Как выявить потенциального инсайдера

Как правило, сотрудники становятся инсайдерами, скажем прямо, не от хорошей жизни. С помощью своих противозаконных и даже, можно сказать, противоречащих общественной морали действий («не кусай руку, которая кормит») они пытаются решить какие-то свои проблемы. Эти проблемы могут быть различными: материальными, психологическими, или какими-либо еще. Всегда, в любом случае, все действия инсайдера будут подходить под определение «с больной головы на здоровую», и здоровой при этом будет голова работодателя.

Впрочем, далеко не всегда действия инсайдера продиктованы каким-то холодным расчетом или постоянным стремлением к чему-либо. Иногда спонтанная организация утечки данных при «удачно» сложившихся обстоятельствах может стать результатом банального «порыва души», когда сотрудник, получив выговор от руководства или повздорив с кем-нибудь из коллег, решает наказать не только непосредственного обидчика, но и всю компанию. Как правило, такие инсайдерские действия отдают банальным хулиганством и довольно легко «вычисляются» даже без применения каких бы то ни было специализированных средств.

Мы рассмотрим «серийных» инсайдеров как источник наиболее опасного типа утечек данных – тщательно спланированных и предварительно организованных утечек, которые способны нанести компании максимальный урон. Психологи рекомендуют начать поиск потенциальных инсайдеров среди тех, кто пользуется наибольшим доверием в коллективе и является, по сути, неформальным лидером этого коллектива. Такие люди, в случае несовпадения их личных целей с целями компании, могут плевать на интересы своего работодателя и всего остальных сотрудников, и при этом в их руках сосредоточены рычаги влияния, которыми они могут умело пользоваться. Впрочем, выявление неформальных лидеров – это сама по себе не самая простая задача.

Как сузить поиск?

Исследования компании SearchInform, которая уже много лет является общепризнанным лидером на рынке средств защиты от утечек информации на постсоветском пространстве, показывают, что проблема инсайдерства тесно связана с проблемой текучки кадров: более 49,5% работников при увольнении высказывали готовность прихватить конфиденциальную информацию прошлого работодателя, если это позволит повысить свою зарплату или даже просто свой статус на новой работе. Именно поэтому любой сотрудник, который увольняется из компании, должен рассматриваться отделом информационной безопасности как потенциальный инсайдер.

Особое внимание следует уделить тем из работников, которые уходят в конкурирующие компании. Следует заранее блокировать доступ таких сотрудников к критически важным информационным системам организации (таким, как CRM, ERP и тому подобное). Уже лучше потерять несколько часов оплаченного работодателем рабочего времени сотрудника, чем получить все те «прелести», которые сулит компании утечка информации из столь важных источников.

Методы автоматизации

С помощью современных средств защиты от утечек информации – DLP-систем – очень удобно не только осуществлять оперативное предотвращение подобных утечек, но и выборочный контроль персонала, что позволит выявить тех из сотрудников, которые могут в ближайшее время стать инсайдерами. Сюда следует отнести людей, которые рассылают резюме или посещают сайты по поиску работы; которые копируют на свой рабочий компьютер или, тем более, личный смартфон или планшет любые документы из централизованных хранилищ; которые хранят или пересылают любую информацию в зашифрованном виде. Все они должны браться отделом информационной безопасности на особый контроль.

Говоря о проблеме инсайдерства, нельзя обойти стороной и широко распространенные в наше время приемы социальной инженерии. Для их применения необходимо собрать множество различных сведений о будущей жертве: информацию о семье, о предыдущих местах работы, об образовании, кулинарных пристрастиях и т.д. Любой сотрудник, которые проявляет подобный интерес к другим работникам, должен рассматриваться как потенциально небезопасный элемент рабочего коллектива.

Впрочем, для действительно эффективного превентивного выявления всех без исключения потенциальных инсайдеров в коллективе не обойтись без выборочного контроля сотрудников (за исключением разве что первых лиц компании, которые по определению не могут желать ей вреда). Компания SearchInform рекомендует компаниям, использующим её решение «Контур информационной безопасности», проводить ежемесячно следующие действия:

• Составление «топов» наиболее активных сотрудников, использующих средства электронной коммуникации (Skype, ISQ, социальные сети и т.п.) с последующим докладом руководству и анализом действий;
• Ретроспективный мониторинг всей активности 1-2% персонала организации за прошедший месяц с докладом и анализом;
• Формирование и ротация списка работников, нуждающихся в тотальном контроле со стороны отдела информационной безопасности.

Ну, и самый главный совет – не следует опасаться расставания с сотрудниками, замеченными в инсайдерстве. На самом деле это сродни избавлению организма от злокачественной опухоли, и несет для организации весьма позитивный эффект. При этом дальнейшая судьба инсайдеров никого, кроме их самих, волновать не должна.