Staffcop 7/16/20 2:39 PM Page 20
СПЕЦПРОЕКТ
Инциденты, расследования, результаты Практические примеры использования StaffCop Enterprise Дмитрий Кандыбович, генеральный директор StaffCop (ООО “Атом Безопасность”)
О
дна из важнейших возможностей, которые предоставляет программный комплекс StaffCop Enterprise, – это возможность расследовать инциденты информационной безопасности, возникающие на предприятии, и предоставлять неоспоримые факты, уличающие виновника инцидента. Мы рассмотрим некоторые наиболее яркие инциденты, собранные специалистами компании “Атом Безопасность” на пилотных и тестовых проектах внедрения, а также предоставленные клиентами в процессе использования StaffCop Enterprise. Программный комплекс StaffCop Enterprise предназначен для мониторинга работы пользователей в режиме реального времени. Он позволяет собирать информацию о том, как сотрудники предприятия используют свое рабочее время, продуктивна ли их реальная деятельность, не наносит ли она репутационный или даже прямой материальный ущерб предприятию.
Работник перед увольнением скопировал корпоративную информацию на флешку, воспользовавшись соседним компьютером Сотрудник отдела ИБ обнаружил в отчетах StaffCop Enterprise отклонение – копирование большого количества файлов с рабочего места пользователя А. на внешний флеш-накопитель. Он вызвал пользователя А. для дачи объяснений, но тот заявил, что никакой информации не копировал, для выполнения должностных обязанностей ему это не нужно, а флешка вообще не его, он при работе ими не пользуется.
Безопасник начал проверять гипотезу, что файлы переписывал кто-то другой. Пользователь А. признался, что логин и пароль для его компьютера приклеен к оборотной стороне клавиатуры и многие коллеги из отдела это знают, так как во время его отпуска или болезни пользовались этим компьютером. Тогда безопасник стал выяснять, не подключалась ли упомянутая флешка к какому-либо другому компьютеру в сети. Выяснилось, что в течение текущего года она неоднократно подключалась к рабочей станции сотрудника Б.,
который часто переносил документы на флешку для заказчиков. Тогда безопасник вызвал сотрудника Б., одновременно выяснив, что тот собирался увольняться и много говорил об этом в курилке. Отпирался он недолго и в конце концов признался, что воткнул флешку в компьютер своего коллеги по работе, когда тот ушел на обеденный перерыв, и, воспользовавшись его логином и паролем, скачал файлы на внешний носитель. Показания были сопоставлены с данными, полученными из пропускной системы предприятия, что подтвердило, что за компьютером, на котором производилось копирование, был сотрудник Б., а пользователь А., учетная запись которого использовалась, в это время находился на обеде.
Передача информации за охраняемый контур в запароленном архиве Сотрудники отдела информационной безопасности обнаружили попытку отправки по почте упакованного файла, зашифрованного паролем. Такой способ довольно часто применяется для передачи информации "на сторону". Инсайдер подбирает документы, которые могут представлять интерес для его "контрагента", упаковывает информацию в архив с паролем, после чего отправляет архив по электронной почте. При этом инсайдер полностью уверен, что, поскольку архив запаролен, а пароль известен только ему и его "контрагенту", никто не способен узнать, что происходит. Однако этот канал утечки информации можно обнаружить.
20 •
