Контакты
Подписка 2025

Как инсайдер помог наладить дисциплину в компании

Владислав Эркенов, 01/12/22

Любая компания понимает, насколько ценен продукт, на котором она зарабатывает. Но часто бизнес не торопится принимать специальные меры, чтобы защитить свои наработки. Так было и у нас, пока вдруг компания не стала проигрывать тендер за тендером, теряя на каждом до 50 млн руб., при этом новый продукт конкурентов оказался подозрительно похож на наш.

Автор: Владислав Эркенов, начальник отдела безопасности ООО НПО “НТЭС”

Дело было в 2017 г., наше производство уже много лет как закрепилось среди поставщиков для крупных нефтедобывающих корпораций. Несмотря на это, в структуре компании не было отдельного подразделения защиты данных, а все функции безопасности сводились к физическому контролю периметра: пропускам, видеонаблюдению, выборочным проверкам сотрудников. Когда закрались подозрения, что конкурент вызнал ноу-хау, стало ясно, что информация уязвимей оборудования в цехах. Так в компании появились отдел безопасности и специальные средства для защиты информации.

Для контроля активности пользователей за компьютерами и борьбы с утечками данных мы первым делом закупили DLP-систему. Существуют разные подходы к охране коммерческой тайны в DLP: есть системы, которые во избежание сливов загодя жестко блокируют каналы связи, есть фиксирующие цифровой след пользователя, чтобы при необходимости восстановить картину инцидента. Мне оказался ближе второй подход: раньше я работал "в органах", так что привык вести детальные расследования и разбираться с уликами. Тем более что в нашем случае было очевидно: утечка уже произошла, а значит, нужно искать виновных. При выборе DLP мы оценивали в первую очередь ее аналитические возможности, лучшей по этому параметру сочли "Контур информационной безопасности" (КИБ) от "СерчИнформ".

Чтобы выяснить, откуда к конкурентам попадают секреты производства, нужно было мониторить основные каналы коммуникаций – почту и корпоративные мессенджеры. Почти сразу с помощью КИБ я обнаружил подозрительные письма.

Прямо в рабочей почте сотрудник общался с конкурентами и пересылал им конструкторскую и коммерческую документацию. По некоторым косвенным признакам стало понятно, что инсайдер действует не один. Проблема состояла в том, что собственно офисных сотрудников у нас как у промышленного предприятия не так много, большинство работников заняты на производственных линиях и не работают за ПК. Техническими средствами их контролировать не получится. Но DLP к этому моменту помогла собрать достаточно данных об инциденте, чтобы окончательно прояснить ситуацию.

Опираясь на свой оперативный опыт, я пошел ва-банк: вызвал инсайдера на беседу и прямо показал ему, что у меня есть все доказательства его нарушений. Ставка сработала, "крота" удалось перевербовать. Он сам назвал пособников: люди в открытую выносили приборы с производства, буквально руками помогали конкурентам наладить выпуск "пиратской" продукции. Интересно, что многие участники схемы не понимали (или делали вид), что делают что-то противозаконное. Для них это была просто подработка, и забрать на подработку оборудование или чертежи почему-то тоже было для них в порядке вещей.

Но раскрыть схему было мало. Чтобы нивелировать убытки, мы решили полностью выбить конкурента из игры и не дать дальше пользоваться нашими разработками. Мы обратились к деловым партнерам (и встретили, кстати, довольно прохладный прием, потому что конкурент активно нас очернял), чтобы восстановить отношения и показать, какими методами действует их нынешний поставщик. Доказательств промышленного шпионажа было достаточно, партнеры вернулись, а вскоре информация дошла и до инвесторов конкурента. Инвесторы дорожили своей деловой репутацией и не захотели иметь дела с незаконными схемами.

За несколько месяцев конкурирующая фирма потеряла финансирование и была закрыта.

До этого случая я придерживался мнения, что наблюдение должно быть исключительно скрытым. Но теперь понимаю: когда сотрудники знают, что служба информационной безопасности бдит, инсайдеры реже решаются на преступления. Необязательно объяснять в деталях, как именно осуществляется контроль, пользователям важнее само понимание, что для работодателя все их действия прозрачны. Главное, на что это влияет, – дисциплина. Наши сотрудники совершают меньше случайных ошибок в работе с данными, мы практически изжили неэффективный расход рабочего времени. Более того, в коллективе снизилось количество конфликтов! Мы стали предоставлять руководителям подразделений информацию о том, где "искрит", чтобы была возможность на раннем этапе разобраться с недопониманиями и снять напряжение.

На сегодняшний день нам больше не приходится "закручивать гайки" и создавать для службы безопасности имидж сурового "всевидящего ока". Со всеми работниками мы проводим ИБ-ликбез на стадии трудоустройства, четко доносим правила, которые нельзя нарушать. Но затем показываем, что доверяем людям, надеемся на их совесть и открыты к диалогу. В защите от утечек мы можем положиться на DLP, которая комплексно охватывает каналы передачи данных и способна вовремя их перекрыть. Теперь наша главная задача – профилактика, с ней нам больше не приходится бежать по следу инсайдеров, мы предупреждаем проблемы. А автоматизация контроля высвобождает необходимые для этого ресурсы.

Темы:DLPЖурнал "Информационная безопасность" №3, 2022

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 | Москва | Radisson Blu Belorusskaya. Мероприятия для директоров и специалистов по ИБ, инженеров, ИТ-руководителей и разработчиков
Регистрируйтесь и участвуйте 14-15 октября →
Статьи по той же темеСтатьи по той же теме

  • Геометрия DLP требует пересмотра
    Арен Торосян, руководитель продукта “Гарда DLP”
    Если ваш ландшафт СЗИ вообще, а DLP в частности, похож на лоскутное одеяло – вы не одиноки. Во многих крупных компаниях безопасность развивается не по плану, а по обстоятельствам: одно подразделение внедрило решение “для галочки”, другое – под влиянием подрядчика, третье унаследовало систему вместе с купленной дочкой. Так появляется распределенная сеть из разрозненных инсталляций, каждая из которых требует внимания, ресурсов и отдельной стратегии. В какой-то момент вся эта конструкция перестает поддаваться управлению – и становится риском сама по себе.
  • Чужое в допустимом контуре
    Сергей Вахонин, Директор по решениям DeviceLock, Inc. (“Смарт Лайн Инк”)
    Инсайдерские угрозы редко становятся поводом для громких пресс-релизов, но именно они остаются наиболее устойчивыми и в то же время сложно выявляемыми источниками утечек. А с приходом удаленки, облаков и мнимой цифровой зрелости проблема и вовсе переместилась в категорию ежедневных рисков. Давайте подумаем, как подходить к инсайдерской угрозе не с позиций охоты на ведьм, а через архитектуру, анализ поведения, доверие и автоматизированный контроль. Без паранойи, но и без вредных иллюзий.
  • Слово не воробей, но DLP его поймает
    Дмитрий Костров, заместитель ГД по информационной безопасности ДКБ, IEK GROUP
    Информация – ценный актив и важнейшее достояние компании, требующее надежной защиты. Подходы к защите информации могут значительно различаться, но требования регуляторов обязывают компании обеспечивать безопасность данных, включая защиту ПДн. А ответственность за необходимость охраны коммерческой тайны ложится на плечи подразделений информационной безопасности. Помимо прочего, существует “чувствительная информация”, утечка которой способна привести к крайне негативным последствиям.
  • DCAP и DLP: гармония взаимодействия
    Дмитрий Костров, заместитель ГД по информационной безопасности ДКБ, IEK GROUP
    Защита данных как “в движении", так и “в покое" – одна из задач подразделения информационной безопасности современного предприятия. Основное внимание уделяется охране персональных данных и коммерческой тайны, объединяемых под понятием “чувствительная информация". Информация “в движении" защищается системами DLP, а защиту данных “в покое" обеспечивают системы DCAP.
  • Инновации в DLP и DCAP и новые классы решений
    Эксперты в области систем для защиты от утечек поделились своим мнением о том, как развиваются решения классов DLP и DCAP и какие инновации появились в этом сегменте за последний год.
  • "Открытый контроль" как профилактика утечек информации. Что предлагают DLP?
    Алексей Дрозд, Директор учебного центра "СёрчИнформ"
    Исследование “СёрчИнформ” показало, что только 18% компаний в России оценивают уровень киберграмотности своих сотрудников как хороший.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Обсудим 15 октября на Форуме ITSEC 2025. Регистрация →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Регистрация участников на конференцию 16 октября →

More...