Сотрудник, пересылающий конфиденциальные корпоративные данные за пределы компании, с виду ничем не отличается от работников, честно выполняющих возложенные на них работодателем обязанности. Однако ряд действий, которые он осуществляет, заставляет подозревать его в передаче конфиденциальной информации.

«секретные» документыЭто могут делать не только злоумышленники, целенаправленно решившие похитить «секретные» документы организации, но и вполне добропорядочные труженики предприятия, допустившие утечку по неосторожности. Характерный пример: секретарь, пересылавшая платежную ведомость, ненароком сделала описку в адресе электронной почты. В итоге финансовая документация попала совершенно постороннему лицу.

Однако это - в лучшем случае. В худшем же сотрудники целенаправленно совершают злонамеренные действия по передаче конфиденциальных сведений конкурентам. Причины могут быть разными: от банальных разногласий работника с коллегами или руководством (к примеру, ему в очередной раз отказались повысить зарплату либо же не повысили в должности) до подкупа его должностными лицами конкурирующих предприятий. Встречаются и случаи, когда сотрудник изначально является «засланным казачком», работающим на стороннюю организацию - подобные действия носят название «промышленный шпионаж».

Одним из источников информации является пересылка защищенных с помощью пароля архивов. Вполне естественно, что некоторыми заархивированными документами сотрудники обмениваются, однако в подавляющем большинстве организаций они не имеют никакой нужды в защите таких архивов с помощью пароля. Именно поэтому случаи, когда кто-то все-таки пересылает такой файл, должны автоматически быть интересны для отдела информационной безопасности компании.

Существует немало рисков, связанных с деятельностью потенциальных шпионов. Каждый из них в отдельности и все в совокупности могут нанести непоправимый ущерб деятельности компании.  Например:
•   ухудшение имиджа компании;
•   утрата технологических секретов;
•    ослабление позиций в конкурентной борьбе;
•    затраты на устранение последствий;
•   судебные иски, поданные клиентами против компании;
•    санкции контролирующих органов;
•    увольнение сотрудников;
•    снижение числа новых и отток существующих клиентов.

При этом необходимо учитывать не только отсутствие необходимых систем контроля информации, но и настроение в трудовом коллективе - как правило, офицер безопасности, внимательно наблюдающий за взаимоотношениями сотрудников на рабочих местах, способен выявить работников из так называемой «группы риска», которые потенциально могут попадать в описанную выше категорию. Интерес к частной и корпоративной переписке здесь является далеко не праздным: учитывая то, что с личным письмом могут уйти конфиденциальные данные, необходимо особое внимание обращать на запароленные архивы.«секретные» документы

Правда, стоит, конечно, отметить тот факт, что вовсе не обязательно в таких архивах будет содержаться конфиденциальная информация. Как показывает практика, многие сотрудники пересылают с их помощью собственные фотографии или видео­файлы, различные материалы непристойного содержания и даже просто картинки с «приколами». Тем не менее, поскольку в автоматическом режиме совершенно невозможно узнать, находятся в запароленном архиве конфиденциальные документы или фотографии с корпоратива, на которых главный бухгалтер пляшет на столе, отделу информационной безопасности приходится расследовать каждый случай пересылки документов в защищенных архивах отдельно. Кроме того, даже если пересылка запароленного архива не связана с утечкой информации, она свидетельствует о неэффективном использовании рабочего времени, что должно также стать поводом для санкций против пересылающего защищенный архив сотрудника.
Возникает закономерный вопрос: каким образом можно получить информацию о том, что сотрудники пересылают защищенные паролями архивы? Для этих целей организации применяют специальные программные продукты - средства мониторинга информационных потоков в компании.

Для отслеживания пересылки защищенных архивов создается политика безопасности, или на сленге сотрудников службы информационной безопасности, «алерт», который как раз и срабатывает при обнаружении подобного рода архива в общем потоке трафика. Специалист получит уведомление об обнаружении архива с паролем, пересылаемого по любому из возможных каналов, включая электронную почту, HTTP, FTP, протоколы мгновенного обмена сообщениями, Skype и т.д.

После обнаружения защищенного архива следует провести проверку на предмет передачи пароля по тому же или другому каналу передачи данных. Кроме того, будет полезно провести срез активностей пользователя, отправившего подозрительный архив, с целью выявления других инцидентов с его участием. Если сотрудник занимается шпионской деятельностью, без сомнения, это очень скоро выяснится по его разговорам и переписке.

Роман ИДОВ,
аналитик компании SearchInform

 {jcomments on}