Часть вторая. «За ушко и на солнышко»
В тот момент, когда опускаются руки, на сцене появляется относительно новый класс продуктов – комплексы мониторинга за сотрудниками. Эти программы умеют определять, что сотрудник делал в течение дня, какие программы запускал и сколько в них работал, какие письма отправлял и получал, о чем говорил по Skype и ICQ и многое другое. У этих программ две основные области применения: повышение эффективности работы сотрудников (надо сидеть не в «Одноклассниках», а работать в 1С) и безопасность (что мы сейчас и рассмотрим).
Нет, эти системы не позволят активно предотвратить передачу коммерческой информации, но это и не их задача. Зато с их помощью можно провести расследование деятельности сотрудников и выявить нестандартную криминальную (или нецелевую) активность. Количество таких программных комплексов не особенно велико, у каждой есть свои собственные «фишки». Я не буду устраивать сравнительный анализ: во-первых, это выходит за границы нашей истории, а во-вторых, и не очень корректно, ведь и наш Стахановец принадлежит именно к таким системам.
Однако вернемся к нашему злоумышленнику и его делишкам. Составим план, с помощью которого сможем идентифицировать этого милого человека и собрать достаточное количество доказательств, позволяющих компании распрощаться с ним либо передать в правоохранительные органы.
Итак, начнем.
Шаг первый. Мониторим активность всех сотрудников, в первую очередь тех, кто потенциально может совершить должностное преступление, то есть среднее звено. Смотрим все их необычные письма, сообщения в мессенджерах, переданные файлы. Звучит устрашающе, поскольку кажется, что придется перелопатить огромный объем информации. Однако это не так. Большинство писем и сообщений вполне стандартные, порожденные рабочим процессом. А искать (в том числе с помощью полнотекстового поиска) нужно нестандартные. Если сотрудник вдруг отсылает письмо не на рабочий адрес контрагента, а на ящик @rambler.ru, это повод проанализировать содержимое письма. Неплохой урожай может принести и поиск по словам «нужна информация», «давай заключим договор» и так далее. Кроме того, сотрудников ИБ должен насторожить факт отправки файла с подготовленным договором (при том, что компания не является ни одним из его контрагентов) и тем более с корпоративными данными по почте. Конечно же, вряд ли даже самый обнаглевший злоумышленник будет доверять почте фразы типа «твоя доля $2000, завезу в среду», но внимательный и креативный анализ источников (почты, сообщений мессенджеров, запросов в Интернете, выводимых за пределы компании файлов) достаточно быстро принесет свои плоды.
Шаг второй. Мы нашли людей, которые вызывают подозрения. Начинаем отделять агнцев от козлищ. Мониторим всю активность отобранных пользователей, делаем снимки их экранов, смотрим почту, включаем теневое копирование для всех их файлов и так далее. В результате через некоторое время будем четко понимать, несет ли этот человек угрозу компании или нет.
И наконец, шаг третий. Мы убедились, что сотрудник – преступник. Начинаем собирать доказательства и ждем момента, чтобы взять его с поличным. В частности, смотрим содержимое экрана подозреваемого, слушаем, что он говорит в микрофон компьютера, пишем видео всего, что он делает за день, ставим уведомления на определенные события, например на открытие редактирования определенных документов. И в момент, когда доказательства собраны, а сам злоумышленник (назовем его Александр Ч.) делает очередной неверный шаг, у его стола оказываются два сотрудника службы безопасности и предлагают пройти с ними.
Не буду размышлять о том, что может быть дальше. Хочу только сказать, что в нашем процессе использовался принцип воронки – вначале мы мониторили много сотрудников, но работали с малым объемом информации от каждого, а в конце – наоборот. При активных противоправных действиях злоумышленников такой процесс занимает 2–3 недели.
Вы спросите, а каков же конец моей истории? Увы, у этой истории пока нет конца. Группа компаний еще не использует ни одну из систем мониторинга сотрудников, а наш антигерой по-прежнему заботится о собственном благосостоянии за счет благополучия компании.