Минимизация финансовых и репутационных рисков при увольнении ключевых работников

Незначительные утечки информации обычно проходят незаметно, не вызывая особых последствий, а вот утечка критичной информации, да еще в больших объемах, может привести к возникновению ущерба: финансового: за счет прямых потерь, недополученной выгоды, штрафных санкций, выплаты компенсаций – и репутацонного: от потери имиджа и оттока клиентов вплоть до серьезных международных скандалов: один из недавних примеров – публикация ресурсом WikiLeaks переписки Национального комитета Демократической партии США.

Утечка конфиденциальной информации может произойти в любой организации, где такая информация собирается, обрабатывается и хранится, при этом для коммерческих организаций обычно рассматриваются такие способы утечки, как разглашение конфиденциальной информации¹ и несанкционированный доступ к конфиденциальной информации². Наибольшую угрозу представляют умышленные действия, когда злоумышленник, имеющий легальный доступ к информации, целенаправленно собирает ее для передачи третьему лицу.

В организациях банковской сферы, в которых создана защита от внешнего нарушителя, основной упор в борьбе с утечками конфиденциальной информации делается на внутреннего нарушителя.

Несмотря на то, что многие организации ввели и используют различные средства мониторинга каналов утечки информации, включая DLP-системы, активно работают службы ИБ, пользователи знают правила информационной безопасности и подписали соглашение о конфиденциальности, утечек не становится меньше, а их "авторами" являются штатные работники с легальным доступом к информации.

При этом особый интерес к информации проявляют работники, которые увольняются из организации или планируют это сделать: таких работников интересует все, на чем можно заработать или использовать в качестве бонусов на собеседовании при устройстве на новую работу: проектная документация, клиентские базы, информация о движениях на счетах клиентов, разработки организации, сведения об инвестиционной деятельности организации, коммерческие предложения, персональные данные сотрудников и мн.др.

Для большинства организаций, где осуществляется разграничение доступа к информационным системам и ресурсам, значительная часть персонала, в том числе менеджеры и руководители подразделений, имеют ограниченный доступ только к тем системам и ресурсам, которые им необходимы для выполнения служебных обязанностей. И, как правило, действия такого персонала с информацией контролируются на предмет ее возможной утечки (если, конечно, служба ИБ организации этим вообще занимается).

С другой стороны, в каждой организации существуют отдельные категории привилегированных пользователей, которые имеют легальные права доступа если не ко всей конфиденциальной информации, то к ее значительной части, либо могут получить такие права и при этом могут находиться вне зоны контроля со стороны службы информационной безопасности. Кто к ним относится?

В первую очередь к ним можно отнести (назовем их ключевыми работниками):

• ТОП-менеджмент организации;
• администраторов информационных систем;
• администраторов информационной безопасности.

Такие работники могут находиться в группах исключений средств мониторинга ИБ, иметь возможности для бесконтрольного копирования или передачи информации или знать пути бесконтрольного использования информации и, наконец, иметь иммунитет со стороны руководства организации от службы информационной безопасности.

Что можно предпринять для уменьшения финансовых и репутационных рисков, особенно при увольнении таких ключевых работников?

И здесь никто ничего нового не придумал, как говорится – все уже придумано до нас: надо комплексно проводить необходимые мероприятия правового, организационного и технического характера на всех этапах жизненного цикла трудовой деятельности работника (по возможности, невзирая на ранги и должности) в соответствии с рекомендациями ГОСТ Р ИСО/МЭК 27002-2012 по вопросам безопасности, связанным с персоналом, а именно:

• перед трудоустройством;
• в течение занятости;
• при прекращении или смене занятости.

Перед трудоустройством необходима тщательная проверка кандидата, и чем более высокий уровень доступа к информации и ответственность предполагаются, тем более углубленной и полной должна быть такая проверка. В ходе проверки изучаются представленные документы, рекомендации, проводятся собеседования, возможно, с участием психологов или специальных средств типа полиграфа, тестирования на профессиональную пригодность, проводится сбор дополнительной информации с целью выявления возможного негатива и уточнения подробностей в биографии кандидата. В качестве источников такой дополнительной информации могут выступать различные государственные и коммерческие структуры: бюро кредитных историй, судебные и правоохранительные органы (естественно, при наличии таких возможностей), бывшие коллеги по работе, соседи по месту жительства, сеть Интернет и т.п.

На этом этапе важным является четкое распределение ролей и обязанностей, доведение требований по информационной безопасности до кандидата, подписание соглашения о конфиденциальности. Кандидат должен понимать степень ответственности еще до приема на работу.

Трудовая занятость должна начинаться с инструктажа или обучения по вопросам информационной безопасности и доведения правил обработки информации, желательно под роспись.

В течение трудовой занятости для работника должны быть созданы условия, обеспечивающие соблюдение конфиденциальности информации: предоставление корпоративных средств обработки информации, защищенного удаленного доступа, необходимых средств защиты информации и т.п.

Особую роль играет контроль деятельности работника с точки зрения возможной утечки информации (как умышленной, так и случайной). Для этого используются различные технические средства: DLP-системы, средства мониторинга информационной безопасности, логи серверов, другие источники. Надо учитывать следующие моменты:

• Каналы утечки информации могут быть различными: понятно, что удобнее всего копировать информацию на флешку или оправлять ее на личную почту, но можно еще фотографировать экран монитора на камеру телефона, печатать информацию на принтере или просто записать самое нужное карандашом на бумаге (конечно, так объемную клиентскую базу унести сложно). Необходимо контролировать как можно большее количество потенциальных каналов утечки.
• Ключевые работники могут находиться вне рамок контроля ("бесконтрольные" VIP-группы, администратор безопасности, который отключил контроль у себя, или администратор системы, который знает неконтролируемые пути обхода). Необходимо контролировать (естественно, по возможности) всех работников без исключения, выявлять и блокировать неконтролируемые каналы возможной утечки информации.
• Выявление фактов утечек или предпосылок к ним и оперативное и эффективное реагирование на них должно производиться, опять же, невзирая на ранги и должности. Информация, несанкционированно скопированная на съемный носитель или отправленная на личную почту, должна оперативно удаляться, а сам факт – доводиться до сведения руководителя нарушителя.

Ну и, наконец, в рамках прекращения трудовых отношений с ключевым работником необходимо обращать внимание на следующие вопросы.

Работник перед своим увольнением зачастую начинает активно копировать или отправлять на свою личную почту информационные материалы ("свои" наработки, выгрузки из различных систем, нормативные документы организации, образцы документов, базы данных, личную информацию и т.п.) Некоторые это делают заранее, некоторые – в самый последний момент, поэтому контроль за этими работниками должен осуществляться на ежедневной основе, до полного ухода. Для этого в службу информационной безопасности должна заблаговременно поступать информация об увольнении работников организации. В случае выявления фактов или предпосылок к утечке – опять же, приниматься меры по удалению скопированной на съемный носитель или отправленной на внешний адрес сети Интернет информации.

В качестве меры превентивного характера может производиться отключение портов ввода-вывода информации, блокироваться доступ к Интернету и внешней почте в случае обоснованных подозрений на возможную утечку информации.

Полезно провести с таким работником собеседование, в ходе которого напомнить об обязательствах, указанных в соглашении о конфиденциальности, и об ответственности за незаконный сбор и использование конфиденциальной информации.

После прекращения трудовой занятости ключевого работника необходимо провести комплекс мероприятий, направленный на аннулирование прав доступа и смену паролей к учетным записям, которые остаются активными, в случаях группового доступа увольняемых работников следует исключать их из любых списков группового доступа. Почтовые ящики и учетные записи работника должны быть заблокированы.

Можно также отметить некоторые условия, которые непосредственно влияют на эффективность контроля в рамках увольнения ключевых работников:

• своевременность получения информации об увольнении ключевых работников;
• качество работы службы информационной безопасности по контролю каналов утечки информации, полнота контроля;
• понимание со стороны руководства организации в необходимости и важности такой работы.

Хотелось бы обратить внимание еще на один момент несколько психологического характера: если в организации служба информационной безопасности регулярно ведет мониторинг каналов утечки информации, выявляет факты или предпосылки к утечке конфиденциальной информации и оперативно реагирует на них, то об этом наверняка знают все работники, и многие просто поостерегутся копировать и выносить информацию из организации.