Внутренние угрозы: умышленный вред вашей компании

Эксперты по интеграции информационных технологий Дэвид Аптон (David Upton) и Сэди Кризе (Sadie Creese) считают, что наибольшую информационную опасность для компании представляют не хакеры, пытающиеся проникнуть снаружи, а собственные сотрудники, желающие причинить ей вред.

Внутренние угрозы, где уверенно живут опасности

Действия сотрудников с информацией, которая противоречит интересам предприятия, представляет внутреннюю информационную угрозу. Результатами таких действий бывают остановка работы компании, экономический ущерб, потеря информационных ресурсов, потеря репутации, проблемы в отношениях с партнёрами и так далее.

Поскольку все компании используют трудовые ресурсы, обладают корпоративной ресурсами и владеют информацией, то внутренняя информационная угроза существует для всех компаний и сама не исчезнет.  Угрозу предприятию составляют разглашение информации и её несанкционированное изменение. Сотрудники могут причинять компании умышленный и неумышленный вред.

Умышленный вред со стороны сотрудника

умышленный вред

Насколько актуальна угроза умышленного вреда зависит от сотрудников: их морали, честности, лояльности, преданности компании, от отношений между работником и компанией. У честного и удовлетворенного зарплатой и условиями труда сотрудника, которые согласен с политикой компании, нет повода наносить ей ущерб. У обиженного, профессионально не реализованного, не разделяющего ценности и нормы поведения компании – есть.

Внутренние информационные потери

К ним относятся такие:

  • разглашение конфиденциальной информации;
    Информация выкладывается на сайты, печатается в газетах, становится общедоступной.

Например, сотрудник передал в газету фотографии нового автомобиля. Фирма пострадала, так как интерес общества, подогреваемый рекламной кампанией, пропал.

  • передача информации конкурентам;

Например, сотрудник рассказал конкурентам дату презентации новой модели телефона. Фирма пострадала, так как конкуренты запланировали свою презентацию на тот же день.

  • манипуляции (изменение) с информацией;

Например, сотрудник уменьшил закупочную цену в расчетных документах. Фирма пострадала, запланировав меньше затрат и не закупив необходимое количество товара.

  • удаление информации;

Например, сотрудник удалил телефоны клиентов из компьютерной базы. Фирма пострадала, так как не может обслуживать клиентов.

Как утекает Корпоративная информация:

  • по электронной почте;
  • через копий на USB-носителях, дисках, бумажных копий;
  • загрузка материалов на файловые сервисы;
  • создание фото на телефоне;
  • сохранение данных на телефон через Bluetooth, USB или WIFI;
  • вирус или программа, которая крадет пароли или наносит вред компьютеру.

Учитывая тему статьи – умышленный вред, стоит рассказать и о целях сотрудников-злоумышленников, которые они преследуют. Цель делится на два типа:

  • Нематериальная. Когда человек желает отомстить, получить моральное удовлетворение на обиду, нанеся вред компании. Это часто бывает при трудовых спорах и конфликтах как между сотрудниками так и руководителями и сотрудниками.

Например, сотрудник передаёт информацию конкуренту, так как был обижен или недооценен руководителем компанией. Компания пострадала, потеряв интеллектуальную собственность, ценную и уникальную информацию, которая делает их менее конкурентной на рынке.

  • Материальная. Целью в этом случаи есть желание заработать дополнительные деньги, продав информацию или материальные активы компании, если у сотрудника есть к ним доступ. Маленькая зарплата — это не всегда повод к такому виду мошенничества, скорее образ жизни и качества человека, решившего подзаработать.

Например, системный администратор скопировал базу данный и скрыто торгует, предлагая знакомым конкурентам. Или важные конфиденциальные документы были прочитаны им и он решил на них заработать, продавая или информирую других за вознаграждение. Видно, что в таких компаниях теряется не только материальная составляющая, но и репутация, имидж и позиции на рынке.

Внутренняя информация компании подвержена опасностям со стороны штатных и внештатных сотрудников, контрактников, стажеров, партнеров – всех, кто имеет доступ к техническим ресурсам компании и компьютерным системам, например, CRM, документооборот, 1С, терминальные подключения и так далее.

Компаниям необходимо хорошо обдумать и проанализировать все слабые места в безопасности и использовать технические средства и методы против них, начиная от руководства и заканчивая техническим персоналом, на какой бы короткий срок сотрудники не приходили.

Например, человек под видом стажера устроился в компанию, ему выдали доступ к внутренним системам для выполнения своих обязанностей. За два дня он скопировал важные данные, которые в дальнейшем смог продать. Причина – это открытый доступ к конфиденциальной информации. Рассмотрим методы для защиты внутренней информации компании.

Методы защиты от внутренних угроз

внутренние угрозы безопасности

1. Ограничение доступа к информации

  • Предоставлять  доступ к информации, к данным, программам, проектам по необходимости или по требованию. Не всем сотрудникам, а лишь тем, кому он нужен для работы. После окончания работы доступ закрывать;
  • Учитывайте глубину доступа: не выдавайте полного доступа непроверенным сотрудникам или тем, кому хватает для работы минимальных прав;
  • Ведите инвентаризацию доступов, вы должны знать, кто и к каким ресурсам компании имеет доступ;
  • Закрывайте доступы сотрудникам, покидающим компанию;
  • Меняйте пароли доступов для новых сотрудников;

Например, сотрудник просит дать доступ к проекту. Узнайте зачем и для каких целей это требуется и разделите эти доступы в рамках этого проекта, не открывайте ему все данные, которые не требуется для их работы.

2. Проверка и контроль работы сотрудников

Проверяйте содержание выполняемых работ сотрудников, что и как они выполняют, соответствует ли она, требуемым показателям и какие результаты принесла. Как тратится время и предоставленные ресурсы: какие сайты и программы используются.

Например, сотрудник работает с важными документами, а вам нужно понимать какие он открывал, копировал или составлял. В каких текстовых программах работал и что выполнял.

3. Контроль исходящего трафика: почтовые адреса, размер файлов, содержание писем;

Данный вид контроля требуется не всегда, он требует применения дополнительных технических средств в компании для анализа трафика и внутренних угроз — это DLP системы. Сотрудники отправляют письма большого размера, использует прикрепленные файлы – кому адресуются и каково содержание документов?

4. Запрет на использование личных устройств: ноутбуков, USB-накопителей, дисков;

Данный метод подходит для компании или отдела, где конфиденциальная работа является приоритетом. Наилучшим способом это обеспечивается запретом использования личных технических средств при работе. Минимальные меры предосторожности — это ограничение к подключению компьютера USB устройств.

Сотрудник вставил устройство в USB-порт – зачем?

5. Контроль жизненного цикла информации: начиная от её создания или поступления и до уничтожения или утраты актуальности.

Согласны ли вы, что наибольший вред приносят собственные сотрудники, а не хакеры?
Поделитесь своей информацией и опытом: возможно у вас есть свои примеры или случаи угроз, как вы их решаете?

Какие наибольшие опасности представляются для компаний:

  • распространение информации,
  • утечка информации к конкурентам,
  • порча информации,
  • удаление информации,
  • ваш вариант.

Статьи по теме:

Вход в личный кабинет

Авторизуйтесь для просмотра статистики работы

©InspectSystem 2017

Создание аккаунта

Зарегистрируйтесь в личном кабинете для начала работы

Вариант использования системы:

  • Контроль сотрудников
  • Родительский контроль

©InspectSystem 2017