Система киберлояльности: как организовать работу и увольнять сотрудников, чтобы защитить персональные данныеБолее половины утечек ПДн (персональных данных) происходят по вине сотрудников компаний, причём не только действующих, но и уволенных.
Человек остаётся самым слабым звеном в системе информационной защиты, поэтому злоумышленники очень часто действуют именно через сотрудников, которые об этом, конечно же, даже не предполагают. Примеров социального инжиниринга много. Представьте себе следующие ситуации.
Человек видит на почте письмо от «поставщика», переходит по ссылке, вводит данные, которые в итоге отправляются мошенникам.
Сотруднику технической службы прилетает заявка в HelpDesk от «нового работника», которому нужно внести изменения в учётку CRM. Он не проверяет, что это за сотрудник такой, а просто выполняет задачу. В результате злоумышленник получает доступ к системе.
В мессенджере с аккаунта руководителя приходит ссылка на мероприятие с регистрацией через внутренние системы. Человек логинится, но оказывается, что аккаунт поддельный — злоумышленники получили логин и пароль к рабочим базам.
Случаются и курьёзные ситуации (не для руководителей, конечно), когда сотрудник отправляет отчёт не тому клиенту, оставляет в условном кафе флешку с базой, открывает на чужом компьютере облако, где в открытом доступе хранятся документы.
Бывают «хитрые» сотрудники, которые, поработав в компании и узнав всю «кухню», открывают собственный конкурирующий бизнес, унося с собой базу клиентов. А сами клиенты даже не против, чтобы их данные, по сути, украли — им удобнее взаимодействовать с тем, кто уже знает их потребности.
Кто-то продаёт персональные данные клиентов и коллег, их с удовольствием покупают колл-центры и всевозможные мошенники, в том числе для подделки аккаунтов каршеринга и других сервисов.
А иногда человек даже не получает выгоды, просто сливает информацию, чтобы отомстить руководителю, который мало заплатил или уволил.
Большинство сотрудников, которые продали или слили персональные данные, даже не осознают, что нарушают закон и их могут привлечь по 3 пунктам.
1. Ст 13.11 КоАП РФ за утечку ПДн — до 800 тыс. руб.
2. 272.1 УК РФ за использование ПДн в результате утечки — штраф до 300 тыс. рублей, лишение свободы до 4 лет или принудительные работы на срок до 4 лет.
3. Ч. 2 ст. 272.2 УК РФ за использование специальных категорий ПДн в аналогичных ситуациях — штраф до 700 тыс. рублей, принудительные работы либо лишение свободы на срок до 5 лет.
Об этом нужно говорить с сотрудниками ещё при приёме на работу, чтобы они понимали, чем они рискуют, использовав ПДн в личных целях.
Крупные компании для защиты ПДн и ценных данных внедряют DLP-системы, которые не позволяют передавать важные данные за пределы информационной среды. Допустим, сотрудник хочет отправить список клиентов с их контактами или паспортными данными. Если он загрузит файл в облачное хранилище, чтобы поделиться ссылкой, или закинет в мессенджер, то действие будет заблокировано.
Система постоянно мониторит действия персонала и фиксирует их в журнале. Всегда можно проверить, что именно делал специалист с документами — когда заходил в систему, какие файлы открывал, что распечатывал или копировал. Если пользователь скачал много файлов, зашёл в систему поздно вечером или подключился из другого города, то DLP-система видит в этом аномалию и направляет сигнал специалистам службы безопасности.
Но даже если увольняете сотрудника по другим причинам, это не повод расслабляться, потому что человек может обидеться и захочет навредить работодателю или подумает, что после ухода на него уже не упадут подозрения. Соответственно, процесс увольнения должен быть структурированный и контролируемый.
1. Проанализируйте корпоративную активность специалиста за последние 2-4 недели: не было ли нетипичных действий. Например, проверьте логи доступа и пропустите рабочий чат через нейросеть.
2. Отзовите права доступа до того, как сообщите об увольнении. Не забудьте забрать пропуск, бейдж и другие идентификаторы, с помощью которых человек может попасть в офис и получить важные данные.
3. Убедитесь, что сотрудник не копировал данные с корпоративных устройств. Подпишите акт приёма-передачи смартфона, ноутбука или других гаджетов.
4. Проведите выходное интервью с протоколом, обсудив ответственность за разглашение конфиденциальной информации
Такой оффбординг должен быть стандартным для всех уходящих сотрудников, чтобы никто из них не подумал, что это только его так не любят или в чём-то подозревают. На первом месте стоит защита бизнес-активов, а сейчас мы живём в мире, где каждая деталь имеет значение.
подробнее -
здесь
