Сотрудник, пересылающий конфиденциальные корпоративные данные за пределы компании, с виду ничем не отличается от всех остальных сотрудников, честно выполняющих возложенные на них работодателем обязанности. Однако ряд действий, которые производит сотрудник, заставляют подозревать его в инсайдерской деятельности.
Одним из таких действий является пересылка защищенных с помощью пароля архивов. Вполне естественно, что некоторые документы по работе сотрудники пересылают внутри архивов, чтобы сэкономить время на отправку и не опасаться того, что адресат забудет сохранить на свой компьютер какой-то из отправленных ими файлов. Однако, в подавляющем большинстве организаций сотрудники не имеют совершенно никакой нужды в защите таких архивов с помощью пароля. Именно поэтому случаи, когда сотрудники все-таки пересылают защищенный с помощью пароля архив, должны автоматически быть интересны для отдела информационной безопасности компании.
Правда, стоит, конечно, отметить тот факт, что вовсе не обязательно в таких архивах будет содержаться конфиденциальная информация. Как показывает практика, многие сотрудники пересылают с их помощью собственные фотографии или видеофайлы, различные материалы непристойного содержания, и даже просто картинки с «приколами». Тем не менее, поскольку в автоматическом режиме совершенно невозможно узнать, находятся в запароленном архиве конфиденциальные документы или фотографии с корпоратива, на которых главный бухгалтер пляшет на столе, отделу информационной безопасности приходится расследовать каждый из случае пересылки документов в защищенных архивах отдельно. Кроме того, даже в том случае, когда пересылка запароленного архива не связана с утечкой информации, всё равно она свидетельствует о неэффективном использовании рабочего времени, что должно также стать поводом для санкций против пересылающего защищенный архив сотрудника.
Возникает закономерный вопрос, каким именно образом можно получить информацию о том, что сотрудники пересылают защищенные паролями архивы? Для этих целей организации применяют специальные программные продукты – средства мониторинга информационных потоков в компании. Одним из таких средств, хорошо зарекомендовавшим себя в организациях любого размера и формы собственности, является «Контур информационной безопасности SearchInform».
Для отслеживания пересылки защищенных архивов создается «алерт», который как раз и срабатывает при обнаружении подобного рода архива в общем потоке трафика. Специалист по информационной безопасности получит уведомление об обнаружении архива с паролем, пересылаемого по любому из возможных каналов, включая электронную почту, HTTP, FTP, протоколы мгновенного обмена сообщениями, Skypeи т.д.
После обнаружения защищенного архива имеет смысл провести проверку на предмет передачи пароля по тому же или другому каналу передачи данных. Кроме того, будет полезно провести срез активностей пользователя, отправившего подозрительный архив, с целью выявления других инцидентов с его участием. Если сотрудник занимается инсайдерской деятельностью, без сомнения, очень скоро это выяснится по его разговорам и переписке.
Р. Идов,
аналитик компании SearchInform
