У компании «ТехИнвест» год начался не с самых приятных событий. После новогодних праздников один из сотрудников, Иван Аникеев, не смог вернуться в рабочий ритм: он опаздывал на работу, игнорировал задачи и проводил дни за раскладыванием пасьянсов и игрой в онлайн-покер. Контроль сотрудников помог это выявить, руководство быстро заметило его халатное поведение и решило принять меры: Аникеев получил выговор и был лишен премии.
Однако, вместо того чтобы исправить свое поведение, Иван решил отомстить компании. Политика мониторинга негатива, настроенная в «СёрчИнформ КИБ», зафиксировала его переписки с коллегами, в которых он нелестно отзывался о руководстве и обещал «устроить веселую жизнь». Но на этом его план мести не закончился. На следующий день сотрудники информационной безопасности заметили, как Аникеев начал копировать большие объемы конфиденциальной информации на съемный жесткий диск. Среди файлов были данные о поставщиках, скидки, информация о клиентах и важные финансовые документы.
Оперативная реакция ИБ-службы позволила предотвратить попытку кражи данных. Иван не успел выйти за пределы компании с критически важной информацией, стоимость которой составляла 7 миллионов рублей. Благодаря слаженной работе команды «ТехИнвест» избежал серьезных финансовых потерь и репутационных рисков.
Выявить нарушение помогли модули DLP: DeviceController и IMController.
Врез: Хотите узнать об информационной безопасности больше? Мы подготовили для вас бесплатную запись вебинара на эту тему
Кнопка: Смотреть видео
Как DeviceController помог раскрыть мошенническую схему
DeviceController обнаружил подключение внешнего устройства и начал отслеживать все действия сотрудника. Поскольку модуль контролирует передачу данных на любые внешние устройства, включая USB-накопители и жесткие диски, информация, которую Иван пытался скопировать, была автоматически перехвачена и помещена в защищенное хранилище. Это позволило ИБ-службе оперативно провести расследование и узнать, какие конкретно файлы были попыткой кражи.
Также благодаря «белому списку», настроенному в системе, все устройства, не внесенные в список доверенных, подлежали строгому мониторингу. Жесткий диск Аникеева был вне этого списка, что позволило системе отреагировать незамедлительно и предотвратить потенциальную утечку. Перехваченные данные затем использовались для проведения полного служебного расследования, а сотрудник был задержан до того, как смог вывести критически важные документы из компании.
Как IMController помог в расследовании
Программа перехватывала и сохраняла все текстовые сообщения, которые сотрудник отправлял и получал через корпоративные мессенджеры, такие как Microsoft Lync и Viber Desktop.
Используя технологию «Поиск похожих», служба информационной безопасности легко обнаружила фрагменты разговоров Аникеева, в которых он делился своими планами по копированию данных и жаловался коллегам на руководство. Переписка, казавшаяся на первый взгляд незначительной, обрела новое значение, когда программа сопоставила похожие сообщения и составила из них целостную картину.
Функция «История переписки» позволила отследить диалоги Аникеева с конкретными коллегами, при этом учитывались все каналы связи. Благодаря полнотекстовому поиску с учетом морфологии и синонимов ИБ-служба смогла восстановить хронологию событий и понять, что Иван уже несколько дней готовил план по выносу критически важных данных.
IMController также помог отфильтровать разговоры, не имеющие отношения к инциденту, что значительно ускорило процесс расследования.
Всякое случается. Чтобы избежать инцидентов, обезопасьте свою компанию, а мы вам поможем! Оформите бесплатный 30-дневный пробный доступ – полноценное программное обеспечение без ограничений на количество пользователей и функционал.