71% от организациите нямат яснота за това какво и/или колко чувствителни данни отнасят напускащите служители, когато си тръгват (снимка: CC0 Public Domain)
Волно или неволно, напускащите служители са източник на вътрешна заплаха. Според проучване на Biscom, повече от един от всеки четирима напускащи служители краде данни при оттеглянето си. Независимо дали хората го правят поради небрежност или злонамерено, такива случаи могат да имат само отрицателни ефекти за организациите: от загуба на конкурентно предимство до санкции за неспазване на регулациите или изискванията за киберсигурност.
Добрата новина е, че можем да открием опасността и да я смекчим. На първо място е важно да разберем основните причини за кражба на данни и ключовите индикатори за процеса.
Какви са рисковете от кражба на данни от напускащи служители?
Благодарение на цифровите технологии и дистанционната работа смяната на работата днес е по-лесна от всякога. В тази среда е важно да останем нащрек, за да защитим организацията си от риска от кражба на данни от напускащи служители.
Когато работник подаде оставка, той обикновено се премества на сходна позиция в компания от същата или сродна индустрия – може би дори пряк конкурент. Очаква се хората да напуснат само със своя опит и лични вещи, но някои работници вземат със себе си и ценните данни на своя работодател.
Междувременно докладът за излагане на данни за 2022 г. от Code42 разкрива, че 71% от организациите нямат яснота за това какво и/или колко чувствителни данни отнасят напускащите служители в други компании. Същият доклад подчертава необходимостта от по-добър подход за киберсигурност за защита на данните от вътрешни рискове. За съжаление изминалата година не показа признаци на подобрение. Броят на събитията с излагане на данни се е увеличил с 32% през предходната година, според доклада на Code42.
Въпросните събития водят главно до следните негативни последици:
Глоби и наказания за регулаторно несъответствие: чувствителните финансови данни, медицинските профили и личните досиета са защитени от различни разпоредби и стандарти за киберсигурност. Ако служител успее да открадне подобни данни, неговият работодател може да бъде изправен пред външен одит и солени глоби за регулаторно несъответствие.
Нарушения на поверителността: когато клиент подпише споразумение за неразкриване на информация (NDA) с организация, той очаква подробностите по сделката им да бъдат поверителни. И все пак напускащ служител може да разкрие подробностите за NDA на новия си работодател. Така ще срине доверието на нашите клиенти.
Загуба на конкурентно предимство: интелектуалната собственост (ИС) е един от най-често срещаните видове данни, открадвани от напускащи служители. Тези хора могат да вземат със себе си проекти, софтуерен код и документи, върху които са работили, на следващото си работно място. По този начин нашият конкурент може да открие нашите търговски тайни. Друг възможен сценарий за кражба на интелектуална собственост е прекъсване на работата. Това може да се случи, ако служител открадне и изтрие информация за даден проект преди прекратяването на договора си.
Загуба на клиенти: новините за нарушения на данните и поверителността са сигнал за много клиенти. Дори ако не са пряко засегнати от пробив, потребителите може да загубят доверие в нашата организация и да започнат да търсят друг партньор.
Както се вижда, един напускащ служител може да има голямо влияние върху организацията. Също така трябва да се отбележи, че напускащите служители обикновено имат силна мотивация и необходимите знания за кражба на данни.
Но какви биха били основните причини за кражбата на данни на напускащи служители….
Защо служителите крадат данни от компанията?
Мотивацията на напускащите служители с лепкави пръсти е малко по-различна от тази на обичайните участници в вътрешни заплахи. Ето основните причини за кражба на данни от оттеглящите се:
Чувство за собственост върху ИС: когато служител работи върху даден проект дълго време, той може да започне да чувства, че материалите от проекта принадлежат на самия него. Служителят може да вземе със себе си всичко, което е създал, когато напусне организация, точно както взима чашата си за кафе.
Желание за осигуряване на по-добра позиция: когато се преместват в организация в рамките на същата индустрия, напускащите служители може да вярват, че да предоставят на новата организация поверителни данни от своя предишен работодател – пряк конкурент – ще им помогне да си осигурят по-добра позиция в новата работа. Друг вариант е служител да пожелае да използва поверителната информация, за да започне собствен бизнес.
Отмъщение към работодателя: ако даден служител е имал конфликт с работодателя си преди прекратяването на договора, той може да използва своите идентификационни данни за достъп и знанията си за организацията, за да си отмъсти. Например, може да създаде задна вратичка и да открадне ценни данни или да смути критични процеси.
Лична финансова печалба: вместо да преследва кариерата си, служителят може да иска да продаде откраднати данни на хакери или конкуренти. Възможно е и да използва открадната лична, финансова или медицинска информация, за да мами хората.
Лошо разбиране на сигурността на данните: не всички вътрешни заплахи са умишлени. Напускащите служители могат да откраднат или повредят данни не поради зли намерения, а поради небрежност. Те може да забравят кои данни са поверителни или случайно да оставят копие от чувствителните данни на компанията на своите лични устройства или имейл акаунти.
Всички тези инциденти подчертават значението на защитата на фирмените данни и рисковете, свързани с напускащите служители. И, за щастие, независимо от тяхната мотивация, напускащите служители обикновено оставят дигитални следи от своята вътрешна дейност. С правилния софтуер за киберсигурност организациите могат да уловят следите и да се предпазят.
Симптоми на кражбата на данни
Има няколко индикатора, които могат да подскажат, че даден служител се опитва да открадне корпоративни данни:
Включване на неизвестни USB устройства: копирането на данни на USB флаш-памет или личен смартфон е рутинно действие. То може да не привлече вниманието на служителите по киберсигурността, особено ако дадена организация е въвела политика за носене на собствено устройство. USB паметите обаче могат да бъдат инструмент за кражба на данни или атака към организацията. Затова тя трябва внимателно да контролира използването им.
Достъп до чувствителни файлове без причина: когато за даден служител наближава датата на прекратяване на договора, той може да започне да прави нетипични неща. Например, може да достъпва файлове, с които никога или рядко е работил преди, или файлове, които вече са поверени на друг служител. Причината за такова поведение може да бъде желанието да се откраднат или копират тези файлове.
Използване на публични облачни услуги за съхранение: качването на корпоративни данни в личен профил в облачна услуга за съхранение като Dropbox или Google Drive е лесен начин да се откраднат. Но дори ако служителят не планира да отнесе със себе си информация, запазването й в публичния облак е опасна практика.
Изпращане на имейли с прикачени файлове към лични акаунти: изпращането на свързани с работата данни до лични имейли обикновено е лоша практика в света на киберсигурността. Някои служители обаче го правят, за да могат да вършат допълнителна работа у дома. Но напускащите обикновено не полагат допълнителни усилия в работата си, така че си е подозрително, ако усърдно изпращат данни към личните си акаунти.
Създаване на нови профили. Напускащите служители никога не трябва да създават нови потребителски профили или да редактират правата за достъп. Има голяма вероятност, ако го направят, да се опитват да създадат задна вратичка, която да могат да използват по-късно. Ако създаването на нови потребителски профили е част от отговорностите на служителя, следва да се провери дали наистина отговорният служител създава само необходимите профили.
Изтриване на файлове и архиви: служителите, които са работили в дадена организация дълго време, знаят къде се съхраняват критични данни и архиви. Изтриването на тези данни или бъркането във вътрешни сървъри и конфигурации изглежда като проста и ефективна опция за освободените служители, желаещи да си отмъстят или да прикрият следите си. Откриването на тези индикатори навреме може да помогне за предотвратяването на кражба на данни от напускащи служители.
Как да предотвратим кражба на данни от служители
Има няколко принципа за защита на фирмените данни от злонамерено или случайно отвличане от работниците, които се оттеглят.
Нулево доверие – нулевото доверие е подход, при който не се вярва „по подразбиране“ на нито един потребител или устройство, които се опитват да получат достъп до чувствителни ресурси. За да се даде достъп, потребителят трябва да докаже своята самоличност и валидността на своето устройство. След това хората могат да взаимодействат с данните – и то само с тези, от които се нуждаят за своите задачи. Подобен подход намалява повърхността на атака в случай, че напускащ служител се опита да открадне данни.
Наблюдение на дейността за напускащи служители – ако уволнен работник реши да не си тръгне с празни ръце, той обикновено започва да действа точно преди излизането от офиса. Ето защо трябва да се прилага известен компютърен мониторинг на напускащите.
Анализ на поведението на потребителите и субектите (UEBA) – подобен инструмент използва алгоритми за машинно обучение и изкуствен интелект, за да създаде разграничение между нормалното поведение на всеки служител и необичайните практики. Съответно инструментът ще предупреждава отдела по киберсигурността, ако даден служител се държи странно. UEBA може да помогне за откриването на най-ранните етапи на възможна вътрешна атака. Например може да предупреди, когато служител се свърже към корпоративна мрежа в необичаен момент, което е един от най-често срещаните индикатори за вътрешна заплаха.
Управление на USB устройствата – копирането на данни на USB устройство е един от най-лесните начини за кражба на информация. Решението за управление на USB устройства помага да предотврати копирането на файлове и да алармира, ако даден потребител свърже подозрително или непознато устройство. Организацията би трябвало да може да създава бял списък с разрешени USB устройства.
Привилегии за достъп до одит и скорошни дейности – такъв одит е част от процедурата по напускане. Изисква се да фирмата да потвърди, че уволненият служител не е нарушил правилата за киберсигурност, преди да напусне организацията.
Отмяна на привилегиите и идентификационните данни след прекратяване – когато служителите напуснат, организацията трябва да изтрие индивидуалните им акаунти, да отмени правата за достъп и да промени идентификационните данни към споделени акаунти, за да предотврати кражбата на данни от напускащите.
Планиране на реакцията – ако организацията открие вътрешна атака, екипът ще трябва да действа бързо и ефикасно, за да предотврати кражба на данни. Затова е добре предварително да се знае каква следва да е реакцията при инцидент и какви стъпки са първите, които се предприемат при атака.