Инцидент ИБ и расследования с помощью мониторинга активности
Инцидент ИБ и расследования с помощью мониторинга активности

Разбираемся в преимуществах и тонкостях мониторинга рабочей активности сотрудников и расследования инцидентов ИБ. Как автоматизация мониторинга активности сотрудников помогает предотвратить инцидент ИБ и обогатить данными расследование инцидента ИБ. Как сделать расследование инцидента ИБ быстрым и эффективным, а также собрать неопровержимые доказательства нарушений для суда в ходе расследования инцидента ИБ, - покажем на реальных кейсах с удалением-восстановлением файлов, выявлением «мертвых душ», посторонней бухгалтерской активностью и нежелательными постами сотрудников в соцсетях.

Исследования за 2021 и 2022 показали, что количество фиксируемых утечек в мире снизилось. Но радоваться преждевременно, и отчеты подробно показывают нам, почему. Число нарушений по вине внутреннего нарушителя и гибридных атак, совершаемых при участии хакеров извне и с использованием инсайдеров, неуклонно растет. Какие инструменты помогают в предотвращении утечек информации?

Мониторинг активности сотрудников все еще актуален

82% всех утечек в мире являются умышленными. Более 50% все еще происходит по вине сотрудников, поэтому необходим мониторинг активности сотрудников. Вводить или нет в компании мониторинг активности сотрудников – зависит от стоимости ущерба в результате потенциальной утечки. Мониторинг активности сотрудников может помочь предотвратить не только прямой финансовый ущерб. Мониторинг активности сотрудников помогает снижать репутационные и другие косвенные риски.

Контракты «налево», злоупотребления, кража ноу-хау и любой другой существенной информации приводит к прямому финансовому ущербу, оттоку клиентов и снижению конкурентных преимуществ вплоть до потери бизнеса. Косвенный ущерб выражается в репутационных потерях, снижении мотивации и лояльности сотрудников, спаду эффективности. Даже простое «брожение» внутри коллектива, когда все понимают, что что-то не так, может привести к тому, что люди перестают ассоциировать себя с компанией и начинают искать новую работу, а за этим могут последовать снижение стоимости или даже развал компании.

Таким образом, повышенное внимание к наблюдению за действиями сотрудников, – более чем актуальная задача. И она подразумевает, что важно не просто обнаруживать нарушителей и устанавливать умышленность/неумышленность, а собирать полную картину инцидентов ИБ и гарантированные доказательства. Это важно как для привлечения виновных к ответственности, так и для дальнейшей работы с сотрудниками – коллектив начинает лучше соблюдать правила работы с конфиденциальной информацией, что, в свою очередь, профилактически работает на предотвращение утечек информации.

Мониторинг рабочих станций и DLP, отличия и дополнения

Мониторинг рабочих станций обогащает данные из DLP и расширяет возможности ИБ и ЭБ. Если инцидент ИБ произошел или может произойти, мониторинг рабочих станций позволяет посмотреть, какие сайты посещает сотрудник, какие запросы делает в поисковиках, каким ПО пользуется. Мониторинг рабочих станций позволяет проанализировать его действия внутри одного рабочего дня. Также мониторинг рабочих станций помогает сформировать общий взгляд на использование сотрудником рабочего времени. Возможно, большая часть его рабочего дня уходит на то, чтобы найти возможность, предполагая свое скорое увольнение, украсть или увести важные данные для конкурентов.

DLP умеет сигнализировать об утечке или предотвращать ее, блокируя определенные действия. Без данных из системы мониторинга рабочих станций служба ИБ имеет лишь часть картины. Чтобы понять умысел, контекст, предпосылки, участников, хронологию и ответственность нужна система мониторинга рабочих станций. Система мониторинга рабочих станций дает полную картину инцидента ИБ. Кстати, модуль мониторинга рабочих станций Activity Monitor от InfoWatch в этом году получил возможность учитывать встречи в Microsoft Outlook. Теперь есть возможность анализировать, тратит ли сотрудник рабочее время частично за рабочей станцией, а частично на встречах, с кем он ведет эти встречи и в каком формате они проходят.

Расследование инцидентов информационной безопасности

Расследование инцидентов информационной безопасности покажем на случае с сотрудником, скопировавшим конфиденциальный файл на флешку, а затем удалившим его. Как полноценно провести расследование инцидента информационной безопасности? Для расследования инцидентов информационной безопасности важна возможность посмотреть на действия сотрудника за рабочей станцией. Расследование инцидентов информационной безопасности с помощью модуля Activity Monitor от InfoWatch позволяет увидеть, что ранее сотрудник искал и скачивал программу для восстановления удалённых файлов с флешки, хотя он утверждает, что скопировал файл себе по ошибке. Вот один из основных функциональных плюсов систем класса Employee Monitoring: видно, если сотрудник переименовывал документы, чертежи, отчеты или маскировал их под менее значимые файлы. Можно значительно обогатить знания об инциденте ИБ и найти доказательства вины сотрудника. Понимая, в какое время произошел инцидент ИБ, можно посмотреть, предшествовала ли ему какая-либо подготовка – если да, значит, вероятность умысла очень высокая.

Модуль InfoWatch Activity Monitor позволяет исследовать инцидент ИБ и получить широкую доказательную базу. Дальше эту информацию служба ИБ и руководство компании могут использовать для дисциплинарных мер, увольнения, суда и т.д.

Контроль действий сотрудников – как автоматизировать

Контроль действий сотрудников помогает и при раскрытии схемы с начислением зарплаты неработающим, а только числящимся на бумаге сотрудникам. Автоматизация контроля действий сотрудников позволяет формировать отчеты об эффективности рабочего времени. Увидеть, что у кого-то количество рабочих часов равно 0 и не совпадает с числом рабочих дней – это дает контроль действий сотрудников. Контроль действий сотрудников с помощью систем мониторинга предоставляет инструменты для выявления мошеннической схемы и сбора доказательств в интересах руководства организации или акционеров.

Модуль InfoWatch Activity Monitor может помочь с выявлением случаев мошенничества еще на начальном этапе, когда есть только подозрения. Возьмем общий отчет об эффективности использования рабочего времени сотрудниками, выберем период от 45 суток и проверим, что количество рабочего времени сотрудника не равно нулю и совпадает с количеством рабочих дней. Данный сотрудник действительно числится в организации и приносит пользу. Но если такого сотрудника нет в списке, а в табеле он присутствует, то, возможно, его деятельность не связана с проведением времени за компьютером, у него нет рабочей станции или он «мертвая душа». Можно подключить факторы дополнительного анализа: поисковые запросы, ключевые слова, обсуждения увольняющихся, расчетные счета для начисления заработной платы и т.д. Например, если у всех недавно принятых сотрудников были заменены банковские карты по причине утери, то это уже подозрительно.

В мошеннических схемах с так называемыми «мертвыми душами» может быть задействован не один, а несколько работников: сотрудники бухгалтерии, HR-службы, топ-менеджеры компании. Есть многочисленные случаи и даже судебные прецеденты, когда руководство организации привлекалось к ответственности за то, что персоны с нулевой активностью числились в организации и получали заработную плату. Организация несла прямые убытки, а суд взыскивал их с руководства и назначал наказание. Причем наказание может быть не только в виде условного, но и реального срока.

Доказательства вины сотрудника

Как собирать доказательства вины сотрудника, с помощью модуля Activity Monitor? Доказательства вины сотрудника, если он бухгалтер, легко с помощью систем этого класса. Чтобы найти доказательства вины сотрудника, нужен анализ его действий. Доказательства вины сотрудника – это скриншоты с подготовкой отчетности для сторонних организаций, скачиванием взломанной версии 1С, перепиской в почте с компаниями, не имеющими отношения к деятельности основного работодателя и т.д.

Исследования за 2021 и 2022 показали, что количество фиксируемых утечек в мире снизилось. Но радоваться преждевременно, и отчеты подробно показывают нам, почему. Число нарушений по вине внутреннего нарушителя и гибридных атак, совершаемых при участии хакеров извне и с использованием инсайдеров, неуклонно растет. Какие инструменты помогают в предотвращении утечек информации?

Модуль InfoWatch Activity Monitor поможет провести анализ эффективности использования рабочего времени. Соответствующая Таблица с анализом эффективности использования рабочего времени показывает общую статистику, время ранних и поздних уходов, сумму опозданий. Анализ эффективности использования рабочего времени помогает принять дальнейшие меры, чтобы снизить издержки и повысить рентабельность бизнеса. Благодаря интеграции с модулем Microsoft Outlook можно видеть встречи из календарей, их количество и детализацию тоже можно посмотреть.

Использование модуля InfoWatch Activity Monitor в работе DLP-системы позволяет минимизировать прямые финансовые потери, оценить стоимость труда сотрудников, защитить свою интеллектуальную собственность и собственные разработки. Предотвращение утечек информации по вине сотрудника помогает избежать потерю или снижение конкурентных преимуществ компании, снижение стоимости бизнеса или даже риск его потери. Выявление четких доказательств и умысла позволит привлечь к ответственности и компенсировать ущерб.

Бухгалтер использует либо дорогостоящее ПО на благо посторонних компаний, либо нелегитимное, взломанное ПО. Использование дорогостоящего ПО не на благо владеющей им организации – это прямой финансовый ущерб, потому что в это время ведется работа, не связанная с накоплением добавленной стоимости. В любом случае, необходимо лишить злоумышленника возможностей для злоупотребления.

На экране статистики видна возможность сквозной фильтрации – можно выбрать определенные персоны или группы, можно задать даты и смотреть статистику за конкретный период. Далее можно выбрать как рабочие станции, так и отделы, типы событий и активностей, которые промаркированы как рабочие и нерабочие. Дальше идут фильтры, которые позволяют сформировать полную картинку. Прежде всего, это лента событий, типы активности. Если выбрать одну определенную персону, то можно увидеть, что чуть меньше половины ее активности характеризуется как рабочая, порядка 8-10% - нерабочая активность и 44% - прочая активность.

Активность по часам
Лента событий
Статистика
Снимок экрана

Виджет «Активность по дням». На виджете видно, как распределяется рабочее время по дням за указанный период. Все виджеты можно развернуть и посмотреть более детально.

Виджет «Динамика активности». Показывает активность за один день в соответствии с рабочим расписанием. Расписание может быть настроено как на организацию, так и на группы сотрудников или отдельного человека. Можно видеть соотношение активности сотрудника в соответствии с его рабочим временем.

Виджет «Активность по часам». Он дает представление, когда сотрудник или отдел более продуктивен в течении дня, в какие именно часы. Можно увидеть, что в дневные часы сотрудник более продуктивен, а к вечеру идет снижение его активности. А у некоторых сотрудников может быть противоположная картина.

Очень важный виджет «Отслеживание приложений и сайтов», которые наиболее часто посещаются сотрудником. Можно видеть ТОП-10 сайтов, понимать, какое ПО использует сотрудник и сразу же соотнести это с его рабочими обязанностями. Если сотрудник не из отдела маркетинга, то использование популярной соцсети не является эффективным и желательным. Если это не сотрудник HR, то использование сайта для подбора персонала тоже о многом может сказать.

Экран событий – полная лента событий, которые происходили на выбранной рабочей станции.

В связи с последними событиями некоторым работодателям нужно знать, размещает ли кто-то из сотрудников публикации, влекущие риски, в соцсетях. Например, на политическую тематику, про вооруженные силы или непосредственно про работодателя (обсуждение решений руководства, внутренняя информация, дискриминирующая информация и т.д.). Также риски могут нести поисковые запросы – например, про митинги, запрещенные организации и какую-либо политическую информацию.

Выявлять такие случаи с системами класса Employee Monitoring довольно легко. Это делается с помощью ключевых слов. Можно ввести набор интересующих ключевых слов, например, «список экстремистских сайтов». Система покажет список событий с разными сотрудниками и, соответственно, что это было за событие. Мы видим его и даже можем перейти к снимку, удостоверившись, что сотрудник вводил именно это. Также косвенно такая активность может быть выявлена через использование VPN. Если сотрудник ищет информацию о запрещенных организациях на рабочем месте и переходит на них с помощью VPN, это наводит на мысль, что, как минимум, нужно к этому сотруднику обратиться, а еще лучше предотвратить использование переходов на данные сайты.

Это риски как для самого работника, проявляющего такую активность, так и для компании, потому что впоследствии сотрудник может быть привлечен к административной или даже уголовной ответственности, кейс может попасть в заголовки СМИ и т.д. Понятно, что человек в принципе может искать подобную информацию об организациях, митингах и размещать какие-либо посты. Но задача ИБ снизить любые риски для компании.

Предотвращение утечек информации

Итак, как модуль Activity Monitor от InfoWatch помогает в предотвращении утечек информации? Система мониторинга активности помогает обогащать данные DLP-системы о действиях сотрудника до, во время или после инцидента ИБ. Предоставлять полную картину инцидента ИБ: что предшествовало инциденту ИБ, что последовало после инцидента ИБ, как сотрудник пытался замести следы инцидента ИБ и т.д.

Какие активности мониторит система:

  • Мониторинг входа/выхода/блокировки рабочей станции
  • Мониторинг вводимого текста, приложений и веб-ресурсов
  • Поисковые запросы на веб-ресурсах
  • Мониторинг действий с файлами
  • Снимки экранов
  • Картина использования сотрудником рабочего времени, эффективность сотрудников на удаленке

Совместное использование модуля Activity Monitor и DLP-системы Traffic Monitor помогает в предотвращении утечек информации и других инцидентов ИБ. Но инцидент ИБ случается, с помощью этих инструментов можно в кратчайшие сроки расследовать инцидент ИБ, собрать неопровержимые доказательства по инциденту ИБ, создать полноценную защиту интересов организации. Эти системы дополняют возможности друг друга и выстраивают единую систему защиты и управления рисками.

Материал подготовлен на основе вебинаров Сергея Кузьмина, менеджера по развитию возможностей Employee Monitoring в DLP-системе InfoWatch Traffic Monitor. Больше информации можно найти в вебинарах Сергея Кузьмина о предотвращении инцидентов ИБ с помощью Employee Monitoring в двух частях:

  • Employee Monitoring в DLP для предотвращения инцидентов ИБ, часть 1 – кейсы «Удаление-восстановление данных», «Мертвые души»
  • Employee Monitoring в DLP для предотвращения инцидентов ИБ, часть 2 – кейсы «Нежелательные посты в соцсетях и поисковые запросы», «Посторонняя бухгалтерская активность»
Подпишитесь на рассылку INFOWATCH
l.12-.057c.834-.407 1.663-.812 2.53-1.211a42.414 42.414 0 0 1 3.345-1.374c2.478-.867 5.078-1.427 7.788-1.427 2.715 0 5.318.56 7.786 1.427z" transform="translate(-128 -243)"/>