Расследуем кражи корпоративных данных и утечки информации

Воровство данных о клиентах из CRM с последующей передачей конкурентам – явление, к сожалению, обыденное. Каждый такой инцидент способен причинить компании серьёзные материальные потери, а несколько – привести к банкротству.

Эксперты по ИТ-безопасности обычно предлагают бороться с воровством с помощью систем DLP (Data Leak Prevention). К сожалению этот подход в подавляющем большинстве случаев не работает. Давайте разберем почему.

Во-первых, система DLP – дорогое и сложное программное обеспечение. Для установки в вашей компании вам нужно будет купить лицензии, дополнительные сервера и нанять команду специалистов по внедрению. И если ваша компания не Газпром или Роснефть, то лекарство может оказаться страшнее болезней и вы разоритесь уже на этапе внедрения.

Во-вторых, DLP системы контролируют доступ к определенным данным. Хорошо, если вся важная информация у вас хранится в файла Word или Excel – тогда DLP будет отслеживать доступ к нему. Но нам-то нужно защитить данные в CRM и максимум, что мы можем сделать – задать шаблоны данных, например телефонов. Если совпадет, то можно отправить уведомление. А если нет, значит злоумышленник останется безнаказанным.

В-третьих, переправка информации конкурентам состоит из нескольких этапов. Нужно экспортировать данные из CRM, запаковать их в архив с паролем и отправить с использованием электронной почты или мессенджера. DLP может зафиксировать только первый этап, но он сам по себе никаким криминалом не является. А что произошло дальше, то для DLP является тайной, а руководитель компании может лишь строить догадки.

Поэтому я хочу предложить другой способ выявления недобросовестных менеджеров в компании, более дешевый и действенный. Он реализуется с помощью системы контроля сотрудников Kickidler.

У Kickidler есть два важных функционала, которые помогут нам сберечь деньги компании. Во-первых, это запись всей действий сотрудников на видео. Причем используется специальный алгоритм сжатия, так что видео одного рабочего дня одного человека занимает не более 1ГБ. Поэтому с использованием недорогого жесткого диска на 2ТБ можно хранить записи работы всех сотрудников компании среднего размера за неделю.

Вторым важным функционалом является гистограмма нарушений. На ней отображается каждое потенциально опасное действие сотрудника, например просмотр видео или работа на сайте поиска работы. Причем чем больше была интенсивность действий, тем толще будет строка на гистограмме.

 

 

Достаточно выделить интересующее событие прямо на гистограмме и для просмотра откроется видео с записью действий сотрудника за этот период. Также можно смотреть видео работы человека только с конкретным приложением (например CRM) в течение рабочего дня

Ну а теперь давайте вернемся к нашей задаче – выявлению сотрудников, «сливающих» конкурентам базу клиентов. Для примера я буду использовать AmoCRM, но технология применима к любой системе, реализованной как в виде программы, так и web-интерфейса.

Итак, что происходит, когда человек экспортирует данные из AmoCRM? Открывается вот такое диалоговое окно.

 

 

После выбора страницы для экспорта, в браузере на краткое время будет открыт URL вида https://xxx.amocrm.ru/ajax/contacts/export/?&export_type=excel&PAGEN_1=1, потом страница закроется и начнется загрузка.

Нам необходимо создать новое нарушение, которое будет возникать в случае экспорта данных. В качестве признака такого нарушения установим переход на URL вида «https://xxx.amocrm.ru/ajax/contacts/export». И теперь в момент выгрузки данных на гистограмме появится нарушение.

 

 

Если ваша CRM при настройке параметров экспорта открывает отдельное окно с заголовком «Экспорт», то всё еще проще. Создаем нарушение, реагирующее на заголовок диалогового окна.

 

 

Факт экспорта данных из CRM мы зафиксировали. Что с этим делать дальше? Начинаем просматривать видео. Для начала можно выбрать временной диапазон от момента экспорта + 10 минут.

 

 

Чтобы не тратить много времени на просмотр, можно изначально установить шаг воспроизведения больше 1 секунды (например 5 или 10) или впоследствии изменить скорость воспроизведения.

 

 

В 90% случаев сразу же становится понятно для чего сотрудник экспортировал данные – для служебных нужд или для отправки вовне. Но иногда человек оставляет работу с файлом с данными на потом.

В таком случае есть два варианта действий:

  1. Продолжать просматривать видео рабочего дня. В конце концов сотрудник возобновит работу с файлом.
  2. Просмотреть видео в ускоренном режиме по работе с теми программами, которые могут быть использованы для обработки или отправки экспортированных данных. Это могут быть электронные таблицы (Excel), архиваторы (winzip, winrar) и электронная почта.
  3. Создать нарушение, где в качестве заголовка окна указать имя файла с данными. Как только этот файл будет открыт в какой-либо программе, заголовок этой программы будет содержать имя файла, нарушение будет зафиксировано и вы увидите, что происходило с экспортированными данными.

 

На такую работу вы будете тратить 30-40 минут в день. Да, это достаточно много, то это справедливая цена за уверенность в том, что ваши данные не будут украдены, а клиенты не перейдут к конкурентам.

 


 Андрей Игнатов

А вот еще интересные статьи:

Нравятся наши статьи? Подпишитесь и мы будем присылать их вам.



Нажимая кнопку «Получить ключ», Вы даете своё согласие на обработку Ваших персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», а также на отправку Вам информационных сообщений.
Пожалуйста ознакомьтесь с Пользовательским соглашением
Запустите демо-версию Kickidler
  • Демо-версия Kickidler обладает полным функционалом, но позволяет наблюдать только за компьютерами в офисе Kickidler
  • С помощью демо-версии вы не сможете наблюдать за вашими сотрудниками. Для этого установите полнофункциональную версию Kickidler

Чтобы начать использование демо-версии: