Анализ коммуникаций: как проводить, какие нарушения позволяет выявить

Ретроспективные расследования с помощью DLP-системы.

Авторы: Ева Сызрайская, Виктория Снопкова

До внедрения DLP-системы CISO может только догадываться об объеме нарушений политик внутренней безопасности сотрудниками компании. При первичной инсталляции Solar Dozor можно просканировать накопленный почтовый архив, облачные хранилища, рабочие станции сотрудников модулем File Crawler и под чутким кураторством аналитиков провести ретроспективный анализ коммуникаций, чтобы понять масштабы внутренних угроз и учесть нюансы защиты в политике безопасности.

В одной промышленной компании, исполняющей в числе прочих государственные заказы, конечно, работали жесткие политики информационной безопасности, строгие регламенты и бескомпромиссные ограничения. Работники компании понимали, в каких геополитических условиях они работают, как важно соблюдать требования СБ.

Однако ретроспективный анализ коммуникаций с помощью Solar Dozor показал реальную картину происходящего, отличную от видимой невооруженным DLP взглядом. И всё же в оправдание сотрудников оговоримся, что большинство нарушений были так называемым «выученным инсайдом» - когда лояльные и ответственные сотрудники обходят регламенты для более быстрого и эффективного решения рабочих задач, то есть действуют в интересах работодателя.

Представляем вам примеры типовых нарушений, выявленных при ретроспективном анализе коммуникаций в вышеупомянутой компании.

Вечная классика

При ретроспективном анализе было обнаружено, что менеджер по продажам Р. в день увольнения отправил за корпоративный периметр конфиденциальные сведения.

Сотрудник скопировал из файлового хранилища на рабочую станцию финансовые показатели подразделения, списки клиентов и партнеров, в том числе из иностранных государств. Переименовал документы в абстрактные «1111» и подобные и направил на адрес бесплатного почтового сервиса. Адрес содержал в себе цифры номера мобильной связи нарушителя – скорее всего это была его личная почта.

К сожалению, предпринимать какие-то действия было уже поздно. Критически важная информация утекла вместе с Р. к конкурентам. Однако для офицера СБ это веская причина ставить увольняющихся сотрудников на особый контроль и наблюдать за их действиями. Даже если сотрудник официально еще не объявил об уходе из компании, модуль UBA (User Behavior Analytics) может выявить проявление паттернов будущего увольнения и указать офицеру на потенциального нарушителя.

И нашим, и вашим

С рабочей почты одного из сотрудников на внешний адрес был зафиксирован регулярный трафик. Переписка не была содержательной, но говорила о многом: абстрактные названия вложений, пустые темы письма, отсутствие приветствий, обращений и комментариев в теле письма – контрагентам обычно так не пишут. При этом очевидно, что получатель файлов в курсе, что в них и с какой целью они отправлены.

Изучение вложений еще больше запутало дело. Информация в файлах относилась к неизвестной компании…

В итоге внешний адрес был идентифицирован как личная почта сотрудника. А неизвестная компания – еще один работодатель нарушителя. Сотрудник использовал рабочее время для подработки на другую организацию.

Хороший мальчик

Анализируя исходящие письма на адреса бесплатных почтовых сервисов, мы обнаружили, что один из сотрудников отправил на двух внешних получателей презентацию и доклад с конфиденциальной информацией, относящейся к выполнению государственного контракта. Доклад должен был состояться на закрытом мероприятии в не менее закрытой организации, а отправитель был докладчиком.

Один из адресов был идентифицирован как личная почта сотрудника, второй внешний получатель – неизвестен.

Из пояснений сотрудника, отправившего информацию за пределы контура организации: «Организаторы мероприятия сказали, что им будет удобнее получить презентацию на личную почту. А себе я отправил доклад, чтобы подготовиться дома к выступлению».

Возможно, в другое время и в другой компании этот случай остался бы незамеченным, однако в текущей геополитической обстановке такое обращение с конфиденциальными данными недопустимо и может нанести ущерб не только интересам компании, но и серьезному госзаказчику, если вы понимаете, о ком я.

утечки по причине перегруженности и выгорания сотрудника

Работник месяца

В интересах работодателя нарушал и руководитель отдела кадров М. Анализ коммуникаций по каналу «Исходящая почта» позволил обнаружить отправку служебных документов, содержащих персональные данные за контролируемый периметр.

М. направил в конце рабочего дня ряд кадровых документов на личную почту, а ночью в ту же ветку переписки вернул доработанные материалы на корпоративный адрес. Таким образом, можно сделать вывод, что сотрудник в личное время работает со служебными документами дома.

Если такая ситуация не единичная, можно предположить нехватку персонала в отделе кадров, наличие проблем в процессах и риск эмоционального выгорания сотрудника на руководящей должности.

В DLP-системе Solar Dozor есть функция контроля рабочего времени для предупреждения HR-проблем в компании. Для офицера безопасности эта информация важна, так как перерабатывающий сотрудник чаще стремится обойти регламенты, может быть нелоялен и задумываться об увольнении – что влечет риски корпоративной безопасности и утечки данных.

Личные приоритеты

Следующий инцидент – прямо противоположный. Пока одни работники направляют служебные документы для исполнения дома, другие используют рабочее время для решения посторонних задач.

В переписке между менеджерами одного отдела обнаружилось, что оба почти весь день искали в интернете, где купить книги по оккультным практикам, обменивались ссылками на интернет-магазины, обсуждали условия доставки. При этом один из них создал документ, в который записывал сайты и цены, а вечером отправил список себе на личную почту.

Кажется, нужно перевести нарушителей в отдел кадров помощниками к М. из предыдущего кейса.

Розовые очки

Громкие истории утечек конструкторской документации были во все времена и во всех технологически развитых странах, конкурирующих на международных рынках. Очевидно, что в наше сложное время утечки инженерных наработок совершенно недопустимы!

Однако сотрудник Д. жил в розовых очках и считал, что отправить чертежи на внешний адрес бесплатного иностранного почтового сервиса вполне безопасно. Обнаружился инцидент при целевой проверке нарушений регламента передачи конструкторской документации – были проанализированы сообщения, в которых фигурировали документы формата .cdw.

Серьезное нарушение повлекло полную проверку коммуникаций между Д. и неизвестным внешним адресатом. В переписке обнаружились и другие чувствительные данные, в том числе целые архивы с документами, чертежами и схемами – разумеется без пароля.

Наверное, этот нарушитель не переплюнет забывчивого сотрудника британских ВМС, который оставил секретные чертежи атомной подводной лодки Anson в пабе в пяти минутах ходьбы от верфи. Однако, по сути, эти случаи схожи.

подозрение инсайдера в умышленной утечке

Подозрительные лица

Внезапная находка была обнаружена при анализе коммуникаций программиста 1С. Он направил на адрес личной почты файл, содержащий сведения о выручке предприятия с разделением по отделам и менеджерам. Эта информация является коммерческой тайной и не имеет прямого отношения к служебным обязанностям сотрудника – то есть явно была отправлена не с целью поработать над ней из дома.

Распространение этой информации может нанести ущерб экономическим интересам компании. Сотруднику ограничили права доступа и поставили в DLP-системе на особый контроль, чтобы убедиться в отсутствии у него корыстных умыслов на вывод финансовой информации.

коммуникация с контрагентами с зеркального адреса почты

Кривое зеркало

Один из сотрудников поставил утечки на поток! Работая в коммерческом отделе, он создал зеркальный адрес корпоративного почтового ящика на бесплатном почтовом сервисе, скажем, companyname@mail.ru.

На этот ящик он отправлял информацию для взаимодействия с контрагентами с рабочей почты. А вот с кем и о чем велись переписки с зеркального адреса – остается только догадываться.

Со слов нарушителя так он упрощал коммуникацию с контрагентами, и часть контрагентов подтвердила, что общалась с менеджером через подставной адрес. Но служба безопасности заподозрила среди мотивов сокрытие корреспонденции и, как следствие, возможную мошенническую и коррупционную составляющую – обсуждение рибейтов, бонусов, давление, сговор и подобн. Ведется внутреннее расследование.

мониторинг коммуникаций и аналитика событий в DLP-системе

ЗАКЛЮЧЕНИЕ

Принимать ли красную таблетку DLP-реальности или предпочесть синюю и полагаться на сознательность сотрудников и их понимание необходимости соблюдения политик безопасности – каждый офицер безопасности решает сам, исходя из личных мотивов, задач ТОП-менеджмента, сферы деятельности и возможных рисков компании, обязательств перед регуляторами.

Рынок кибербезопасности сейчас предлагает большой выбор DLP-решений для компаний любого масштаба и специфики. DLP-системы, помимо изначальных задач снижения рисков утечки информации, способны вести мониторинг рабочей активности и продуктивности персонала, с помощью технологий User Behavior Analytics прогнозировать рисковое поведение и вероятность увольнения, представить широкий инструментарий для проведения внутренних расследований по подозрению в мошенничестве и коррупции. Большой пул задач и процессов службы безопасности уже автоматизирован.

Если после ретроспективного анализа коммуникаций или прочтения этой статьи вам кажется, что управлять хаосом невозможно – поверьте, в DLP есть все инструменты чтобы заставить политики безопасности работать. По крайней мере, они есть в системе Solar Dozor.