Журнал "Information Security/ Информационная безопасность" #3, 2020

Работник перед увольнением скопировал корпоративную информацию на флешку, воспользовавшись соседним компьютером Сотрудник отдела ИБ обнаружил в отчетах StaffCop Enterprise отклонение – копирование большого количества фай- лов с рабочего места пользователя А. на внешний флеш-накопитель. Он вызвал пользователя А. для дачи объ- яснений, но тот заявил, что никакой информации не копировал, для выпол- нения должностных обязанностей ему это не нужно, а флешка вообще не его, он при работе ими не пользуется. Безопасник начал проверять гипо- тезу, что файлы переписывал кто-то другой. Пользователь А. признался, что логин и пароль для его компьютера приклеен к оборотной стороне кла- виатуры и многие коллеги из отдела это знают, так как во время его отпуска или болезни пользовались этим ком- пьютером. Тогда безопасник стал выяснять, не подключалась ли упомянутая флешка к какому-либо другому компьютеру в сети. Выяснилось, что в течение теку- щего года она неоднократно подключа- лась к рабочей станции сотрудника Б., который часто переносил документы на флешку для заказчиков. Тогда безопасник вызвал сотрудника Б., одновременно выяснив, что тот соби- рался увольняться и много говорил об этом в курилке. Отпирался он недолго и в конце концов признался, что воткнул флешку в компьютер своего коллеги по работе, когда тот ушел на обеденный перерыв, и, воспользовавшись его логи- ном и паролем, скачал файлы на внеш- ний носитель. Показания были сопоставлены с дан- ными, полученными из пропускной систе- мы предприятия, что подтвердило, что за компьютером, на котором произво- дилось копирование, был сотрудник Б., а пользователь А., учетная запись кото- рого использовалась, в это время нахо- дился на обеде. Передача информации за охраняемый контур в запароленном архиве Сотрудники отдела информационной безопасности обнаружили попытку отправки по почте упакованного файла, зашифрованного паролем. Такой способ довольно часто применяется для пере- дачи информации "на сторону". Инсай- дер подбирает документы, которые могут представлять интерес для его "контрагента", упаковывает информа- цию в архив с паролем, после чего отправляет архив по электронной почте. При этом инсайдер полностью уверен, что, поскольку архив запаролен, а пароль известен только ему и его "контрагенту", никто не способен узнать, что происходит. Однако этот канал утечки информации можно обнаружить. 20 • СПЕЦПРОЕКТ Инциденты, расследования, результаты Практические примеры использования StaffCop Enterprise Дмитрий Кандыбович, генеральный директор StaffCop (ООО “Атом Безопасность”) Программный комплекс StaffCop Enterprise предназначен для мониторинга работы пользователей в режиме реального времени. Он позволяет собирать информацию о том, как сотрудники предприятия используют свое рабочее время, продуктивна ли их реальная деятельность, не наносит ли она репутационный или даже прямой материальный ущерб предприятию. дна из важнейших возможностей, которые предоставляет программный комплекс StaffCop Enterprise, – это возможность расследовать инциденты информационной безопасности, возникающие на предприятии, и предоставлять неоспоримые факты, уличающие виновника инцидента. Мы рассмотрим некоторые наиболее яркие инциденты, собранные специалистами компании “Атом Безопасность” на пилотных и тестовых проектах внедрения, а также предоставленные клиентами в процессе использования StaffCop Enterprise. О

RkJQdWJsaXNoZXIy Mzk4NzYw