Алексей Лоза, старший менеджер по продуктовому маркетингу ГК InfoWatch
Продолжаем разговор про возможности DLP-системы на разных этапах жизненного цикла сотрудника в компании. В предыдущей статье мы рассмотрели возможности DLP-системы для снижения риска от сотрудников на испытательном сроке. Возможности DLP-системы позволяют специалисту ИБ обеспечить полный контроль точек рисков. Оценивать, не увеличились ли риски с приходом сотрудника (использование запрещенного ПО, слив конфиденциальных данных, нарушение бизнес-процессов, неправомерный доступ к данным). Следить, насколько сотрудник погружается и интегрируется в бизнес-процессы. Контролировать неформальное влияние на коллектив (за счет соблюдения трудовой дисциплины, коммуникаций), насколько сотрудник интегрировался и как изменился микроклимат в команде.
Точки контроля рисков на испытательном сроке:
- Нужно следить, насколько сотрудник погружается и интегрируется в бизнес-процессы
- Нужно оценивать, не увеличились ли риски с приходом сотрудника (использование запрещенного ПО, слив конфиденциальных данных, нарушение бизнес-процессов, неправомерный доступ к данным)
- Нужно контролировать неформальное влияние на коллектив (за счет соблюдения трудовой дисциплины, коммуникаций), насколько сотрудник интегрировался и как изменился микроклимат в команде.
Увольнение и связанные с ним риски
По данным ЭАЦ InfoWatch, более 50% сотрудников совершают деструктивные действия перед увольнением, причем 2/3 из них — это попытки вывода информации. А значит, этот этап должен являться является зоной повышенного внимания отдела ИБ.
Продукты InfoWatch для снижения рисков, связанных с увольнением:
- InfoWatch Data Discovery — аудит данных в покое и прав доступа для полного понимания, с чем сотрудник работает. Это важный этап предотвращения рисков и понимания, откуда может произойти утечка
- InfoWatch Traffic Monitor — основная DLP- система для предотвращения утечек и контроля трафика. В случае с увольняющимися сотрудниками особенно часто срабатывает при пресечении попыток вывода информации.
- InfoWatch Vision — BI-система, которая показывает пути коммуникаций и статистику нарушений. Позволяет быстро строить гипотезы и мгновенно их проверять, перестраивая данные «на лету».
- InfoWatch Prediction — UBA-система на основе технологий ИИ, прогнозирующая риски ИБ и подсказывающая, на что обратить внимание.
- InfoWatch Activity Monitor — модуль, который обогащает данные DLP-системы данными о том, что делал сотрудник до, во время и после инцидента. Позволяет расследовать инциденты и собирать по ним доказательную базу.
Использование комплекса решений InfoWatch позволяет достичь максимального контроля и результата — обеспечения сохранности информации компании и предотвращения других рисков ИБ. Рассмотрим пару примеров.
Выявление корпоративного мошенничества при увольнении
Выявление корпоративного мошенничества – веский повод для увольнения, как минимум. Выявление корпоративного мошенничества – дело службы ЭБ, но редко обходится без привлечения ИБ. Данные о действиях сотрудников и их коммуникациях содержат инсайты, которые позволят организовать системное выявление корпоративного мошенничества и его предотвращение.
Типовой сценарий: поступил запрос от службы экономической безопасности, которая по своим каналам выявила подозрение о риске мошенничества и теперь необходимо разобраться в ситуации.
Что позволит ответить на вопросы и подтвердить или опровергнуть подозрение:
- Какие сайты посещает сотрудник, какие приложения использует, насколько это соответствует профилю его работы, о чем он говорит (тут пригодится возможность прослушать запись переговоров во время онлайн-конференций).
- Круг лиц, которые могут быть причастны. Часто в корпоративном мошенничестве замешана группа сотрудников, и нужно увидеть эти связи.
Как это можно сделать?
Анализ активности и аудио
Аудио — один из основных инструментов ИБ, позволяющий подтвердить опасения. С помощью модуля Activity Monitor записываем микрофон сотрудника во время веб-конференций и затем слушаем и анализируем аудио.
Эти записи можно скачивать, добавлять к ним теги или метки, анализировать и выделять интересные участки разговора.
Записать звук с микрофона можно только во время онлайн-конференций. Можно подключаться онлайн и анализировать текущее аудио-окружение ПК подозрительного сотрудника.
InfoWatch Activity Monitor также позволяет посмотреть, как использует приложения и сайты, не появились ли новые и насколько в целом соответствует профилю работы.
В этом модуле доступны топ приложений и вебсайтов, где можно посмотреть по человеку или группе, что использует человек, и сделать выводы.
Например, сотрудник стал пользоваться приложением по изменению картинок или фото. Если его работа с этим не связана напрямую, с этим необходимо разбираться — как минимум, посмотреть, что он делает на скриншотах, возможно затирает информацию и т.д.
Определение круга подозреваемых
С помощью BI-системы InfoWatch Vision можно построить граф связей интересующего сотрудника и увидеть, с кем и насколько интенсивно он общается.
Дальше можно проводить дополнительные проверки, анализируя коммуникации по тематике сообщений, обмену специфическими файлами и т.д.
Сотрудник написал заявление по собственному и взят под особый контроль
В такой ситуации прежде всего нужно проверить, к каким данным человек имеет доступ, чтобы минимизировать или понять риски от его действий. А также понять, как он с ними работает, куда отправляет и т.д.
InfoWatch Data Discovery покажет все файлы, которые у сотрудника хранятся на ПК. И разложит их на группы по смыслу. Можно не просто фиксировать местонахождение файла, но и сразу понимать, какие характерные признаки, тематики, слова можно выделить в группах документов. Это позволяет сильно сократить время на вывод, есть ли угроза от увольняющегося или нет.
Если что-то привлекло внимание, модуль Activity Monitor позволит посмотреть всю историю действий с файлом. Это позволит понять, что работает правомерно или нет, пытался ли скопировать, переместить.
Например, если сотрудник копирует файл на флешку, а потом удаляет, это подозрительно.
Далее, граф связей в BI-системе Vision позволяет отследить путь движения файлов внутри компании, кто источник, кто держатели и от кого пришла информация.
Прогнозирование увольнения ключевых сотрудников
Увольнение самых ценных сотрудников несет в себе большие риски для компании. Ведь таким людям часто доверяют самую ценную информацию. Нужно проактивно реагировать на риски увольнений ключевого персонала.
InfoWatch Prediction анализирует поведение сотрудников и формирует динамические модели поведения каждого. Автоматически находит аномалии в поведении и распределяет сотрудников по группам риска, в том числе группе риска «подготовка к увольнению».
Сотрудник попадает в группу риска Подготовка к увольнению, если, например, начинает чаще переходить на сайты поиска работы, начинает чаще работать с резюме и обсуждать поиск работы в переписке.
Подготовка к увольнению может сочетаться с группой риск «Снижение производительности». Сотрудник попадет в нее, если тратит свое рабочее время на нерабочую активность больше, чем обычно, начинает чаще опаздывать, система делает вывод о снижении производительности.
Ситуация усугубляется, если у таких сотрудников замечается снижение лояльности. Система понимает это, например, на основе лингвистического анализа переписки, когда в переписке становится больше нецензурной лексики. В худшем такой сотрудник не только сам уволится, но и уведет целый отдел.
В InfoWatch Activity Monitor можно подтвердить подозрения, которые специалист ИБ получил из Prediction. Удостовериться в смене поведения, использовании нерабочих приложений и сайтов, посмотреть скриншоты.
Итак, если сотрудник собирается увольняться, DLP-система от INfoWatch позволит:
- Расследовать нарушения, вплоть до корпоративного мошенничества и собрать доказательную базу для увольнения или судебного разбирательства.
- Предотвратить нарушения, когда известно о рисках увольнения ключевых сотрудников.
- Заметить, что сотрудник собирается увольняться и принять профилактические меры.