Instagram, Facebook, “В Контакте” и склеивает их в единый профайл. После анализа  создается список группы риска: у кого из сотрудников есть в друзьях конкуренты, журналисты, блогеры. Мониторинг выдает предупреждения о нарушении внутренних корпоративных регламентов. Семантика поиска настроена на рисковые темы: название компании, бренд, корпоратив, имя начальника и топ-менеджеров, зарплата.  

“Пост сотрудника из группы риска может разрушить репутацию компании, если он напишет о задержке зарплаты, сорванной сделке или готовящихся сокращениях”, — поясняет Сидорин. По его словам, скорость реакции составляет минуты: сотрудники службы безопасности советуют удалить пост или убрать название компании из профайла  утечка не получает огласки. По его словам, PR-директор одной крупной IT- компании из Белоруссии поинтересовалась, может ли она писать матом в  Facebook. “На месте ее руководства я бы запретил это регламентом: сейчас каждый сотрудник в социальной сети, указавший название своей компании, является носителем торговой марки  нужно нести ответственность перед брендом”,  замечает Сидорин.

Более продвинутое решение  мониторить не только публичные посты, но саму переписку сотрудников в социальных сетях. По информации Forbes, недавно компания InfoWatch получала грант «Сколково» на разработку системы под условным название  DLP 2.0. “Идея в том, чтобы объединить DLP с Kribrum (облачный сервис мониторинга соцсетей) под единым логическим интерфейсом для выявления утечек и репутационных угроз”,  говорит Forbes генеральный директор InfoWatch Наталья Касперская. При этом Касперская подчеркивает, что их DLP-система не собирает логины и пароли от соцсетей, почтовых клиентов. “Переписку в соцсетях с рабочего компьютера DLP- система перехватывает на клиенте",  замечает она. Система не только будет собирать посты, лайки, но и анализировать поведение людей. Например, бухгалтер компании лайкает посты конкурентов, а по ночам в геолокации отмечает ночные клубы. “Это подозрительно, мы советуем офицерам СБ или HR обратить на него внимание  может быть бухгалтер готовится сменить работу”,  замечает директор Kribrum Антон Варнавский.