Новости / июль 2018
Рубрики: Информационная безопасность

Увольнения чреваты кражами информации

Влада Сюткина
© ComNews
18.07.2018

Каждый второй случай кражи корпоративной информации сотрудником при увольнении из организации в 2017 г. связан с передачей этих данных конкурентам. При этом чаще всего в случаях кражи корпоративной информации рядовым персоналом движет мотив личной выгоды или работа на конкурентов, в то время как руководители преимущественно идут на нарушения из чувства мести или руководствуются другими некорыстными мотивами. К таким результатам пришли специалисты аналитического центра ГК InfoWatch, проведя глобальное исследование публичных инцидентов в области безопасности корпоративной информации, связанных с деструктивными действиями увольняющегося или увольняемого сотрудника в отношении работодателя.

Исследование, как рассказали в пресс-службе InfoWatch, проводилось на основе собственной базы данных, которая пополняется специалистами аналитического центра InfoWatch с 2004 г. и насчитывает десятки тысяч зарегистрированных инцидентов. В базу попадают публичные сообщения о случаях утечки информации из коммерческих, некоммерческих, государственных, муниципальных организаций, госорганов, которые произошли вследствие умышленных или неосторожных действий сотрудников и иных лиц. Для анализа были отобраны случаи утечек конфиденциальной информации в российских и зарубежных компаниях в 2017 г. и иные публичные сообщения о деструктивных действиях увольняющихся сотрудников в отношении информационных активов работодателя.

Как указывается в исследовании аналитического центра ГК InfoWatch, в 2017 г. более половины инцидентов были связаны с неправомерным копированием корпоративной информации и передачей ее третьим лицам - в том числе конкурентам компании.

"Сотрудник, который принял решение об уходе из компании, часто пытается использовать информацию компании в своих интересах. Это всегда имеет негативные последствия в виде материального ущерба и репутационных потерь. Прямой ущерб компаниям-работодателям в результате деструктивных действий увольняющихся или увольняемых сотрудников зафиксирован в более чем 50% исследованных инцидентов", - отметил в исследовании аналитик ГК InfoWatch Сергей Хайрук.

При этом, по словам авторов исследования, особую опасность при подготовке к увольнению представляют действия нелояльных сотрудников из числа привилегированных пользователей. "Топ-менеджеры, руководители отделов и системные администраторы имеют доступ к широкому спектру корпоративных данных, к которым относится, например, коммерческая тайна и производственные ноу-хау, они хорошо знают бизнес-процессы предприятия и могут применить эти знания, нанося максимальный вред бывшему работодателю", - указал в исследовании Сергей Хайрук.

В 2017 г., как говорится в исследовании, привилегированные пользователи стали причиной 19% нарушений, связанных с компрометацией корпоративных данных, более 80% случаев произошли по вине рядовых сотрудников. Чаще всего при краже корпоративной информации персоналом движет мотив личной выгоды или работа на конкурентов, в то время как руководители в большинстве случаев идут на нарушения из чувства мести или руководствуются другими некорыстными мотивами.

В исследовании также сообщается о том, что более четверти нарушений, повлекших ущерб для работодателя, совершались сотрудниками менее чем за неделю до увольнения - на этот временной интервал пришлось 28,6% случаев. Еще около 20% нарушений происходили за несколько недель до ухода. В большинстве случаев - 52,4% инцидентов, деструктивные действия в отношении работодателя сотрудник совершал более чем за месяц до запланированного увольнения.

Примерно в каждом втором случае, по данным исследования, увольняющийся сотрудник забирал с собой или просматривал базы данных с персональной информацией коллег, клиентов или партнеров. Треть изученных инцидентов была связана с кражей из компании коммерческих секретов и ноу-хау.

Что касается отраслевой картины, то наибольшее количество случаев деструктивных действий персонала при увольнении, как отмечается в исследовании, зафиксировано в учреждениях медицинской сферы (27,8%) и организациях государственного сектора (19,4%). Реже всего увольняющиеся сотрудники похищали информацию предприятий сферы торговли (2,8%) и транспортного комплекса (2,8%).

При этом, как следует из исследования, более 60% случаев неправомерного использования корпоративной информации при подготовке сотрудником к увольнению были совершены в компаниях со штатной численностью от 100 до 500 человек.

"Модель поведения персонала при использовании корпоративных информационных ресурсов не поддается анализу с помощью традиционных систем защиты, которые не учитывают субъективные факторы, не могут прогнозировать уход сотрудника из компании и связанные с этим риски, - обратил в исследовании внимание Сергей Хайрук - Однако сегодня развиваются средства прогнозной аналитики, которые используют базу данных компании, включая информационные потоки, и благодаря технологиям искусственного интеллекта и машинного обучения научились обрабатывать и анализировать накопленные компанией большие данные. Эти инструменты способны с высокой степенью точности предугадывать поведение персонала, например, заблаговременно определять сотрудников, которые намереваются уйти из компании, и предотвращать кадровые и финансовые риски для предприятий".

Говоря с корреспондентом ComNews о результатах исследования, проведенного InfoWatch, менеджер по развитию бизнеса SolarDozor компании "Ростелеком-Solar" (ранее Solar Security (ООО "Солар секьюрити") Василий Лукиных, рассказал следующее: "По нашим данным, основными нарушителями по-прежнему являются доверенные внутренние сотрудники, часто в последние месяцы работы. Однако более 40% внутренних инцидентов связаны не столько с утечками данных (таких угроз менее 18% в общем объеме внутренних угроз), сколько с неправомерным применением чувствительной информации: коррупционными схемами, внутренними мошенничествами и другими инцидентами, наносящих прямой и более серьезный экономический и репутационный ущерб компаниям".

При этом он отметил, что, на самом деле, важно не столько то, какие именно данные утекают, сколько то, наносит ли это ущерб организации. В этом отношении достаточно опасной может быть компрометация даже той информации, которая не была оформлена в качестве коммерческой тайны. А иногда напротив – даже утечка базы данных заказчиков наносит компании преимущественно репутационный ущерб. "Наш опыт показывает, что увольняющиеся сотрудники действительно часто пытаются унести с собой наработки, но с точки зрения финансовых последствий организации гораздо чаще страдают от прямого мошенничества сотрудников, а не от утечки информации", - указал Василий Лукиных.

Он также добавил, что все больше нарушители фокусируются не просто на краже информации и передаче ее конкурентам и аффилированным со злоумышленником компаниям, а на выстраивании долгосрочных мошеннических схем. Особенно это заметно в государственных организациях, энергетическом секторе, банках, страховых компаниях, ретейле.

Относительно способа обеспечения безопасности данных вслучае с увольняющимся или уволенном человеке Василий Лукиных сказал следующее: "Есть две задачи – предотвратить инцидент и избежать его последствий для компании. И обе они должны решаться в три шага. Во-первых, нужно действовать на опережение – вводить режим коммерческой тайны и заранее определять права доступа сотрудников к информации. Во-вторых, применять инструментальные средства контроля – системы коммуникаций сотрудников и выявления мошенничества, управления и аудита прав доступа и другие. В-третьих, работать с людьми, а не фокусироваться только на информации – уделять особое внимание группам особого контроля (сотрудникам коммерческих подразделений, увольняющимся сотрудникам, привилегированным пользователям)".

 Специалист технического сопровождения продуктов Eset Russia (ООО "Исет Софтвеа") Борис Соболев в разговоре с корреспондентом ComNews указал на то, что, по данным собственного исследования Eset, которое компания проводила в мае-июне 2018 г., 75% действующих сотрудников свободно подключают к рабочим станциям флэшки и другие внешние носители, 70% распечатывают в офисе любые документы, 49% копируют их, делают скриншоты и пересылают рабочие файлы на личную почту.

"В принципе, сотрудникам ничего, кроме совести, не мешает воспользоваться этой свободой и перед уходом из компании. Согласно нашему опросу, 21% уже копировали при увольнении рабочие материалы, 5% когда-либо уничтожали ценные документы, переписку и прораммное обеспечение (ПО), а 2% обнародовали корпоративную информацию", - заявил Борис Соболев.

При этом, по его словам, как и прежде, кража данных чаще всего имеет финансовую мотивацию. "Люди покидают компанию, унося с собой клиентские базы, прайс-листы, лицензии на ПО – все, что можно выгодно перепродать. Сотрудник может использовать украденные данные в качестве своего конкурентного преимущества при найме в другую компанию. Кроме того, кража данных позволяет отомстить экс-работодателю, руководителю или коллегам", - сообщил Борис Соболев.

Он также заявил следующее: "Растет число известных утечек. Это происходит не потому, что люди стали чаще "выносить" корпоративные данные, а, скорее, потому, что компании учатся фиксировать и предотвращать такие инциденты". Вместе с тем, как отметил Борис Соболев, методы защиты информации сегодня достаточно эффективны. "К сожалению, не все компании уделяют внимание защите (пусть даже базовой)", - в то же время заметил Борис Соболев – Все хорошо с защитой от утечек у крупных компаний, имеющих собственные уникальные разработки (гаджеты, фармацевтика, разработка ПО, производство и пр.). Они прекрасно понимают, что находятся в зоне риска, и инвестируют в защиту данных".

Другое дело, по словам Бориса Соболева, компании, у которых нет ноу-хау. Они убеждены, что их информация никому особо не интересна и пренебрегают защитой. Как результат, менеджеры по продажам уносят базы клиентов и контрагентов к новым работодателям или открывают свой бизнес, айтишники забирают с собой при увольнении лицензионные данные.

Что касается того, как обеспечить безопасность данных в случае, когда человек увольняется или уволился, Борис Соболев сказал следующее: "Начинать нужно с приема на работу. Человеческий фактор – слабое звено в любой информационной системе. Необходимо тщательно подбирать людей, работать с ними, мотивировать, повышать лояльность. А также заниматься обучением – у любого сотрудника должны быть хотя бы базовые представления о компьютерной и информационной безопасности. Лучше периодически повторять обучение – знания легко забываются. И в качестве страховки необходимы современные решения офисного контроля и DLP. Продукты этого класса позволяют закрыть распространенные проблемы человеческого фактора – как злонамеренные действия, так и ошибки".

Беседуя с корреспондентом ComNews, заместитель руководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин отметил следующее: "В России, если говорить про утечки, распространены не высокотехнологичные хакерские взломы, а банальные хищения. Бывает, что злоумышленники самостоятельно отключают DLP-системы (комплекс контроля и мониторинга пересылаемой и хранимой информации), поскольку они же и являются администраторами подобных систем. Базу клиентов могут слить те, кто имеет к ней доступ, например, менеджеры по продажам. Защита от таких утечек заключается не только во внедрении DLP-систем, но правильной мотивации персонала и корпоративной культуре".

Старший тренер по компьютерной криминалистике Group-IB Никита Панов в беседе с корреспондентом ComNews сказал: "Замечу, что DLP-системы в первую очередь предназначены не для защиты от злоумышленников, а именно от непреднамеренного инсайда –  то есть защиты от нарушения политик внутри компании. Но даже в этом случае они не в состоянии отследить "человеческий фактор". Заинтересованный сотрудник может просто сфотографировать какие-либо важные документы на личный телефон или другое мобильное устройство, а позднее переслать злоумышленнику. Но DLP-системы установлены не везде, во многих компаниях до сих пор не действует политика ограниченного доступа к USB-портам рабочих станций и сотрудники перед увольнением могут подключать внешние накопители и другие устройства, которые затем используются для передачи критических бизнес-данных злоумышленникам".