Если у вас завелся крот. Как авиакомпания «Россия» борется со шпионами

Сотрудники каждой четвертой компании в нашей стране сливают секреты фирмы конкурентам. Алексей Кашаев, руководитель группы информационной безопасности авиакомпании «Россия», рассказал, откуда берутся шпионы и как их вычислить до того, как компания потеряет деньги.

Разбирательства из-за промышленного шпионажа на слуху. Например, гигантам Apple и Tesla за последнее время пришлось подать несколько исков против экс-сотрудников по этому поводу. В России разбирательства проходят тише, но они тоже не редкость: от кротов, работающих в пользу конкурентов, в прошлом году пострадали 24% отечественных компаний. Такие данные приводят эксперты «СёрчИнформ» в рамках исследования уровня информационной безопасности в компаниях России и СНГ.

Мы однажды тоже чуть не попали в эту статистику. Расскажу на личном опыте, кто такие корпоративные шпионы, как их можно вычислить и обезвредить.

Портрет шпиона

Как обычно выясняется, что в компании завелся крот? Есть внешние признаки: падает прибыль, уходят клиенты, конкурент объявляет суперакцию — точь-в-точь такую, как вы планировали запускать через неделю. Виновников ищут по всем канонам криминалистики: подозреваемый тот, у кого больше мотивов. Но этот метод — скорее тушение пожара. И пока не разгорелось, бизнес даже не подозревает, что внутри окопался шпион.

Поэтому каждой солидной компании нужен человек, который будет защищать данные от «охотников» 24/7 и сможет предотвратить худшее развитие событий, заметив неладное. Например, на того же крота могут сходу указывать несколько признаков: чрезмерное любопытство за пределами непосредственных рабочих обязанностей, частые задержки на работе, устройство на работу сразу же после увольнения из конкурирующей компании, нелюдимость и отсутствие контакта с коллегами или, наоборот, чрезмерная дружелюбность, желание всем понравиться.

Такие люди часто хотят сделать себе доброе имя, изображая стахановцев, становятся душой компании, чтобы в дружеских беседах вызнать информацию, к которой у них нет доступа, или ищут возможность сунуть нос, куда не следует, без лишних глаз в офисе.

При этом шпион не обязательно новичок в компании. Такие люди могут работать годами, не привлекая внимания и получая от конкурентов стабильную «прибавку» к зарплате. Поэтому их может отличать показная лояльность и удовлетворенность своим положением в компании. Это могут быть профессионалы с потенциалом карьерного роста, при этом они крепко будут держаться за текущую позицию.

Понятно, что ни один из этих признаков и даже их совокупность не указывают на крота на 100%. Опираться только на условные характеристики нарушителя всё равно что верить в теории, что форма черепа указывает на врожденную склонность к преступлениям. Поэтому просто наблюдать за коллективом мало. Даже опытный специалист по информационной безопасности не всегда может выявить нарушителя на глазок.

Цифровой след

Большинство ценной для бизнеса информации сегодня хранится в «цифре». Следовательно, и получить к ней доступ, и передать ее конкуренту крот, скорее всего, попытается через компьютер. Поэтому надежнее всего в поиске ранних признаков утечки работают технические методы.

Мы, например, используем DLP-систему: она автоматически уведомляет, если работник выходит на связь с конкурентом, пытается отправить документы с коммерческой тайной, ведет переговоры о вознаграждении и т.д. Есть и другие средства: системы, которые следят за операциями со служебными документами, ищут манипуляции в базах данных, отслеживают аномальную активность в корпоративной IT-инфраструктуре, например, если сисадмин настроит переадресацию почты гендиректора в свой ящик, чтобы читать его письма.

«Умные» системы контроля помогают раскрывать запутанные схемы, когда крот внешне ничем не выдает себя. Так случилось и у нас.

Мы настроили автоматический поиск всех упоминаний конкурента в электронной переписке и документах. Однажды мне пришло уведомление: один из работников принес на флешке пустой фирменный бланк другой авиакомпании. Одновременно система просигналила, что тот же работник пытается записать на флешку уже наш файл с грифом «конфиденциально», что запрещено правилами безопасности. В консоли аналитика (это элемент DLP, который позволяет углубленно изучить детали обнаруженных инцидентов) мы смогли просмотреть этот файл «живьем» — так, как он выглядел на экране нарушителя.

Выяснилось, что работник взял бланк конкурента и скопировал туда текст одного из основополагающих документов, описывающих внутренние регламенты нашей компании. Как он признался позже, конкурент — новичок на рынке, которому только предстояло пройти большинство «установочных» процедур, — заплатил ему за разработку такого документа на основе нашего, потому что решил сэкономить на привлечении реальных экспертов. Крот, кстати, тоже не мудрствовал: поменял в тексте только названия. И если бы документ попал к адресату, конкурент смог бы не только скопировать стратегию, но и использовать знания о нас, чтобы потеснить на рынке. И это не говоря о неизбежном ударе по репутации!

Конечно, до заказчика «посылка» не дошла. Мы вовремя заметили подозрительную активность и сумели предотвратить инцидент. Больше того, благодаря системе у нас были записаны все доказательства. Так что крот, выведенный на чистую воду, не мог и не стал отпираться.

Прививка от предательства

После разоблачения корпоративные шпионы, как правило, рады уволиться «по собственному». Многие компании на это соглашаются, потому что такая процедура избавляет от огласки инцидента. Другие предпочитают уволить по статье, но при неблагоприятном исходе такое решение сотрудник может оспорить в суде.

Чтобы этого не произошло, все улики против работника стоит официально документировать в рамках служебного расследования. Разбирательство должно пройти все этапы: от служебной записки с описанием первого подозрительного проступка до перечисления доказательств, созыва комиссии для оценки ущерба и получения объяснительной от виновника. Тогда у компании есть шансы не только отстоять в суде свое решение об увольнении, но и наказать нарушителя строже, например, по уголовной статье о разглашении коммерческой тайны.

Но разделаться с одним кротом — полбеды. Важно, чтобы инциденты не повторялись. Поэтому делать выводы из произошедшего или, по крайней мере, учиться на чужом опыте.

О чем важно помнить?

• Крот хитрый. Хотя большинство утечек происходит по халатности и незнанию норм информационной безопасности, работники, которые идут на нарушения умышленно, обычно понимают тяжесть своих проступков. Поэтому ведут себя осторожно: наш был тише воды и, по сути, выдал себя только картинкой в шапке файла на флешке. Будьте к этому готовы.

• Конкурент не дремлет. Держите в голове, что ваши данные — мишень, и чем вы успешнее, тем больше на них охотников. Заранее проинструктируйте сотрудников, как вести себя, если конкурент выйдет на них с «предложением». Усложните потенциальным нарушителям доступ к секретам фирмы: пересмотрите правила внутреннего документооборота и распределения прав по работе с конфиденциальными данными.

• Защита работает. Автоматизированные средства контроля дают преимущество, чтобы вовремя заметить инцидент и предотвратить его до того, как компания понесет ущерб. К тому же такие программы не тревожат безвинных сотрудников пустыми подозрениями, а в отношении реальных нарушителей позволяют собрать доказательства вины. А если коллектив в курсе, что в компании действует система контроля и работодатель отслеживает угрозы, это вдвойне снижает пыл потенциальных нарушителей — они просто не идут на риск.