Вкладывая в различные технические средства обеспечения безопасности, украинские и международные компании часто становятся жертвами инсайдеров — опасаясь взломов, DDoS-атак и других «прелестей» цифрового мира, бизнес забывает о человеческом факторе.
В СМИ появляются заголовки о том, что инсайдер слил дизайн нового продукта, технические характеристики флагманского гаджета, особенности геймплея, информацию о финансовых проблемах, патентах и т.д. и т.п. От таких «сливов» (если, конечно, это не маркетинговый ход самой компании), благодаря кричащим заголовкам выгоду получают только СМИ. А компании теряют миллионы долларов. Раньще мы думали, что это происходит где-то далеко, не у нас. Однако и в этих вопросах мы догнали запад.
Одесский «развод» на 4,6 миллиона
Желание быстро заработать на своем работодателе гораздо больше, чем зарплату, толкает сотрудников на преступление. Особенно, если воровать можно незаметно: например, данные. Отсюда – постоянно появляющаяся информация о продаже в сети различных баз данных почтовых операторов, интернет-магазинов и банков. Украинских банков.
Примеров предательства в Украине от инсайдеров – полно. Один из самых свежих случаев – на днях был опубликован в Едином реестре судебных решений. Это приговор некоему программисту из Одессы. Мужчина получил год условно за то, что в 2012-м, будучи в IT-компании руководителем одного из проектов для норвежского заказчика, скопировал информацию по проекту, удалил все данные с серверов своего работодателя и передал ворованный проект заказчику взамен на обещание получить подряд на его обслуживание. После воровства, экс-сотрудник украинской конторы ещё и поменял пароли доступа к серверам.
Экс-работодатель добился наказания для программиста спустя 5,5 лет и пытается взыскать с виновного в общей сложности 4,6 миллиона гривен. В эту сумму включена неполученная прибыль, ресурсы, затраченные на работу и моральная компенсация.
Глобальная тенденция
Не стоит списывать приведенный выше случай на эфемерные особенности национального менталитета. Это тенденция. Причем, глобальная.
С развитием цифровых технологий, от которых во многом зависит существование компании, у «рядовых сотрудников», имеющих доступ к данным или счетам, соблазн заработать нечестным путем только возрастает: в Китае служащий пекинской компании, воспользовавшись случаем, украл у работодателя 100 биткоинов; сотрудник госпиталя в США на зло работодателю украл данные пациентов; банкир из Morgan Stanley украл и собирался продать сведения о 350 тысячах клиентов банка; бывший служащий банка HSBC в Женеве украл данные о счетах тысяч клиентов; в Чехии сотрудник T-Mobile украл личные данные 1,5 млн клиентов; интерн украл у Apple код загрузчика iBoot.
Список можно продолжать очень долго. Мы привели только самые нашумевшие случаи работы «инсайдера», просочившиеся в прессу за последние несколько лет. Реальный масштаб проблемы для бизнеса по всему миру воистину колоссален.
В той же России сотрудники каждой второй компании воруют данные: воровство корпоративной информации зафиксировали 52% компаний (а ведь кто-то мог его просто проморгать). При этом, предотвратить утечку конфиденциальных данных не удалось, несмотря на то, что почти все работодатели (84%) заставляли сотрудников при найме на работу подписывать договоры о неразглашении данных, а 72% проводят с сотрудниками инструктаж по информационной безопасности. Сколько компаний из пострадавших сами купили конфиденциальные данные конкурента или даже «заказали» оппонента у его же сотрудников-любителей легкой наживы, статистика умалчивает.
Компания ESET выяснила, что почти треть (27%) сотрудников хотя бы раз за карьеру мстили бывшим работодателям – украли рабочие материалы или данные, уничтожили ценные документы либо обнародовали конфиденциальные сведения. Около 20% респондентов ESET хотя бы раз в жизни копировали рабочие материалы, базы клиентов, отчеты, планы и другие документы, чтобы впоследствии использовать их на новой работе или перепродать.
Как бороться
Эксперты вывели несколько правил, как бороться с утечками, произошедшими из-за человеческого фактора. Главный принцип – лучше предотвратить, чем ликвидировать последствия.
Для этого рекомендуют:
«Вычислять шпионов». Компаниям рекомендуют проанализировать все имеющееся в штате должности чтобы выделить самые критичные с точки зрения доступа к важной информации. На эти должности должны быть сосредоточены основные профилактические меры. Главное, чтобы борьба с возможным воровством данных не обернулась охотой на ведьм.
Проводить профилактику утечек. Компания может взять на контроль внешние носители информации, электронную почту, серфинг сотрудников в сети и т.д.
Определять типы информации и правила поведение с ней сотрудников. Строя карьеру в компании, сотрудник должен понимать, какая информация является информацией с ограниченным доступом. Не менее важно, чтобы он также понимал ответственность, при работе с такой информацией.
Расследовать хищения. Самостоятельное, помимо правоохранителей, расследование компанией произошедшей утечки информации, мотивирует сотрудников: они видят, что компания не готова мирится с такими инцидентами.
Замечать недовольных и следить за собственным поведением. Как выяснилось, данные чаще крадут в компаниях, которые сами неэтично ведут себя по отношению к сотрудникам. В хорошо поставленном бизнесе число недовольных сотрудников должно стремиться к нулю.
Сможет ли выполнение этих правил гарантировать 100% результат? Скорее всего, нет, но, как минимум, убережет от лишних (и, между прочим, значительных) расходов.