Сотрудники в соцсетях: найти и обезвредить

23 авг 2016

Борис Носов, директор по продажам системы мониторинга «Крибрум»

Как только человек переходит из разряда соискателей должности в число сотрудников компании, он становится не только ее активом, но и «точкой риска». Причем речь идет как о рабочем процессе, так и о том, что происходит за пределами офиса. Какую угрозу несут публикации в социальных сетях, как отслеживать активность сотрудников за пределами рабочего места и обеспечивать безопасность компании в информационной среде?

Кто виноват

Человек – самая уязвимая часть корпоративной системы, и злоумышленники об этом хорошо осведомлены: зачем придумывать сложный троян, если можно воспользоваться человеческим фактором! Сотрудник, щелкнувший по ссылке в сообщении-поздравлении (например, с Днем Победы), даже не подозревает, что за пару секунд переадресации нужные злоумышленнику файлы уже скачались с его компьютера. «Гигиена» поведения и здравый смысл уберегут от многих ошибок – если знать, куда смотреть и чего опасаться.

Традиционно службы безопасности контролируют сотрудников лишь на рабочем месте: они предотвращают копирование и передачу данных, проверяют личную переписку на предмет контактов с конкурирующими организациями и подставными лицами... Но решает ли это проблему? Покидая офис, работник не удаляет информацию из своей головы. Сведения о разработках, доходах, новых тендерах и контрактах – обращение всей этой информации невозможно регламентировать.

Даже если сотрудник подпишет документ о неразглашении корпоративной информации, вы не можете быть уверены в том, что он не оставит комментарий в соцсети о сорвавшейся сделке или отмене бонуса. Хорошо, если этот комментарий увидят лишь его друзья, но даже среди них может оказаться представитель заказчика или конкурента. Как и утечка данных (по статистике, доля случайных утечек составляет не менее 40%), разглашение может произойти без злого умысла. Невозможно предугадать, какая информация будет использована против компании – детали мозаики складываются в единую картину, Big Data. По обрывкам реплик и коротким записям можно не только определить ситуацию в компании, ее финансовое состояние, но и найти уязвимости, а потом воспользоваться этими сведениями, например, в конкурентной борьбе.

Ложная анонимность

Казалось бы, соцсети – это море данных, в котором легко затеряться и в котором вас видят лишь коллеги и друзья. Но, скажем, «желтая» пресса умело пользуется сведениями соцмедиа. Когда происходит какой-то инцидент, сразу всплывает информация о человеке: какую должность занимает, где учился, в каких отношениях состоял с одноклассниками... И если даже поверхностное журналистское расследование базируется на информации из открытых источников, то что уж говорить о целенаправленном сборе данных!

Место работы или компетенцию интересующего человека можно выяснить по косвенным признакам, через круг общения. Нарочито фейковый профиль Ивана Ивановича Иванова не информирует о его личности, а вот его ссылки, записи, репосты, то, с кем он общается и что лайкает, дают массу информации. Значит, владельца страницы вполне можно установить.

Показательный пример – утечка информации о секретной разработке президентского автомобиля. Пользователь, не указавший своего реального имени, опубликовал снимок, который нельзя было предоставлять на всеобщее обозрение. Но хотя аккаунт этого пользователя не содержал контактной информации, среди подписчиков нашлись люди, активно комментировавшие его посты. Установление связей между ними и сопоставление аккаунтов позволило очертить круг подозреваемых и получить зацепку для дальнейшего расследования. Отметим: даже если фотография удалена сразу после публикации, факт ее появления уже зафиксирован в системах мониторинга и кэшах поисковиков, поэтому подумайте дважды, прежде чем выложить что-либо в соцсеть.

Кто с кем общается

Предположим, вам нужно найти человека, работающего в банке N. Поиск по Facebook позволяет составить список кандидатов. Еще лет 20 назад для того, чтобы написать, например, главе какой-либо компании, приходилось перебирать возможные варианты почтовых адресов (часто их создают по стандартному образцу) или искать контакты через секретариат. Сейчас достаточно открыть браузер. Удобство современных средств связи, скажете вы? К сожалению, открытость и доступность имеют оборотную сторону. Если связь с финансовым директором устанавливается для того, чтобы предложить ему мошеннический способ отмывки денег или выявить его тайные слабости, службе безопасности нужно об этом знать.

Конечно, все входящие потоки контролировать невозможно. Отслеживание всего того, что пишут сотрудники, в том числе в соцсетях, кто на них «выходит» и что предлагает, было бы сопряжено с гигантскими трудозатратами. Нужно выявлять лишь те случаи, которые уже сами по себе подозрительны: например, сотрудник начинает лайкать посты конкурентов, добавляет в друзья HR конкурирующей фирмы или кто-то из его круга общения сообщает «есть маза оформить кредит через знакомых».

Что делать

Возникает вопрос, насколько корректно отслеживать поведение сотрудников в соцсетях, где проходит граница между личной жизнью и безопасностью компании? Каждая организация отвечает на этот вопрос самостоятельно. Если сотрудник постит фотографии с корпоратива, это – его дело, но с одной оговоркой: на снимке не должно быть зафиксировано что-то, не предназначенное для просмотра широким кругом лиц (например, отпечатанный финансовый отчет компании, лежащий на столе в переговорной). Вроде бы, все понимают, что публикация фотографии – необратимый процесс, но мало кто досконально проверяет свои материалы, прежде чем их обнародовать. Такая закалка есть только у людей, пришедших из сферы безопасности, поэтому на их плечи обычно и возлагается обязанность приглядывать за беспечными коллегами.

Немного статистики. Время жизни сообщения в соцсетях – не более 6 ч. За первые 80 мин оно набирает 90% реакций – лайков, репостов, комментариев. Если не удалить компрометирующий материал сразу, то потом делать это будет уже бессмысленно. Поэтому важно обнаружить такой материал весьма оперативно.

Самый трудоемкий способ – отслеживать аккаунты сотрудников вручную. Это не поможет обнаружить конфиденциальную информацию, оказавшуюся в открытом доступе, поскольку выложить данные можно инкогнито, через третьих лиц. Соответственно, понадобится мониторить не только сотрудника, но и круг его общения. Проведем простой подсчет: если просматривать все соцсети вручную, тратя по 5 мин на каждую, то при умножении необходимого на это времени на число людей в штате получится полноценный рабочий день – без учета времени, затрачиваемого на оценку контента и реагирование.

Наиболее удобный подход – автоматизация процесса, но многое зависит от размера компании и величины рисков. Если перед организацией не стоит задача защиты сведений, представляющих собой коммерческую или государственную тайну, а репутационные угрозы не влияют, например, на уровень продаж, то задачи ИБ можно не учитывать в бюджете. Во всех остальных случаях предотвращение угрозы обойдется дешевле устранения ее последствий.

Don’t think about bad reputation?

Если человек указал в профиле, что работает в таком-то месте, он потенциально становится «послом» компании, формирует ее имидж в глазах общественности. Сколько раз ваше впечатление об организации строилось на мнении о ее сотрудниках? В соцсетях ситуация осложняется тем, что о персоне знает гораздо большее количество человек.

Какими могут быть последствия публикаций в соцсетях? Например, сотрудник крупного молокозавода публикует фото с корпоратива, на котором он с коллегами купается в чане с молоком. На место выезжают корреспонденты, в СМИ появляются сюжеты с заголовком «Дурнопахнущая история», а Роспотребнадзор инициирует проверку. Завод закрыт, репутация всей отрасли пострадала, а фотолюбитель и его коллеги уволены.

Другой случай. Два сотрудника «ВымпелКома» выложили фото с нацистским приветствием, на котором они были запечатлены в корпоративной форме непосредственно в офисе компании. Сотрудники (они были уволены в тот же день) пытались оправдаться, но компании это не помогло, и число негативных отзывов о ней возросло в разы – по количеству упоминаний скандал превзошел даже информационные поводы и экономические скандалы. Судите сами: на графике показана динамика публикаций с 26 мая по 5 июля, причем первый пик соответствует новости о том, что «ВымпелКом» поделится с банками данными о платежеспособности абонентов, второй – реакции на опубликованное сотрудниками фото, третий – подозрениям Минюста США о причастности «ВымпелКома» к международной коррупционной схеме.

Исход битвы в пользу компании

Теперь – о защитных мерах. Решение, которое кажется самым простым, – ввести систему ограничений на пользование соцсетями в рабочее время. Но этот способ нельзя признать удачным: сотрудник может сделать публикацию в выходные, вечером, с мобильного устройства. Внутренний контроль над содержанием публикаций и разъяснительные беседы тоже не позволят решить проблему: у каждого человека – своя точка зрения на границы допустимого, а предусмотреть все «красные» темы невозможно. Контроль над сотрудниками с помощью нормативных актов, соглашений и запретов напоминает попытку удержать воду в решете: когда затыкаешь одну дыру, утечка происходит из другой.

Единственное реальное решение – автоматизация процесса контроля. Убедитесь в том, что система мониторинга имеет предустановленные настройки для контроля над внешним периметром. Как мы уже выяснили, недостаточно просто собирать записи о компании в соцсетях –  нужно взять под наблюдение аккаунты работников и их окружение. Это поможет  обнаруживать мошеннические действия, контакты с конкурентами и утечки. Служба безопасности должна получать регулярные сводки о инфополе компании, перечни опубликованных сотрудниками негативных постов и сообщений, представляющих собой угрозу. К угрозам можно, например, отнести недовольство сотрудников зарплатой, обман (находясь на больничном, человек выкладывает в соцсеть курортное фото), слабости (азартные игры, наркомания), финансовые махинации и пр. Уведомления должны быть настроены так, чтобы при появлении потенциально рискового сообщения они приходили на почтовый адрес службы ИБ.

Помните, лучшая защита – та, которую продумали и установили заранее. И чем больше ответственность и штат сотрудников, тем более важную роль играют такие меры. 

Тема
Тэги: