Недобросовестные сотрудники – давняя проблема промышленных предприятий. Раньше, чтобы заработать на собственности предприятия, злоумышленнику требовалось пронести продукцию мимо проходной или организовать подпольное производство. Сейчас все проще. Обратная сторона экономики данных заключается в том, что «выносят» не материальные вещи, а информацию и наживаются на мощностях корпоративных ИТ-систем, а не станков.

Такие угрозы – не редкость. С утечками в 2024 году столкнулось больше половины производств. В 53% из них пострадали технические данные, в 37% – сведения о клиентах и сделках, а в 24% – объекты интеллектуальной собственности.

Навредить с выгодой или по ошибке

Недобросовестные сотрудники регулярно используют ИТ-ресурсы работодателей в личных целях. Это подтверждает судебная практика:

ИТ-специалист завода организовал дополнительный доход за счет предприятия. Он установил ПО для майнинга на серверах компании, используя учетные данные других работников. Схема работала недолго, виновник отделался условным сроком.

Один из руководителей крупного пищевого производства имел связи с коллегами из конкурирующего предприятия в другом регионе и даже параллельно устроился к ним на работу. После этого он перенес базу контрагентов на сервера конкурентов. Инцидент обнаружили только после утечки, виновник был приговорен к 2 годам лишения свободы условно. Суд обязал его выплатить заводу компенсацию в 500 тыс. рублей. Однако, сама компания оценила сумму убытка в два раза больше.

Еще один риск – «человеческий фактор»: ошибки или халатность сотрудников при работе с информсистемами. Наша аналитика подтверждает, что этот сценарий стал уже «привычным»: 67% утечек произошли из-за ошибок и случайных нарушений. При этом, разглашение данных не единственная проблема: неосторожность сотрудников приводит и к худшим последствиям. Ниже несколько ярких примеров:

ИТ-специалист завода подключился со своего рабочего места к Интернету и скачал несертифицированное ПО. После были зафиксированы попытки несанкционированного подключения к системам компании из-за рубежа. Виновник осужден условно за неправомерное воздействие на критическую информационную инфраструктуру (КИИ).

Сисадмин завода подключился к Интернету, скачал нелицензионное ПО от Microsoft и на время его установки отключил антивирус. Тут же был зафиксирован исходящий трафик в США. Следствию не удалось полностью установить объем последствий и состав переданных данных, поэтому по одному из пунктов сотрудник был оправдан.

Также имеют место и умышленные нарушения. По данным нашего исследования, в 38% случаев сотрудники совершали ИБ-инциденты намерено. Основными нарушителями являются линейные сотрудники, они, чаще всего, пересылают техническую документацию в мессенджерах и почте. Или выносят такие данные на флешке.

Фактически, у организаций нет «проходной», которая защитит от выноса ценные данные, а опасные действия и события в ИТ-инфраструктуре не видны. Сейчас средствами внутренней ИБ (DLP- и DCAP-системами) оснащены меньше половины производств. Решения для управления ИБ-событиями (SIEM-системами) внедрены менее чем в 20% таких компаний. Однако, именно эти средства являются ключевым элементом противодействия внутренним ИБ-угрозам.

Защитить цифровые активы: по сути и по закону

ИБ-отдел, оснащенный DLP «СёрчИнформ КИБ» и DCAP «СёрчИнформ FileAuditor», сможет минимизировать риск порчи или утечки данных по любым каналам. Будь то перенос чертежей в облако, запись коммерческой тайны на флешку или отправка персданных на личную почту.

Доступ к конкретным файлам, которые не нужны сотруднику для работы, можно вовсе ограничить. Например, бухгалтеру не нужны технические документы, а программисту – юридические. Если сотрудник попробует открыть такой файл чтобы удалить или изменить информацию, то у него ничего не выйдет. Если испортить файл попытается сотрудник с правомерным доступом, то данные всегда можно будет восстановить благодаря их резервным копиям.

Для предотвращения комплексных инцидентов, когда сотрудники маскируют зловредные действия под рабочие задачи, подходит «СёрчИнформ SIEM». С ее помощью ИБ-специалист сможет увидеть полную картину событий в ИТ-инфраструктуре в одном окне.

Карта инцидентов

Система устанавливает взаимосвязи между безобидными на первый взгляд событиями и выявляет комплексные инциденты. Например, сброс пароля учетной записи инженера-конструктора – сам по себе не говорит об инциденте. Но если это произошло ночью и сразу после сброса сотрудник подключил съемный носитель – это уже вызывает подозрения и может свидетельствовать о промышленном шпионаже.

При этом, в отличии от других продуктов в классе, «СёрчИнформ SIEM» – «коробочное» решение. Простое в установке и настройке, а системные требования минимальны.

Комплекс решений от «СёрчИнформ» помогает в защите объектов КИИ, которые имеются на многих производствах. С помощью SIEM-системы ИБ-отдел сможет полностью выполнить 17 мер из 239-го Приказа ФСТЭК, а 4 – частично. Также этот инструмент защиты помогает «закрыть» оцениваемые ФСТЭК параметры защищенности КИИ более, чем на 59%. И автоматизирует отправку отчетов об инцидентах в НКЦКИ и взаимодействие с регулятором.

С помощью DLP и DCAP ИБ-отдел закроет более 15 мер внутренней ИБ, отраженных в Приказе ФСТЭК № 239 и более 20 мер из 21-го Приказа, посвященного защите персданных.

Не цифрой единой

Возможности ИБ-средств позволяют выявить и пресечь не только нарушения информационной, но и экономической безопасности. Приведем кейсы из нашей практики как иллюстрации обоих видов пресекаемых нарушений.

Кейс 1. Сразу после внедрения DCAP-системы ИБ-служба обнаружила многократные нарушения правил доступа к защищаемым данным. Система показала, что в общем доступе хранится около трети от всех конфиденциальных файлов. Их утечка была вопросом времени, но ИБ-служба классифицировала данные, настроила их доступ и хранение, и тем самым предотвратила «вынос».

Кейс 2. На прокатном заводе пропадали трубы. Накладные с виду были в порядке, поэтому к расследованию подключили ИБ-службу. Анализ действий сотрудников показал, что некоторые из них делали «дополнительные» накладные. В них указывали число труб большее, чем нужно и вывозили продукцию завода. К виновным применили дисциплинарные меры.

В последнее время организации увеличивают бюджеты на ИБ: в 2023 году об этом заявили 43% производств, в 2024 – 48%. Из них большая часть вкладывает средства в закупку новых российских ИБ-средств. Основными причинами для этого компании называют выполнение требований регуляторов и прикладные потребности бизнеса.

Внедрение комплекса из SIEM-, DLP- и DCAP-систем закрывает обе задачи. С помощью этих решений предприятие может не только доказать свою добросовестность регулятору, но и решить широкий круг проблем, связанных с защитой информационных активов, и усилить работу служб информационной и экономической безопасности.

Чтобы узнать о других сценариях ИБ-инцидентов на производстве, которые пресекаются с помощью наших систем, изучите руководство «Внутренняя безопасность в промышленности». А чтобы узнать, как использовать SIEM для задач именно вашего предприятия, читайте нашу инструкцию «Как настроить SIEM «под себя».