Цена увольнения
Кризис в экономике, вызванный пандемией коронавируса, спровоцировал массовые сокращения в коммерческом секторе, снижение зарплаты и рост кадровой ротации. С переходом компаний на удаленку эксперты "Ростелекома" зафиксировали 25%-ный рост числа инцидентов, связанных как со случайной утечкой конфиденциальной информации, так и с попытками умышленного "слива" данных. Не в последнюю очередь это происходит по вине увольняющихся работников. В связи с обострением проблемы специалисты провели опрос представителей российского бизнеса на тему, какие сотрудники несут компании наибольшие риски в части утечек информации, какие конфиденциальные данные уносят увольняющиеся сотрудники и как используют в дальнейшем.
Проанализировав результаты опроса, эксперты выяснили, что более 60% компаний оценивают утечки конфиденциальных данных по вине увольняющихся сотрудников как самые критичные. Чуть более 22% респондентов уверены, что наибольший ущерб информационным активам компании наносят участники тендерной процедуры или ключевой сделки. И лишь в 10% случаев угроза исходит со стороны сотрудников на испытательном сроке.
Что касается видов информации, утекающей из компаний по вине увольняющихся сотрудников, то в 61% случаев это клиентские базы данных, в 19% - конфиденциальная информация по условиям сделок и тендеров, а в 15% - секреты разработок и ноу-хау. Однако именно последние две категории данных, при их использовании ушедшими сотрудниками на новом месте работы, наносят старому работодателю наибольший финансовый ущерб.
Действительно, 13% представителей российского бизнеса уверены: бывшие сотрудники передают новому работодателю секретные сведения по условиям сделок и тендеров, а также ценную интеллектуальную собственность предыдущей компании. Причем почти в половине случаев от таких утечек страдают компании высокотехнологичной сферы (ИТ/телеком), в 24% случаев - промышленное производство, в 18% - организации финансового сектора.
Для целей исследования опрошены представители 150 российских компаний. В отраслевой ландшафт опрошенных компаний вошли сегменты ИТ/телеком, "Промышленность", "Финансы", "Энергетика", "Ретейл", "Строительство", "Юриспруденция", "Продажи" и ряд других направлений - всего свыше 10 отраслей. 52,2% составили предприятия размером до 1000 рабочих станций, 16,9% - от 1000 до 3000 рабочих мест, 30,9% - свыше 3000.
"Все зависит от того, какую информацию вынес сотрудник и как будет ее использовать", - утверждает руководитель направления DLP ПАО "Ростелеком" Галина Рябова. По ее словам, если сотрудник использует собранную информацию для сохранения собственной эффективности в дальнейшей трудовой деятельности, то такая утечка не несет сильного вреда компании. Если же увольняющийся сотрудник переходит на работу к прямому конкуренту и уносит у бывшего работодателя ценные наработки, которые могут дать серьезное конкурентное преимущество, например технологическое, то это может нанести уже значительно больший ущерб. "В частности, сократить технологическое отставание конкурента или даже вывести его в лидеры. Если работник унес логины и пароли доступа в сеть предприятия и знание его инфраструктуры, то он может стать соучастником целевой атаки на бывшего работодателя. Для реализации успешной целевой атаки на предприятие нередко используются внутренние злоумышленники, передающие хакерам конфиденциальные данные, необходимые для проникновения в инфраструктуру. Ну а вынос клиентской базы чреват переходом части заказчиков к конкуренту", - считает Галина Рябова.
Она утверждает, что для компании одинаково опасны как утечка информации по вине увольняющегося сотрудника, так и сторонняя хакерская атака. "По сути, утечка - это та же атака, только реализованная внутри предприятия. Более того, как я уже говорила, для успешной целевой атаки хакеры часто используют инсайдера внутри компании, который поставляет необходимую конфиденциальную информацию. Соответственно, и ущерб сопоставим, хакеры, так же как и внутренние злоумышленники, могут воровать данные с целью продажи", - подчеркивает Галина Рябова. По ее мнению, утечки по вине увольняющихся сотрудников актуальны в любое время. Это постоянное явление, которое лишь обострилось в связи с пандемией и вызванными ею экономическими потрясениями. Увеличившаяся текучка кадров в компаниях, снижение зарплат в некоторых секторах вызвали рост инцидентов, связанных как со случайными действиями, так и с попытками умышленного выноса информации. "Таким образом, люди пытаются компенсировать свои потери", - считает Галина Рябова.
Она утверждает, что в любой компании всегда есть сотрудники, которые входят в группу риска и, соответственно, находятся на особом контроле у служб безопасности. "Современные системы защиты от утечек предлагают довольно разнообразный функционал по работе с группами особого контроля: к сотрудникам из этих групп автоматически применяются более строгие меры безопасности. Например, для них могут быть усилены правила, блокирующие передачу конфиденциальных данных по различным каналам, или вообще закрыты некоторые каналы коммуникаций, например мессенджеры или съемные носители. Или такие сотрудники ставятся на ежедневный мониторинг, который может быть как сплошным, так и выборочным - скажем, контролируются только мессенджеры или только отправляемые файлы по всем каналам. Как только становится известно, что сотрудник скоро уйдет из компании, его автоматически нужно поместить в такую группу особого контроля. А продвинутые технологии анализа поведения пользователей - UBA, User Behavior Analytics - позволяют на ранней стадии выявить признаки подозрительной активности сотрудников, которые уже решили уволиться, но еще не уведомили об этом работодателя", - сообщает Галина Рябова.
Другого мнения придерживается руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев. Он говорит, что во многом нарушения со стороны персонала опаснее, чем хакерские атаки. "Внешние злоумышленники, взломав сеть компании, не всегда могут быстро найти действительно ценные данные и обычно берут то, на что наткнутся в первую очередь. Но внутренний нарушитель, как правило, действует, прекрасно зная, что и где лежит. Он забирает с собой действительно ликвидную информацию, утечка которой может нанести очень серьезный удар по бизнесу", - подчеркивает Андрей Арсентьев. Он утверждает, что в более чем 80% случаев увольняющиеся нарушители руководствуются корыстными мотивами, но также нередко встречаются случаи мести работодателю. В результате чувствующий себя обиженным сотрудник может удалить из системы ценные данные или исказить (модифицировать) их.
По словам Андрея Арсентьева, таких утечек становится больше, как и в целом умышленных утечек в результате действий персонала. "При увольнении злоумышленники из числа сотрудников и топ-менеджеров часто копируют различные ноу-хау и сведения коммерческого характера, которые могут помочь построить карьеру на новом месте или открыть собственное дело. Особенно часто нарушители стремятся унести клиентские базы. Вполне естественно, что, забрав с собой базу, такой сотрудник начнет переманивать клиентов на сторону нового работодателя. Думаю, многие получали звонки от менеджеров банков, страховых компаний и других организаций, когда собеседник радостно сообщает вам, что теперь работает на новом месте и готов вам предложить еще более интересные условия сотрудничества", - рассказывает Андрей Арсентьев.
"Помимо использования DLP-систем и решений по управлению доступом, в том числе привилегированным, довольно эффективным средством борьбы со злоупотреблениями увольняющихся сотрудников выступают системы поведенческой аналитики (UBA). Хотя, как показали наши исследования, более половины увольняющихся злоумышленников похищают конфиденциальную информацию в последние дни перед увольнением, умысел в отношении информационных активов работодателя не возникает спонтанно, он может вызревать в течение долгих месяцев. Системы класса UBA с довольно высокой точностью могут выявить аномалии в поведении сотрудника, анализируя его активности, прежде всего переписку. В результате такой сотрудник попадает "на карандаш" службы безопасности", - подчеркивает Андрей Арсентьев. Он предупреждает, что пока компании массово не будут использовать средства борьбы с увольняющимися нарушителями, угроза будет только нарастать, тем более недобросовестные сотрудники и руководители уже прекрасно осознают, что конфиденциальная информация - это ценный актив в цифровую эпоху. А значит, если в компании нет адекватных средств защиты данных, уволившись, можно унести с собой некий "золотой парашют".
"Действия доверенного сотрудника, который по какой-то причине решил слить информацию, скрытно или публично, являются самыми опасными", - считает также директор экспертно-аналитического центра ГК InfoWatch Михаил Смирнов. "И применение технических средств защиты может выявить факт подготовки к нему, блокировать копирование или уничтожение критичной информации, в том числе не давая возможности документально подтвердить слова. И вся история разведки-контрразведки полна такими примерами - от политики до промышленного шпионажа", - говорит Михаил Смирнов.
Чтобы предупредить опасность утечки информации по вине персонала, по мнению Михаила Смирнова, необходимо подбирать людей, создавать им условия для работы, отслеживать их выгорание, психическое состояние и лояльность. Но 100% гарантии всё равно не будет, пока человек остаётся человеком.
"Проблема утери данных вместе с уходом сотрудников, особенно из ключевых бизнес-подразделений, актуальна всегда", - считает руководитель отдела аналитики информационной безопасности Positive Technologies Евгений Гнедин. Однако, по его словам, не меньшую, если даже не большую роль в вопросе слива данных играют злоумышленники, атакующие как компании, так и простых пользователей, которые могут являться сотрудниками организаций с ключевыми цифровыми активами. "По итогам I квартала 2020 г. мы отмечаем рост количества киберинцидентов на 22,5%. Основной целью атаки как юридических, так и частных лиц являются данные - коммерческая информация, персональные данные сотрудников, учетные данные или финансовая информация. Важно отметить, что вторым по популярности вредоносом, атакующим компании, является шпионское ВПО", - информирует Евгений Гнедин.
Руководитель направления SecureBank/SecurePortal Павел Крылов замечает, что ещё одна причина утечек в том, что у киберпреступников есть большой спрос на персональные данные, базы данных и т.д. Злоумышленники активно ищут инсайдеров, поскольку их мошеннические схемы с использованием персданных сейчас успешны и эффективны. Павел Крылов убежден, что пока есть спрос, преступления будут продолжаться. "Организации, которые работают с данными, зачастую не способны предотвратить утечки. То есть операторы этих данных не хотят тратить деньги на средства защиты и организацию работы по защите этих данных. Если они не хотят тратить деньги на это, то обычно экономят и на обучении, и на зарплатах сотрудников. Ну и, наконец, есть сотрудники, которые мало мотивированы, да еще и видят, что данные никто не защищает - их легко и относительно безопасно можно продать. Другой важный момент - использование технических средств только на стороне компании - например, DLP - недостаточно. Российскому бизнесу пора "взрослеть" и переходить на использование технологий киберразведки и хантинга, основанных на знаниях техник, инструментов и механизмов работы киберкриминального рынка", - отмечает Павел Крылов.
Руководитель группы внедрения центра исследования и разработки CrossTech Solutions Group Никита Андреянов говорит, что тенденции утечки информации по вине персонала заметны, особенно на фоне всемирного кризиса, вызванного пандемией. "Усугубляет сложившуюся ситуацию и тот факт, что подобные утечки зачастую наиболее критичные, так как увольняющийся сотрудник четко знает, что и где искать. Особенно это касается ценных и критически важных наработок, которые могут попасть к потенциальному конкуренту, ведь обычно переход сотрудника осуществляется в компанию аналогичного профиля деятельности", - сообщает Никита Андреянов. Он убежден, что со сложившейся тенденцией необходимо бороться. "В первую очередь необходимо совершенствовать процессы управления учетными записями, одним из ключевых моментов которых является выделение увольняющихся людей в критичные группы, за которыми будет осуществляться более пристальный мониторинг. На данном этапе необходимо выстроить и автоматизировать процессы обмена данными между HR-системами и СЗИ, стремиться к так называемому data-driven-подходу. Если говорить о целевых классах решений, позволяющих выявлять инсайдерскую деятельность на ранних этапах, то нельзя не упомянуть про UEBA. Современные решения с помощью алгоритмов статистического и кластерного анализа способны формировать профили поведения пользователей - behavioral baseline, на основании которых алгоритмы регрессионного анализа и классификации позволяют выявлять аномальное поведение для отдельно взятого пользователя и предиктивно реагировать на потенциальные инциденты. Само собой, UEBA также нуждается в интеграции с HR-системами, ведь чем более качественные и полные данные представлены по сотруднику, тем точнее будут отрабатывать аналитические модели, заложенные в парадигме работы подобных решений", - информирует Никита Андреянов.
Представитель платформы для повышения цифровой грамотности Kaspersky Security Awareness Елена Молчанова считает, что обучение основной массы сотрудников правилам цифровой грамотности и основам информационной безопасности часто позволяет выявить и нейтрализовать и злоумышленников внутри компании. "Существует интересная зависимость: когда сотрудники становятся достаточно обученными, они значительно чаще рапортуют о проблемах в ИБ и вообще существенно больше обращают внимание на любые неожиданности и подозрительные вещи. А когда ИБ, и даже ИТ, видит повышенное количество странностей вокруг кого-либо, то они в результате присматриваются и им существенно легче выявить шпиона-инсайдера. К тому же сотрудники прекращают разбрасываться доступами и конфиденциальной информацией, и "вору" банально меньше информации достается, она до него не доходит благодаря бдительным коллегам", - отмечает Елена Молчанова. По ее словам, основной ущерб, однако, происходит именно от тех, кто неосознанно чему-то вредит, в том числе из-за низкой цифровой грамотности. Атаки злоумышленников и, как следствие, утечки данных становятся успешными из-за того, что сотрудникам не хватает знаний в области информационной безопасности. "Киберграмотность напрямую влияет на бдительность сотрудников и их здоровый скепсис при работе в цифровом мире. Например, фишинг и атаки через цепочки поставщиков - наиболее популярные способы атак на крупные организации сегодня. Организации часто открывают поставщикам и партнерам доступ к внутренней информации, чтобы те могли выполнять обязательства по контракту, но, конечно, это может привести к утечке. Согласно нашему исследованию, подобный тип киберинцидента входит в топ-3 самых дорогостоящих: средняя сумма ущерба от него в мире составляет $2,57 млн", - считает Елена Молчанова.