Авторские материалы Как поймать инсайдера с поличным

Корпоративный слив. Число сотрудников компаний, которые крадут внутреннюю конфиденциальную информацию, выросло с начала года в полтора раза. А спрос на добытые ими данные вырос на 25%, следует из исследования компании "Инфосистемы Джет". Службы безопасности корпораций называют таких мошенников инсайдерами и признают, что они приносят много проблем бизнесу. Способы борьбы с внутренними интернет-врагами изучил корреспондент "Вестей ФМ" Сергей Гололобов.

Даркнет полон объявлениями о найме сотрудников разнообразных фирм и компаний, которые готовы слить за определённую сумму корпоративную информацию. Желающих таким образом подзаработать – тоже в избытке. Но промышляют инсайдеры не только корысти ради. Становятся ими часто потому, что рядом не было кнопки защиты от дурака. Вообще, специалисты по кибербезопасности делят корпоративных инсайдеров на три типа. Первые – это нарушители по незнанию. Они обычно приносят вред из-за невнимательности и доверчивости. Девочка-секретарша случайно нажала не ту кнопку или скинула подруге файл с прикольной информацией из жизни своей фирмы. Всё. Слив произошел. Подпункт "Б" нарушителей по незнанию – это жертвы профессионального развода интернет-мошенников, которые применяют социальный инжиниринг. Наподобие звонков от фиктивных служб безопасности банков, поясняет руководитель направления информационной безопасности компании "Кошелёк" Владимир Макаров.

МАКАРОВ: Вы можете представиться, я не знаю, сотрудником отдела информационной безопасности, собственной безопасности, внутренней безопасности, либо представиться руководителем, вышестоящим руководителем, коллегой, которому требуется какая-либо помощь, сотрудником технической поддержки. Сам механизм в целом – он такой же, как и в случае с классическим мошенничеством через социальную инженерию. Влезь в доверие под каким-либо предлогом и заставить сотрудника выполнить нужное вам вредоносное действие.

Второй тип инсайдеров – не наивные простаки, а действуют с полным пониманием последствий. Основной мотив у них – желание навредить своей компании. Например, из-за нелюбви к начальству или маленькой зарплаты. Скачивают конфиденциальную информацию и сбрасывают её в даркнет из желания мести. Ну и, наконец, третий тип инсайдеров нацелен на извлечение от противоправной деятельности собственной выгоды, добавляет Владимир Макаров.

МАКАРОВ: Есть спрос, есть предложение. У человека есть определённый доступ. Он хочет этот доступ монетизировать вдобавок к своей заработной плате. При этом он может понимать, что данное действие является преступлением, либо считать, что не является. "Компания не обеднеет, урона не будет". Если за первый вариант – инсайдер по незнанию – на работника ничего, кроме дисциплинарной ответственности, не может предполагаться, то на варианты два и три предполагается полноценная уголовная ответственность. О чем, кстати, частенько в даркнете не пишут.

Как борются с инсайдерами? Во-первых, если кандидат устраивается на должность, которая предполагает доступ к конфиденциальным данным, то человека проверяют. Прежние места работы, финансовая история, не был ли он замешан в аналогичных скандалах. Если порыв стать инсайдером возникает уже во время офисной работы, то у служб безопасности есть способы выявить подозрительную активность клерка, отмечает ведущий консультант по информационной безопасности компании "Инфосистемы Джет" Елена Агеева.

АГЕЕВА: Еще до совершения неправомерных действий он, например, начинает себя как-то необычно вести. Например, условно, он общается с каким-то новым контактом. Даже использует личные мессенджеры, но это, в принципе, делается на рабочей станции корпоративной. Либо он начинает работать больше. Вот перерабатывание и перегорание работника – это как бы звоночек. Если вот, например, он готовится к утечке, он начинает собирать много-много информации отовсюду, куда только может дотянуться. С каких-то сетевых папок, информационных систем, куда он имеет доступ, и т.д.

Во избежании утечек грамотная компания обязательно позаботится об установке аппаратных блокирующих систем, которые запретят копирование и пересылку служебной информации, говорит Елена Агеева.

АГЕЕВА: Эти средства защиты помогают как раз проанализировать на первичных этапах, вот когда он, например, с кем-то начинает нетипично общаться либо собирать очень много информации, заходить в папки, в которые, например, десять лет никто не заходит, и оттуда выгружать себе на рабочую станцию. Если же мы говорим про то, что он уже начал что-то куда-то передавать, здесь прекрасное средство защиты – это DLP-системы, системы предотвращения утечек данных. Работают в режиме мониторинга и в режиме блокировки.

Инсайдерами становятся далеко и не столько сисадмины и прочие корпоративные компьютерщики. Гораздо чаще в качестве таковых выступают простые клерки. И знаний компьютерной грамотности у них хватает только на то, чтобы конфиденциальную информацию своровать. Но зачистить свои следы в Сети – это уже вне зоны их умений. Бывает, конечно, что они задумываются об этом и начинают избавляться от доказательств совершения несанкционированных действий. Например, очищают журналы событий и посещений, удаляют файлы. И в этих своих нервных действиях неумелый инсайдер может наследить еще больше. На этом их, чаще всего, и ловят.