Летом 2015 года в одном из крупных российских банков объявили «оптимизацию расходов». Менеджеры приуныли: в курилке начались разговоры о грядущих увольнениях, а в интернете — массовое паломничество на сайты для поиска работы. У службы безопасности хлопот заметно прибавилось: в один из дней рано утром сработал сигнал тревоги — специалист IT-отдела копировал на внешний диск клиентскую базу депозитного управления. Утечку засекла DLP-система Solar Dozor, которая занималась в банке мониторингом коммуникаций сотрудников. Айтишника в тот же день вместе с диском задержали на проходной, а в архиве его почты «безопасники» обнаружили переписку с бывшим коллегой: тот предлагал устроиться на работу к конкурентам, прихватив с собой клиентскую базу данных.
Современные DLP-системы, предназначенные для защиты корпоративной информации, способны отслеживать каждый клик сотрудника в офисе — мониторить и перехватывать корпоративную и личную почту, сообщения в соцсетях, переговоры в Skype, документооборот и копирование данных на съемные носители и в облачные хранилища, запросы в поисковиках, использование приложений и т. д. Стоимость лицензии DLP-системы для крупной компании в среднем составляет около 10 млн рублей, но риски от внутренних угроз гораздо выше — ущерб от одного инцидента, по данным "Лаборатории Касперского", в среднем составляет около 20 млн рублей, еще 2,1 млн рублей придется потратить на ликвидацию последствий.
В кризис растет риск внутренних угроз. По оценкам компании InfoWatch, с конца прошлого года наблюдается всплеск внутренних угроз: утечек информации, хищений, сговоров, откатов, мошенничества. «Сокращение доходов приводит к желанию подзаработать на стороне, а иногда просто что-то украсть, — поясняет Николай Здобнов, заместитель директора по продажам InfoWatch. — А увольнения сотрудников ведут к желанию прихватить с собой базу клиентов, чтобы отомстить работодателю или подороже продать себя на рынке труда».
Под виртуальным колпаком
Как работают DLP-системы, можно было увидеть на конференции BIS Summit 2015. На экране ситуационного центра Dozor в реальном времени показано, что происходит в компании и чем заняты сотрудники: в левой колонке инциденты — нарушения внутреннего режима документооборота, в центре «досье» — аватарки сотрудников из группы риска, справа — информация, требующая немедленной проверки: например, подозрительные письма, которые необходимо просмотреть перед отправкой. Разработчики уверяют, что система может перехватывать сообщения даже в защищенном мессенджере Threema еще до шифровки — с клавиатуры, хотя уже само использование сотрудниками VPN-сетей, анонимайзеров, защищенных мессенджеров шифрования должно сразу вызвать подозрение СБ.
«Мы не можем контролировать всех сотрудников, мониторим в первую очередь группы риска — 85% нарушений и утечек приходится на увольняющихся сотрудников, — замечает Галина Рябова, руководитель аналитической службы Solar Security. — Еще подозрения вызывает факт покупки квартир, машины в тот момент, когда у человека не было премий или бонусов, а расходы не совпадают с зарплатой». Рябова вспоминает недавнее расследование: кредитный инспектор отдела кредитования малого бизнеса одного из российских банков попал под подозрение. Проверяя его переписку и активность в интернете по семантическим словарям, DLP-система Dozor внесла его в две группы риска: «игроманы» и «неадекватные траты». Версия со взяткой не подтвердилась, но в рабочей почте инспектора обнаружили другую аномалию: стандартная переписка с клиентами, подавшими заявки на получение кредитов, составляет 15-20 писем, но были три фирмы, переписка с которыми уложилась всего в 4-5 писем — и они были одинаковыми.
Потом аналитики обнаружили нехарактерные контакты: рядовой инспектор напрямую переписывался со старшим кредитным контролером. "Повышенное внимание к кредитным заявкам возникало в те моменты, когда начальник отдела кредитования малого бизнеса отсутствовал, болел или был в отпуске", — вспоминает Рябова.
В итоге «безопасники» обнаружили в своем банке "кредитную карусель" — сговор сотрудников банка для кредитования фиктивных фирм. Эта схема была довольно популярна в России. Например, кубанский филиал Россельхозбанка кредитовал агропредприятия братьев Цапков и депутата Цеповяза, которые имели взаимные поручительства по кредитам Россельхозбанка и в документах банка назывались ГВЗ (группа взаимосвязанных заемщиков) «Север Кубани» — в разное время в нее входили до 30 предприятий, в том числе и фирмы-однодневки. Всего с 2006 по 2010 годы сумма выданных региональным Россельхозбанком кредитов их фирмам составила около 10 млрд рублей. В итоге главу краевого филиала банка Николая Дьяченко осудили за незаконную выдачу кредитов фирмам-однодневкам и неработающим предприятиям.
Деликатная тема
Разработчики DLP-систем обычно советуют руководству компании поставить сотрудников в известность, что в рабочее время вся их корпоративная информация будет проверяться. Но происходит это не везде. А некоторые сотрудники не придают этому значения. Один из свежих примеров: в крупной металлургической компании главный инженер договорился с завскладом метизов — они занижали количество произведенной и привезенной на склад продукции, а излишки продавали. Вопросы обсуждали прямо в почте. “Наша InfoWatch DLP-система Traffic Monitor помогла выявить конфиденциальную информацию в электронной переписке и собрать доказательную базу для передачи дела в суд”, — рассказывает Ольга Горшкова, ведущий PR-менеджер InfoWatch.
Обычно топ-менеджеры и руководители служб безопасности просят исключить себя из списка сотрудников, чьи действия контролирует DLP-система. Это тоже риск. "Наемный топ-менеджмент тоже может иметь мотивы для кражи. И чем выше должность, тем больше окажется ущерб для компании", — говорит Николай Здобнов из InfoWatch. Такие примеры были. В одной крупной IT-компании, которая продает в России собранные под собственном брендом в Китае гаджеты — смартфоны, планшеты, установили “пилот” DLP-системы от компании Zecurion. “За две недели собрали доказательства хищения денег одним из директоров, — рассказал Александр Ковалев, заместитель гендиректора Zecurion. — За полгода работы в компании он организовал сеть подставных китайских фирм. DLP-система перехватила переписку топ-менеджера со своими сотрудниками в Китае, где они обсуждали схемы работы и суммы”. Подсчитали, что своим левым бизнесом топ-менеджер нанес компании ущерб на сумму около $20 млн.
Конечно, систему пытаются перехитрить: сотрудник ведет переписку через личную почту на личном ноутбуке или смартфоне, хотя в серьезных компаниях это запрещено правилами внутренней безопасности. "Бывает и такое, но однажды у этого конспиратора садится батарея, а ему надо срочно отправить письмо: он входит с рабочего компьютера или через корпоративный wi-fi в gmail и отправляет письмо — и весь трафик снифирится (перехватывается — прим. Forbes)", — объясняет Игорь Ляпунов, генеральный директор Solar Security.
Смартфон уже сейчас становится главным инструментом кражи информации — 75% приложений на гаджетах сотрудников, согласно отчету Gartner, опасны для работодателей. «Один сотрудник переснимал с экрана рабочего компьютера свежие протоколы тендерного комитета, дома перекидывал фото на компьютер и отправлял конкурентам», — привел пример в своем докладе на Business Information Security Summit (BISS) Алексей Волков, начальник отдела эксплуатации средств защиты информации ОАО «Северсталь». При этом, по словам Волкова, утечку поймала не DLP-система: сигнал от коллег получила служба экономической безопасности. «Какой бы замечательной ни была «железка» или «софт», нельзя списывать агентуру со счетов», — замечает Волков.
Ловцы сетью
День рождения сотрудницы столичной IT-компании отмечали в переговорке: шарики, поздравления, торт. Ну и, конечно же, праздничное селфи. На одном из фото, которое выложили в Instagram, оказалась доска с цифрами и планами, которую забыли протереть после совещания. “Информация попадала под соглашение о неразглашении (NDA), и снимок был удален, девушек предупредили, что снимки в переговорной делать нельзя. Доску теперь после совещаний тщательно вытирают”, — рассказывает случай из своей практики Дмитрий Сидорин, основатель компании Sidorin Lab, занимающейся защитой репутации в интернете.
Мониторинг персональных аккаунтов и сообщений в социальных сетях сотрудников — “интимная тема”, и клиенты ее особо не афишируют, замечает Сидорин, но услуга весьма востребованная: за год он провел 30 обучающих корпоративных семинаров в банках, IT-компаниях, компаниях с большими дилерскими сетями. Недавно сотрудник одного из банков сфотографировал и выложил в Facebook корпоративную отчетность, которая была выложена в холле. Акционеры из США были возмущены, что теперь отчетность они получают через соцсети, сотрудника наказали.
Обычно работа строится так: компания передает Sidorin Lab список сотрудников, система мониторинга социальных медиа (например, Brandanalytics) находит их аккаунты в социальных сетях — Instagram, Facebook, “В Контакте” и склеивает их в единый профайл. После анализа создается список группы риска: у кого из сотрудников есть в друзьях конкуренты, журналисты, блогеры. Мониторинг выдает предупреждения о нарушении внутренних корпоративных регламентов. Семантика поиска настроена на рисковые темы: название компании, бренд, корпоратив, имя начальника и топ-менеджеров, зарплата.
“Пост сотрудника из группы риска может разрушить репутацию компании, если он напишет о задержке зарплаты, сорванной сделке или готовящихся сокращениях”, — поясняет Сидорин. По его словам, скорость реакции составляет минуты: сотрудники службы безопасности советуют удалить пост или убрать название компании из профайла — утечка не получает огласки. По его словам, PR-директор одной крупной IT- компании из Белоруссии поинтересовалась, может ли она писать матом в Facebook. “На месте ее руководства я бы запретил это регламентом: сейчас каждый сотрудник в социальной сети, указавший название своей компании, является носителем торговой марки — нужно нести ответственность перед брендом”, — замечает Сидорин.
Более продвинутое решение — мониторить не только публичные посты, но саму переписку сотрудников в социальных сетях. По информации Forbes, недавно компания InfoWatch получала грант «Сколково» на разработку системы под условным название DLP 2.0. “Идея в том, чтобы объединить DLP с Kribrum (облачный сервис мониторинга соцсетей) под единым логическим интерфейсом для выявления утечек и репутационных угроз”, — говорит Forbes генеральный директор InfoWatch Наталья Касперская. При этом Касперская подчеркивает, что их DLP-система не собирает логины и пароли от соцсетей, почтовых клиентов. “Переписку в соцсетях с рабочего компьютера DLP- система перехватывает на клиенте", — замечает она. Система не только будет собирать посты, лайки, но и анализировать поведение людей. Например, бухгалтер компании лайкает посты конкурентов, а по ночам в геолокации отмечает ночные клубы. “Это подозрительно, мы советуем офицерам СБ или HR обратить на него внимание — может быть бухгалтер готовится сменить работу”, — замечает директор Kribrum Антон Варнавский.