Три события, которые доказывают необходимость сценария по реагированию на инсайдерские риски

Каждая компания, независимо от ее размера, должна иметь в своем распоряжении план управления рисками для устранения внутренних угроз. Человеческий фактор необходимо всегда учитывать, случаются ошибки, которые непреднамеренно подвергают компанию риску. Другая сторона человеческого фактора - это злые намерения людей, которые предпочитают подрывать доверие и добровольно отказываются от своих соглашений о неразглашении, а также процессов и процедур обработки ИТ-данных на месте, чтобы сознательно скрыться с конфиденциальными данными, пишет CSO.

Три недавних инцидента подчеркивают важность наличия руководства по управлению внутренними рисками:

План Ubiquiti по снижению инсайдерских рисков окупается

Злонамеренный инсайдер Николас Шарп из Ubiquiti украл данные его компании, а затем попытался отвлечь усилия во время расследования от своих собственных действий и вымогать у своего работодателя 2 миллиона долларов. Хотя команда Ubiquiti не прекратила эксфильтрацию данных, как только была обнаружена аномальная активность, они выполнили свой план по смягчению последствий и в конечном итоге привлекли ФБР для решения криминальных аспектов их инсайдерского инцидента.

Code42 рано обнаруживает неправильные загрузки

По словам вице-президента Code42 по портфолио-стратегии и маркетингу продуктов Марка Войтасика, основные компоненты схемы или плана по смягчению последствий включают в себя три элемента: прозрачность, обучение и технологии. В своей статье от декабря 2021 года «Ваши сотрудники бегут за ней, как и ваши данные», он подчеркнул необходимость «обучить их политикам владения данными компании, установить ожидания в отношении владения и разработать рекомендации, которым они могут следовать в случае возникновения сомнений».

Войтасик вышеизложенное писал с позиции личного опыта. Он отметил, как недавний инцидент в его собственной команде в Code42 подчеркнул важность наличия сценария инсайдерских инцидентов. В случае с Code42 сотрудник уведомил о том, что покидает Code42 ради другой возможности. Стандартная операционная процедура компании (СОП) требовала проверки деятельности сотрудника за последние 90 дней. Группа проверки обнаружила, что сотрудник загрузил конфиденциальные внутренние списки клиентов на личное устройство.

Войтасик объяснил, как план действий позволил Code42 немедленно решить проблему. Отдел кадров, юридический отдел, отдел информационной безопасности и бизнес-подразделение играют свою роль. Он подчеркнул, что рабочее предположение Code42 заключалось в том, что действия сотрудника не были результатом злого умысла. Факты направили расследование, и они узнали, что это не так, и что сотрудник действительно намеревался передать списки клиентов своему следующему работодателю.

Сотрудник предоставил свои устройства команде по ликвидации последствий, что позволило восстановить украденные данные. Затем, когда внутренние аспекты инцидента завершились, Войтасик поделился тем, как генеральный директор Code42 рассказал непосредственно генеральному директору компании, которая нанимала увольняющегося сотрудника Code42, о том, что произошло, и как это было улажено внутри компании.

Мониторинг угроз Pfizer выявляет кражу данных

Компания Pfizer расширила свои возможности мониторинга внутренних угроз, когда в октябре 2021 года внедрила технологию, которая отслеживает загрузки сотрудников на устройства. 29 октября они обнаружили, что в период с 23 по 26 октября сотрудник перенес более 12 тысяч файлов «со своего ноутбука Pfizer на онлайн сервис Google Drive».

Усилия группы по снижению инсайдерских рисков подробно описаны в их судебных документах. Сразу после обнаружения загрузки 12 тысяч файлов в октябре 2021 года команда инициировала «цифровой просмотр электронной почты сотрудника, доступа к файлам и интернет-активности на ее ноутбуке, выпущенном Pfizer». Это расследование показало, «что она проходила собеседование и получила предложение о работе от Xencor».

Имея эту информацию, усилия по смягчению последствий объединили HR, безопасность и ИТ (криминалистику). Команда встретилась, а затем дважды поговорила с сотрудником 29 октября. Одно из этих интервью произошло во время видеоконференции, когда сотрудник «зашел в свою учетную запись Google Диска и удалил все сохраненные там файлы». 1 ноября сотрудница пришла в офис Pfizer и предоставила свой корпоративный ноутбук, а также предоставила доступ к своему личному ноутбуку для экспертизы отдела информационной безопасности.

Сотрудник был отправлен в административный отпуск, и последующее расследование показало, что предоставленный ноутбук был не тем ноутбуком, который содержал 12 тысяч документов, и что данные компании, в том числе данные исследований COVID-19, больше не находились под их контролем.

Pfizer признает в своих судебных документах обнаружение кражи, и проведенное расследование подтвердило их выводы, а также то, что этот сотрудник пытался обмануть их, заставив думать, что их внутренние документы не находятся под угрозой. Pfizer считает, что ее бывший сотрудник и другие лица продолжают владеть информацией Pfizer.

Важность плана по реагированию на инсайдерские риски

Те, кто воздерживается от идеи иметь готовый сценарий, будут заново изобретать велосипед с каждым инсайдерским инцидентом. Когда дело доходит до реакции на обнаружение того, что коллега, возможно, неправильно обработал данные, наличие процесса устраняет эмоции из уравнения.

Хотя состав команды по смягчению последствий может варьироваться от компании к компании, включая HR, юридический отдел, безопасность, ИТ и бизнес-подразделение. Не менее важным для определения элементов команды по смягчению последствий является сглаживание определенных ролей и ожиданий, когда инцидент просачивается наверх и требует обработки.