Как был обнаружен инсайдер, ворующий клиентскую базу. Реальный кейс

Наш клиент, начальник службы безопасности в компании финансового сектора, поделился реальным кейсом обнаружения инсайдера внутри организации при помощи программы контроля сотрудников Kickidler, а также других технических средств защиты информации.

По просьбе клиента мы изменили некоторые названия, встречающиеся в повествовании, включая имя респондента, однако весь событийный ряд остался без изменений.

Kickidler: Скажите, как вы узнали, что в вашем коллективе появился инсайдер?

Михаил: Начали поступать сигналы из управления клиентских продаж. Примерно с сентября резко сократился процент продления использования наших продуктов. Конечно, начали обзванивать, выяснять, кто сделал «более выгодное предложение». Но, что странно, бенефициар почти во всех случаях был разный. То есть, версия с «вражеским засланцем» внутри компании подтверждения не получила.

Kickidler: Как же вы решили, что это именно инсайдер? Спад продаж может быть вызван целым рядом факторов.

Михаил: Один из клиентов рассказал, что ему звонили сразу из нескольких организаций, что натолкнуло нас на другую мысль. Мы провели вместе с отделом маркетинга мониторинг различных интернет ресурсов, на предмет предложений по продаже клиентских баз в нашей области бизнеса. Было обнаружено несколько источников, среди которых, в так называемом «даркнете» была произведена контрольная закупка базы, оказавшейся идентичной нашей.

Kickidler: Вы к тому времени уже использовали Kickidler?

Михаил: Не использовали. У нас (и сейчас) установлена DLP-система, контролирующая все операции с файлами. Доступ к корпоративным данным возможен только с десктопов, даже для топ-менеджмента. Если бы кто-то скачал, отправил по почте, загрузил на облако, скинул в мессенджере, даже распечатал и потом отсканировал клиентскую базу, то с вероятностью 99% мы бы зафиксировали «слив», если, конечно, злоумышленник не «кулхацкер». После вышеупомянутого инцидента было решено дополнением к DLP установить СУРВ (прим. систему учета рабочего времени), которая могла бы логировать все действия пользователей за ПК.

Kickidler: Вы сразу выбрали нашу программу?

Михаил: Ну, вообще, да. Основные наши требования она удовлетворяла. Нужно было транслировать экраны всех, кто имеет доступ к CRM, а также, как я уже говорил, протоколировать все действия пользователей. У вас это реализовано несколько лучше, чем в аналогичных программах.

Kickidler: Каким же образом система учета рабочего времени помогла вам обнаружить злоумышленника? 

Михаил: Мы продолжали чекать ресурс, где в прошлый раз была куплена база. Пока однажды там не появилась информация об обновлении. Произвели еще одну контрольную закупку, оказалось, что апдейт буквально вчерашний. То есть, примерно в течение двух рабочих дней было совершено еще одно хищение. Но на этот раз, в отличие от прошлого, все ходы у нас были записаны.

Стали мониторить с помощью Kickidler действия тех, кто заходил в CRM, анализировать активность сотрудников на сайте. В вашей программе (Kickidler) можно применить фильтр и просмотреть всю историю взаимодействий пользователя с выбранным сайтом или программой, это нам в итоге и помогло.

Kickidler: Каким же образом злоумышленник похитил базу клиентов, если она не была зафиксирована в операциях с файлами? Много усилий потребовалось на его поиск?

Михаил: Мы сразу поняли, что база не была непосредственно выгружена из CRM, потому что на том ресурсе, где мы ее купили, она была в другом формате, отличном от тех, в которых ее можно выгрузить из CRM. Оставался один вариант – кто-то сфотографировал страницы базы прямо с экрана ПК с помощью фотографирующего устройства, и потом вручную или через сервис оптического распознавания символов перевел их в текстовой формат.

Подобный поиск - непростая работа, но мы ее значительно упростили с помощью одной хитрости. У нас порядка 150 человек имеют доступ к базе. Из них у 30 человек есть полный доступ. Слить базу мог либо кто-то из этих 30 человек, либо некто, получивший доступ к ПК сотрудника с полным доступом.

Собственно, хитрость заключалась в том, что обычно сотрудник в CRM использует список задач, плюс заходит в карточки клиентов. Злоумышленнику же для осуществления своего плана нужно было зайти, как минимум, на 10 страниц, чтобы сфотографировать их. Исходя из этого наблюдения, мы создали в Kickidler нарушение по веб-адресу, а именно по 10 странице базы CRM и увидели всех тех, кто ее посещал.

Скриншот: Активность в CRM на панели нарушений в программе Kickidler
Скриншот: Активность в CRM на панели нарушений в программе Kickidler

 

Далее мы посмотрели записанные программой (Kickidler) видеозаписи действий пользователей на этой странице, выявили подозрительную активность нескольких сотрудников, зафиксировали время, когда она происходила, и просмотрели записи с видеокамер в эти интервалы. И здесь нас ждала удача. Оказалось, что один из менеджеров в обеденный перерыв фотографировал экран ПК на свой телефон, когда в офисе никого не было. Собственно, именно этого сотрудника многие и подозревали.

Kickidler: Какова его дальнейшая судьба?

Михаил: Я не могу распространять эту информацию, скажу одно – он у нас больше не работает. Конечно, нанесенный ущерб не восполнить, но зато мы избавились от вредителя, который мог наделать ещё много пакостей.

Видео: Как узнать, кто похитил клиентскую базу компании, с помощью программы мониторинга сотрудников Kickidler

Понравилась статья? Подпишитесь на нас в соцсетях.



Напишите нам на sales@kickidler.com или позвоните по +7 (495) 777 54 58

Kickidler – система учета рабочего времени и мониторинга работы сотрудников. Взгляните на своих сотрудников по-новому.


А вот еще интересные статьи:
На указанный email будет направлен ключ-инвайт и ссылки на установочные файлы. Ключ действителен в течение 30 дней с момента регистрации. Бесплатное тестирование – 7 дней.

Нажимая кнопку «Получить программу Kickidler», вы даете своё согласие на обработку ваших персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», а также на отправку вам информационных сообщений.
Пожалуйста ознакомьтесь с Пользовательским соглашением
Демо-версия Kickidler

Вы можете ознакомиться c интерфейсом Kickidler с помощью демо-версии без установки программного комплекса.

  • Скачайте дистрибутив
    Для Windows
    Для Mac OS
  • Запустите программу (на Mac OS запуск необходимо осуществлять из папки Applications)

Внимание!
  • Если Вы хотите установить полнофункциональную версию программного комплекса Kickidler, заполните форму регистрации и получите ключ для установки.