“Большинство организаций опасаются угроз информационной безопасности, исходящих из внешних источников, но злонамеренные действия инсайдеров, использующих свои права на некоторую внутрикорпоративную информацию, могут привести к еще большим рискам, - говорит Фрэнсис ДеСуза (Francis deSouza), президент группы корпоративных продуктов и сервисов Symantec. - В эпоху развития глобальных рынков, компании и государственные учреждения всех размеров сталкиваются со все большими сложностями при защите наиболее ценных ресурсов — интеллектуальной собственности — от конкурентов”.
Кража интеллектуальной собственности стоила бизнесу США более $250 миллиардов за один год, причем по данным ФБР, деятельность инсайдеров является основным инструментом оппонентов для кражи частных данных и главной причиной подобных утечек. Основываясь на эмпирическом исследовании, Эрик Шоу и Харли Сток определили ключевые модели поведения и индикаторы, свидетельствующие о краже интеллектуальной собственности инсайдерами. Некоторые шаблоны краж используются чаше всего:
Кража интеллектуальной собственности инсайдерами часто происходит на технических должностях: основная масса сотрудников, крадущих информацию, представлена мужчинами в возрасте около 37 лет, занимающими различные должности, включая инженеров и ученых, менеджеров и программистов. Большая их часть подписали соглашения о неразглашении. Это означает, что наличие одних только политик, без понимания и эффективного применения их сотрудниками, не даст результата;
Обычно информацию крадут сотрудники, получающие новую работу: около 65% сотрудников, совершивших кражу интеллектуальной собственности, переходят на новую позицию в компании-конкуренте, либо начинают свой бизнес во время кражи. Около 20% были наняты внешним злоумышленником, охотящимся за важными данными, и 25% передавали информацию в другую компанию или страну. В дополнение к этому более половины данных было украдено в последний месяц работы сотрудников;
Инсайдеры в основном крадут ту информацию, к которой имеют доступ: субъекты копируют данные, которые они знают, с которыми они работают и доступ к которым так или иначе разрешен. В действительности 75% инсайдеров крадут материал, к которому им предоставлен легитимный доступ;
Торговые секреты чаще всего передаются инсайдерами: в 52% случаев были украдены именно торговые секреты. Бизнес-информация, такая как данные биллинга, прайс-листы и другие административные данные, крадется только в 30% случаев. Исходный код копируется в 20% случаев, частное ПО – в 14%, информация клиентов – в 12% и бизнес-планы – в 6%;
Инсайдеры используют технические средства, но большинство краж обнаруживаются нетехническими сотрудниками: большинство субъектов (54%) используют сеть и электронную почту, каналы удаленного доступа или службы передачи файлов, чтобы передать украденные данные. Однако большинство краж выявляется нетехническими специалистами;
Краже и увольнению предшествуют ключевые предпосылки: основные проблемы возникают до того, как инсайдер совершает кражу, и являются мотивацией для инсайдера. Ранее происходят психологические предпосылки, стрессы и соответствующее поведение – все это может быть индикатором риска инсайдерской атаки;
Понижение в должности приводит к планам о совершении кражи информации: важно уделять внимание тому, когда сотрудник начинает «думать об этом» и решает перейти к действию, либо его подговаривают другие люди. Это часто происходит в случае понижения по службе или когда карьерные ожидания не оправдываются.
Отчет включает в себя практические рекомендации для менеджеров и специалистов в области информационной безопасности, позволяющие подготовиться к рискам кражи интеллектуальной собственности. Среди них:
Создайте команду: чтобы ответить угрозе инсайдеров, организациям необходимо создать выделенную команду, состоящую из специалистов от отделов HR, информационной безопасности и юристов, которые сформируют политики, проведут обучение и отследят деятельность проблемных сотрудников;
Организационные меры: компаниям необходимо оценить, с каким уровнем риска они имеют дело, исходя из сопутствующих факторов – мораль сотрудников, конкурентные риски, действия врагов, наличие зарубежных соперников, привлечение контрагентов и т.д.;
Скрининг перед наймом: информация, собранная в процессе собеседования, поможет менеджерам по персоналу принимать осознанные решения и минимизировать риск приема на работу «проблемных» сотрудников;
Политики и практики: существует список специфических политик и практик, которые должны быть реализованы основными структурами компании;
Тренинги и обучение: они являются необходимой составляющей для обеспечения эффективности политик, если они не признаются, не понимаются или приносят недостаточный эффект. Например, большинство людей, крадущих информацию, в действительности подписывали соглашение о неразглашении. Организациям следует вести более детальные беседы с сотрудниками о том, какие данные можно, а какие нельзя передавать при переходе на другую работу, объясняя, к чему может привести нарушение данных соглашений;
Продолжительная оценка: без мониторинга эффективности применения политик, соответствие им будет понижаться, а риски инсайдерских атак - возрастать.
В дополнение к этому Symantec рекомендует:
Принимайте превентивные меры, выявляя рискованное поведение инсайдеров, за счет применения технологий информационной безопасности, таких как системы предотвращения утечек данных (DLP);
Внедряйте политики защиты данных, отслеживая неавторизованное использование конфиденциальной информации, а также информируйте сотрудников о нарушениях – это поможет повысить осведомленность персонала, удерживая их от кражи данных;
Информируйте менеджеров, службу HR и персонал, отвечающий за ИБ, когда существующий или уволенный сотрудник обращается к важным данным или загружает их нетипичным образом, благодаря технологиям мониторинга файлов, таким как Data Insight.
Эрик Шоу помогает корпорациям и государственным структурам проводить расследования действий инсайдеров, оценивать риски, исходящие от сотрудников и выявлять общий уровень рисков для организации. Он также помогает компаниям разрабатывать тренинги для обучения вопросам противодействия инсайдерам. Г-н Шоу является клиническим психологом, а также бывшим офицером разведки. Он участвовал в качестве эксперта на судебных процессах, связанных с инсайдерами, в том числе представляя Департамент Юстиции на недавно прошедшем деле Anthrax. Он является президентам компании Consulting and Clinical Psychology Limited, расположенной в городе Вашингтон. Эрик также специализируется на психолингвистических рисках, ему принадлежат восемь патентов в области ПО для контентного анализа, созданного для локализации, изучения и мониторинга действий недовольных сотрудников, способных совершить инсайдерскую кражу. Он занимает должность лектора в Элиотской Школе Международных Дел в Университете Джорджа Вашингтона и консультанта по поведенческим вопросам в Stroz Friedberg Incorporated, занимаясь международными исследованиями в области компьютерных преступлений.
Харли Сток является управляющим партнером Incident Management Group (IMG). Специализация г-на Стока – оценка высоких рисков на рабочем месте. Харли и его группа разработали программу превентивного воздействия с использованием судебной психологии, лингвистического анализа, протекционных мер, а также внедрения инновационных трудовых и политических стратегий для реализации индивидуальных и исполнительных превентивных программ. Сервисы управления угрозами IMG используются многими компаниями из списка Fortune 500, а также правительством США. Г-н Сток помогает клиентам пройти через сложные этапы ведения процессов и предоставляет специалистам, ответственным за принятие решений, стратегии оценки психологических факторов и средств безопасности и целый спектр практических рекомендаций. Он является одним из 250 сертифицированных присяжных психологов в США.
О корпорации Symantec
Корпорация Symantec — один из мировых лидеров в области решений для обеспечения безопасности, хранения данных и управления системами, которые помогают предприятиям и индивидуальным пользователям всего мира защищать свою информацию и управлять ею. Программное обеспечение и услуги корпорации эффективно защищают от информационных рисков, позволяя с уверенностью использовать и хранить информацию. Более подробные сведения можно получить по адресу www.symantec.ru.