Время кризиса — время снижения реальной зарплаты людей. Может формально она и не уменьшилась, но трудно не заметить, что цены в магазинах подросли. Про курс доллара уже и не говорю. Многие ищут дополнительные доходы. Некоторые думают, как исправить ситуацию за счет работодателя. И задумываются об использовании различных мошеннических схем. Бизнес понимает возросшие риски нелояльности сотрудников и думает, как себя обезопасить. Одним из возможных решений является использование DLP-систем.
Эволюция DLP-систем
Системы предотвращения утечки информации — DLP (Data Leak Prevention), сначала развивались как аларм-системы. Если происходило событие, воспринимаемое как нарушение установленных правил, то выдавался сигнал о нарушении. Например, что отправлено электронное письмо, содержащее конфиденциальный документ. Или что в нерабочее время кто-то распечатывал документы.
Сам ставил такого рода систему еще во времена перестройки в СССР. Ко мне обратилась за помощью одна из многочисленных торговых фирм, занимавшаяся в то время самым доходным бизнесом — продажей стоящего копейки на внутреннем рынке советского сырья на Запад. Директору показалось, что кто-то пользуется ее компьютером, содержащими деликатную информацию, во внерабочее время.
Установленная на выходные, система выявила активную работу охранника, пришедшего на работу из развалившегося НИИ. Человек даже в те трудные времена пытался двигать науку и совмещал подработку охранником с написанием своей диссертации. Со словами «нам такие умные здесь не нужны» директор немедленно уволила охранника. Проблема была решена.
С развитием DLP-систем к компонентам уровня хоста, установленным на персональных компьютерах и контролирующим вывод информации на дискеты, флэшки, печать или компакт-диски, добавились модули сетевого уровня, стоящие на прокси-серверах, серверах безопасности или электронной почты, контролирующие трафик, пересекающий границы информационной системы. DLP-cистемы стали не только собирать информацию и выдавать сигналы тревоги, но и пытаться предотвратить утечки данных. Проще говоря, подозрительное письмо не отсылалось, а отправлялось в карантин, где его читал цензор и принимал решение о дальнейших действиях.
Да, часть утечек информации удавалось предотвратить, но в целом экономический эффект был небольшим. В основном ловились непредумышленные ошибки сотрудников.
Какой злонамеренный инсайдер станет посылать корпоративной почтой сливаемую информацию? Разве что секретарша ошибется адресом. Ну, поймает ее на этом безопасник, ну отчитает. Оправдает ли это затраты на покупку и сопровождение DLP-системы и работу самого сотрудника отдела безопасности? Ответ не очевиден. Тем более что у злонамеренного инсайдера в распоряжении множество других, не контролируемых каналов, от соцсетей до банального фотографирования на свой мобильный телефон экрана монитора.
Да, можно ужесточить политики ИБ, обрубить все потенциальные каналы утечки, зажать пользователей как сотрудников секретных ящиков, но все это неизбежно скажется на эффективности бизнеса. Как компьютеры начинают медленней работать после установки систем предотвращения утечки информации, так и люди — в условиях ограничения их возможностей. Имеющие опыт работы в режимных организациях меня поймут. Да и молодежь в такие организации пойдет неохотно. Она уже не представляет себе жизни без соцсетей.
От мониторинга к анализу
Для коммерческого сектора эффективный путь — это не запрет каналов, а анализ информации. Не просто мониторить трафик и перекрывать утечки, а выявлять мошеннические схемы. Прежде всего, с целью снижение экономических потерь организации. Что в современных условиях кризиса и нехватки денег крайне важно.
В понятие внутреннего фрода входят:
— Сговор или аффилированность с клиентами или поставщиками.
— Проведение сделок с подконтрольными компаниями.
— Использование подставных поставщиков или посредников.
— Передача клиентов или клиентской базы другим компаниям, прежде всего конкурентам.
— Искусственное завышение цены.
— Откат.
— Подделка или фальсификация документов.
— Оплата счетов за невыполненные работы или непоставленные товары.
— Использование сотрудников, оборудования, материалов или ресурсов компании в личных целях.
Все это непосредственно сказывается на эффективности бизнеса. С этими явлениями надо бороться. Как следствие — современные DLP-системы не только фиксируют срабатывание политик безопасности, но и дают возможность проведения расследований.
Различные способы мошенничества и хищения денег организации описываются в специальном международном каталоге мошеннических схем «Fraud Examiners Manual», выпускаемом ассоциацией ACFE. Каталог все время пополняется. Каждая схема обладает набором косвенных признаков, по которым может быть найдена. На выявление этих признаков и направлены DLP-системы нового поколения.
Хорошо известна схема мошенничества в банках, получившая название «кредитная карусель». Несколько сотрудников банка, принимающих решение о выдаче кредита, вступают в сговор и выдают кредиты организациям, которые предлагает им мошенническая фирма-посредник, фирма-брокер. После этого кредиты не возвращаются, или возвращается только часть денег, а украденные деньги переводятся на счета брокера и делятся между участниками преступной группы.
Не секрет, что многие кредиты банкам и так не возвращаются. Как выявить сговор и наличие преступной группы с помощью DLP-систем нового типа?
По косвенным признакам. Например, по аномально низкому количеству писем с запросом документов, направляемых в адрес подставных компаний. Зачем мошенникам писать много запросов, когда вопрос давно решен? На этом и горят. А выявив аномалию DLP-системой, можно более плотно заняться расследованием. Рассматривая подозрительные сделки «под микроскопом», используя уже все возможные методы, включая анализ архивных данных.
Бывает, проводятся «липовые» тендеры, когда победитель заранее определен, а остальные компании играют роль статистов. Косвенные признаки такого мошенничества — типовые, как под копирку, письма из разных организаций, участвующих в тендере. Или письма от разных организаций, посланные с одного компьютера. Например, компьютера сети организации, проводящей тендер.
Другая схема мошенничества, для выявления которой может использоваться DLP-система, — использование мертвых душ. Система старая, работавшая еще во времена Гоголя. Только с адаптацией к современным реалиям информационного общества.
Зарплатная система — одна из самых закрытых систем предприятия. К ней имеет доступ сильно ограниченное количество сотрудников, что создает предпосылки для злоупотреблений с использованием схемы «мертвых душ». Например, начисление зарплаты уже уволенным сотрудникам. О которой они и не подозревают, так как эти деньги оседают в карманах сотрудников бухгалтерии.
DLP-система может фиксировать выдачу зарплаты сотрудникам, которые не проявляли никакой активности в сети в оплачиваемый период. Возможно, сотрудник ушел в отпуск или в декрет, но это ситуация, на которую надо обратить внимание сотрудника безопасности с целью дальнейшего разбирательства.
Важно, что DLP-cистема работает в режиме онлайн и сразу сообщает о нестандартных действиях пользователя. Например, зачем он нажал на клавишу PrtSc при открытом на экране приложении «Операционный день банка».
Мошенники «под колпаком»
DLP-система — это как видеокамера в метро. Сначала их появление на станциях немного напрягало. Потом их перестали замечать. И сколько бы мошенники не уходили от DLP-системы предприятия, рано или поздно они потеряют бдительность и проколются. И мошенническую схему, например получения откатов сотрудниками подразделения отвечающего за закупки, удастся выявить. И сберечь деньги предприятия.
В современных DLP-системах на сотрудников компании собираются досье, причем не только на тех, кто сейчас работает, но и на ключевых уволенных сотрудников и ключевых клиентах. Неформальные связи — это тоже важно. Для этого используется не только внутренняя информация из разных систем, включая бухгалтерию и кадры, но и данные полученные от внешних компаний, например, анализирующих активность сотрудников в соцсетях. Все это может пригодиться при проведении расследования.
Появляются возможности и для активной защиты. Специальный вброс в сеть конфиденциальной информации (дезинформации) с последующим анализом реакции на нее сотрудников. Впрочем, это уже зависит от заказчика системы и используемых им методов.
Не всем сотрудникам нравится быть «под колпаком», знать, что кто-то копается в их грязном белье и выясняет, кто и с кем спит. Некоторые методы могут рассматриваться как противозаконное вмешательство в их личную жизнь. Впрочем, это уже вопрос не к DLP-системам, а к их заказчикам и их юридическим службам.
Для крупных компаний, где за всеми лично не углядишь, DLP-системы, конечно, нужны. И хоть это не единственный инструмент предотвращения внутреннего мошенничества, но все же важный и полезный для бизнеса.
Автор статьи — к.т.н., член Ассоциации руководителей служб информационной безопасности (АРСИБ).