Слежка в офисах за сотрудниками: как компаниям предотвратить утечку данных (и поможет ли фишинг)

В первых числах октября Сбербанк сообщил о возможной утечке данных, которая затронула как минимум 200 клиентов компании. Позже выяснилось, что сотрудник банка успел продать в теневом интернете пять тысяч учётных записей кредитных карт. Журналист НГС узнал у экспертов, как такое возможно, могут ли компании обезопасить себя от утечки данных и какие способы слежки за сотрудниками существуют.

Какие данные продали в теневом интернете

Внутреннее расследование Сбербанка выявило, что утечка данных произошла из-за сотрудника, руководителя сектора в одном из бизнес-подразделений, 1991 года рождения. Сделал он это в корыстных целях.

— Дополнительно было установлено, что в конце сентября сотрудник, совершивший преступление, продал несколькими траншами одной из преступных групп в теневом интернете в совокупности пять тысяч учетных записей кредитных карт Уральского банка Сбербанка, значительное количество из которых являются устаревшими и неактивными, — сообщила сегодня пресс-служба банка.

Старший преподаватель кафедры информационных технологий НГУЭУ Артём Перов предполагает, что в данной ситуации служба безопасности банка своевременно смогла отследить злоумышленника с помощью анализа записей о событиях в информационной системе и оперативно устранить инцидент. Но в подобной ситуации может оказаться любая компания.

Возможные причины утечек в разных компаниях

Иван Рева — декан факультета автоматики и вычислительной техники, доцент кафедры защиты информации НГТУ — объясняет, что утечка информации с предприятия может происходить по разным причинам: по техническим каналам, за счёт побочных электромагнитных излучений, шпионажа, но наиболее распространенная причина, по его мнению, — это человеческий фактор, с которым связаны 90% случаев.

— Как правило, сотрудники компании халатно относятся и могут даже непроизвольно это сделать. Либо целенаправленно, когда человек нужную базу данных копирует и выносит из организации, — добавляет он.

Менеджер по развитию информационной безопасности в СФО группы компаний Softline Иван Озеров считает, что застраховаться от появления такого недобросовестного сотрудника в компании довольно сложно, но существуют технологии, которые помогают контролировать поведение персонала и предупреждать неправомерные действия.

Что делать, чтобы не допустить утечку

Крупный бизнес, по мнению Ивана Озерова, должен внимательно относиться к обеспечению защиты данных и учитывать возможные риски от их потери. Если речь идёт о финансовой сфере, то компании должны соответствовать достаточно жёстким требованиям регуляторов в части защиты информации: внедрять средства защиты информации, проводить тестирования на проникновение и другие профилактические мероприятия.

— Чтобы минимизировать риск таких утечек, для бизнеса важно регулярно проводить обучение сотрудников по теме информационной безопасности с последующим тестированием усвоения, делать рассылку учебных фишинговых писем, разбирать публичные кейсы и их последствия. Можно ограничить права сотрудников на использование внешних носителей информации: подключать флеш-карты и другие носители к рабочему компьютеру сможет только сотрудник с правами администратора. Предотвратить распространение данных через сетевые каналы — почту, облачные сервисы, мессенджеры — может DLP-система (DLP — предотвращение утечек. — Прим. ред.) в режиме блокировки, — перечисляет возможные способы эксперт.

Что контролируют в первую очередь

По статистике, которую приводит Иван Озеров, порядка 40% информации выносится за пределы организаций именно на печатных носителях, поэтому он рекомендует использовать устройства для контроля печати.

— Например, можно внедрить решение с функционалом создания так называемой теневой копии, когда копия каждого документа, отправленного в печать, сохраняется в системе в виде pdf с указанием имени пользователя и хранится на сервере. Так служба безопасности имеет возможность отслеживать, кто из сотрудников распечатывал ту или иную информацию, что позволит заметить подозрительную активность. Кроме того, даже само знание сотрудника о том, что компания жёстко контролирует распространение критичной информации, может остановить возможного нарушителя, — приводит пример Иван Озеров.

Иван Рева обращает внимание на мобильные телефоны как на один из наиболее сложных каналов утечки, потому что трудно потом найти, кто и когда сделал фотографию.

— Я неоднократно приходил в офисы разных банков: там на столах сотрудников лежат телефоны, ими могут спокойно пользоваться. Даже если там запрещены подключения накопителей, фотокамера телефона всегда рядом, — описывает Рева.

Он считает, что нужно организовывать систему наблюдения за сотрудниками, которые работают с той или иной важной информацией, либо политикой безопасности запрещать использование мобильных телефонов на рабочем месте.

— Такие подходы к защитным мероприятиям на важных объектах имеются. Например, на заводах, которые работают на оборонную промышленность: у них все необходимые условия соблюдаются — нельзя пройти без разрешения, специальной формы допуска, сдачи флешек, телефонов. По большому счёту, кроме как в голове, ты ни в чём информацию пронести не сможешь, — заключил Иван Рева.

Контролирует ли вас работодатель? Может быть, в вашей компании запрещено пользоваться социальными сетями или мобильными телефонами на рабочем месте? Или, возможно, начальство следит за вами с помощью видеокамер? Поделитесь своей историей с НГС.