Распознать потенциального инсайдера непросто, поскольку его действия могут выглядеть как обычная рабочая рутина. Один из руководителей компании Staffcop Даниил Бориславский в беседе с «Газетой.Ru» поделился информацией о том, как можно выявить сотрудника, намеревающегося передать конфиденциальные сведения за пределы организации. Эксперт выделил пять ключевых признаков, которые могут свидетельствовать о недобрых намерениях работника.
Первым тревожным сигналом является внезапное проявление повышенного интереса к вопросам, выходящим за рамки непосредственных рабочих обязанностей сотрудника. Как отметил Бориславский, такой человек может активно расспрашивать об устройстве внутренней сети компании, используемых системах безопасности и проявлять чрезмерное любопытство к информации, которая ему, по сути, не нужна. Хотя подобное поведение иногда объясняется обычным любопытством, регулярное возникновение таких вопросов без видимых причин должно насторожить службу безопасности.
Вторым признаком, по мнению эксперта, служит слишком частое подключение к рабочему компьютеру внешних носителей информации, таких как флеш-накопители и внешние жесткие диски. Также подозрительным может быть, если сотрудник начинает разбирать системный блок или ноутбук, что не входит в его должностные обязанности. Кроме того, отмечается, что работник может выражать недовольство ограничениями прав доступа, мешающими установке необходимого программного обеспечения, хотя ранее подобные ограничения не вызывали у него беспокойства. Эксперт пояснил, что такие действия могут являться попыткой обойти контроль со стороны IT-отдела или службы информационной безопасности.
Третий признак заключается в том, что сотрудник приносит на работу личный ноутбук и настойчиво использует его, несмотря на существующие в компании запреты, объясняя это удобством или наличием необходимых приложений. В качестве альтернативы, работник может заявить о пропаже корпоративного ноутбука или планшета, хотя обычно не забирал его домой, а на самом деле мог передать устройство злоумышленникам для изучения.
Четвертым тревожным сигналом является поведение, связанное с правами доступа. Сотрудник может необоснованно запрашивать права на просмотр файлов, папок или отчетов, не имеющих отношения к его работе, или под различными предлогами пытаться узнать пароли у коллег, например, мотивируя это возможной болезнью одного из них. Помимо этого, по словам Бориславского, подозрительным является повышенный интерес к делам других отделов, подслушивание разговоров и наводящие вопросы, в результате чего сотрудник оказывается осведомлен о событиях, о которых ему знать не положено.
Пятый признак проявляется в подозрительной активности сотрудника в офисе. Это может выражаться в длительном нахождении у принтера, создании большого количества копий и выносе бумаг за пределы офиса, регулярных задержках на работе или ранних приходах в нерабочее время, а также неожиданных появлениях в серверной под предлогом забытых вещей, при условии, что работа сотрудника никак не связана с данным оборудованием.
Бориславский отметил, что выявить подобные признаки у рядовых сотрудников относительно проще, в то время как в случае с топ-менеджерами задача усложняется, поскольку они уже обладают широким доступом к необходимой информации и им нет нужды взламывать системы или запрашивать дополнительные права.
Эксперт подчеркнул, что наиболее частыми причинами утечек информации среди руководителей являются финансовая заинтересованность, личные конфликты или обычная халатность. В качестве примеров он привел ситуацию, когда коммерческий директор перед увольнением копирует клиентскую базу, финансовый директор использует инсайдерские сведения для личных сделок, или когда сотрудник может взять рабочий ноутбук домой, передать его родственнику, что в итоге приводит к попаданию конфиденциальных данных в облачное хранилище.
В заключение Бориславский обратил внимание на то, что единичный случай проявления одного из перечисленных признаков сам по себе не является однозначным свидетельством злого умысла. Службы информационной безопасности анализируют совокупность действий сотрудников и фиксируют их активность с накопительным эффектом, что позволяет более точно выявлять потенциальные угрозы.