Внутренние угрозы: умышленный вред вашей компании

Эксперты по интеграции информационных технологий Дэвид Аптон (David Upton) и Сэди Кризе (Sadie Creese) считают, что наибольшую информационную опасность для компании представляют не хакеры, пытающиеся проникнуть снаружи, а внутренние угрозы, то есть, собственные сотрудники, желающие причинить вред компании.

Внутренние угрозы — где уверенно живут опасности

Владение сотрудниками информацией, которая противоречит интересам предприятия, представляет внутреннюю информационную угрозу. Результатами таких действий бывают остановка работы компании, экономический ущерб, потеря информационных ресурсов, потеря репутации, проблемы в отношениях с партнёрами и так далее.

Поскольку все компании используют трудовые ресурсы, обладают корпоративными ресурсами и владеют информацией, то внутренняя информационная угроза существует для всех компаний и сама исчезнуть не может.  Угрозу предприятию составляют разглашение информации и её несанкционированное изменение.

Сотрудники могут причинять компании умышленный и неумышленный вред.

Внутренние угрозы — умышленный вред со стороны сотрудника

внутренние угрозы - умышленный вред компании

Насколько актуальна угроза умышленного вреда — зависит от сотрудников, их морали, честности, лояльности, преданности компании, от отношений между сотрудником и компанией. У честного и удовлетворенного зарплатой и условиями труда сотрудника, который согласен с политикой компании, нет повода наносить ей ущерб. У обиженного, профессионально не реализованного, не разделяющего ценности и нормы поведения компании сотрудника такой повод есть.

Внутренние информационные потери

К ним относятся такие:

  • разглашение конфиденциальной информации:
    Информация выкладывается на сайты, печатается в газетах, становится общедоступной.

Например, сотрудник автомобильного завода передал в газету фотографии нового автомобиля. Фирма пострадала, так как интерес общества, подогреваемый рекламной кампанией, пропал.

  • передача информации конкурентам.

Например, сотрудник рассказал конкурентам дату презентации новой модели телефона. Фирма пострадала, так как конкуренты запланировали свою презентацию на тот же день.

  • манипуляции (изменения) с информацией.

Например, сотрудник уменьшил закупочную цену в расчетных документах. Фирма пострадала, запланировав меньше затрат и не закупив необходимое количество товара.

  • удаление информации.

Например, сотрудник удалил телефоны клиентов из компьютерной базы. Фирма пострадала, так как не может обслуживать клиентов.

Как утекает Корпоративная информация:
  • по электронной почте;
  • через копии на USB-носителях, дисках, бумажные копии;
  • загрузка материалов на файловые сервисы;
  • создание фото на телефоне;
  • сохранение данных на телефон через Bluetooth, USB или WIFI;
  • вирус или программа, которая крадет пароли или наносит вред компьютеру.

Учитывая тему статьи – умышленный вред, стоит рассказать и о целях сотрудников-злоумышленников, которые они преследуют и которые представляют внутренние угрозы своим компаниям. Цели делятся на два типа:

  • Нематериальная. Когда человек желает отомстить, получить моральное удовлетворение на обиду, нанеся вред компании. Это часто бывает при трудовых спорах и конфликтах как между сотрудниками, так и руководителями и сотрудниками.

Например, сотрудник передаёт информацию конкуренту, так как был обижен или недооценен руководителем компанией. Компания пострадала, потеряв интеллектуальную собственность, ценную и уникальную информацию, которая делает их более конкурентной на рынке.

  • Материальная. Целью в этом случаи есть желание заработать дополнительные деньги, продав информацию или материальные активы компании, если у сотрудника есть к ним доступ. Маленькая зарплата — это не всегда повод для такого вида мошенничества, скорее это образ жизни и качества человека, решившего подзаработать.

Например, системный администратор скопировал базу данных и скрыто торгует, предлагая знакомым конкурентам. Или важные конфиденциальные документы были прочитаны им и он решил на них заработать, продавая или информируя других за вознаграждение. Видно, что в таких компаниях теряется не только материальная составляющая, но и репутация, имидж и позиции на рынке.

Внутренняя информация компании подвержена опасностям со стороны штатных и внештатных сотрудников, контрактников, стажеров, партнеров – всех, кто имеет доступ к техническим ресурсам компании и компьютерным системам, например, CRM, документообороту, 1С, терминальным подключениям и так далее.

Компаниям необходимо хорошо обдумать и проанализировать все слабые места в безопасности и использовать технические средства и методы против них, как на уровне руководства, так и на уровне технического персонала, на какой бы короткий срок сотрудники не приходили.

Например, человек под видом стажера устроился в компанию, ему выдали доступ к внутренним системам для выполнения своих обязанностей. За два дня он скопировал важные данные, которые в дальнейшем смог продать. Причина – это открытый доступ к конфиденциальной информации. Рассмотрим методы для защиты внутренней информации компании.

Методы защиты от внутренних угроз

защита от утечки информации

1. Ограничение доступа к информации

  • Предоставляйте  доступ к информации, к данным, программам, проектам по необходимости или по требованию. Не всем сотрудникам, а лишь тем, кому он нужен для работы. После окончания работы доступ закрывайте;
  • Учитывайте глубину доступа: не выдавайте полного доступа непроверенным сотрудникам или тем, кому хватает для работы минимальных прав;
  • Ведите инвентаризацию доступов. Вы должны знать, кто и к каким ресурсам компании имеет доступ;
  • Закрывайте доступы сотрудникам, покидающим компанию;
  • Меняйте пароли доступов для новых сотрудников.

Например, сотрудник просит дать доступ к проекту. Узнайте, зачем и для каких целей это требуется и разделите эти доступы в рамках этого проекта, не открывайте ему все данные, которые не требуются для его работы.

2. Проверка и контроль работы сотрудников

Проверяйте содержание выполняемых работ сотрудников, что и как они выполняют, соответствуют ли они требуемым показателям и какие результаты приносят. Как тратится время и предоставленные ресурсы: какие сайты и программы используются.

Например, сотрудник работает с важными документами, а вам нужно понимать, какие из них он открывал, копировал или составлял. В каких текстовых программах работал и что выполнял.

3. Контроль исходящего трафика: почтовые адреса, размер файлов, содержание писем

Данный вид контроля требуется не всегда, он требует применения дополнительных технических средств в компании для анализа трафика и внутренних угроз — это DLP системы. Сотрудники отправляют письма большого размера, используют прикрепленные файлы – кому адресуются и каково содержание документов?

4. Запрет на использование личных устройств: ноутбуков, USB-накопителей, дисков

Данный метод подходит для компании или отдела, где конфиденциальная работа является приоритетом. Наилучшим способом защита обеспечивается запретом использования личных технических средств в работе. Минимальные меры предосторожности — это ограничение подключения к компьютеру USB устройств.

Сотрудник вставил устройство в USB-порт – зачем?

5. Контроль жизненного цикла информации: начиная от её создания или поступления и до уничтожения или утраты актуальности.

Согласны ли вы, что наибольший вред приносят собственные сотрудники, а не хакеры?
Поделитесь своей информацией и опытом: возможно, у вас есть свои примеры или случаи угроз. Как вы их решаете?

Какие наибольшие опасности представляются для компаний:

  • распространение информации,
  • утечка информации к конкурентам,
  • порча информации,
  • удаление информации,
  • ваш вариант.

Статьи по теме:

Leave a Reply

Вход в личный кабинет

Авторизуйтесь для просмотра статистики работы

©InspectSystem 2020

 

Создание аккаунта

Для установки программы и начала сбора статистики

©InspectSystem 2020