Контрразведка: что делать, если кто-то сливает информацию из вашей компании

Контрразведка: что делать, если кто-то сливает информацию из вашей компании

В 2016 году более двухсот российских компаний столкнулось со «сливами» конфиденциальных данных. Виновниками в большинстве случаев оказывались сотрудники. Существуют системы защиты данных, которые распознают конфиденциальный документ, перехватывают отправку за пределы домена организации и не дают записать информацию на флешку. Но есть и другая схема «слива»: документ распечатывают, копируют или делают снимок экрана компьютера. Вот что нужно, чтобы поймать изобретательного «крота».


Перехватываем бумагу


Этот рынок только начал рост, но уже есть продукты (например решения ILD, Safeguard PDF Security), способные отследить утечку копий конфиденциальных документов. Встраиваясь в корпоративные системы электронного документооборота, программа особым образом помечает каждую электронную версию документа. Сотрудник получает для работы индивидуальную копию с не видными глазу измененными расстоянием между словами или межстрочными интервалами. В случае утечки легко установить, кто «слил» информацию, даже если документ сфотографировали на смартфон. При этом алгоритм работы с документами в компании остается неизменным.


Кто и что сливает?

Источник: Аналитический центр компании InfoWatch

1. В 68% случаев утечек виновны рядовые сотрудники, в 8% — руководители организаций;

2. В России чаще всего сливают платежную информацию и персональные данные.


Нужно ли предупреждать сотрудников?


Этот вопрос должна решить служба безопасности совместно с топ-менеджментом компании.

— Если вы хотите быть открытыми и сообщаете сотрудникам о внедрении системы, вероятность «слива» падает: какой толк, если предателя сразу вычислят?

— Если сотрудники ничего не знают, служба безопасности получает карт-бланш на разведку и при утечке моментально вычислит «крота».


Сливы и технологии

Летом 2017 года американская Комиссия по ценным бумагам и биржам (SEC) обвинила семь человек в сливе информации о предстоящих слияниях и поглощениях, которую предоставлял один из обвиняемых. Для передачи использовался мобильный мессенджер с функцией самоудаляющихся сообщений.


Ищем документ


Когда вы обнаружили фрагмент документа в СМИ или он «гуляет» по рынку и кто-то прислал вам же слитый файл, отложите на время разбирательство с виновниками утечки и с имевшими доступ к коммерческой тайне. Сначала нужно понять, какой именно документ был «слит».

При большом документообороте это затруднительно. Однако некоторые системы (например ILD), отслеживающие утечки на бумажных носителях, имеют механизм полнотекстового поиска по документу, что позволяет службе безопасности за несколько минут найти оригинал скомпрометированного файла. На поиск подлинника, сфотографированного на смартфон, потребуется до двух часов (нужно предварительно обработать изображение в редакторе). Розыск будет успешными, даже если в открытый доступ попал только фрагмент оригинального документа или если он был поврежден — содержал разрывы либо помарки. Такие функции экономят время и человеческие ресурсы, необходимые для расследования происшествия.




Ищем виновника


По выявленному оригиналу легко увидеть, кто из сотрудников имел доступ и работал с документом. Система сравнивает характеристики скомпрометированного документа с копиями, ранее сгенерированными для сотрудников. Тут все просто: обнаруженное совпадение безошибочно указывает специалистам службы безопасности на «крота».

Потом вам придется уволить виновного — не стоит рассчитывать, что он исправится. Худшее уже произошло. Подготовьте  серьезную доказательную базу по данным защитной системы и на примере провинившегося проведите беседу с остальными сотрудниками, напомните, что разглашать внутреннюю информацию компании нельзя. И заключите со всеми соглашение о неразглашении, если вы вдруг не сделали этого раньше!