Увольнение сотрудника: как обеспечить информационную безопасность и избежать рисков

Почему компании забывают отозвать доступы

При приеме на работу новый сотрудник получает необходимые доступы к рабочим системам. Со временем их количество обычно растет, причем часто хаотично. Некоторые доступы предоставляются непосредственным руководством без уведомления IT отдела, в то время как чаты в мессенджерах и системы обмена документами создаются спонтанно внутри подразделения. Такие доступы с большой вероятностью не будут удалены у сотрудника при его увольнении.

Обычно проблемы возникают по таким причинам:

• Компания использует SaaS-сервисы, доступ к которым часто осуществляется через браузер. Войти в систему можно по логину и паролю, то есть нет интеграции с корпоративным каталогом сотрудников.

• В некоторых случаях сотрудники используют одну и ту же учетную запись для доступа к конкретной системе, например, чтобы сэкономить на подписке или использовать сервис, который не поддерживает многопользовательский режим. После того как один из сотрудников увольняется, пароль остается неизменным.

• Некоторые корпоративные системы позволяют аутентификацию по номеру мобильного телефона и кода из SMS. Это создает проблемы, если уволившийся сотрудник продолжает использовать свой номер телефона.

• Во многих случаях требуется привязка к личной учетной записи. Например, ее используют администраторы корпоративных аккаунтов в социальных сетях. В этом случае отзыв доступа также должен быть выполнен внутри социальной сети.

• Еще одна проблема связана с так называемым «теневым IT». Любая система, которую сотрудники используют по своей инициативе и запускают самостоятельно, скорее всего, выходит за рамки стандартного процесса учета, контроля паролей и т.д. Например, часто у бывших сотрудников сохраняются возможности совместного редактирования документов Google Docs, доступы к рабочим чатам в различных мессенджерах. 

В чем риски безопасности, связанные с увольняющимися сотрудниками

Обстоятельства увольнения бывают разные, и в зависимости от них риски для безопасности данных компании тоже отличаются. Разделить риски можно на две большие группы в зависимости от того, кто наносит ущерб: сам бывший сотрудник или третьи лица.

В случае с третьим лицом аккаунт бывшего работника может захватить злоумышленник и использовать для кибератак на компанию.

Ущерб также может нанести сам сотрудник, причем как намеренно, так и по своей забывчивости или халатности. Практика показывает, что основные мотивы у бывших работников таковы:

• Желание продвинуться по карьерной лестнице. Сотрудник, который переходит к конкурентам, может прихватить с собой базу текущих клиентов или информацию о новых разработках. Его мотивация — продвинуться по службе в новой компании. Также использовать конфиденциальную информацию он может, чтобы начать собственный бизнес. Так, в мае 2022 года Цянь Сан из Yahoo украл конфиденциальную информацию о продукте Yahoo AdLearn, когда ему предложили работу в конкурирующей компании The Trade Desk. Ему удалось загрузить на свои личные устройства 570 тысяч страниц конфиденциальной информации Yahoo.

• Месть бывшему работодателю. Если вы расстаетесь в не самых хороших отношениях, обиженный работник способен повредить или уничтожить конфиденциальные корпоративные данные. В 2021 бывшая сотрудница кредитного союза Нью-Йорка, из мести бывшему работодателю за 40 минут уничтожила более 20 000 файлов, в которых были данные клиентов компании. Хотя у компании были резервные копии некоторых данных, ей все равно пришлось потратить более 10 000 долларов на восстановление уничтоженных сведений.

• Финансовая выгода. Если сотрудника не пригласили работать к конкурентам, это не значит, что он не продаст им ноу-хау или другие ценные данные бывшего работодателя. Например, Tesla не раз подавала в суд на бывших сотрудников, которые, по мнению компании, похищали данные компании, чтобы продать их другим организациям. 

• Ложное ощущение владения интеллектуальной собственностью. Когда сотрудник долгое время создает объект интеллектуальной собственности, ему начинает казаться, что тот принадлежит ему. И при увольнении он имеет право забрать ИС с собой. Один из известных примеров кражи данных с такой мотивацией — дело Энтони Левандовски, инженера по беспилотным автомобилям в Google. В начале 2021 года Левандовски его помиловали за кражу у Google ПО для беспилотных автомобилей, над которым он работал до своего увольнения.

• Незнание правил безопасности данных. Не всегда в действиях бывших сотрудников присутствует злой умысел. Например, они могут случайно сохранить копию конфиденциальных данных компании на своих личных устройствах или в учетных записях электронной почты. Однако для компании последствия будут не менее разрушительными.

Среди основных последствий преднамеренных или непреднамеренных действий бывшего сотрудника можно выделить такие:

• Потеря конкурентного преимущества в связи с кражей интеллектуальной собственности. Если увольняющийся сотрудник выдаст конкуренту проекты, программный код и документы, над которыми он работал, другая компания может стать обладателем ваших коммерческих секретов. 

• Нарушение деятельности компании — например, если сотрудник удалил информацию о важном проекте перед увольнением. 

• Потеря клиентов. Сообщения об утечках конфиденциальных данных — тревожные сигналы для многих клиентов. Даже если они не пострадают от взлома, то могут потерять доверие к вашей компании и отказаться от сотрудничества.

Многоуровневая защита рабочих мест

Адаптивная защита от продвинутых киберугроз

Попробовать

Как обеспечить информационную безопасность при увольнении

Снижение рисков при увольнении — это сочетание административных и технических мер. Что рекомендуется делать:

1. Регулярно проверять, к каким системам имеют доступ сотрудники. Так можно оперативно отслеживать и отзывать неактуальные доступы или те, что были выданы случайно, а также находить доступы, которые выданы в обход стандартных процедур. 

2. Проводить «выходные» интервью. В числе прочих вопросов нужно выяснять, какими системами сотрудник пользовался ежедневно, передал ли он служебную информацию коллегам. Также не лишним будет напомнить о правилах NDA-соглашения, если таковое было подписано.

Кроме самого увольняющегося, стоит опросить его коллег и руководителей, чтобы получить полную картину по его аккаунтам и доступам. Обычно «выходные» интервью проводит HR-специалист — ему следует взаимодействовать с отделом ИБ и передавать всю нужную информацию безопасникам.

Об увольнении следует своевременно оповещать и текущих сотрудников, чтобы они не стали жертвами социальной инженерии и случайно не предоставили бывшему сотруднику несанкционированный доступ к конфиденциальным данным.

3. Мониторить компьютерную активность сотрудника, который увольняется. Часто с момента подачи заявления об увольнении до непосредственного дня расставания с сотрудником проходит не меньше двух недель. В это время наиболее велик риск кражи данных, поэтому нужно внимательно следить за использованием сотрудником рабочего ПК на предмет подозрительной активности.

В частности, нужно:

• контролировать отправку файлов на USB-устройства;

• просматривать интернет-историю на предмет посещений несанкционированных веб-сайтов для хранения файлов;

• отслеживать использование неизвестного ПО и активность электронной почты — нет ли пересылки конфиденциальных данных;

• просматривать журналы действий пользователя — так, например, можно отследить подозрительную активность после обычного рабочего дня.

Мониторинг компьютерной активности увольняющихся сотрудников дает возможность предотвратить попытки кражи данных. Чтобы упростить отслеживание, можно настроить контекстно-зависимые оповещения в программах предотвращения потери данных и мониторинга сотрудников.

4. Установить типовые роли. Для всех должностей можно разработать контрольный список нужных доступов, которые выдают сотрудникам при поступлении на работу и отзывают при увольнении. 

5. Внедрить систему Identity and Access Management и технологию Identity Security, с помощью которых можно эффективно управлять всеми видами учетных записей, централизовать базу учетных записей и унифицировать процесс аутентификации.

6. Выдавать фрилансерам и подрядчикам ограниченные по времени доступы к корпоративным системам. Процедура заключения договора с такими исполнителями — более упрощенная, а у заказчика гораздо меньше возможностей для контроля их деятельности. Значит, и обеспечить безопасность информации, к которой они получают доступ, сложнее.

7. Отслеживать устаревшие аккаунты, в которых давно не было никакой активности, и своевременно отключать их.

8. Использовать каталог активов (Asset and Inventory Tracking), чтобы централизованно контролировать устройства, лицензии, служебные номера телефонов.

Многоуровневая защита рабочих мест

Адаптивная защита от продвинутых киберугроз

Попробовать

Реклама: АО «ЛАБОРАТОРИЯ КАСПЕРСКОГО», ИНН 7713140469, erid: LjN8KVrra