«12 лет компания не могла обнаружить, что руководитель офиса и подчиненная брали откаты в миллионы»

— Вы проводите исследование уровня информационной безопасности в российском бизнесе. В нем говорится, что 66% компаний сталкиваются с утечками данных. По каким причинам они происходят?

— Причины самые разные, но мы, как производитель программ для защиты от внутренних угроз, изучаем те инциденты, которые случились по вине сотрудников. Работник может ошибиться, это происходит сплошь и рядом. Один наш клиент жаловался: бухгалтер случайно отправила документ об условиях работы с поставщиками не директору, а одному из этих поставщиков. Пришлось долго объясняться и в конце концов менять закупочные цены и сроки отгрузки.

Сотрудник может стать жертвой манипуляций со стороны внешних злоумышленников: попасться на фишинговую рассылку или оказаться объектом для шантажа. За годы работы мы видели самые разные вариации. Наконец, сотрудник может действовать по злой воле. Это приводит к самому большому ущербу.

— Можно его оценить?

— Размер ущерба оценить довольно сложно, ведь компании стараются держать в секрете истории внутреннего мошенничества и утечек информации. В суд не обращаются — не хотят тратить время на волокиту. Вот и получается, что публично цифры нигде не заявляются, компании привыкают просто мириться с таким «расходом».

В прошлом году на нашей конференции Road Show SearchInform мы задали вопрос об убытках непосредственно специалистам служб безопасности. По их данным, почти половина всех инцидентов приводит к финансовому ущербу. Аудиторы из PwC подсчитали и конкретные цифры — 22% компаний теряют на мошенничестве от 100 тысяч до 1 миллиона долларов. Такое же число компаний фиксируют ущерб свыше миллиона. От мошеннических схем одинаково страдает и рядовой бизнес, и корпорации — суммы могут быть разные, а сценарии очень похожи.

— Из чего складываются такие большие суммы?

— Утечка информации — это только симптом корпоративного шпионажа, откатной или боковой схемы. Часто встречаем кейсы: сотрудник слил конкуренту информацию о том, с какой суммой лота его компания планирует выступить по крупному тендеру. Заказ мог обеспечить бизнес работой на год-полтора, но сорвался — вот и убытки. В целом, контроль тендерных и закупочных отделов — это одна из первых задач, которую ставят перед нами клиенты.

Самое неприятное в том, что обнаружить факт мошенничества «вручную» сложно, мошеннические практики могут отлаживаться годами. Мы недавно начали работать с промышленной компанией, где после установки нашей программы контроля выяснилось, что в организации образован «тандем» из руководителя региона и ее подчиненной. Они брали откаты на протяжении 12 лет, и за годы суммы выросли до десятков миллионов!

— А есть какой-то минимальный набор мер, который позволяет существенно снизить риск мошенничества и утечек?

— Есть любопытное исследование, которое выявило, что 15% людей никогда не пойдут на преступление, а 15% будут нарушать закон при первой возможности. Вот эту категорию и нужно просто не допустить в компанию. Существуют комплексы скрининговых проверок, которые позволяют отсеять склонных к преступлениям работников еще на входе.

Что касается остальных 70% — это те, кто может пойти на нарушение в зависимости от обстоятельств. Задача работодателя сделать так, чтобы эти обстоятельства не создавали возможностей для мошенничества. А это значит, что нужно проводить аудит документов. Самые важные должны быть грифованы, права доступа к ним должны быть ограничены. Нужно подписывать с сотрудниками соглашения о неразглашении информации. Это прививает осознанность, люди начинают понимать, что информация на компьютере — такое же имущество работодателя, как принтер или шкаф.

Ну и последнее — это контроль и неизбежность наказания. Поэтому, кстати, так плохо, что компании предпочитают не связываться с судами.

— Когда компании пора заняться информационной безопасностью?

— Принято считать, что если в коллективе больше 50 сотрудников, неизбежно возникают проблемы с безопасностью. Но важнее, чем размер компании, уровень цифровизации процессов. По мере того, как бизнес переходит в цифру, угрозы меняются, и не все оказываются к ним готовы. Раньше подделывали накладные и воровали товар со склада, сейчас воруют деньги сразу со счета и маскируют следы, запуская в систему вирус-шифровальщик. Слить информацию или обсудить откат теперь можно десятком разных способов — не уследишь.

Но эволюционируют и системы контроля. Любое действие, выполненное сотрудником с корпоративного компьютера, оставляет следы. Специальные программы (DLP-системы) умеют их распознавать, и сейчас это основной инструмент работы для ИБ-специалистов. Программа в автоматическом режиме следит за перемещением документов, фиксирует, если сотрудник ведет речь о преступных планах, даже если разговор идет на специфическом сленге. Это позволяет вовремя заметить признак нарушения еще до того, как оно совершено.

Осенью мы проводим серию конференций Road Show SearchInform (16+), где как раз и обсудим, как не допускать инциденты.

Мы проводим эту конференцию по всей России уже 9 лет. Могу сказать, что в этот раз создадим настоящий практикум. В программу включили разбор 50 кейсов, которые наши заказчики выявляли на протяжении 15 лет. Будем разбирать сценарии расследований буквально шаг за шагом. Конференция пройдет в трех поволжских городах: 10 октября — в Ижевске, 15 октября — в Нижнем Новгороде, 17 октября — в Казани.

— Кого приглашаете принять участие в конференции?

— Мы приглашаем руководителей компаний, ИБ-директоров и специалистов, а также представителей служб безопасности. Каждый год у нас собираются практики, которые расследуют факты внутреннего мошенничества, экономических преступлений.

Поэтому неформальное общение будет такой же важной частью конференции, как и официальная часть. Участие в мероприятии бесплатное, достаточно только зарегистрироваться на сайте (16+).