Причины возникновения инсайда и борьба с ними. Методы повышения лояльности сотрудников

Максим Репин,
специалист ОАО "Концерн ВЕГА"

Анастасия Сакулина,
специалист ОАО "Концерн ВЕГА"

В наши дни одной из главных угроз информационной безопасности любой компании стали инсайдеры. Именно на их совести лежит большинство утечек ценной корпоративной информации.

В период экономического кризиса особого внимания требует инсайдерская деятельность, причиной которой является недовольство руководством. Причем мотивацией может служить как простая жажда мести, так и перспектива выгодно продать конфиденциальную информацию. Также очень серьезный ущерб может нанести топ-менеджемент, имеющий полный доступ и к финансовым, и к информационным активам. Кроме того, многие из руководителей работают в фирме длительный период времени и прекрасно знают все наиболее уязвимые места и слабо контролируемые направления деятельности, пользуются доверием и располагают большими полномочиями. Высокое служебное положение злоумышленника дает ему возможность закамуфлировать свои действия и решения, принятые в ущерб интересам фирмы.

Исходя из приведенных характеристик, можно выделить следующие виды внутрикорпоративного мошенничества:

• махинации с активами компании и их присвоение;
• система работы "по договоренности", включающая в себя такие распространенные средства, как "откат", завышение цен товара, подмена накладных и счетов, списание товаров, не попавших по цене в инвентаризационную ведомость, завышение процента брака и т.п.

Противодействие инсайду

Существует несколько способов противодействия угрозе инсайда.

Один из них - технические способы защиты от утечек информации. Спектр ТСЗИ очень широк и позволяет выявить и предотвратить различные каналы утечки. Основной задачей службы безопасности организации является грамотная расстановка акцентов на наиболее вероятные из возможных угроз. Важно также соблюдать баланс "цена/качество/производительность", который позволит использовать средства, выделенные на ТСЗИ, с максимальной эффективностью, при этом не снижая существенно производительность сотрудников излишним контролем и техническими ограничениями.

Организационные методы представляют собой набор политик безопасности фирмы. В зависимости от типов информации (конфиденциальная, секретная, совершенно секретная и т.д.), с которой работает фирма, разрабатывается конкретный набор процедур, ограничивающий распространение данных только среди допущенных до них лиц.

Работа с кадрами (отбор кандидатов на должность, повышение лояльности сотрудников) включает в себя:

а) Оценку благонадежности кандидатов при зачислении в штат.

Это анализ личного дела (трудовая книжка, заполнение различных анкет, проверка данных об образовании и т.п.), сбор данных о личных качествах среди бывших коллег, проверка на склонность к мошенничеству, испытательный срок. Проведение поэтапных собеседований: с сотрудником кадровой службы для проверки собранных данных; с сотрудником службы безопасности для сравнения имеющегося досье с информацией, полученной из других источников; со специалистом по предполагаемому направлению работы на предмет соответствия требованиям к профессиональным качествам.

В особых случаях (собеседование на высокопоставленные должности) можно применить проверку на полиграфе, но это требует привлечения грамотных специалистов в данной области и соответствующих знаний нормативно-правовой базы этого метода.

б) Прикрепление наставника.

В ходе испытательного срока опытный сотрудник может помочь недавно нанятому коллеге быстрее адаптироваться к внутренним требованиям компании, объективно оценить отношение кандидата к порученному делу и грамотно донести до руководства возникшие затруднения и вопросы.

в) Повышение лояльности сотрудников.

В связи с кризисом и усиленно нагнетаемой СМИ вокруг него обстановкой многие сотрудники компании боятся сокращений и увольнений, что приводит к появлению упаднических настроений во всем коллективе, усугубляемых давлением со стороны руководства. Если оставить данную ситуацию без внимания, то вероятность возникновения инсайдерских угроз резко возрастет.

Тут необходимо тонко чувствовать атмосферу, что не всегда под силу даже опытному руководителю. В данной ситуации решением проблемы может стать сотрудничество с профессиональными психологами, которые с помощью проведения различных мероприятий, тренингов и опросов помогут составить общий психологический портрет коллектива. Анализ полученных сведений поможет выявить "слабое звено" компании и вовремя принять необходимые меры для сохранения доверия и рабочей атмосферы. Многие руководители не уделяют должного внимания лояльности персонала, а ведь вероятность, что сотрудник, который уважительно относится к работодателю, нанесет ущерб фирме, существенно ниже, чем в противоположном случае. Кроме того, снижается текучка кадров, что в период кризиса особенно важно, так как на первый план выходит профессионализм конкретного сотрудника. Потеря ведущих специалистов со всем багажом знаний о ситуации в компании может очень существенно ударить как по ее репутации, так и по финансовому благополучию.

Существуют различные способы повышения лояльности (как материальные, так и нематериальные). Для создания атмосферы доверия руководству необходимо придерживаться следующих принципов:

• строго выполнять все условия контракта;
• обеспечить справедливое вознаграждение сотрудника за проделанную работу (выплата процентов с прибыли от проектов, премирование, поощрение сверхурочной работы, соцпакет);
• создать комфортные условия труда;
• обеспечить профессиональный и карьерный рост;
• проводить мероприятия для объединения коллектива (team-building);
• понимать, что различные ограничения, будь технические или организационные, существенно влияют на рабочий процесс и моральное состояние персонала.

Подводя итог, можно отметить, что главный актив любой компании - это, прежде всего, работающие в ней сотрудники. Следует уделять особое внимание работе с ними как на стадии найма, так и в процессе трудовой деятельности. Большинство случаев инсайда можно предотвратить еще на этапе появления "злого умысла" у конкретного человека.

Комментарий эксперта

Александр Смирнов,
эксперт компании ООО "ИНФОРИОН"

По экспертной оценке, до 80% всех инцидентов информационной безопасности являются внутренними. Причем чем крупнее организация, тем сложнее осуществлять контроль действий сотрудников при использовании корпоративных информационных ресурсов и тем легче недобросовестным сотрудникам пользоваться служебным положением в корыстных целях. А если учитывать все возможные каналы утечки информации (передача через сетевые приложения, использование различных электронных носителей информации, использование печатных копий документов, использование архивов с паролем, использование мобильных компьютеров и телефонов), то реализация системы обеспечения информационной безопасности может стать нетривиальной задачей. Вот почему при решении задачи противодействия инсайдерам (впрочем, как и защиты от других категорий внутренних злоумышленников, например халатных и недобросовестных сотрудников) важно адекватно оценивать риски и применять комплекс организационно-технических мероприятий.

Эффективное применение средств защиты от инсайдеров требует не только наличия самих программно-технических решений, но и специалистов, осуществляющих ежедневную их эксплуатацию и поддержку. Это могут себе позволить даже далеко не все крупные организации (рыночная стоимость таких систем на 100 контролируемых пользователей составляет более 2 млн. рублей, или примерно $700, на одно рабочее место без учета стоимости проектирования и внедрения). В любом случае важны не столько технические решения, сколько действующая система работы, направленная на предупреждения (профилактику), мониторинг, блокирование действий внутренних злоумышленников и, конечно, в первую очередь инсайдеров (заинтересованных пользователей, имеющих статус "внутренних" по отношению к комплексу информационных систем организации).

Стоит упомянуть и о дополнительных мерах контроля при приеме сотрудников на работу. Службам безопасности компаний хорошо известны механизмы, с помощью которых можно составить мнение о человеке, как о потенциальном инсайдере. Это позволит существенно минимизировать риски конкурентного шпионажа на самой ранней стадии. Разумеется, все подобные действия должны находиться в правовом поле и должным образом обеспечиваться корпоративной нормативной базой.