Анализ поведения пользователей на благо экономической безопасности

Анализ поведения пользователей на благо экономической безопасности

Зачем компании нужна экономическая безопасность (ЭБ)? Правильно, чтобы экономить (сберегать от злоумышленника) деньги компании. В век информационных технологий принято ловить за руку нечистоплотных сотрудников с помощью специальных систем контроля коммуникаций – DLP. Но проблема в том, что они реагируют непосредственно на инцидент, когда нечто нехорошее уже сделано. А можно ли выявить первые звоночки будущего инцидента?

image

Оказывается, можно. С помощью технологии UBA – анализа поведения пользователей и выявления аномалий на ранней стадии. Вот вам жизненный пример работы этой технологии: как специалист отдела ЭБ с помощью UBA решал задачу мониторинга недавно принятого на работу сотрудника, и что из этого вышло.

Итак, специалист по экономической безопасности одной из компаний производственной сферы решал довольно тривиальную для ЭБ задачу: профилактический мониторинг активности недавно принятого в организацию сотрудника (в данном случае – главного инженера).

Так как UBA осуществляет неустанный качественный и количественный контроль активности сотрудников, был зафиксирован всплеск внешней активности главного инженера по каналу коммуникации «Корпоративная почта». Ранее не писавший и не получавший писем инженер вдруг резко активизировал переписку с внешними лицами.

Рис. 1 Зафиксирован качественный персональный всплеск внешней активности главного инженера

Специалисту по экономической безопасности сразу бросились в глаза явные признаки нетипичного поведения главного инженера. Так, в день фиксации аномалии внимание безопасника привлекло письмо в почте инженера, полученное с электронного ящика бесплатной российской почтовой системы. В письме лицо, позже идентифицированное как должностное лицо контрагента, со своей личной, а не корпоративной почты (что само по себе уже подозрительно), направило главному инженеру не официальное коммерческое предложение, а приблизительный план-набросок предстоящих трат.

Рис. 2 План-набросок предстоящих трат, оформленный от руки и полученный от должностного лица контрагента

Данного факта и приблизительно обозначенной в нем суммы «неэффективного расходования средств» было достаточно для того, чтобы внимательнее изучить все письма, относящиеся к периоду аномалии, и попробовать оценить масштаб бурной деятельности, развернутой главным инженером. Тогда безопасник обратился в раздел UBA-системы «Особые контакты», где в числе внешних неизвестных контактов традиционно выявляются контакты с личным почтовым ящиком, друзьями, родней, и, самое важное, будущие аффилированные контрагенты. С данными контактами еще никто в организации не взаимодействовал, а потому они оказались самыми интересными, в особенности потому, что относились к периоду персональной аномалии проверяемого лица.

Рис. 3 Контакты с «будущим потенциальным поставщиком» в сфере вентиляции и климатического оборудования

Специалист по экономической безопасности обратил внимание на контакты главного инженера с «будущим потенциальным поставщиком» в сфере вентиляции и климатического оборудования, доменная часть почты которого оканчивается на @__climate.ru. Так как с контактом явно осуществлялась переписка, безопасник обратился к ее содержанию, заподозрив в качестве причины направления двух коммерческих предложений в один день возможную корректировку не сроков, а суммы.

Рис. 4 Сравнение цен между утренним и вечерним коммерческими предложениями

Рис. 5 Коммерческое предложение от 11:03 (утреннее)

Рис. 6 Коммерческое предложение от 16:28 (вечернее) с подросшей ценой

Разница между утренним и вечерним коммерческими предложениями составила более 400 тыс. рублей. Прежде чем идти с выявленным материалом к руководству организации и принимать меры, безопасник попытался установить пути распространения данного «модернизированного» коммерческого предложения, чтобы знать всю хронологию развития событий.

Обратившись к функции «Умный поиск», специалист по ЭБ установил цепочку поступления утреннего невыгодного с точки зрения коррупционных проявлений коммерческого предложения, а затем вечернего «модернизированного» со значительно подросшей ценой. Также был установлен факт пересылки «модернизированного» коммерческого предложения директору по производству, не являющемуся участником круга лиц, помогающих освоить бюджет.

Рис. 7 Цепочка поступления извне и пересылки внутри организации коммерческих предложений

Таким образом, в результате целенаправленного решения подразделением экономической безопасности задачи по сопровождению принятого работника в период испытательного срока с помощью точной подсветки системой UBA аномального поведения был выявлен и изобличен сотрудник, забывший при устройстве на работу уведомить работодателя о наличии у него конфликта интересов и корыстного умысла.


Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!