IT ExpertКак это сделатьВ помощь руководителю

Используем DLP в интересах работника

Виталий Петросян | 04.12.2019

Используем DLP в интересах работника

О пирогах и плюшках DLP-систем для защиты интересов работодателя не писал разве что Шекспир. А вот рассказа о том, как с их помощью сработать в интересах сотрудников, мы пока не встречали, потому и решили восполнить пробел. Но сама тема, на наш взгляд, будет интересна не только сотрудникам, но и руководству компаний, где уже внедрена и успешно работает система защиты данных от утечек (DLP).

В общем, если вам наплевать на собственный персонал, то можете смело НЕ ЧИТАТЬ нашу статью. А с теми, кто стремится удержать профессиональные кадры (ведь сегодня они прямо-таки на вес золота), мы поделимся боевым опытом, накопленным в ходе пилотных проектов и в процессе эксплуатации этих умных систем.

Кейс 1. Несвоевременная подача сведений о премировании

Возьмем условное предприятие N, в котором уже давно и эффективно реализуется перечень положений о премировании сотрудников: за выслугу лет, за рождение детей, за успешное выполнение сложных проектов и т. п. Но вдруг происходит сбой – несколько человек не получили вовремя положенного вознаграждения. В чем дело? Директор-то своевременно отдал распоряжение о выделении средств!

Как разобраться в причинах произошедшего с помощью DLP и предупредить демотивацию сотрудников?

Современные DLP-системы позволяют контролировать движение информации, разделяя ее на различные виды информационных объектов. По сути это типы информации, имеющие ключевое значение для бизнеса и требующие особого внимания со стороны службы безопасности: финансовые документы, резюме, стратегические планы, протоколы совещаний и т. п. С помощью карты коммуникаций информационных объектов (см. рис. 1) можно увидеть, по каким каналам и сколько раз был передан тот или иной документ за интересующий нас период времени. Переход непосредственно в карточку информационного объекта (в данном случае приказ о поощрении) позволяет, во-первых, точечно проанализировать, кто из сотрудников с ним работал и совершал какие-либо действия, например печатал на принтере или копировал на USB-носитель. А во-вторых, провести расследование и выяснить, кто из ответственных сотрудников вовремя не выполнил прописанные в регламенте оформления премий действия, что и затормозило весь процесс (рис. 2 и 3).

 img

Рис. 1. Карта коммуникаций информационных объектов

img

Рис. 2. Карточка информационного объекта

 img

Рис. 3. Расследование в отношении персоны

Кейс 2. Предотвращение внутренних корпоративных конфликтов и унижения чести и достоинства работников предприятия

К сожалению, в российских компаниях руководители частенько позволяют себе оскорбительные высказывания в адрес подчиненных. Причем не только в устной форме, но и в корпоративной переписке. В особенности этим страдают менеджеры среднего звена – руководители подразделений. Такие действия, согласно законодательству РФ, квалифицируются как административные правонарушения и наказываются штрафами. Сотрудники начинают саботировать выполнение поставленных таким горе-руководителем задач, компания теряет ценные кадры и т. п. Словом, ущерб налицо. Но как владельцу бизнеса выяснить, а главное – получить документальные подтверждения подобного поведения руководителя подразделения?

Продвинутые DLP-системы, как правило, располагают справочником конфликтной лексики. Так, в стенах сельскохозяйственной академии слово «лох» не будет считаться оскорблением, поскольку оно означает род деревьев и кустарников семейства лоховых, а во всех остальных сферах, в частности электронных коммуникациях (корпоративной почте или мессенджерах), DLP-система сразу же выявит факт его неправомерного употребления. Таким образом, в организациях, где данный термин является профессионализмом (как в приведенном случае), можно поместить его в «исключения», чтобы не отвлекаться на ложные срабатывания.

Своевременно проведенное расследование и принятие соответствующих организационных мер позволит предотвратить конфликт и сохранить ценные кадры.

img

Рис. 4. Срабатывание правила по словарям конфликтной лексики

img

Рис. 5. Построение коммуникаций Skype в виде беседы

Кейс 3. Выявление мошеннических действий со стороны членов профкома в ущерб интересам работников

К сожалению, в практике профсоюзных организаций нередки случаи использования служебного положения в мошеннических целях. Например, при распределении путевок на отдых и лечение. Схема проста: выделение путевки работнику, находящемуся в конце списка, или же вообще в обход списка (кому путевка не положена). Естественно, не за красивые глаза… От такой «деятельности» страдают все очередники, особенно те, кто годами ожидает своей путевки.

DLP-система позволяет выявлять в анализируемом трафике терминологию, характерную для деятельности профсоюзных организаций, свидетельствующую о подобного рода активности. Причем качественно настроенная система сработает не только на профессионализмы, но и на связку наиболее часто употребляемых слов, например «путевка – 10% от стоимости – за срочность еще 5», то есть сработает с учетом контекста.

 img

Рис. 6. Выявление мошеннических действий с помощью контентного и контекстного анализа

Кейс 4. Анализ внутреннего климата в коллективе

Зачастую после кадровых изменений в составе топ-менеджмента предприятия некоторые сотрудники, даже самые добросовестные и эффективные, позволяют себе высказывания типа: «Вот очередной варяг нарисовался, работает без году неделю, а вы видели, на какой машине уже приехал?! Ну точно будет воровать». Подобные «вбросы» способны серьезно ухудшить рабочую атмосферу и сказаться на эффективности работы предприятия в целом.

С помощью DLP-системы владельцы бизнеса могут своевременно отследить такого рода тенденции, понять, почему у руководителя сложилась негативная репутация и какие шаги необходимо предпринять для оздоровления обстановки. Системы защиты от утечек способны выявлять в корпоративном трафике слова и выражения, свидетельствующие об ухудшении внутреннего климата, регистрировать аномалии коммуникаций, в частности резкий рост объема сообщений в мессенджерах. Вся эта информация в совокупности (см. рис 7, 8 и 9) составит полную картину происходящих в компании негативных изменений, из которой аналитик службы ИБ сделает соответствующие выводы и доведет их до руководства.

img

Рис. 7. Отображение в интерфейсе DLP-системы всех объектов с демотивирующими высказываниями

img

img

Рис. 8 и 9. Детектирование демотивирующей переписки в мессенджерах

Кейс 5. Дискредитация учетных записей сотрудников

Подобные кейсы часто встречаются на пилотных проектах внедрения DLP-систем. Сотрудники в рамках взаимопомощи (кто-то приболел, ушел в отпуск, а боссу срочно понадобились хранящиеся локально данные, и т. п.) «кидают» коллегам логины-пароли от своих учетных записей в корпоративной сети. А спустя некоторое время из такого «переданного» аккаунта совершается, нелегитимное действие – например, копирование на внешние носители строго конфиденциальной информации (см. на скриншотах ниже). Здесь будет крайне сложно доказать, что пароль был дискредитирован.

Чем в этой ситуации поможет DLP-система? Прежде всего по специальному набору ключевых слов она выявит в потоке трафика факт передачи связки «логин-пароль» и зафиксирует его. А во-вторых, представит документальные подтверждения каждого звена в цепи последовавших в результате компрометации учетки событий.

img

Рис. 10. Выявление передачи по корпоративной почте пароля от учетной записи

img

Рис. 11. Фиксирование факта настройки сотрудником уведомления об отсутствии на рабочем месте

img

Рис. 12. Фиксирование факта скачивания pdf-файла из аккаунта сотрудника в период его пребывания в отпуске

img

Рис. 13. Подтверждение факта отсутствия упомянутого сотрудника в стране в исследуемый период

img

Рис. 14. Фиксация всех видов активности в аккаунте сотрудника в исследуемый период

img

Рис. 15. Детальная информация по всем эпизодам коммуникации из аккаунта сотрудника во время его нахождения в отпуске

Подведем итоги

Мы привели лишь часть наиболее распространенных сценариев использования DLP в интересах работников. Если у вас есть что добавить в копилку подобных кейсов, пожалуйста, делитесь ими в комментариях. Ведь, как показывает практика, в большинстве случаев службы информационной безопасности не используют и половину функциональности внедренных в компаниях DLP-систем. А многие возможные сценарии применения DLP просто неочевидны для заказчиков, хотя способны принести очень большую пользу и руководству, и ИБ-подразделению, и рядовым сотрудникам.

Журнал: Журнал IT-Expert [№ 11/2019], Подписка на журналы

Об авторах

Виталий Петросян

Аналитик внедрения Solar Dozor компании «Ростелеком-Солар».


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Другие материалы рубрики

Мысли вслух

Можно ли, поняв, что половина информации не доходит до серого вещества, отсеиваемая «вратами сортировки», что-нибудь с этим сделать?
Уже довольно многие согласны с тем, что в крупных организациях необходимо создавать т. н. «службы заказчика», предоставляющие аутсорсинг ИТ-услуг.
На первой встрече по первому проекту, на котором я выступала в роли аналитика, я молчала, хмурила брови и писала что-то в блокнот. В общем-то, я и сейчас на встречах с бизнесом хмурю брови и пишу в блокнот. Но только раньше я это делала от неопытности, а теперь от неожиданности.

Компании сообщают

Мероприятия