Как обуздать инсайдеров? Методы обеспечения информационной безопасности

«Доверяй, но проверяй» гласит известная поговорка, и сотрудники Apple не намерены спорить с мудростью веков. По информации bloomberg.com, за 2017 год «фруктовая компания» выявила в своих рядах 29 инсайдеров, ответственных за утечку конфиденциальной корпоративной информации.

Согласно заявлениям представителей Apple, уволенные сотрудники в будущем едва ли смогут найти работу в сфере IT, им предъявлены официальные обвинения, начаты судебные разбирательства. На данный момент известно, что 12 сотрудников арестованы, остальным грозят серьезные денежные штрафы.

Информационная безопасность и контроль персонала в Apple небезупречны, но достойны подражания. И хотя утечки о на тот момент еще не вышедшем iPhone X и новых умных часах Apple Watch имели место, инсайдеры, «слившие» данные СМИ, были выявлены и уволены в течение считанных дней.

Очевидно, что утечка корпоративной информации способна нанести компании серьезный финансовый ущерб, обвалить ее акции, ослабить конкурентные позиции, снизить продажи, потенциально – довести до банкротства. Ниже мы рассмотрим основные методы борьбы с внутренними утечками, формирующие базис системы информационной безопасности.

Договор о неразглашении

Подписание инсайдером документа, запрещающего ему разглашать закрытую информацию, полученную в ходе исполнения должностных обязанностей, – самый простой и очевидный шаг. Чаще всего речь идет о соответствующем пункте трудового договора, и здесь важно обратить внимание на ответственность сотрудника.

С точки зрения информационной безопасности именно ответственность за разглашение является основным сдерживающим фактором. В договоре можно прописать следующие виды ответственности:

• дисциплинарная (замечание, выговор, увольнение);
• материальная (возмещение ущерба);
• административная (штраф);
• уголовная (лишение свободы).

В вышеприведенном примере с Apple мы видим, что варианты ответственности могут эффективно комбинироваться, все инсайдеры, ответственные за утечки, были уволены, некоторые при этом – оштрафованы, другим грозит реальный срок. Очевидно, что уголовная ответственность – самый мощный сдерживающий фактор, но он не всегда применим, к тому же, как показывает практика, увольнения и штрафа в большинстве случаев более, чем достаточно.

Программы контроля рабочего места

Программные решения, как метод борьбы с внутренними утечками, формируют основу информационной безопасности любого современного предприятия. Соответствующее ПО позволяет фиксировать все действия сотрудника за рабочим ПК.

Комплексный мониторинг запускаемых приложений, автоматические скриншоты экрана с заданным интервалом, запись видео с рабочего стола, передача данных в режиме онлайн на сервер службы безопасности – всё это исключает возможность совершения инсайдером действий, потенциально вредных для компании. То есть он может успеть «наломать дров», да только вы гарантированно всё узнаете. И, в большинстве случаев, успеете предотвратить негативные последствия. 

Тут мы вплотную подходим к важному моменту – программы контроля рабочего места могут работать в стелс-режиме, то есть сотрудник не будет знать о них. Но дело в том, что знать ему нужно – это в обязательном порядке отражается в трудовом договоре. Зачем? Вспомните надписи «Ведется видеонаблюдение» в магазинах и офисах. Думаете, везде, где это написано, на самом деле установлены камеры?

Оповещение сотрудника о наличии скрытых методов контроля зачастую гораздо эффективнее самих методов контроля. Это элементарная психология, сотрудник всегда ведет себя иначе, если знает, что ни одно его действие не останется незамеченным. Однако если он каким-то образом убедится, что предупреждение фиктивно – всякая мотивация «держать рот на замке» тут же испарится.

В борьбе с утечками может также помочь ПО, отвечающее за учет рабочего времени. Это средство контроля сотрудников обеспечивает соблюдение рабочей дисциплины. Немудрено, что в отделах с «железной дисциплиной» у сотрудников попросту нет времени думать об инсайдах, грубо говоря – им всегда есть, чем заняться. А именно – прямыми должностными обязанностями.

И еще раз о важности борьбы с инсайдерами

В 2006 году сотрудники инвестиционного банка Goldman Sachs Евгений Плотник и Давид Пайцин вместе с экс-аналитиком Merrill Lynch Станиславом Шпигельманом использовали в личных целях конфиденциальные сведения о готовящейся покупке Gillette компанией Procter&Gamble. Они заработали 100 тысяч долларов, а потом еще 6 миллионов на инсайдерских сведениях о слиянии Adidas и Reebok.

Всех троих в итоге поймали, Плотника и Пайцина лишили свободы на 37 месяцев, а Шпигельман выплатил залог 3 миллиона долларов. Трудно представить, какой ущерб понесли Goldman Sachs и Merrill Lynch, и ведь не только финансовый – это был удар по имиджу банков.

Подобных примеров – множество, но все они учат одному: внедрение современных методов контроля за утечками внутренней информации – это необходимость, жизненно важная для любой компании, вне зависимости от ее специализации и масштаба.