Кристина Васильева, сотрудница отдела маркетинга крупной торговой компании «МосТорг», сильно разочаровалась после отказа в повышении. Решив уйти из компании, она задумала устроить неприятный «прощальный подарок».
Перед увольнением Кристина загрузила на сторонний ресурс архив объемом около 900 мегабайт. Что внутри? Полные проекты исследований компании по московскому рынку – ключевая информация, стоившая «МосТоргу» порядка 100 миллионов рублей. Эти данные включали в себя внутреннюю документацию, клиентские базы и сведения о себестоимости продукции.
К счастью, система «СёрчИнформ КИБ» сработала на опережение и обнаружила подозрительную активность. Анализ поведения сотрудницы показал, что архив с секретной информацией уже находился на стороннем ресурсе, но благодаря оперативной реакции службы информационной безопасности компании, данные были быстро удалены до того, как кто-то успел воспользоваться ими.
Вскоре дальнейшее расследование выявило еще один факт мошенничества. Васильева успела подделать финансовую документацию компании. Она внесла правки в бухгалтерские документы на сервере, что могло привести к штрафам при подаче отчетности в налоговую службу и даже заморозке счетов, что поставило бы под угрозу деятельность компании.
Выявить нарушение помогли модули DLP: FileAuditor и FTPController.
Хотите узнать об информационной безопасности больше? Мы подготовили для вас бесплатную запись вебинара на эту тему
Как FileAuditor помог раскрыть мошенническую схему
FileAuditor, в первую очередь, классифицировал загруженные на сторонний ресурс файлы как критичные для бизнеса, так как они содержали коммерческую тайну и данные исследований по московскому рынку. Благодаря автоматической классификации и маркировке, система быстро определила важность передаваемых данных и оперативно уведомила службу информационной безопасности.
Кроме того, аудит прав доступа FileAuditor позволил зафиксировать, что Васильева попыталась получить доступ к файлам, к которым ранее не имела полномочий. Это сразу вызвало подозрения, и доступ был заблокирован, что предотвратило дальнейшую утечку информации.
Когда инцидент с передачей данных был остановлен, FileAuditor помог провести анализ действий Васильевой на файловом сервере. В частности, система зафиксировала изменения в бухгалтерских документах, которые она внесла, пытаясь подделать финансовую информацию. Благодаря архивированию всех версий критичных документов, компания смогла восстановить оригинальные файлы и избежать возможных штрафов от налоговой службы.
Как FTPController помог в расследовании
С помощью FTPController был произведен мониторинг шифрованного FTP-трафика. Программа перехватила передачу крупного архива данных, который сотрудница пыталась загрузить на удаленный FTP-сервер. Благодаря функции перехвата доменных учетных записей и URL-адресов, ИБ-служба сразу получила информацию о том, кто инициировал передачу, и на какой сервер отправлялись файлы.
Богатые поисковые возможности FTPController позволили провести полнотекстовый поиск по переданным документам и установить, что в архиве находились коммерчески важные данные. Запатентованная технология «Поиск похожих» выявила аналогичные документы в системе, что помогло ИБ-специалистам быстро классифицировать утечку как критичную для компании.
FTPController также предоставил срез активности сотрудницы, показав временные рамки, в которые были переданы файлы, и типы передаваемых документов. Эти данные помогли установить точную картину инцидента.
Благодаря оперативным действиям и функционалу FileAuditor и FTPController, архив был вовремя заблокирован и удален с сервера, а компания избежала значительных финансовых потерь.
Вы тоже можете защитить свою компанию! Закажите тестовую версию «СёрчИнформ КИБ» и пользуйтесь полным функционалом в течение 30 дней бесплатно!