Журнал "Information Security/ Информационная безопасность" #3, 2022

Дело было в 2017 г., наше производ- ство уже много лет как закрепилось среди поставщиков для крупных нефте- добывающих корпораций. Несмотря на это, в структуре компании не было отдельного подразделения защиты дан- ных, а все функции безопасности сво- дились к физическому контролю пери- метра: пропускам, видеонаблюдению, выборочным проверкам сотрудников. Когда закрались подозрения, что конку- рент вызнал ноу-хау, стало ясно, что информация уязвимей оборудования в цехах. Так в компании появились отдел безопасности и специальные средства для защиты информации. Для контроля активности пользова- телей за компьютерами и борьбы с утеч- ками данных мы первым делом закупи- ли DLP-систему. Существуют разные подходы к охране коммерческой тайны в DLP: есть системы, которые во избе- жание сливов загодя жестко блокируют каналы связи, есть фиксирующие циф- ровой след пользователя, чтобы при необходимости восстановить картину инцидента. Мне оказался ближе второй подход: раньше я работал "в органах", так что привык вести детальные рас- следования и разбираться с уликами. Тем более что в нашем случае было очевидно: утечка уже произошла, а зна- чит, нужно искать виновных. При выборе DLP мы оценивали в первую очередь ее аналитические возможности, лучшей по этому параметру сочли "Контур информационной безопасности" (КИБ) от "СерчИнформ". Чтобы выяснить, откуда к конкурентам попадают секреты производства, нужно было мониторить основные каналы ком- муникаций – почту и корпоративные мессенджеры. Почти сразу с помощью КИБ я обнаружил подозрительные письма. Прямо в рабочей почте сотрудник общал- ся с конкурентами и пересылал им кон- структорскую и коммерческую докумен- тацию. По некоторым косвенным при- знакам стало понятно, что инсайдер действует не один. Проблема состояла в том, что собственно офисных сотруд- ников у нас как у промышленного пред- приятия не так много, большинство работников заняты на производственных линиях и не работают за ПК. Техниче- скими средствами их контролировать не получится. Но DLP к этому моменту помогла собрать достаточно данных об инциденте, чтобы окончательно про- яснить ситуацию. Опираясь на свой оперативный опыт, я пошел ва-банк: вызвал инсайдера на беседу и прямо показал ему, что у меня есть все доказательства его нарушений. Ставка сработала, "крота" удалось пере- вербовать. Он сам назвал пособников: люди в открытую выносили приборы с производства, буквально руками помо- гали конкурентам наладить выпуск "пиратской" продукции. Интересно, что многие участники схемы не понимали (или делали вид), что делают что-то противозаконное. Для них это была просто подработка, и забрать на под- работку оборудование или чертежи почему-то тоже было для них в порядке вещей. Но раскрыть схему было мало. Чтобы нивелировать убытки, мы решили пол- ностью выбить конкурента из игры и не дать дальше пользоваться нашими разработками. Мы обратились к дело- вым партнерам (и встретили, кстати, довольно прохладный прием, потому что конкурент активно нас очернял), чтобы восстановить отношения и пока- зать, какими методами действует их нынешний поставщик. Доказательств промышленного шпионажа было доста- точно, партнеры вернулись, а вскоре информация дошла и до инвесторов конкурента. Инвесторы дорожили своей деловой репутацией и не захотели иметь дела с незаконными схемами. За несколько месяцев конкурирующая фирма потеряла финансирование и была закрыта. До этого случая я придерживался мнения, что наблюдение должно быть исключительно скрытым. Но теперь понимаю: когда сотрудники знают, что служба информационной безопасности бдит, инсайдеры реже решаются на преступления. Необязательно объ- яснять в деталях, как именно осуществ- ляется контроль, пользователям важнее само понимание, что для работодателя все их действия прозрачны. Главное, на что это влияет, – дисциплина. Наши сотрудники совершают меньше слу- чайных ошибок в работе с данными, мы практически изжили неэффектив- ный расход рабочего времени. Более того, в коллективе снизилось количе- ство конфликтов! Мы стали предостав- лять руководителям подразделений информацию о том, где "искрит", чтобы была возможность на раннем этапе разобраться с недопониманиями и снять напряжение. На сегодняшний день нам больше не приходится "закручивать гайки" и соз- давать для службы безопасности имидж сурового "всевидящего ока". Со всеми работниками мы проводим ИБ-ликбез на стадии трудоустройства, четко доно- сим правила, которые нельзя нарушать. Но затем показываем, что доверяем людям, надеемся на их совесть и откры- ты к диалогу. В защите от утечек мы можем положиться на DLP, которая ком- плексно охватывает каналы передачи данных и способна вовремя их пере- крыть. Теперь наша главная задача – профилактика, с ней нам больше не приходится бежать по следу инсайдеров, мы предупреждаем проблемы. А авто- матизация контроля высвобождает необходимые для этого ресурсы. l 40 • СПЕЦПРОЕКТ Как инсайдер помог наладить дисциплину в компании юбая компания понимает, насколько ценен продукт, на котором она зарабатывает. Но часто бизнес не торопится принимать специальные меры, чтобы защитить свои наработки. Так было и у нас, пока вдруг компания не стала проигрывать тендер за тендером, теряя на каждом до 50 млн руб., при этом новый продукт конкурентов оказался подозрительно похож на наш. Л Владислав Эркенов, начальник отдела безопасности ООО НПО “НТЭС” Ваше мнение и вопросы присылайте по адресу is@groteck.ru