Когда обычный сотрудник опаснее хакера

"Клади запас на утечку, усушку, на мышеядь, на разор", — говорили предки. Но информация — не зерно, потери видны не сразу и часто безразмерны, причём в них бывают повинны те сотрудники, от кого и не ожидал. О случайных и не случайных "ошибках" персонала и о том, как от них застраховаться, порталу HR-tv рассказал Кирилл Медведев, HR-директор Группы компаний SearchInform.

Небрежность сотрудников к правилам информационной безопасности приводит порой к не менее печальным результатам, чем атаки хакеров. Мы в компании занимаемся вопросами утечки информации и разрабатываем системы по защите конфиденциальных данных более 10 лет, потому накопили достаточный опыт в этом вопросе. Причины, по которым сотрудники становятся участниками ИБ-инцидентов, банальны: легкомысленное и неосторожное обращение с корпоративными данными и игнорирование правил информационной безопасности.

Приведу три типичных ИБ-инцидента с участием "случайных" инсайдеров.

"Нечаянная ошибка"

Бухгалтер одного из наших клиентов регулярно готовил отчёты о трудовых взаимоотношениях с поставщиками комплектующих, используемых на производстве. В очередной раз он по обыкновению выслал сводную таблицу по всем партнёрам, но случайно указал вместо почты руководства адрес одного из подрядчиков. В результате чего поставщик получил развёрнутые сведения о том, с кем и на каких условиях сотрудничает производитель. Обыкновенная невнимательность бухгалтера ударила по бюджетам компании: подрядчик отказался сотрудничать на прежних условиях, ужесточив требования.

Причиной подобных инцидентов становится наивность, неосторожность и неосведомлённость сотрудников: ошибки в канале передачи информации и в адресатах — очень распространённое явление.

"Злонамеренный коллега"

Отдел безопасности одного из наших клиентов обнаружил на компьютере штатного сотрудника конфиденциальную информацию, доступа к которой у него не было. Тут же приступили к расследованию. Как выяснилось, на этом ПК регулярно запускались средства для удалённого доступа, но неподготовленный пользователь мог не замечать этого. В конце концов, стало ясно, что к делу причастен администратор сети, который временно хранил конфиденциальные данные на компьютере жертвы до передачи их третьим лицам. Так добропорядочный сотрудник стал невинным "соучастником" в "сливе" информации.

В подобные ситуации попадают сотрудники, которых используют более предприимчивые коллеги для осуществления своих корыстных замыслов. Невинные жертвы даже не предполагают, что нарушают условия конфиденциальности, пособничая злоумышленнику.

"Игра на повышение"

Один из служащих нашего клиента — специалист, который занимался материально-техническим обеспечением на заводе и входил в тендерную комиссию, — в процессе проведения тендеров сливал информацию по заявкам начальнику управления. Он делал это, чтобы в конце концов выигрывали те подрядчики, которые были удобны обозначенному руководителю, а не действительно выгодны предприятию. Взаимоотношения управляющего с подчинённым долгое время выглядели так: ты мне помогаешь — и я держу тебя на хорошем счету, а если нет — место займёт кто-нибудь более сговорчивый. И скоро так и произошло, но сценарий был другим: служащий устал от прессинга и сообщил о шантаже вышестоящему руководству. Так что непосредственный начальник был уволен. Однако и сам сотрудник вместо того, чтобы занять этот пост, решил уйти из компании.

Такие "внутрикорпоративные" утечки допускают сотрудники, которые потеряли бдительность или желают выслужиться перед начальством. Сюда же попадают и специалисты, которых попросту шантажируют.

Профилактика "случайного" инсайдерства

Логично, что профилактическая работа во всех трёх случаях будет разной. Чтобы избежать появления в команде невинной жертвы, придётся работать на предупреждение действий со стороны нелояльных сотрудников. С этим помогут опытные специалисты по безопасности и DLP-система, которая будет отслеживать инциденты.

Эта же рекомендация актуальна для ситуаций, когда причиной инцидента становятся провокационные действия со стороны коллег и руководителей. Ну а незначительные нарушения политик конфиденциальности по причине невнимательности могут иметь место всегда, ведь это человеческий фактор. Но если работодатель серьёзно займётся повышением грамотности сотрудников в области ИБ, то количество подобных инцидентов существенно сократится.

Что интересно: в конце 2015 года аналитики нашей компании провели исследование — и результаты показали, что сотрудники большинства российских компаний (84% опрошенных) подписывают соглашение о неразглашении конфиденциальных корпоративных данных. 72% организаций также отметили, что инструктируют персонал по вопросам информационной безопасности. Однако утечки всё равно имеют место. И пусть свести их к нулю не получится, количество инцидентов можно уменьшить, если компании возьмутся за воспитание в сотрудниках культуры ИБ, а они, в свою очередь, отнесутся к этому со всей серьезностью.