Чужой среди своих:
как снизить риски от действий
сотрудников?
71% организаций уязвимы перед внутренними угрозами. Утечки информации, откаты, фирмы-«боковики», подделка документов, безделье – проблемы организаций из любой сферы и любого масштаба. Инциденты по вине собственных сотрудников приводят к репутационным и финансовым потерям, а в некоторых случаях и к уничтожению бизнеса. И все это происходит в корпоративной сети: на ПК сотрудников, облачных бизнес-платформах и почтовых серверах.
Уберечь организацию от подобных инцидентов помогает DLP-система. «СёрчИнформ КИБ» – ключевой продукт российского рынка защитных решений. Программа в режиме реального времени анализирует все, что происходит в компании и помогает выявить инциденты и пресечь потенциальные риски ИБ.
Как DLP обеспечивает контроль
Главная задача DLP – защита от утечек информации. Для этого «СёрчИнформ КИБ» контролирует любые каналы, по которым в компании передается информация: почту, мессенджеры, флешки, принтеры, удаленные сеансы, работу сотрудников в интернете и в «облаках». Всего это более десятка разных способов передачи данных, через которые могут утечь конфиденциальные данные. Система фиксирует даже нетипичные способы «сливов»: например, когда сотрудник фотографирует данные с экрана рабочего компьютера на смартфон.
КИБ анализирует рабочую активность сотрудников, даже если она вышла за рамки ПК. Например, интегрируясь на сервер корпоративного ПО. Интеграция по ICAP, API и др. позволяют выявлять и блокировать утечки, например, в VK WorkSpace, «МойОфис Документы Онлайн», Microsoft 365, Яндекс 360 и других веб-платформах совместной работы. Всего в КИБ более 10 механизмов интеграции, все настройки можно задать прямо в консоли DLP без написания кода. К тому же вместе с КИБ заказчик получает готовые сценарии интеграций, которые легко персонализировать с небольшими доработками.
Как это работает?
1. Против утечек
Для автоматического обнаружения инцидентов в DLP существуют политики безопасности. Это алгоритмы, которые ищут подозрительное в трафике, которым обмениваются сотрудники, и в их активности за ПК. В «СёрчИнформ КИБ» есть больше 250 предустановленных политик безопасности и легко создать свои. В «стандартном наборе» есть политики, которые ищут, например, копирование конфиденциальных документов на флешку, переписку с конкурентом, передачу рабочих файлов в публичных мессенджерах и др.
«СёрчИнформ КИБ» не просто выявляет инциденты, но и пресекает их. Для этого в системе есть блокировки для всех каналов: от способов связи до посещения сайтов и запуска программ. КИБ блокирует передачу информации по контенту. К примеру, сотрудник не сможет отправить в чат персональные данные клиентов или вложить в письмо внешнему адресату документы «Для служебного пользования». Блокировки можно настроить также для текста в изображениях – картинка со сканом договора будет защищена так же, как оригинальный документ в текстовом файле.
Еще КИБ блокирует звонки и аудиосообщения в мессенджерах, передачу «тайных посланий» в QR, скрытых слоях PDF и пр. В том числе, система блокирует утечки через чат-боты. Кроме передачи данных, система способна ограничить опасные действия сотрудников: например, посещения подозрительных ресурсов или использование нежелательного ПО.
не допустить утечку
2. Против мошенничества
DLP-система «СёрчИнформ КИБ» фиксирует любые нетипичные действия сотрудников за ПК. Благодаря этому ИБ-специалист может на ранних стадиях обнаружить признаки корпоративного мошенничества: откатов, подделки документов, корпоративного шпионажа и всевозможных махинаций.
Например, служба безопасности получит уведомление уже при первых признаках взаимодействия сотрудника с контрагентом по поводу «вознаграждения», даже если тема «откатов» не затрагивается напрямую в сообщениях. В составе КИБ есть тематические словари, которые распознают «тайный» сленг.
Это помогает контролировать группы риска. Например, система обнаруживает наркотическую и алкогольную зависимость, игроманию, наличие долгов, экстремистских убеждений, проблем с законом у сотрудников и т.д. – все, что потенциально способно толкнуть их на ИБ-нарушение. КИБ автоматически выявляет посещение сайтов онлайн-казино, микрозаймовых организаций или использование теневых браузеров.
3. Против «мнимых тружеников»
Дополнительно КИБ отслеживает продуктивность пользователей: во сколько они включают и выключают рабочий ПК, сколько времени за ним проводят, в каких программах работают. Система «увидит», если сотрудник половину рабочего дня проводит за просмотром роликов, онлайн-играми или шопингом.
Это эффективно и против «мнимых тружеников». Программа начинает отсчитывать период неактивности, если мышь или клавиатура «спят» дольше заданного времени. Кроме того, в КИБ есть атрибут «виртуальная активность», который определяет имитацию активности с помощью программ-автокликеров или зажатия клавиш на клавиатуре.
КИБ зафиксирует, если сотрудник готовится к увольнению (просматривает вакансии, составляет и рассылает резюме). Система поможет вовремя вмешаться, чтобы сохранить ценного сотрудника, или помешать ему унести с собой «наработки».
Все данные об активности и продуктивности система собирает в наглядные отчеты, которыми удобно делиться с руководителями отделов или HR-службой.
холдинг выбирал DLP
«СёрчИнформ КИБ» как платформа для внутренней ИБ
Система осуществляет постоянный мониторинг и сохраняет в архив все, что видит. Это облегчает расследование инцидентов, когда важно не упустить детали. КИБ покажет связи пользователя, помогая определить сотрудников, причастных к инциденту, а также поможет установить, кто именно находился за компьютером во время нарушения.
Таким образом, DLP аккумулирует максимум информации о движении данных и пользовательской активности в корпоративной инфраструктуре. У службы ИБ складывается полная и актуальная картина ситуации в компании. Это делает КИБ базовым инструментом для контроля любых внутренних рисков. А благодаря развитым возможностям интеграции функционал DLP можно «дорастить» с помощью данных из других СЗИ. Например, КИБ бесшовно интегрирован с DCAP-системой «СёрчИнформ FileAuditor» и «СёрчИнформ SIEM», что позволяет защищать данные на всех уровнях.
Больше об инструментах безопасности: