Владислав Эркенов, 01/12/22
Любая компания понимает, насколько ценен продукт, на котором она зарабатывает. Но часто бизнес не торопится принимать специальные меры, чтобы защитить свои наработки. Так было и у нас, пока вдруг компания не стала проигрывать тендер за тендером, теряя на каждом до 50 млн руб., при этом новый продукт конкурентов оказался подозрительно похож на наш.
Автор: Владислав Эркенов, начальник отдела безопасности ООО НПО “НТЭС”
Дело было в 2017 г., наше производство уже много лет как закрепилось среди поставщиков для крупных нефтедобывающих корпораций. Несмотря на это, в структуре компании не было отдельного подразделения защиты данных, а все функции безопасности сводились к физическому контролю периметра: пропускам, видеонаблюдению, выборочным проверкам сотрудников. Когда закрались подозрения, что конкурент вызнал ноу-хау, стало ясно, что информация уязвимей оборудования в цехах. Так в компании появились отдел безопасности и специальные средства для защиты информации.
Для контроля активности пользователей за компьютерами и борьбы с утечками данных мы первым делом закупили DLP-систему. Существуют разные подходы к охране коммерческой тайны в DLP: есть системы, которые во избежание сливов загодя жестко блокируют каналы связи, есть фиксирующие цифровой след пользователя, чтобы при необходимости восстановить картину инцидента. Мне оказался ближе второй подход: раньше я работал "в органах", так что привык вести детальные расследования и разбираться с уликами. Тем более что в нашем случае было очевидно: утечка уже произошла, а значит, нужно искать виновных. При выборе DLP мы оценивали в первую очередь ее аналитические возможности, лучшей по этому параметру сочли "Контур информационной безопасности" (КИБ) от "СерчИнформ".
Чтобы выяснить, откуда к конкурентам попадают секреты производства, нужно было мониторить основные каналы коммуникаций – почту и корпоративные мессенджеры. Почти сразу с помощью КИБ я обнаружил подозрительные письма.
Прямо в рабочей почте сотрудник общался с конкурентами и пересылал им конструкторскую и коммерческую документацию. По некоторым косвенным признакам стало понятно, что инсайдер действует не один. Проблема состояла в том, что собственно офисных сотрудников у нас как у промышленного предприятия не так много, большинство работников заняты на производственных линиях и не работают за ПК. Техническими средствами их контролировать не получится. Но DLP к этому моменту помогла собрать достаточно данных об инциденте, чтобы окончательно прояснить ситуацию.
Опираясь на свой оперативный опыт, я пошел ва-банк: вызвал инсайдера на беседу и прямо показал ему, что у меня есть все доказательства его нарушений. Ставка сработала, "крота" удалось перевербовать. Он сам назвал пособников: люди в открытую выносили приборы с производства, буквально руками помогали конкурентам наладить выпуск "пиратской" продукции. Интересно, что многие участники схемы не понимали (или делали вид), что делают что-то противозаконное. Для них это была просто подработка, и забрать на подработку оборудование или чертежи почему-то тоже было для них в порядке вещей.
Но раскрыть схему было мало. Чтобы нивелировать убытки, мы решили полностью выбить конкурента из игры и не дать дальше пользоваться нашими разработками. Мы обратились к деловым партнерам (и встретили, кстати, довольно прохладный прием, потому что конкурент активно нас очернял), чтобы восстановить отношения и показать, какими методами действует их нынешний поставщик. Доказательств промышленного шпионажа было достаточно, партнеры вернулись, а вскоре информация дошла и до инвесторов конкурента. Инвесторы дорожили своей деловой репутацией и не захотели иметь дела с незаконными схемами.
За несколько месяцев конкурирующая фирма потеряла финансирование и была закрыта.
До этого случая я придерживался мнения, что наблюдение должно быть исключительно скрытым. Но теперь понимаю: когда сотрудники знают, что служба информационной безопасности бдит, инсайдеры реже решаются на преступления. Необязательно объяснять в деталях, как именно осуществляется контроль, пользователям важнее само понимание, что для работодателя все их действия прозрачны. Главное, на что это влияет, – дисциплина. Наши сотрудники совершают меньше случайных ошибок в работе с данными, мы практически изжили неэффективный расход рабочего времени. Более того, в коллективе снизилось количество конфликтов! Мы стали предоставлять руководителям подразделений информацию о том, где "искрит", чтобы была возможность на раннем этапе разобраться с недопониманиями и снять напряжение.
На сегодняшний день нам больше не приходится "закручивать гайки" и создавать для службы безопасности имидж сурового "всевидящего ока". Со всеми работниками мы проводим ИБ-ликбез на стадии трудоустройства, четко доносим правила, которые нельзя нарушать. Но затем показываем, что доверяем людям, надеемся на их совесть и открыты к диалогу. В защите от утечек мы можем положиться на DLP, которая комплексно охватывает каналы передачи данных и способна вовремя их перекрыть. Теперь наша главная задача – профилактика, с ней нам больше не приходится бежать по следу инсайдеров, мы предупреждаем проблемы. А автоматизация контроля высвобождает необходимые для этого ресурсы.
