Статья опубликована в № 4180 от 12.10.2016 под заголовком: Блог специалиста: Враг внутри: как сотрудники пользуются компанией

Как победить мошенников в компании

Достаточно правильно выстроить работу отдела информационной безопасности
Лев Матвеев, председатель совета директоров группы компаний SearchInform

Есть масса способов получить от компании больше, чем просто зарплату, годами паразитировать на активах и ресурсах бизнеса. Но это возможно, пока работодатель всерьез не интересовался, чем же на самом деле занимаются сотрудники.

Чтобы предотвратить кражу активов и данных, надо следовать следующим рекомендациям:

Контролируйте максимально возможное количество каналов информации: почту, мессенджеры, внешние носители и проч. Следите за внеурочной активностью персонала. Берут ли сотрудники работу на дом? Задерживаются в офисе? Выходят в выходные и праздники?

В одном холдинге, выпускающем тепло- и энергосчетчики, сотрудники проектного отдела вызвались выйти на работу в выходной, чтобы решить срочную задачу. Позже выяснилось, что специалисты хотя и выполнили свои обязанности, но часть времени потратили на проект для прямых конкурентов, которым требовалась конфиденциальная информация. Стоимость проекта составила 25,7 млн руб.

Нужно контролировать, какими каналами коммуникации пользуются сотрудники. Некоторые считают, будто невозможно перехватить переписку в Skype или Viber. Для систем защиты от утечек информации это не проблема.

На одном металлургическом предприятии рабочие в ночное время вместо трех труб загружали в транспорт четыре. По накладным обнаружить мошенническую схему было бы невозможно, но сотрудники неприкрыто координировали действия по Skype, информация с которого была проанализирована службой безопасности. Стоимость одной трубы – 1,5 млн руб., в месяц компания теряла 6–7,5 млн руб.

Анализируйте трафик электронной почты. Тревожным знаком может стать резкое увеличение количества сообщений между не связанными рабочими отношениями сотрудниками; стоит проверить содержание коммуникаций.

Компания по производству оборудования для шахт выявила, что три сотрудника из разных отделов, не работавших над общим проектом, использовали один электронный ящик, не зарегистрированный в компании. Отдел информационной безопасности установил, что через этот ящик сотрудники обсуждали левые схемы продажи оборудования, по сути, организовали собственный бизнес. Ежемесячный ущерб составлял 400 000 руб.

Выделяйте группы риска среди сотрудников. Обычно риски сосредоточены в отделах закупок или продаж, но могут быть просто азартные игроки или пьяницы, увольняющиеся или недовольные. Их может взять под контроль программное обеспечение с системой учета рабочего времени, оно выявляет в переписке ключевые слова и отслеживает мошеннические схемы.

Гендиректор одного из офисов крупной нефтяной компании в тендерах на закупки добывающих установок и запчастей активно лоббировал интересы некой фирмы. Проверка показала, что директор получил вознаграждение в размере 10 млн руб. от этого поставщика.

Отдел информационной безопасности должен иметь достаточные полномочия и необходимый инструмент (DLP, системы видеонаблюдения). Скупиться не следует: потери компании от мошенников могут быть больше, чем затраты на безопасность. Система безопасности «все включено» будет стоить организации со штатом 2000 человек 20–22 млн руб. Зарплата специалистов по информационной безопасности – 60 000 руб. в месяц. На компанию со штатом до 2000 сотрудников необходимо два человека.

Не стоит включать информационную безопасность в IT-отдел: они часто конкурируют. IT-отдел имеет доступ к конфиденциальной информации и технически подкован для ее недобросовестного использования. Лучше два разных отдела.

Отслеживайте попытки получения сотрудниками конфиденциальной информации. Нужно ограничить доступ к важным папкам.

В одном банке специалисты службы информационной безопасности выявили сотрудников, которые, не будучи менеджерами высшего звена, получили доступ к информации о пакетах акций и личных счетах акционеров. Затем эти данные попали в СМИ. Раскрытие данных о владельцах акций подтолкнуло конкурентов к активным действиям и подмочило репутацию банка. Если бы чувствительная информация продолжала утекать, за год банк мог потерять более 72,1 млн руб.

Следите, как сотрудники используют рабочее время, не тратят ли его на подработки. Эту задачу решают автоматизированные системы мониторинга, они находят нарушителей рабочего регламента, видят, чем и когда заняты сотрудники.

Компания – поставщик услуг связи после установки системы контроля за работой персонала выявила, что один сотрудник в рабочее время занимался поисковой оптимизацией для сторонних заказчиков, а другой – писал интернет-сайты. Если принять, что средняя стоимость одного часа работы в компании – 270 руб., то за год организация теряла порядка 1 млн руб., оплачивая время, которое сотрудники тратили на подработку.

Контролируйте сотрудников удаленных офисов. Удаленные офисы лишь кажутся безопасными, но на самом деле таковыми не являются.

Офис одной из страховых компаний находился далеко от центра, в нем работали 11 агентов без руководителя. Офис долгое время оставался убыточным. Оказалось, что один из агентов продавал полисы задним числом: приходили его знакомые, которые нуждались в дорогостоящем лечении или операции, и просили за вознаграждение оформить страховку задним числом. Ежегодно офис терял около 1 млн руб. от подобных действий сотрудника.

Конечно, застраховаться от всех возможных мошеннических схем вряд ли получится, но приложить максимум усилий для обеспечения безопасности собственного бизнеса в интересах любого собственника.

Председатель совета директоров ГК SearchInform