Когда обычный сотрудник опаснее хакера
"Клади запас на утечку, усушку, на мышеядь, на разор", – говорили предки. Но информация – не зерно, потери видны не сразу и часто безразмерны, причем в них бывают повинны те сотрудники, от кого и не ожидал. О случайных и не случайных "ошибках" персонала и о том, как от них застраховаться, порталу HR-tv.ru рассказал Кирилл Медведев, HR-директор Группы компаний SearchInform.
Небрежность сотрудников к правилам информационной безопасности приводит порой к не менее печальным результатам, чем атаки хакеров. Мы в компании занимаемся вопросами утечки информации и разрабатываем системы по защите конфиденциальных данных более 10 лет, потому накопили достаточный опыт в этом вопросе. Причины, по которым сотрудники становятся участниками ИБ-инцидентов, банальны: легкомысленное и неосторожное обращение с корпоративными данными и игнорирование правил информационной безопасности.
Приведу три типичных ИБ-инцидента с участием "случайных" инсайдеров:
"Нечаянная ошибка"
Бухгалтер одного из наших клиентов регулярно готовил отчеты о трудовых взаимоотношениях с поставщиками комплектующих, используемых на производстве. В очередной раз он по обыкновению выслал сводную таблицу по всем партнерам, но случайно указал вместо почты руководства адрес одного из подрядчиков. В результате чего поставщик получил развернутые сведения о том, с кем и на каких условиях сотрудничает производитель. Обыкновенная невнимательность бухгалтера ударила по бюджетам компании: подрядчик отказался сотрудничать на прежних условиях, ужесточив требования.
Причиной подобных инцидентов становится наивность, неосторожность и неосведомленность сотрудников: ошибки в канале передачи информации и в адресатах – очень распространенное явление.
"Злонамеренный коллега"
Отдел безопасности одного из наших клиентов обнаружил на компьютере штатного сотрудника конфиденциальную информацию, доступа к которой у него не было. Тут же приступили к расследованию. Как выяснилось, на этом ПК регулярно запускались средства для удаленного доступа, но неподготовленный пользователь мог не замечать этого. В конце концов, стало ясно, что к делу причастен администратор сети, который временно хранил конфиденциальные данные на компьютере жертвы до передачи их третьим лицам. Так добропорядочный сотрудник стал невинным "соучастником" в "сливе" информации.
В подобные ситуации попадают сотрудники, которых используют более предприимчивые коллеги для осуществления своих корыстных замыслов. Невинные жертвы даже не предполагают, что нарушают условия конфиденциальности, пособничая злоумышленнику.
"Игра на повышение"
Один из служащих нашего клиента – специалист, который занимался материально-техническим обеспечением на заводе и входил в тендерную комиссию, – в процессе проведения тендеров сливал информацию по заявкам начальнику управления. Он делал это, чтобы в конце концов выигрывали те подрядчики, которые были удобны обозначенному руководителю, а не действительно выгодны предприятию. Взаимоотношения управляющего с подчиненным долгое время выглядели так: ты мне помогаешь – и я держу тебя на хорошем счету; а если нет – место займет кто-нибудь более сговорчивый. И скоро так и произошло, но сценарий был другим: служащий устал от прессинга и сообщил о шантаже вышестоящему руководству. Так что непосредственный начальник был уволен. Однако и сам сотрудник вместо того, чтобы занять этот пост, решил уйти из компании.
Такие "внутрикорпоративные" утечки допускают сотрудники, которые потеряли бдительность или желают выслужиться перед начальством. Сюда же попадают и специалисты, которых попросту шантажируют.
Профилактика "случайного" инсайдерства
Логично, что профилактическая работа во всех трех случаях будет разной. Чтобы избежать появления в команде невинной жертвы, придется работать на предупреждение действий со стороны нелояльных сотрудников. С этим помогут опытные специалисты по безопасности и DLP-система, которая будет отслеживать инциденты.
Эта же рекомендация актуальна для ситуаций, когда причиной инцидента становятся провокационные действия со стороны коллег и руководителей. Ну а незначительные нарушения политик конфиденциальности по причине невнимательности могут иметь место всегда, ведь это человеческий фактор. Но если работодатель серьезно займется повышением грамотности сотрудников в области ИБ, то количество подобных инцидентов существенно сократится.
Что интересно: в конце 2015 года аналитики нашей компании провели исследование – и результаты показали, что сотрудники большинства российских компаний (84% опрошенных) подписывают соглашение о неразглашении конфиденциальных корпоративных данных. 72% организаций также отметили, что инструктируют персонал по вопросам информационной безопасности. Однако утечки все равно имеют место. И пусть свести их к нулю не получится, количество инцидентов можно уменьшить, если компании возьмутся за воспитание в сотрудниках культуры ИБ, а они, в свою очередь, отнесутся к этому со всей серьезностью.
С другими способами профилактики вы можете ознакомиться в специальном выпуске "Бизнес-пираний" - Что делать с утечками информации?
При использовании материала гиперссылка на соответствующую страницу портала HR-tv.ru обязательна
Что Вы думаете об этом?