Контакты
Подписка 2024

Как инсайдер помог наладить дисциплину в компании

Владислав Эркенов, 01/12/22

Любая компания понимает, насколько ценен продукт, на котором она зарабатывает. Но часто бизнес не торопится принимать специальные меры, чтобы защитить свои наработки. Так было и у нас, пока вдруг компания не стала проигрывать тендер за тендером, теряя на каждом до 50 млн руб., при этом новый продукт конкурентов оказался подозрительно похож на наш.

Автор: Владислав Эркенов, начальник отдела безопасности ООО НПО “НТЭС”

Дело было в 2017 г., наше производство уже много лет как закрепилось среди поставщиков для крупных нефтедобывающих корпораций. Несмотря на это, в структуре компании не было отдельного подразделения защиты данных, а все функции безопасности сводились к физическому контролю периметра: пропускам, видеонаблюдению, выборочным проверкам сотрудников. Когда закрались подозрения, что конкурент вызнал ноу-хау, стало ясно, что информация уязвимей оборудования в цехах. Так в компании появились отдел безопасности и специальные средства для защиты информации.

Для контроля активности пользователей за компьютерами и борьбы с утечками данных мы первым делом закупили DLP-систему. Существуют разные подходы к охране коммерческой тайны в DLP: есть системы, которые во избежание сливов загодя жестко блокируют каналы связи, есть фиксирующие цифровой след пользователя, чтобы при необходимости восстановить картину инцидента. Мне оказался ближе второй подход: раньше я работал "в органах", так что привык вести детальные расследования и разбираться с уликами. Тем более что в нашем случае было очевидно: утечка уже произошла, а значит, нужно искать виновных. При выборе DLP мы оценивали в первую очередь ее аналитические возможности, лучшей по этому параметру сочли "Контур информационной безопасности" (КИБ) от "СерчИнформ".

Чтобы выяснить, откуда к конкурентам попадают секреты производства, нужно было мониторить основные каналы коммуникаций – почту и корпоративные мессенджеры. Почти сразу с помощью КИБ я обнаружил подозрительные письма.

Прямо в рабочей почте сотрудник общался с конкурентами и пересылал им конструкторскую и коммерческую документацию. По некоторым косвенным признакам стало понятно, что инсайдер действует не один. Проблема состояла в том, что собственно офисных сотрудников у нас как у промышленного предприятия не так много, большинство работников заняты на производственных линиях и не работают за ПК. Техническими средствами их контролировать не получится. Но DLP к этому моменту помогла собрать достаточно данных об инциденте, чтобы окончательно прояснить ситуацию.

Опираясь на свой оперативный опыт, я пошел ва-банк: вызвал инсайдера на беседу и прямо показал ему, что у меня есть все доказательства его нарушений. Ставка сработала, "крота" удалось перевербовать. Он сам назвал пособников: люди в открытую выносили приборы с производства, буквально руками помогали конкурентам наладить выпуск "пиратской" продукции. Интересно, что многие участники схемы не понимали (или делали вид), что делают что-то противозаконное. Для них это была просто подработка, и забрать на подработку оборудование или чертежи почему-то тоже было для них в порядке вещей.

Но раскрыть схему было мало. Чтобы нивелировать убытки, мы решили полностью выбить конкурента из игры и не дать дальше пользоваться нашими разработками. Мы обратились к деловым партнерам (и встретили, кстати, довольно прохладный прием, потому что конкурент активно нас очернял), чтобы восстановить отношения и показать, какими методами действует их нынешний поставщик. Доказательств промышленного шпионажа было достаточно, партнеры вернулись, а вскоре информация дошла и до инвесторов конкурента. Инвесторы дорожили своей деловой репутацией и не захотели иметь дела с незаконными схемами.

За несколько месяцев конкурирующая фирма потеряла финансирование и была закрыта.

До этого случая я придерживался мнения, что наблюдение должно быть исключительно скрытым. Но теперь понимаю: когда сотрудники знают, что служба информационной безопасности бдит, инсайдеры реже решаются на преступления. Необязательно объяснять в деталях, как именно осуществляется контроль, пользователям важнее само понимание, что для работодателя все их действия прозрачны. Главное, на что это влияет, – дисциплина. Наши сотрудники совершают меньше случайных ошибок в работе с данными, мы практически изжили неэффективный расход рабочего времени. Более того, в коллективе снизилось количество конфликтов! Мы стали предоставлять руководителям подразделений информацию о том, где "искрит", чтобы была возможность на раннем этапе разобраться с недопониманиями и снять напряжение.

На сегодняшний день нам больше не приходится "закручивать гайки" и создавать для службы безопасности имидж сурового "всевидящего ока". Со всеми работниками мы проводим ИБ-ликбез на стадии трудоустройства, четко доносим правила, которые нельзя нарушать. Но затем показываем, что доверяем людям, надеемся на их совесть и открыты к диалогу. В защите от утечек мы можем положиться на DLP, которая комплексно охватывает каналы передачи данных и способна вовремя их перекрыть. Теперь наша главная задача – профилактика, с ней нам больше не приходится бежать по следу инсайдеров, мы предупреждаем проблемы. А автоматизация контроля высвобождает необходимые для этого ресурсы.

Темы:DLPЖурнал "Информационная безопасность" №3, 2022

Отечественные ИT-платформы
и ПО для объектов КИИ:
готовность к 1 января 2025
Конференция | 24 июля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Как архиватор ARZip предупреждает утечки данных
    Дмитрий Слободенюк, коммерческий директор ARinteg
    При интеграции с DLP архиватор ARZip может открывать зашифрованные архивы при условии, что они созданы в нем самом. Поэтому при внедрении ARZip издается приказ об использовании ARZip в качестве единственного корпоративного архиватора.
  • Защита персональных данных по контексту передачи или по содержанию? Инновационное решение InfoWatch Traffic Monitor
    Александр Клевцов, руководитель по развитию продукта InfoWatch Traffic Monitor
    Ложноположительные срабатывания в работе DLP всегда являются серьезной угрозой эффективности. Частично снизить их уровень можно за счет корректной настройки системы, но иногда ложные срабатывания – следствие использования в DLP алгоритмов, не подходящих для решения требуемых бизнес-задач. Такие случаи стали драйвером для внедрения в систему InfoWatch Traffic Monitor принципиально нового подхода к определению утечек.
  • DLP для эффективной работы с рисками информационной и кадровой безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Нерациональное поведение и ошибки людей – основные слабые стороны, выявляемые в инцидентах безопасности, создающие репутационные риски и являющиеся причинами высоких затрат. Как в решении данной проблемы может помочь DLP?
  • О физиках, лириках и флешках
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Техническая задача защиты флешки сводится к тому, чтобы сделать нелегальное физическое обладание ею бессмысленным. Эта задача решена в защищенной флешке “Секрет Особого Назначения”. Коротко рассмотрим, как.
  • Next Generation DLP. Поспорим о терминах
    Владимир Ульянов, руководитель аналитического центра Zecurion
    Совместное использования DLP и DCAP - это и есть идея DLP следующего поколения: соединить части, которые были искусственно разделены для обеспечения безопасности данных.
  • Атакующий дебют: разбор неразмеченных событий в DLP
    ИИ, машинное обучение и когнитивные технологии для автоматизации работы с большими данными – это не хайп, а реальный инструмент для анализа и классификации большого объема информации, выявления непостижимых для человеческого мозга связей и закономерностей.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Кибербезопасность
30 июля. Кибербезопасность предприятия: защита от современных угроз
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать

More...