Бережный уход. DLP от InfoWatch предотвращает риски при увольнении сотрудника

«По данным экспертно-аналитического центра InfoWatch, более половины сотрудников совершают те или иные умышленные или неумышленные деструктивные действия перед увольнением. Из этих действий почти две трети – это попытки вывода коммерческой или технической информации, которая в большинстве современных организаций является одной из основных оберегаемых ценностей. Соответственно, такие случаи – когда сотрудник увольняется и его ничего не связывает с компанией в будущем – это, конечно, зона особого риска и предмет повышенного внимания отделов информационной безопасности», – комментирует руководитель направления InfoWatch Employee Monitoring Сергей Кузьмин.

Для мониторинга деятельности собирающегося уволиться сотрудника применяется, в первую очередь, DLP-система InfoWatch Traffic Monitor, назначение которой – предотвращение утечек и контроль трафика. Если увольняющийся сотрудник предпримет попытку вывода ценной информации за периметр организации, DLP-система помешает ему это сделать.

Помимо основной системы InfoWatch разработала несколько дополнительных модулей для защиты, мониторинга и аналитики, которые лицензируются отдельно.

DCAP-система (Data-Centric Audit and Protection) InfoWatch Data Discovery производит аудит хранения данных на файловых ресурсах организации, в том числе на ПК сотрудников. Прежде всего это проверка прав доступа и тех файлов, с которыми сотрудник работает, она необходима для понимания того, откуда и какие файлы могут утечь.

Модуль InfoWatch Vision – это BI-система, которая визуализирует картину коммуникаций сотрудника, а также статистику его нарушений и их тематику.

InfoWatch Prediction – это UBA-система (User Behavior Analytics) на основе технологии искусственного интеллекта, которая автоматически предсказывает появление того или иного сотрудника в группах риска.

InfoWatch Activity Monitor – это модуль, который контролирует действия сотрудников за их рабочими станциями и выводит статистику – цифровую картину рабочего дня. Отдел ИБ может заинтересоваться как детализацией конкретной информации в случае подозрения на правонарушение, так и общим статистическим обзором перед увольнением.

Этот пул программных средств в разных сочетаниях может применяться в нескольких сценариях.

Предотвращение корпоративного мошенничества

Анализ действий сотрудника и контроль трафика может помочь обосновать увольнение, если служба безопасности предполагает злой умысел со стороны сотрудника или сговор группы сотрудников. Например, это может быть сговор с целью увести из компании контракт или такую чувствительную техническую информацию, как результаты НИОКР. Типовой сценарий начинается с запроса от службы экономической безопасности, которая по своим каналам выявила риск мошенничества. С помощью инструментов информационной безопасности необходимо подтвердить или опровергнуть это подозрение, а в случае подтверждения – предоставить факты для последующего разбирательства.

Ответить на вопрос, действительно ли человек замешан в корпоративном мошенничестве, поможет анализ сайтов, которые он посещает, и приложений, которыми пользуется – насколько это соответствует профилю его работы. Модуль Activity Monitor позволяет посмотреть перечень наиболее часто используемых сотрудником (или командой) приложений и веб-сайтов. Например если человек стал использовать редактор изображений и это не связано напрямую с его должностными обязанностями, – возможно, он изменяет какую-то информацию на картинках или изменяет формат файлов для их копирования на внешний носитель.

Одна из новых функций Activity Monitor – возможность прослушать запись (длиной от минуты до двух часов) переговоров сотрудника  во время онлайн-конференций, сделанную с микрофона рабочей станции. Использовать аудиозапись из архива офицеры безопасности могут при необходимости совместно. Можно выделять в этой записи нужные участки, добавлять ее в избранное, скачивать на свой компьютер. Триггером для формирования таких аудиофайлов является вход сотрудника на веб-конференцию. В ближайшее время к этому добавятся другие триггеры – например, включение записи в определенное время или после ввода определенного текста.

Наконец, в случае подозрения в массовом сговоре сотрудник СБ может проанализировать связи одного подозреваемого с группой других сотрудников. Для этого в модуле InfoWatch Vision присутствует граф связей. Диаграмма показывает все направления коммуникаций определенного сотрудника, но можно поставить фильтр (по типу контакта, объему зафиксированных нарушений и т. д.) и выделить из общей карты коммуникаций узкую группу.

Контроль увольняющегося

DLP-система может быть задействована в работе с увольняющимся сотрудниками: когда человек уже написал заявление «по собственному желанию», и необходимо минимизировать риски утечки. Система дает возможность понять, к какой конфиденциальной информации сотрудник имеет доступ, как он с ней работает, имеет ли он доступ к документам, которые не относятся к его деятельности. Если же произошел инцидент, важно детально изучить, куда и в какой последовательности сотрудник этот файл отправлял.

За аналитику статичных данных отвечает модуль InfoWatch Data Discovery, предназначенный для быстрой инвентаризации файлов в корпоративном хранилище с помощью анализа метаданных. Система позволяет находить файлы при сканировании, группировать их по различным атрибутам (размер, тип, дата), отслеживать права доступа и т. д. Сотрудник ИБ видит все файлы, доступные определенному сотруднику, и может обратить внимание на файлы с подозрительными заголовками. В дальнейшем в Data Discovery появится механизм кластеризации, с помощью которого можно будет сразу понять тематику данного документа и ключевые слова.

Далее в модуле Activity Monitor анализируется история действий сотрудника с вызвавшим подозрение файлом: откуда файл к нему попал, был ли он переименован, сколько раз был изменен и т. д. Доступен фильтр по типам операций: перемещение, копирование, переименование и прочее. Такое логирование позволяет понимать, правомерно ли работает человек с этим файлом, делал ли он попытки куда-то его скопировать, менял ли формат. Например, если сотрудник копирует документ на флешку, а потом быстро файл удаляет с жесткого диска своего ПК, это выглядит подозрительным.

Наконец, в модуле Vision на графе связей можно отследить путь движения файлов внутри компании и понять, кто является источником этого файла, кто основные его держатели и пользователи.

Прогнозирование увольнения

Модуль InfoWatch Prediction на основе технологии ИИ формирует и рассчитывает группы риска сотрудников, создавая своеобразные рейтинги сотрудников по различным факторам. В ситуации с увольнением, например, специалиста ИБ могут интересовать группы «Подготовка к увольнению», «Снижение производительности» и «Нелояльные сотрудники».

Группа «Подготовка к увольнению» создается в процессе анализа профиля поведения человека за предыдущие периоды, его типичных и аномальных действий: например, посещения веб-сайтов, наличия тематики поиска работы в обсуждениях, работы с определенными файлами, составления резюме.

Группа риска «Снижение производительности» работает с такими аномалиями, как сокращение рабочего дня или наличие опозданий. Косвенно это может свидетельствовать как о выгорании, так и о размышлениях об увольнении.

Группа риска «Нелояльные сотрудники» составляется на основе лингвистического анализа и фиксирует использование нецензурной лексики в корпоративной переписке, признаки ухудшения микроклимата. Нелояльный участник команды может в любой момент уйти из нее, а в худшем случае – увести за собой коллег.

Если один и тот же сотрудник фигурирует во всех трех обозначенных рейтингах, это признак того, что на него стоит обратить особо пристальное внимание. Дальнейший мониторинг за ним производится в модуле Activity Monitor. Модуль Vision так же применим здесь – для оценки интенсивности коммуникаций. Как правило, если сотрудник собирается увольняться, его карта коммуникаций сужается.

Комплекс мер для «бережного ухода»

Использование комплекса решений InfoWatch позволяет достичь максимально полного и эффективного результата в случае, когда увольнение сотрудника представляет опасность корпоративным данным.

«Система InfoWatch, с учетом всех ее модулей, позволяет сотрудникам ИБ решить широкий спектр задач. С ее помощью можно заметить грубые нарушения, когда мы точно знаем, что сотрудник собирается уволиться, и есть подозрения в нарушениях. Можно четко понять, что человек хочет уволиться, еще до подачи им заявления. Также DLP-система дает возможность увидеть признаки подготовки к увольнению. Пожалуй, самое ценное здесь – это прогнозирование, предиктивная аналитика, работа на опережение. В медицинской деятельности болезнь всегда легче предупредить на ранней стадии, чем лечить. В кадровой безопасности то же самое: если нам система заранее подсветила проблему, акцентировала внимание на сотруднике, мы сделали выводы и можем вовремя принять соответствующие меры», – резюмирует Сергей Кузьмин.

Отдельно спикер упоминает про совместимость решения InfoWatch с отечественными ОС на Linux: «Продукты InfoWatch работают на Linux-серверах, основная DLP система сейчас расширяет поддержку функциональности Linux как на серверах, так и на рабочих станциях. Совместимость подтверждена с самыми популярными отечественными ОС: ALT Linux, Astra Linux, РЕД ОС».