Как вычислить «крота» в коллективе: советы экспертов по бизнес-разведке
В среду, 14 октября, на телеканале «МИР» стартует показ восьмисерийного телефильма «Отличница». Это захватывающий ретро-детектив, в котором есть все: и элементы мелодрамы, и история взросления героини, и драма, и захватывающие расследования с непредсказуемым финалом.
Действие фильма начинается весной 1958 года. В УГРО центрального районного отдела милиции приходит работать по распределению юная Мария Крапивина. Выпускнице юридического факультета Ленинградского университета, предстоит доказать свою профессиональную состоятельность в коллективе грубоватых и опытных оперативников, прошедших войну.
Кадр из сериал «Отличница»
В первый же день девушка случайно выясняет, что в отделе оперативников работает предатель, связанный с крупной и дерзкой бандой. Она решает раскрыть «крота» и доказать, что она чего-то стоит. Под подозрение попадают все, в том числе начальник отдела, опытный оперативник, в которого Маша неожиданно для себя влюбляется.
Как выясняется, «крот» в рабочем коллективе бывает не только в детективных сериалах и не только в криминальной сфере. В реальной жизни инсайдер, работающий на конкурентов – это не такой уж редкий случай в бизнесе. О том, как вычислить неблагонадежного сотрудника компании, рассказали в интервью «МИР 24» эксперты в области безопасности и бизнес-разведки.
Кадр из сериал «Отличница»
Идейный предатель или жертва шантажа
«В моей жизни было несколько лет интересной работы оперативным сотрудником, поэтому профессионально отвечу с точки зрения ИТ-специалиста и оперативника, – говорит генеральный директор компании «Corpsoft 24» Константин Рензяев. – Всегда наиболее податливы к предательству люди, которые считают, что их несправедливо обидели, не ценят и т.д. Соглашаясь работать на конкурентов, они искренне считают, что правы и так восстанавливают справедливость. Также податливы для вербовки люди, попавшие в тяжелую жизненную ситуацию, особенно если им отказала в помощи родная компания – это двойной мотив».
«Злоумышленниками, целенаправленно вредящими компании, могут быть сотрудники, решившие отомстить своей фирме, или люди, начавшие развивать собственный бизнес с помощью ресурсов работодателя», – говорит Михаил Яхимович, сооснователь компании «Стахановец» (разработка систем мониторинга поведения пользователей за рабочими компьютерами). – Нередки случаи, когда персонал просто решает подзаработать, продавая информацию конкурентам. Обида на компанию за невыплаченную премию, конфликт с руководителем или коллегами, неудовлетворенность условиями труда. Любой крупный и даже мелкий инцидент может стать поводом, который превращает добросовестного и порядочного сотрудника в «слабое звено», через которое из компании утекают данные».
Есть и еще один тип «кротов»: это сотрудники, которые состоят в дружеских или романтических отношениях с конкурентами. «Они делятся информацией, так как «дружба важнее работы», – говорит коммерческий директор подразделения Корпорации «Технониколь» Сергей Ольницкий. – Чтобы исключить такие ситуации, служба безопасности компании должна проверять кандидатов при приеме на работу, а в корпоративном кодексе должен быть четко прописан порядок действий при возникновении конфликта личных и профессиональных интересов сотрудника».
По словам специалиста, часть инсайдеров попадает в поле зрения конкурентов даже не по своей инициативе. Их вербуют не только с помощью гонораров, но и методом шантажа, поэтому важно понимать, кто в вашей компании входит в группу риска: кому можно угрожать раскрытием секретов о зависимостях, компрометирующих отношениях, склонностях.
Поэтому их может отличать показная лояльность и удовлетворенность своим положением в компании. Такие сотрудники могут быть профессионалами с потенциалом карьерного роста, но держаться за текущую позицию», – подчеркивает Алексей Дрозд.
«Слив» по неосторожности и подсадная утка
Михаил Яхимович считает, что неосознанно стать виновником утечки информации может в определенный момент времени практически любой сотрудник. «Такие люди действуют бессознательно, под влиянием внешних манипуляций или по причине глупости и невнимательности, – говорит он. – Их могут «втемную» использовать конкуренты, хакеры или другие злоумышленники». Однако, по словам эксперта, чаще всего ценная информация покидает стены компании из-за элементарной безалаберности. Например, в период увольнения абсолютно любой сотрудник может стать инсайдером, просто собирая портфолио. Ведь в него случайно могут попасть новые разработки или важная финансовая документация. В подавляющем большинстве случаев утечки происходят без злого умысла. Сотрудник лишь хочет показать себя с лучшей стороны новому работодателю.
«Я бы советовал быть настороже с новым перспективным сотрудником и присматриваться к его потенциально опасной активности, особенно его интересу к деятельности, выходящей за пределы круга прямых задач, – говорит специалист. –Конечно, тут есть риск спутать «разведку» с профессиональным любопытством. Для наших широт промышленный шпионаж до сих пор воспринимается как нечто экзотическое. Причина банальна: в СМИ подобные новости попадают крайне редко. Если же взглянуть на Запад, то мы увидим регулярные публикации. Например, недавно было такое сообщение: 35-летнего гражданина Китая Хунцзинь Тана задержали в США за кражу коммерческих секретов у нефтяной компании, в которой он работал. Сумму ущерба оценили в $1 млрд».
Способы вычисления инсайдера
«Найти инсайдера в коллективе – это целое искусство, – говорит Константин Рензяев. – Чтобы вычислить его, необходимо проанализировать, кто может считать себя обиженным за последний год (дальше во времени искать нет смысла). Далее надо применить технические средства типа DLP (Data Leak Prevention) или контроля утечки документов».
Следует также проанализировать изменение поведения сотрудников, например, кто стал задерживаться подолгу на работе, хотя это было для него раньше не характерно, получать доступ в корпоративные системы, к которым ранее не имел доступа и т.д. Обязательно необходимо проверить помещения и на наличие «жучков». Кстати, проще всего их поставить уборщице.
По словам Михаила Яхимовича, в выигрыше по выявлению «кротов» действительно находятся организации, где поведение сотрудников за рабочими ПК анализируется с помощью специальных систем мониторинга.
«У одного из наших клиентов – торговой компании – резко стало снижаться количество совершенных сделок, – рассказывает Михаил Яхимович. – После того как отбросили теорию о влиянии на бизнес коронавируса, вопросы сезонности и возросшей конкуренции, собственник бизнеса решил разобраться в ситуации с помощью обстоятельного анализа.
Схема была раскрыта буквально за несколько дней. Инструменты – анализ чатов, звонков, анализатор рисков, граф связей, перехват почты, перехват Skype, перехват переписки в социальных сетях».
По словам эксперта, в последнее время похитители данных стали умнее. Они отлично осведомлены о возможностях DLP-систем, поэтому из всех путей утечек они нередко предпочитают фото экрана компьютера. Беглый анализ рынка конфиденциальной информации в Даркнете показал, что порядка 10-15% данных на черном рынке составляют фотографии экранов, сделанные на смартфон. Собственно, для противодействия этим утечкам и была разработана функциональность «Антифото», которая распознает факт фото- или видеосъемки экрана, блокирует компьютер и оповещает об инциденте владельца компании или главу службы безопасности.
По словам Алексея Дрозда, стопроцентных советов, как вычислить предателя в коллективе, не может дать даже самый опытный руководитель или сотрудник службы безопасности. Но есть признаки, которые сужают область поиска:
- Чрезмерное любопытство сотрудника за пределами непосредственных рабочих обязанностей
- Устройство на работу сразу же после увольнения из конкурирующей компании
- Заметная нелюдимость и закрытость человека
- Наоборот – чрезмерная дружелюбность, желание всем понравиться
- Частые задержки на работе
«Понятно, что это не стопроцентные признаки «крота», каждый из признаков может быть совершенно безобидным. Тем не менее такие люди оказываются под более пристальным наблюдением», – говорит специалист.
Службы безопасности применяют всевозможные виды контроля – от просмотра логов, изучения трафика до опросных бесед и проверках на полиграфе. Все методы можно разделить на две группы.
Технические. О них мы уже говорили. Программы мониторинга (DLP-системы) автоматически уведомляют, если сотрудник ведет переписку с конкурентом, пытается отправить документы с коммерческой тайной, ведет переговоры о вознаграждении и т.д. Большое преимущество таких программ в том, что они не тревожат безвинных сотрудников пустыми подозрениями, а в отношении реальных нарушителей позволяют собрать доказательства вины. Системы обнаружения угроз информбезопасности (Security Information and Event Management) собирают сведения из журналов корпоративных систем, системы файлового аудита следят за операциями с документами: копированием, изменением прав доступа и др.
Нетехнические. Служба безопасности или руководитель может временно перевести человека на должность без доступа к конфиденциальным данным и наблюдать за реакцией. Для проверки подозрений используются и другие способы вроде щедрого предложения якобы от конкурента. Что касается полиграфа или опросной беседы, то они применяются в самую последнюю очередь, когда работодатель вынужден раскрыть карты и признать, что у него есть подозрения.
Как предотвратить утечку информации
Эксперты сходятся во мнении, что легче предотвратить утечку информации, чем выявлять «крота» когда он уже появился. Что делать для этого, рассказал корреспонденту «МИР 24» Михаил Яхимович.
«Во-первых, необходимо разграничить доступ, – говорит специалист. – Каждый сотрудник организации должен обращаться только к той информации, которая ему нужна для работы. Если все ценные данные хранятся в одном месте, а скопировать их может кто угодно (от секретаря до топ-менеджера), утечка становится лишь вопросом времени».
Во-вторых, по словам эксперта, следует использовать биометрическую идентификацию. Скажем, современные компьютеры поддерживают вход по отпечатку пальцев. Как альтернативу имеет смысл задействовать функциональность распознавания лиц. Она имеется на современных компьютерах, поддерживается свежими версиями операционных систем и включена в состав специальных комплексов мониторинга.
В-третьих – и это самое главное – контроль действий персонала с учетом анализа нетипичного поведения. По мнению Яхимовича, сегодня это ключевой фактор защиты данных. Даже если персонал максимально лоялен, не стоит упускать из виду внешние факторы – такие, как, например, фишинг и социальная инженерия. Из-за них слабым местом в кибербезопасности может стать добросовестный сотрудник, у которого и в мыслях не было ничего похищать.