Зачастую причиной утечки конфиденциальной бизнес-информации становятся бывшие сотрудники. Почему и как сотрудники сливают информацию и что делать, чтобы защитить компанию? Ответы — в статье.
Риски, связанные с увольнением сотрудника
В случае утечки конфиденциальных данных компания несет юридическую ответственность. Для нее это может обернуться штрафами, а также потерей репутации и даже доли на рынке. Потенциальные клиенты расценивают организацию как ненадежную и уходят к конкурентам.
При этом привлечь к ответственности виновного бывает непросто. Необходимо создать комиссию по расследованию инцидентов, восстановить последовательность событий, оценить ущерб, а затем либо прибегнуть к переговорам, либо подать в суд. Чтобы избежать последствий для имиджа, компании обычно стараются договориться с сотрудниками. В противном случае начинается судебный процесс, который может затянуться, — все это время организация будет нести репутационные риски и тратить деньги на защиту своих интересов.
Избежать репутационных и экономических рисков, связанных с кражей данных, компании поможет только грамотно выстроенная система информационной безопасности. Чтобы ее создать, нужно сначала определиться, какая информация и каким образом может покинуть компанию, а затем предпринять необходимые меры для ее защиты.
Почему сливают или крадут данные
Можно выделить три основные психологические причины, по которым сотрудники крадут данные.
Фундаментальная установка: что сделано мной, то мое. Кажется, что все, что сделано в рабочее время, принадлежит нам, поэтому при увольнении можно забрать все наработки с собой. Но сотрудники используют имущество компании для выполнения своих рабочих обязанностей. Компьютер и все данные на нем — собственность работодателя, и только он имеет право распоряжаться ею.
Дополнительное преимущество при трудоустройстве. Например, выбирая руководителя отдела продаж между двумя кандидатами с 10-летним стажем, предпочтение отдадут тому, у кого будет в наличии еще и база клиентов на 10 тысяч строк.
Шантаж. В результате обид и накопленных разногласий работник решает прибегнуть к вымогательству денег за украденную информацию. Бывает два вида шантажа:
- С угрозой продажи данных — например, «если я уволюсь и вы не дадите мне денег, я солью вашу маркетинговую стратегию конкурентам».
- С угрозой обнародовать конфиденциальную информацию — например, «я расскажу, как у вас в холдинге распределяются финансы между десятью юрлицами, и вас закроют».
Не стоит исключать и вариант случайности, когда сотрудник по незнанию, неосторожности или из любопытства пересылает конфиденциальную информацию.
Какую информацию сливают чаще всего
Под угрозой самая важная бизнес-информация, которая представляет ценность для конкурентов.
База контактов — клиентов, поставщиков и других контрагентов, для наработки которой требуется много времени и сил.
НИР (научно-исследовательские работы) — макеты, исследования, результаты испытаний, заказные документы. Например, дорогостоящий анализ рынка или прототип нового продукта, аналогов которого еще нет на рынке.
Бывший сотрудник может угрожать распространением информации — это сорвет запуск продукта и испортит репутацию компании
НИР часто становятся инструментами шантажа. Предположим, компания провела клинические исследования лекарственного препарата, которые показали его недостаточную эффективность. Бывший сотрудник с целью заработать может угрожать распространением этой информации, что сорвет запуск продукта и испортит репутацию компании.
Инструменты и процессы: информация о том, как налажен процесс производства, организована работа с продажами, выстроен цикл сделки, то есть вся схема работы бизнеса, на отладку которой ушел не один год. Получив такую информацию, можно на всем готовом открыть новую компанию и начать зарабатывать.
Персональные данные: контакты для хедхантинга, сведения о болезнях клиентов и прочие данные, которые относятся к категории ПДн.Получить контакты для хедхантинга — полезно для конкурентов
Если увольняющийся сотрудник планирует открыть свою фирму, то он может переманить талантливых разработчиков
Например информацию о талантливых разработчиках, — полезно для конкурентов. Они могут их переманить, предложив лучше условия. Кроме того, подобная информация может представлять ценность для самого увольняющегося сотрудника, если он планирует открыть свою небольшую фирму или перетянуть работников в ту компанию, куда уходит сам.
Данные для шантажа. Это может быть не только НИР, но и что угодно: от нарушений в компании до личных связей директора, то есть любая информация, разглашение которой навредит бизнесу.
Какие способы используют для кражи информации
Одно дело — получить доступ к конфиденциальным данным, другое — скачать их и вынести за периметр. Перечислим, какие способы используют сотрудники чаще всего.
USB-накопитель — популярный инструмент и понятно почему: флешка небольшого размера и всегда под рукой, при этом на нее можно быстро записать большой объем информации.
Облака — удобно, так как не нужна внешняя память, но есть минусы: копирование в облако происходит медленнее, чем на флешку.
Письмо самому себе — работник может пересылать данные с корпоративной почты на личную, а также использовать мессенджеры.
LiveUSB — сотрудник подключает USB-носитель, загружает виртуальную ОС и получает доступ к компьютеру и информации на нем, — так можно переписать необходимые данные, не оставляя следов.
Фото телефоном — метод подходит, если данных немного (5–10 экранов), вряд ли так получится скопировать исследование на 10 тысяч строк в Excel.
Смешивание рабочего и личного — это история о том, когда для пересылки бизнес-информации и личных данных используется один и тот же канал. В дальнейшем сложно вычленить из этой переписки рабочие документы.
Пример из практики
Изначально в компании было решено работать в одном мессенджере, но он оказался неудобным. Поэтому постепенно переписки перешли в Telegram, использовать который проще. За два года работы образовалось много чатов. После увольнения у работников остается личный Telegram, а вместе с ним и доступ к рабочим документам.
Как защитить компанию от действий бывших сотрудников
Прежде всего нужны превентивные меры. Даже если пока никто ничего не украл, нельзя исключать такую вероятность, а значит, нужно подстраховаться.
Административные регламенты. В отношении конфиденциальной информации и действий сотрудников нужно разработать регламенты, из которых персоналу станет понятно, что можно делать, а что нельзя. Эти документы не должны быть длинными и запутанными, лучше работают краткие, понятные инструкции. Например, по поводу применения на рабочем месте USB-накопителей следует прописать: «Использовать флешки на работе нельзя».
С регламентами по ИБ все работники должны ознакомиться под подпись. Тогда они уже не смогут заявить, что не знали, не читали, не видели запрет. Если нет подтверждения, что сотрудник ознакомился с документом, суд может встать на его сторону, потому что в отношении внутренних нормативных актов компаний не работает принцип «незнание законов не освобождает от ответственности», который распространяется на законодательство.
Однократно ознакомить персонал с регламентами по ИБ недостаточно
Нужно периодически напоминать о них. Со временем информация забывается, особенно на фоне большого количества рабочих задач.
В качестве примера можно привести случай из практики, когда общение с внешними заказчиками из внутренней системы постепенно перетекло на Яндекс.Диск. Долгое время работникам не напоминали, что так делать нельзя, в результате весь отдел снабжения начал пересылать через облако крупные экселевские файлы с номенклатурами, а это конфиденциальная бизнес-информация.
Предоставление минимально необходимого доступа. Сотрудник должен иметь доступ только к тем данным, которые нужны ему для выполнения своих обязанностей. Не стоит новому работнику, который еще не прошел испытательный срок, открывать доступ ко всей CRM-системе и общей базе.
Он получает минимально необходимый доступ к данным только под выполнение своих задач и только после подтверждения руководителем. Соответственно, сразу после увольнения доступ закрывают.
Разделение личного и рабочего. Если для связи с контрагентами используется корпоративный Telegram, который установлен на рабочем ПК, то личный аккаунт нужно использовать на личном телефоне и не допускать смешивания рабочей и частной переписок.
Если сотрудник хочет использовать личный Telegram на рабочем ПК наряду с корпоративным, он должен понимать, что его частные переписки могут просматривать сотрудники ИБ.
Смотрите на сотрудника шире, чем на выполнение задач. Речь о том, что каждый сотрудник — это человек со своими интересами, ценностями, проблемами и ожиданиями. Руководителю важно наблюдать за сотрудниками, понимать, что происходит в жизни каждого из них. Это позволит не допустить ситуации, когда человек, предположим, погряз в кредитах и не видит другого выхода закрыть долги, как через продажу базы данных клиентов или шантаж с угрозой распространения секретной информации.
Руководителю нужно беседовать тет-а-тет с каждым работником своего отдела — обсуждать текущие задачи и личные интересы или проблемы
Для налаживания контакта с работниками есть техника «1:1». Раз в неделю или хотя бы раз в две недели руководителю необходимо проводить беседу тет-а-тет с каждым работником своего отдела, обсуждать текущие задачи, выполнение KPI и между делом личные интересы и проблемы, как на работе, так и в частной жизни. Не в лоб, а аккуратно, с помощью наводящих вопросов — о наболевшем человек расскажет сам.
Еще одна распространенная техника — small talk, когда сотрудники собираются просто поболтать. Предположим, в отделе заведено ежедневно встречаться с 14:00 до 15:00 для обсуждения текущих задач и принято приходить за десять минут до начала собрания, чтобы пообщаться между собой. В ходе такой беседы можно узнать, чем живут сотрудники, у кого что происходит в жизни, какие есть проблемы.
Технические средства управления информацией и доступом. На наш взгляд, достойны внимания пять сервисов:
- DLP — система, которая контролирует каналы передачи данных с целью предотвращения утечек.
- IRM — система управления рисками, связанными с поведением инсайдеров — отслеживает действия, выдает предупреждения, устанавливает блокировки.
- BitLocker — функция, встроенная в ОС Windows, которая позволяет зашифровать диск, чтобы при его краже или загрузке с LiveUSB невозможно было получить доступ к информации.
- Watermark — водяные знаки на документах. Во время работы сотрудника с документом на нем появляется прозрачная надпись с информацией о том, кто, в какое время и с какой рабочей станции работал с этим документом.
- Staffcop — система расследования инцидентов внутренней инфобезопасности. Программа запускается на рабочих станциях сотрудников, позволяет отслеживать действия и события на ПК, передает информацию на сервер, реализует блокировки и запреты доступа.
Подробнее о функционале Staffcop
Если сотрудник уже уволился, Staffcop выполняет функцию машины времени: позволяет отмотать данные назад и посмотреть все, что делал человек, пока работал в компании. На основании этих данных можно провести расследование.
В отношении работающих сотрудников Staffcop позволяет проводить аналитику по предпосылкам и настраивать предупреждения о неправильных действиях.
Если сотрудник планирует уволиться, Staffcop сможет это понять. В ПО можно настроить словарь, который поможет отследить по словам и фразам, ищет ли человек новую работу.
По наблюдениям клиентов Staffcop, у сотрудников, которые планируют кражу данных, помимо использования слов, говорящих о поиске работы, увеличивается использование и ненормативной лексики. Увеличение числа бранных слов — сигнал для офицера ИБ уделить повышенное внимание такому работнику.
Чтобы освоить эти инструменты, можно отправить офицера по информационной безопасности на обучение или запросить консультацию квалифицированного интегратора.
Замена локального хранения данных централизованным. Конфиденциальные данные не стоит хранить на рабочих компьютерах сотрудников, они должны находиться в одном месте — в CRM-системе на сервере. Централизованное хранилище упрощает администрирование данных и их обновление, препятствует утечке информации.
Чтобы открыть общий доступ к части информации на конкретном ПК, создается общий ресурс для пользователей локальной сети — сетевая папка.
Разъяснительная работа. Чтобы регламенты по ИБ хорошо запомнились, нужно использовать разные способы донесения информации: послушал — прочитал — поиграл — сделал сам:
- после прослушивания усваивается около 5% информации;
- после прочтения — около 10%;
- комикс или игровой квест обеспечивает запоминание 60% информации;
- игра по типу «сделай сам» — 90%.
Геймификация — один из эффективных способов оформления и усвоения правил по ИБ
Сотрудники, проходя, к примеру, игровой квест, могут побыть нарушителями, принять участие в расследовании инцидента по утечке данных. Такая вовлеченность обеспечивает высокую запоминаемость инструкций.
Отработка только по необходимости. Когда нет острой необходимости, чтобы сотрудник после увольнения отрабатывал две недели, не нужно этого требовать. Если человеку нечем заняться, может возникнуть искушение унести с собой информацию. Достаточно провести выходное интервью, чтобы понять, почему работник уходит, что не устроило, что хотелось бы изменить в компании.
В идеале службе безопасности также стоит промониторить, как он ведет себя после ухода из организации, дал ли он обратную связь о работодателе: может, написал отзыв на своей странице «ВКонтакте» или на «Хедхантере».
Работа с удаленными сотрудниками. Желательно, чтобы удаленные сотрудники работали на корпоративной технике. Если используется личный ноутбук, нужно заключить дополнительное соглашение к трудовому договору об использовании личного оборудования в производственных целях для выполнения должностных обязанностей. Обязательно прописать сумму возмещения, которую платит работодатель за использование техники. Например, 100 рублей в месяц — аренда ноутбука, 50 рублей в месяц — возмещение стоимости интернет-связи.
У дистанционных сотрудников нужно взять согласие об установке на их личное оборудование:
- системы мониторинга и контроля за производственным процессом;
- о том, что они проинформированы о применении этой системы только для контроля работы.
Сотрудник в свою очередь должен обеспечить себе рабочее место и следить за тем, чтобы во время видеоконференций в кадр не попадали члены семьи или какая-то личная информация. Если подобное происходит, работодатель не несет ответственности за раскрытие этих данных.
Заключение
Бывшие сотрудники часто становятся причиной утечки бизнес-информации. Staffcop наряду с другими средствами обеспечения ИБ, описанными в этой статье, позволяет надежно защитить компанию от неправомерных действий работников, сохранить ее деньги и репутацию.
А какие вы используете инструменты для защиты данных и приходилось ли вам сталкиваться с кражей информации бывшим сотрудником?