«Большинство сотрудников не задумываются о том, что их мессенджеры контролируют»: как в России сливают конфиденциальную информацию и что за это бывает
В 2015 году руководство «Яндекса», к тому моменту уже два года владеющего порталом о кино «Кинопоиск», уволило 10 сотрудников компании — «остатки старой команды, людей, которые проработали там по 5-10 лет»,
на своей странице в Facebook сооснователь портала Виталий Таций. Причиной увольнений стала переписка в общем чате в Skype, где сотрудники «в критических тонах обсуждали события последних дней», в том числе, решение «Яндекса» превратить портал в онлайн-кинотеатр. В чате, о котором идет речь, кроме сотрудников «Кинопоиска» были третьи лица — например, бывшие владельцы сервиса Таций и Дмитрий Суханов. Это и превратило неформальную переписку коллег, которая ведется ежедневно в тысячах компаний, в нарушение NDA (Non-disclosure agreement — соглашение о неразглашении конфиденциальной информации —
Forbes) и причину для увольнения.
История с «Кинопоиском» — один из многочисленных примеров того, как сотрудники, сами того не подозревая, разглашают конфиденциальные данные и несут за это наказание.
Forbes поговорил с начальниками отделов безопасности российских компаний, разработчиками ПО для инфобезопасности, изучил статистику и рассказывает, какими бывают сливы, чем они караются и как их предотвратить.
История первая. Очная ставка
«Как-то раз я прочел в переписке сотрудника в Skype с рабочего компьютера, а потом с помощью контроллера [специального прослушивающего софта, который устанавливается на офисную технику] услышал в телефонного разговоре, как он рассказывал, что в ближайшее время заработает много денег. Разговаривал он по корпоративному телефону, и я, имея такую возможность, посмотрел, с кем он разговаривал. Перезвонил — это оказался наш конкурент, с которым сотрудник договорился о встрече. Я с конкурентом не был знаком, но напросился на эту встречу, где конкурент меня представил как партнера. Сотрудник меня в лицо не знал, сходу зашел и рассказал, кто он, чем занимается и сообщил, что готов продать базу. После того, как разговор закончился, я ему дал свою визитку с должностью и названием компании. Утром он пришел в офис и написал заявление об увольнении. Базу клиентов выкачать не успел, приходил на встречу только договариваться», — рассказывает Сергей Матвеев, руководитель службы безопасности «Инфотекс Интернет Траст» (услуги сдачи электронной отчетности). По его оценке, если бы сделка состоялась, компания могла потерять 10-12 млн рублей.
История вторая. «Алло, это служба безопасности банка»
Рунет полнится историями о звонках из якобы службы безопасности или финансового контроля одного крупного банка с просьбой подтвердить несуществующую операцию по карте, а затем сообщить номер карты, код из смс и кодовые слова, которые якобы помогут идентифицировать клиента. В итоге со счета жертвы безвозвратно списываются разной величины суммы. Как мошенники получают номера телефонов, фамилии имена и отчества тех, кому звонят? Основной источник утечки персональных данных — инсайдеры в финансовых учреждениях, говорит Дмитрий Шестаков, руководитель отдела исследования киберпреступности Group-IB. Случается, что такие звонки поступают и людям, у которых вообще нет карт выбранного мошенниками банка. Но это другая схема, более «рандомная», когда злоумышленник покупает любую базу контактов (например, интернет-магазина, которому люди оставляют свой номер для участия в программе лояльности) и обзванивают их в надежде на то, что среди абонентов будет большое количество клиентов нужного банка.
Заточенная на реальных владельцев карт схема (она обычно обеспечивает более высокую конверсию в хищение средств) работает следующим образом: злоумышленник публикует объявление о поиске инсайдеров — людей, имеющих определенный уровень доступа в банках или других финансовых учреждениях, на андеграундном форуме или в соцсетях. Еще один способ — таргетированная рассылка с предложениями «подзаработать» различным людям, у которых в качестве места работы указан банк или другое финансовое учреждение. Очень редко предложения исходят от самих сотрудников финансовых организаций, когда они пишут на андеграундных ресурсах о том, что работают в определенном месте и хотят каким-то образом монетизировать это.
Если злоумышленник нашел инсайдера, который обладает минимальными правами доступа к системе (обычно именно такие сотрудники и соглашаются на сделку), то есть шанс получить только так называемые «выгрузки» — обычно это количество денежных средств на счете у клиентов банка. Дальше мошенник может продать эту информацию своему «коллеге» покрупнее, который отберет клиентов с балансом на счету, например, более 1 млн рублей и купит у своих источников базу их телефонных номеров. А затем или сам организует те самые обзвоны, или продает собранную информацию «колл-центрам» в тюрьмах.
Существует еще один вид инсайдеров, которые обладают более высокими правами доступа. К таким людям злоумышленники обычно обращаются, уже имея какие-то входные данные о жертве, которые они получили, например, через вредоносное ПО или фишинговые ресурсы, а теперь им нужна полная информация по счету жертвы для хищения денег.
При этом в описанной схеме нет информации, которая необходима злоумышленникам именно для вывода денежных средств, отмечает Шестаков. «Эта информация достаточно базовая, и ее без преступной группы «фишеров», которые выуживают CVV и другие коды, монетизировать никак не получится. То есть, слив информации в этом случае становится только первой ступенькой, которую проходят злоумышленники для успешного хищения средств», — говорит эксперт.
История третья. Мертвые души
В 2019 году Октябрьский районный суд Новосибирска
к 2,5 годам колонии главного специалиста в местном отделе выплаты пенсии УПФР. Суд признал женщину виновной в мошенничестве, совершенном с использованием служебного положения, в особо крупном размере.
Сотрудница получала из ведомственной картотеки персональные данные умерших пенсионеров, а потом вносила их в электронные списки с перечнем людей, недополучивших пенсии. Деньги «мертвым душам» зачислялись на банковские карты, оформленные на других лиц, которые были в распоряжении у мошенницы.
С апреля 2014 по май 2018 года сотрудница ПФР похитила таким образом 6,2 млн рублей. Она признала свою вину и частично погасила ущерб — вернула фонду 20 000 рублей (чек приобщили к делу). Суд приговорил ее к 2,5 годам лишения свободы и обязал покрыть оставшийся ущерб.
История четвертая. Ошибка копирования
В одной из крупнейших в России энергетических компаний сотрудницу уволили за то, что она переслала к себе на личную почту переписку со своим руководителем, в которой были условия договоров с контрагентами, величина задолженности и лимиты по договорам, вспоминает кейс из своей практики Дмитрий Гриц, адвокат, управляющий партнер юридической фирмы «Гриц и партнеры». «Она не разглашала никому эти данные, а только переслала их себе. Но пользовательское соглашение почтового сервиса Gmail (именно там была зарегистрирована личная почта) предполагает, что компания Google имеет доступ к содержанию писем, и суд посчитал, что такая информация стала известной стороннему лицу», — объясняет юрист. Та же участь постигла сотрудницу одного из долговых агентств, которая скопировала конфиденциальную информацию на флешку, по ее словам, для рабочего использования дома, но тоже была уволена, добавляет Гриц.
Киберпреступление и наказание
Как видно из приведенных примеров, слить информацию можно множеством разных способов — от невинной пересылки письма на свою же почту до мошеннического подлога персональных данных. В некоторых сферах сливы считаются обыденностью и в каком-то смысле даже профессиональным преимуществом сотрудников — по словам Ильи Яшина, основателя ИТ-компании Cto4u (занимается, в том числе, инфобезопасностью), «каждый третий менеджер по продажам, приходя на собеседование в новую компанию, отчитывается о том, что у него есть база клиентов с предыдущей работы».
Но слил сотрудник информацию случайно или намеренно, при «разборе полетов» значения не имеет, предупреждает юрист Дмитрий Гриц из «Гриц и партнеры». Если в компании установлен режим коммерческой тайны, то, раскрывая защищенные этим документом данные, сотрудник разглашает конфиденциальную информацию.
Эта сфера регулируется Федеральным законом «О коммерческой тайне» (п.9 ст.3 этого закона — 98-ФЗ). При этом к трудовым правам работников режим коммерческой тайны прямого отношения не имеет, а значит не противоречит Трудовому кодексу и может быть установлен в любой компании, добавляет Гриц.
По его словам, нарушение коммерческой тайны чаще всего грозит сотруднику дисциплинарным наказанием — выговором или увольнением (по пп. «в» п.6 ч.1 ст. 81 ТК РФ). Если же слив оборачивается более тяжким правонарушением (например, мошенничеством), сотрудника наказывают в соответствии с нарушенной статьей административного или уголовного кодексов. Сложнее придется работодателю, если работник раскрыл засекреченную информацию и уволился сам. Компания может попытаться взыскать прямые убытки, возникшие из-за этого, но их наличие достаточно сложно доказать, предупреждает Гриц. «Штрафы, которыми можно было бы погасить возникшие убытки, с работников — и нынешних, и бывших — взыскать нельзя», — говорит юрист.
Работодатель может обратиться в суд, но в большинстве случаев этого не делает. «Если доказательств мало или у работодателя бардак с тем, как установлен внутри компании режим коммерческой тайны, то идти в суд смысла нет», — считает Гриц. «Основная задача компании — выявить инсайдеров как можно быстрее и устранить проблему. А судебные тяжбы этот процесс удлиняют. Плюс публичность, огласка, которой не всем хочется», — добавляет Дмитрий Шестаков из Group-IB. Поэтому, по словам Грица, фактически единственный способом защитить конфиденциальную информацию — вовремя и правильно установить в компании режим коммерческой тайны.
Вычислить и обезвредить
Как можно предотвратить слив? Или хотя бы сразу же обнаружить его и оперативно ликвидировать последствия? «Нет волшебной кнопки, которую ты можешь настроить, включить, и она тебя будет оповещать о том, что происходит утечка данных. Но зачастую безопасник реагирует на аномалии, которые сами по себе могут ни о чем не говорить. Увеличился объем трафика кого-то или странно стали запускаться программные ресурсы. Мы часто идем по хлебным крошкам», — говорит Николай Казанцев, начальник отдела информационной безопасности фармацевтической компании «Полисан». По его словам, есть несколько стандартных методов предотвращения киберугроз.
- Антивирусные программы. Установленные на рабочие компьютеры, они обнаруживают вирусы, которые могут попасть в локальную сеть через интернет, по электронной почте или из внешних устройств (флэшек, переносных жестких дисков и т.д.). Они блокируют зараженные сайты, обнаруживают атаки и обладают всем спектром защиты от «программных» вредоносных действий.
- DLP-системы — это инструменты контроля информационных потоков внутри компании, которые следят за входящим и исходящим трафиком, файлами, отправленными и полученными с рабочего компьютера, анализируют тексты, которые набирают пользователи. К ним относятся, например, Safetica, SearchInform, DeviceLock. «Проще говоря, с помощью таких систем сотрудники информационной безопасности могут увидеть, что сотрудник заходил на сайт конкурентов или звонил им с рабочего телефона, что скачал файлы с компьютера на флэшку или залил в облако (например, Google Диск), и анализируют текст — по словам-маячкам видят, что сотрудник ругает босса или договаривается о незаконной сделке», — поясняет Казанцев.
- SIEM-системы — инструменты для слежки за миллионами технических событий, которые генерируют рабочие станции, серверы, любое оборудование и системы. К ним относятся, например, FortiSIEM, AlienVault OSSIM, «СёрчИнформ SIEM» и др. «Если сопоставить события из разных систем, которые на первый взгляд никак не связанны, удается выявить сложные атаки на компанию. Например, пользователь подключился одновременно к нескольким компьютерам в разных офисах — это может говорить о краже его учетной записи или злоупотреблении со стороны коллег», — говорит Казанцев. «Чувствительность» таких систем настраивают сотрудники информационной безопасности, отклонения выявляются автоматически. Если программа нашла подозрительный скачанный или залитый файл, зафиксировала чрезмерную активность пользователя — она подает безопаснику сигнал. Безопасник проверяет, есть ли основания для подозрений и служебного расследования.
Подобные программы отлично помогают отследить «нелояльных» сотрудников, соглашается Сергей Матвеев, руководитель службы безопасности поставщика услуг сдачи электронной отчетности «Инфотекс Интернет Траст». По его словам, к критериям нелояльности обычно относят общение с конкурентами, выражение негативного мнения о компании, руководстве, общение с уволенными сотрудниками и в целом негатив в отношении организации. «Отслеживается набор соответствующих фраз в письмах и мессенджерах. У нас же большинство ту же самую «Телегу» [Telegram], WhatsApp, Viber, Skype ставят на рабочие машины и не задумываются о том, что это все контролируется», — говорит Матвеев.
По его словам, такая слежка не выходит за рамки закона, если это прописано в положении о защите коммерческой тайны, которое подписывается при приеме сотрудников на работу (а чаще всего прописано).
«Нет волшебной кнопки, которая тебя будет оповещать об утечке данных. Мы часто идем по хлебным крошкам»
Есть три главных причины для того, чтобы более пристальнее присмотреться к действиям сотрудника, продолжает Казанцев — это «маячки» от средств защиты (антивирус, DLP и SIEM), наводка от руководства или коллег и сомнения, возникшие у безопасника в ходе превентивной работы по анализу информационных потоков и происходящего в компьютерных системах.
Если инцидент произошел недавно или происходит прямо сейчас, то безопасник с разрешения гендиректора пытается предотвратить его или его последствия - например, оперативно изымает у сотрудника под подозрением носители информации или зачищает облачные сервисы, через которые произошла утечка. «Если на лицо случайная оплошность и отсутствие злого умысла, то идет общение непосредственно с работником, объяснение ему, что он сделал не так и как надо делать, чтобы не нарушать. Если инциденты повторяются — привлекается руководитель и возможны последствия для работника», — говорит Казанцев. При подозрениях на злонамеренное нарушение к разбирательству привлекается сначала не сам работник, а его руководитель или менеджмент высшего звена. Если в результате внутреннего расследования оказывается, что они были не в курсе действий подчиненного, то проводится встреча с самим сотрудником — обязательно в присутствии руководителя. «С работника берется объяснительная, а дальше проводится полноценная служебная проверка с оформлением документов и официальными последствиями в виде привлечения к ответственности с участием полиции и потом суда», — поясняет эксперт.
Существуют и менее официальные, но часто даже более действенные методы предотвращения утечек. Так, Яшин советует не нагружать сотрудников смежными с их основной специализацией задачами: тогда у работников будет меньше соблазна слить что-то непонятное ему за деньги по просьбе мошенников, да и в целом удовлетворенность от работы будет выше, а желания вредить компании — меньше. «В одной из международных компаний в свое время практиковалась забавная, хоть и спорная методика внедрения культуры безопасности. Если сотрудник забывал заблокировать компьютер, уйдя на встречу или на обед, его руководитель мог сесть за этот компьютер и отправить от его имени электронное письмо высокопоставленному менеджеру с шуточным признанием в любви, поставив в копию всю команду», — рассказывает Александр Маслюк, автор Telegram-канала о хедхантинге WTF_HR. Смущения, полученного забывчивым сотрудником, видевшим ответное письмо от топ-менеджера, обычно хватало, чтобы он больше никогда не забывал блокировать компьютер, уверяет Маслюк.