Борьба с внутренними угрозами. Выявляем инсайдера

Источник: «Актуальная бухгалтерия», февраль 2014

Владимир Медведев, руководитель отдела по информационной и экономической безопасности Intercomp 

Елена Ларина, генеральный директор компании «ПЕРСОНАЛИНВЕСТ», тренер Академии Информационных Систем по курсу «Практические аспекты конкурентной разведки в работе кадровых служб»

Наибольшее количество инсайдеров встречается среди системных администраторов, менеджеров по продажам и рядовых бухгалтеров. При этом существует три основных типа инсайдера: «халатный», манипулируемый и злонамеренный.

Человеческий фактор является одним из критических в системе защиты корпоративной информации. К сожалению, именно люди становятся самым слабым звеном цепи. По незнанию или рассеянности, со злым умыслом или без него, именно они могут приносить значительный вред своим работодателям. Категорию сотрудников, которые разглашают закрытую информацию о фирме, принято называть инсайдерами. Они представляют опасность тем, что, находясь внутри компании, наделены вполне легальными полномочиями и им гораздо проще получить доступ к интересующей информации, чем любому злоумышленнику со стороны. 

Ситуация в России 


По данным опроса 2012 года, проведенного компанией НeadHunter(1), в России «сливали» или готовы «сливать» информацию конкурентам (сторонним организациям) 20 процентов респондентов. При этом, по данным Zecurion(2), компания ловит только 2 процента инсайдеров. Несложно подсчитать, что 2 процента от 20 составляет исчезающе малую величину. В опросе компании Superjob(3), проведенном в 2013 году, получились более оптимистичные результаты. На вопрос «Происходили ли в вашей компании случаи утечки корпоративной информации или разглашения коммерческой тайны?» положительно ответили 14 процентов респондентов, отрицательно — 41 процент, затруднились ответить — 45 процентов. Интересно, что в указанном выше в опросе HeadHunter затруднились ответить только 17 процентов респондентов. Таким образом, непонятно, улучшилась ситуация или опрашиваемые стали более скрытными. 

Наиболее часто «сливается» три группы информации: 
  • клиентские базы (более 40% «сливов»); 
  • информация о партнерах, владельцах, личные данные топ-менеджмента (около 25%); 
  • информация о финансово‑экономическом положении и о нарушениях в компании (менее 20%). 

1.png
В отличие от зарубежных стран в России практически не «сливается» (вероятно, потому, что не пользуется спросом) информация о патентах, научно-технических программных разработках, ноу-хау, которая за рубежом представляет основной объект интереса и корпоративных конфликтов. По нашему мнению, это связано с сохраняющимся сырьевым характером российской экономики. Что касается российской IT-индустрии, то большинство разработок либо делается под заказ зарубежных компаний, либо является клонами иностранных веб-сервисов. Следовательно, отсутствует питательная почва для «слива» ноу-хау. 

Не менее интересны побудительные мотивы «слива» информации. Согласно результатам исследований более 65 процентов инсайдеров разглашают информацию за деньги. Еще 20 процентов готовы передавать информацию бескорыстно, из-за желания отомстить или «насолить» предыдущему работодателю. 

Основной санкцией к сотрудникам, виновным в утечке информации вследствие преднамеренного разглашения коммерческой тайны, в более чем 80 процентах случаев является увольнение по собственному желанию после проведения жестких воспитательных бесед. В 12 процентах случаев работников увольняют по соответствующей статье Трудового кодекса. В 8 процентах случаев увольнение происходит по собственному желанию, но после выплаты штрафных санкций. Из одной тысячи опрошенных только двое указали, что организации возбудили уголовные дела по факту нарушения Закона о коммерческой тайне(4)

«Инсайдерские» профессии и возраст 


В среднем и крупном бизнесе среди профессий, где встречается больше всего инсайдеров, несомненную пальму первенства держат системные администраторы. Они являются слабым звеном в части хранения информации, включая ту, которая не должна стать достоянием контрагентов, конкурентов, различного рода проверяющих инстанций, а также значительной части сотрудников. Почему так происходит? Сопряжено это прежде всего с тем, что в сисадминах оказываются молодые люди, которые не имеют достаточного опыта либо только учатся и испытывают большие умственные и физические нагрузки, работают в жестком временном графике и прочее. Кроме того, в подавляющей части компаний исторически сложилось так, что, в отличие от программиста, который написал продукт и занялся другой работой, системный администратор, от которого в том числе зависит сохранность корпоративной информации, получает гораздо меньшие деньги. Все это толкает определенную часть сисадминов на путь явного и неявного инсайдерства. 

2.png
Второй по распространенности профессией, чьи представители встают на путь инсайдерства, является менеджер по продажам. Здесь действует три фактора. Во первых, во многих компаниях менеджеры по продажам являются едва ли не главными доходообразующими работниками. При этом им далеко не всегда оказывается необходимая информационная, маркетинговая и иная поддержка. Во вторых, исторически сложилось так, что именно профессия менеджера по продажам характеризуется едва ли не самым высоким уровнем текучести. А в этих условиях говорить о какой-то корпоративной солидарности или отождествлении себя с компанией не приходится. Наконец, в третьих, в российских условиях, когда продаются в основном не собственные, а покупные изделия и продукция, главным является не наличие собственного уникального товара, а обладание той или иной базой покупателей, особенно в секторе B2B. 

Представителями еще одной, наиболее склонной к инсайдерству, профессии являются рядовые бухгалтеры. Главбух как человек, подписывающий те или иные бумаги, весьма уязвим перед текущим и даже бывшим работодателем. В большинстве случаев при выявлении «слива» информации его несложно наказать. А вот старший и рядовые бухгалтеры, располагающие значительным объемом бухгалтерской и финансовой информации, практически не несут никакой ответственности и, получая невысокую зарплату, бывают склонны к сознательному инсайдерству. 

Что касается HR-ов, то сознательным инсайдерством они практически не занимаются. Причем не по причине каких-то отличных от других профессиональных групп моральных качеств, а в силу того, что не располагают в подавляющем большинстве случаев действительно ценной информацией. 

По возрастному составу наибольшее количество сознательного «слива» информации идет от поколения до 30 лет и от людей старших предпенсионных возрастов. Первой группе, так называемому интернет-поколению, свойственно легкое игровое отношение к жизни, жажда самоутверждения и высокие карьерные ожидания. Что касается второй группы, то, будучи носителями больших объемов ценной корпоративной информации, люди старших возрастов оказываются первыми кандидатами на увольнение при различного рода кризисах либо трансформациях в компании, а также при переходе фирмы на новый уровень информационных технологий. 

Портрет инсайдера 


Существует несколько основных типов инсайдера. Рассмотрим каждый из них подробно. 

«Халатный» инсайдер. Данный тип является наиболее распространенным типом внутреннего нарушителя. Как правило, такие сотрудники соответствуют образу служащего рядового состава, часто край¬не невнимательного. Они создают незлонамеренные ненаправленные угрозы, то есть нарушают правила хранения конфиденциальной информации, но в их действиях нет злого умысла. Самые частые инциденты с такими нарушителями — вынос информации из офиса для работы дома, в командировке, с дальнейшей утерей носителя или доступом членов семьи к информации.

Манипулируемые и «халатные» инсайдеры действуют из своего понимания «блага» для компании (оправдываясь тем, что иногда ради этого «блага» нужно нарушить «дурацкие» инструкции, которые только мешают эффективно работать). 

Манипулируемые инсайдеры. В последние годы термин «социальная инженерия» чаще всего применяется для описания различных типов мошенничества в Сети. Однако манипуляции используются не только для получения обманным путем персональной информации пользователей (паролей, пин-кодов, номеров кредитных карт и адресов). Например, добросовестный сотрудник, действуя по принципу «хотели как лучше, получилось как всегда», может по просьбе злоумышленника «для надежности» продублировать почтовое сообщение, содержащее конфиденциальную информацию, на открытый почтовый ящик. Распространенный сценарий такого инцидента выглядит следующим образом. В офисе раздается телефонный звонок от директора существующего филиала, который весьма уверенно и открыто представляется, исключительно правдоподобно описывает проблему, связанную с невозможностью доставки электронной почты в филиальную сеть и просит переслать ему некоторую информацию на личный ящик где-нибудь в публичной почтовой службе. У сотрудника даже не возникает подозрения, что звонивший совсем не является тем, кем представился. В считанные минуты на указанный адрес отправляется запрошенная информация, представляющая строго конфиденциальные данные. 

Манипулируемые и «халатные» инсайдеры действуют из своего понимания «блага» для компании (оправдываясь тем, что иногда ради этого «блага» нужно нарушить «дурацкие» инструкции, которые только мешают эффективно работать). Однако они не осознают последствий своих действий. Как лояльные сотрудники, эти нарушители, столкнувшись с техническим блокированием их попыток обойти регламенты хранения и движения информации, обратятся за помощью к коллегам, техническому персоналу или руководству, которые могут указать им на недопустимость планируемых действий. 

Злонамеренные инсайдеры. Следующая группа инсайдеров — злонамеренные. В отличие от типов, описанных выше, они осознают, что своими действиями наносят вред компании, в которой работают. По мотивам враждебных действий они подразделяются на четыре типа — «обиженные», «нелояльные», «подрабатывающие» и внедренные. 

«Обиженные» инсайдеры — это сотрудники, стремящиеся нанести вред компании по личным мотивам. Чаще всего таким мотивом может быть обида из-за недостаточной оценки их роли в компании — недостаточный размер материальной компенсации, неподобающее место в корпоративной иерархии, отсутствие элементов моральной мотивации, отказ в выделении корпоративных статусных атрибутов и прочее. 

Для оценки моделей поведения данного типа нарушителей отметим два ключевых отличия от других типов. Во первых, «обиженный» инсайдер не собирается покидать компанию, и, во вторых, такой сотрудник стремится нанести вред, а не похитить информацию. То есть он хочет, чтобы руководство не узнало, что утечка произошла из-за него. Столкнувшись с технической невозможностью похитить какую-либо информацию, он может направить свою разрушительную энергию на что-нибудь другое. Например на уничтожение или фальсификацию доступной информации, хищение материальных ценностей. 

«Нелояльными» инсайдерами чаще всего являются сотрудники, принявшие решение сменить место работы, или миноритарные учредители, решившие открыть собственный бизнес. Именно о них в первую очередь и думают руководители компании, когда речь заходит о внутренних угрозах. Стало привычным, что увольняющийся сотрудник, например, отдела продаж, уносит с собой копию базы клиентов, а финансового — копию финансовой базы. Угроза, исходящая от таких нарушителей, является ненаправленной. Они стараются унести максимально возможное количество доступной информации, часто даже не подозревая о ее ценности и не имея представления, как они будут ее использовать. Самый частый способ получения доступа к информации или возможности ее скопировать — это имитация производственной необходимости. 

«Обиженный» или «нелояльный» инсайдер становится самым опасным нарушителем, если находит потенциального «покупателя» информации

«Обиженные» и «нелояльные» инсайдеры все же сами определяют объект хищения (уничтожения, искажения) и место его сбыта. Наткнувшись на невозможность похитить информацию, нарушители вряд ли будут искать техническую возможность обойти защиту, к тому же, скорее всего, они не обладают должной технической подготовкой. Однако если еще до похищения информации «обиженный» или «нелояльный» сотрудник выйдет на потенциального «покупателя» конкретной информации, будь то конкурент, пресса, криминальные структуры или спецслужбы, он становится самым опасным нарушителем — мотивированным извне.

«Подрабатывающие» и внедренные инсайдеры — это сотрудники, цель которых определяет заказчик похищения информации. В обоих случаях эти инсайдеры стремятся как можно надежнее завуалировать свои действия (по крайней мере, до момента успешного хищения). Однако мотивация их все же различается. «Подрабатывающий» тип охватывает весьма широкий пласт сотрудников, вступивших на путь инсайдерства по различным причинам. Сюда включаются люди, решившие «подхалтурить». Нередки случаи инсайдеров поневоле — шантаж, вымогательство извне буквально не оставляют им выбора и заставляют выполнять приказы третьих сторон. Именно поэтому «подрабатывающие» инсайдеры могут предпринимать самые разнообразные действия при невозможности выполнения поставленной задачи. В зависимости от условий они могут прекратить попытки, имитировать производственную необходимость, а в наиболее тяжелых случаях пойти на взлом, подкуп других сотрудников, чтобы получить доступ к информации любыми другими способами. 

Внедренные инсайдеры часто используются при промышленном шпионаже. Опасность этого типа нарушителей заключается в том, что в случае технических ограничений на вынос информации за пределы корпоративной информационной сети «работодатели» могут снабдить их соответствующими устройствами или программами для обхода защиты. И внедренный нарушитель пойдет до конца, чтобы получить данные. В его арсенале будут самые изощренные средства и большой профессиональный опыт взлома. 

Борьба с инсайдерством 


Борьба с инсайдерством наиболее эффективна, если строится по трем направлениям. Во-первых, каждая, даже небольшая компания может себе позволить то или иное DLP-решение (Data Loss Prevention). Данные системы позволяют поставить под жесткий контроль любую коммуникационную активность работников и, соответственно, своевременно выявить предрасположенность к инсайдерству и попытки завладеть той или иной информацией. 

Рекомендация

Каждой компании важно подписать с принимаемым на работу сотрудником документы, соответствующие закону о коммерческой тайне

Во-вторых, потенциальные инсайдеры, согласно опыту служб экономической безопасности различных компаний, во время работы внутри фирмы могут быть во многих случаях распознаны по ряду маркеров. Основную и наиболее легко образуемую их часть составляют повышенная сетевая активность и размещение в Сети информации, которую там размещать не следовало бы. В этом плане компаниям важно использовать в своей повседневной деятельности различного рода сервисы и программы социального веба. Таких программ и сервисов в настоящее время имеется на русском языке множество, и практически каждая компания в зависимости от своего бюджета может найти доступное для себя решение. 

И наконец, важно в каждой компании иметь соответствующий Закону о коммерческой тайне пакет внутренних документов. Принимаемые на работу сотрудники (в первую очередь сисадмины, «продажники» и бухгалтеры) должны быть ознакомлены с этими документами, и удостоверить это знакомство личной подписью. В этом случае, как показывает практика, сотрудники более осмотрительно относятся к разглашению информации, а откровенные инсайдеры отсеиваются на этапе ознакомительных собеседований при приеме на работу. 

В заключение отметим следующее. Поскольку в России чем дальше, тем больше будет ощущаться дефицит высококвалифицированных, обладающих необходимой компетенцией и знаниями специалистов, любые превентивные или репрессивные меры, при всей их эффективности, приведут к трудностям в комплектовании кадров компании. В этих условиях каждый руководитель должен понимать, что полностью искоренить инсайдерство он не силах, можно только минимизировать риски и оперативно ликвидировать последствия слива информации. При этом не существует единой технологии защиты от инсайдеров. Обеспечить безопасность должным образом может лишь комплекс мер. Для успешного ведения дел требуется использовать системы мониторинга как можно более автоматизированные, не зависящие от человека, чтобы была возможность контролировать сотрудника.   

3.png

4 Федеральный закон от 29.07.2004 № 98-ФЗ (далее — Закон о коммерческой тайне)