В кризис компании столкнулись с ростом внутренних угроз: утечки информации, мошенничество, откаты, сговоры и "левый бизнес". Службы безопасности закручивают гайки
Летом 2015 года в одном из крупных российских банков объявили "оптимизацию расходов". Менеджеры приуныли: в курилке начались разговоры о грядущих увольнениях, а в интернете - массовое паломничество на сайты для поиска работы. У службы безопасности хлопот заметно прибавилось: в один из дней рано утром сработал сигнал тревоги - специалист IT-отдела копировал на внешний диск клиентскую базу депозитного управления. Утечку засекла DLP-система Solar Dozor, которая занималась в банке мониторингом коммуникаций сотрудников. Айтишника в тот же день вместе с диском задержали на проходной, а в архиве его почты "безопасники" обнаружили переписку с бывшим коллегой: тот предлагал устроиться на работу к конкурентам, прихватив с собой клиентскую базу данных.
Современные DLP-системы, предназначенные для защиты корпоративной информации, способны отслеживать каждый клик сотрудника в офисе - мониторить и перехватывать корпоративную и личную почту, сообщения в соцсетях, переговоры в Skype, документооборот и копирование данных на съемные носители и в облачные хранилища, запросы в поисковиках, использование приложений и т. д. Стоимость лицензии DLP-системы для крупной компании в среднем составляет около 10 млн рублей, но риски от внутренних угроз гораздо выше - ущерб от одного инцидента, по данным "Лаборатории Касперского", в среднем составляет около 20 млн рублей, еще 2,1 млн рублей придется потратить на ликвидацию последствий.
В кризис растет риск внутренних угроз. По оценкам компании InfoWatch, с конца прошлого года наблюдается всплеск внутренних угроз: утечек информации, хищений, сговоров, откатов, мошенничества. "Сокращение доходов приводит к желанию подзаработать на стороне, а иногда просто что-то украсть, - поясняет Николай Здобнов, заместитель директора по продажам InfoWatch. - А увольнения сотрудников ведут к желанию прихватить с собой базу клиентов, чтобы отомстить работодателю или подороже продать себя на рынке труда".
Под виртуальным колпаком
Как работают DLP-системы, можно было увидеть на конференции BIS Summit 2015. На экране ситуационного центра Dozor в реальном времени показано, что происходит в компании и чем заняты сотрудники: в левой колонке инциденты - нарушения внутреннего режима документооборота, в центре "досье" - аватарки сотрудников из группы риска, справа - информация, требующая немедленной проверки: например, подозрительные письма, которые необходимо просмотреть перед отправкой. Разработчики уверяют, что система может перехватывать сообщения даже в защищенном мессенджере Threema еще до шифровки - с клавиатуры, хотя уже само использование сотрудниками VPN-сетей, анонимайзеров, защищенных мессенджеров шифрования должно сразу вызвать подозрение СБ.
"Мы не можем контролировать всех сотрудников, мониторим в первую очередь группы риска - 85% нарушений и утечек приходится на увольняющихся сотрудников, - замечает Галина Рябова, руководитель аналитической службы Solar Security. - Еще подозрения вызывает факт покупки квартир, машины в тот момент, когда у человека не было премий или бонусов, а расходы не совпадают с зарплатой". Рябова вспоминает недавнее расследование: кредитный инспектор отдела кредитования малого бизнеса одного из российских банков попал под подозрение. Проверяя его переписку и активность в интернете по семантическим словарям, DLP-система Dozor внесла его в две группы риска: "игроманы" и "неадекватные траты". Версия со взяткой не подтвердилась, но в рабочей почте инспектора обнаружили другую аномалию: стандартная переписка с клиентами, подавшими заявки на получение кредитов, составляет 15-20 писем, но были три фирмы, переписка с которыми уложилась всего в 4-5 писем - и они были одинаковыми.