Защита от утечек данных и корпоративного мошенничества при удалённой работе сотрудников

Контроль продуктивности, защита от мошенничества и утечек данных при удалённой работе сотрудников

Контроль продуктивности, защита от мошенничества и утечек данных при удалённой работе сотрудников

Опасность утечки данных и возможность корпоративного мошенничества — неизбежные спутники вынужденной удалённой работы. Мы рассмотрим, как можно минимизировать риски и справиться с актуальными задачами контроля сотрудников на «удалёнке».

 

 

 

 

 

 

 

  1. Введение
  2. Инструменты «двойного назначения»
    1. 2.1. Модуль ProgramController
    2. 2.2. Модуль MonitorController
    3. 2.3. Онлайн-инструменты
  3. Практическое применение
    1. 3.1. Контроль продолжительности рабочего времени
    2. 3.2. Контроль продуктивности в рабочее время
    3. 3.3. Контроль активности в рабочее время
    4. 3.4. Контроль безопасности
  4. Выводы

 

Введение

«Удалёнка» — новая реальность, с которой в условиях коронавирусного кризиса сталкиваются компании даже самого традиционного уклада. Для тех из них, кому такой формат — в новинку, это становится испытанием: необходимо сохранить работоспособность и безопасность процессов в непривычных условиях. Решить эти задачи помогают DLP-системы.

DLP-решения объединяют мониторинг продуктивности сотрудников и защиту от угроз со стороны человеческого фактора. Таким образом, если в компании есть DLP, для безопасного перехода в дистанционный формат не придётся внедрять дополнительные инструменты — достаточно выдать персоналу вне офиса корпоративные ПК с установленными агентами системы.

 

Инструменты «двойного назначения»

DLP-решение — это в первую очередь инструмент информационной безопасности. Однако отдельные модули «СёрчИнформ КИБ» контролируют активность сотрудников: это помогает и расследовать нарушения, и оценивать эффективность работы.

  • Модуль ProgramController собирает данные об активности в приложениях и на сайтах, с его помощью можно получить картину всех действий сотрудника за рабочим ПК.
  • Модуль MonitorController делает снимки экранов пользователей, что полезно, если нужно получить детализацию по действиям сотрудника на рабочем месте.
  • Онлайн-инструменты позволяют узнать, чем заняты пользователи прямо сейчас: по активности за ПК или через просмотр экрана.

Поговорим об этих компонентах подробнее.

 

Модуль ProgramController

ProgramController отслеживает:

  • продолжительность рабочего времени — когда пользователь приступил к работе и закончил её,
  • активность в рабочее время — сколько сотрудник работал, а сколько бездействовал за ПК,
  • продуктивность и эффективность работы — какие программы или сайты сотрудник запускал и сколько в них провёл.

Модуль учитывает фактическое взаимодействие сотрудников с сайтами и ПО. Таким образом, если сотрудник запустит Word, но окно будет свёрнуто, система не засчитает время фоновой активности процесса как работу с приложением. Кроме того, программа фиксирует периоды бездействия пользователей: отсутствие активности от мыши или клавиатуры в течение более чем двух минут.

Предварительно необходимо задать ряд настроек.

  • Для учёта рабочего времени нужно заполнить трудовой календарь: указать выходные, праздничные и сокращённые дни, часы начала и окончания рабочего дня, период обеда, минимальное допустимое время активности за ПК. Последний параметр важен, если сотрудники часто заняты на встречах с клиентами и могут провести за компьютером, например, только 5 из 8 рабочих часов — при соответствующих настройках система не будет считать трёхчасовое отсутствие за ПК нарушением.
  • Для оценки эффективности и продуктивности следует указать,какие группы сайтов или программ полезны, а какие бесполезны в работе конкретных сотрудников или подразделений. Например, посещение сайтов из группы «Соцсети» будет нежелательным для всего коллектива, кроме SMM-специалиста — для него это рабочий инструмент. Группы сайтов и ПО классифицированы по умолчанию: модуль выделяет офисные пакеты, электронный документооборот, игры и развлечения, новостные порталы и т.д. «Из коробки» в классификаторе учтено более 20 тыс. популярных сайтов и процессов, а новые можно распределить по группам автоматически или вручную.

 

Рисунок 1. Настройка правил продуктивности в ProgramController

 Настройка правил продуктивности в ProgramController

 

На основе данных, которые собирает ProgramController, система выдаёт подробные отчёты. Изначально доступно более 20 готовых вариантов: о продуктивности, об эффективности пользователей, о нарушениях рабочего режима, по часто используемым программам и сайтам, среднему времени работы и бездействия и т.д. Если этого недостаточно, то можно создать собственные отчёты по заданным параметрам и получать информацию по всему коллективу, группам или отдельным сотрудникам.

Кроме того, система поддерживает поиск по атрибутам ProgramController: дате, пользователю, имени компьютера, IP- и МАС-адресам, продолжительности активности пользователя/процесса/сайта, имени активного процесса, URL.

 

Модуль MonitorController

MonitorController может снимать скриншоты или видео. Он работает в двух режимах для решения разных задач:

  • контроль регулярной активности пользователя — снимки создаются по заданному расписанию,
  • контроль нежелательных действий пользователя — съёмка выполняется при определённых событиях (запуск заданного ПО, посещение сайта, нажатие клавиши Print Screen).

При съёмке экрана дополнительно перехватываются все процессы, запущенные на компьютере, в том числе работающие в фоновом режиме. Во-первых, это позволяет системе анализировать происходящее на ПК пользователя в целом и даже обнаруживать активность скрытого шпионского ПО. Во-вторых, благодаря сбору таких данных модуль может «ориентироваться» в том, на какие инциденты нужно реагировать. Например, компания хочет знать, что делают сисадмины, когда они удалённо подключаются к чужим ПК. Служба безопасности сможет это увидеть, настроив съёмку скриншотов с экранов всех компьютеров, на которых запущен процесс TeamViewer.exe.

 

Рисунок 2. Настройка правил записи экрана в MonitorController

 Настройка правил записи экрана в MonitorController

 

Для модуля можно настроить:

  • правила съёмки экранов — задать расписание либо условия записи для отдельных пользователей или всего коллектива, а также указать тип и качество снимков,
  • политики безопасности — перечислить процессы, запуск которых на ПК пользователей будет считаться инцидентом (например, чтобы система реагировала, если ПО для доступа к виртуальным средам запустит любой сотрудник не из числа разработчиков).

Просмотр срабатываний по политикам безопасности доступен без графического содержимого. Это снижает нагрузку на систему. Но если политика безопасности соответствует правилу записи экрана, снимок по «сработке» можно будет увидеть после ручной фильтрации результатов съемки. Вручную искать снимки можно по атрибутам: дате, времени, пользователю, ПК, номеру монитора, IP- и MAC-адресам, типу снимка (скриншот или видео), имени и длительности запущенного процесса, заголовку открытого окна.

 

Рисунок 3. Поиск по снимкам MonitorController и предпросмотр результата

 Поиск по перехвату MonitorController и предпросмотр результата

 

Весь анализ осуществляется на сервере DLP. Впрочем, передача графической информации может значительно нагружать канал связи, особенно когда сотрудники используют нестабильное домашнее подключение; для подобных ситуаций можно задать такие настройки, чтобы информация хранилась на пользовательских ПК, а передавалась с ограниченной скоростью (например, не больше 1 мегабита), по расписанию (скажем, только после окончания рабочего времени) или по запросу администратора DLP.

 

Онлайн-инструменты

В онлайн-режимах «СёрчИнформ КИБ» отображает информацию, которую разные модули собирают на ПК пользователей в текущий момент. Это особенно удобно в условиях, когда сотрудники работают вне поля зрения работодателя, а руководству важно иметь актуальное представление о том, чем они заняты в течение дня.

Инструмент «Текущая активность» показывает срез происходящего на ПК сотрудников в данный момент. В интерфейсе отображаются данные по всему коллективу: сколько сотрудников находится онлайн, кто из них сейчас активен, а кто бездействует, кто опоздал, кто отсутствует. Для всех пользователей в списке доступна детализация:

  • чем заняты в данный момент (активен / отошёл / неактивен),
  • когда начали работу (у опоздавших ячейка подсвечивается жёлтым цветом),
  • время последней активности (запуск или взаимодействие с программой / сайтом),
  • насколько были активны в промежуток, когда работали (процентное соотношение периодов активности и бездействия, графическая шкала),
  • какой процесс запущен в данный момент.

При нажатии на имя конкретного пользователя открывается расширенная статистика его активности за текущий месяц: во сколько он обычно начинает и заканчивает работу, сколько времени проводит за ПК, как часто отсутствует, опаздывает, рано уходит или работает сверхурочно.

 

Рисунок 4. Инструмент «Текущая активность»

 Инструмент «Текущая активность»

 

 

Инструмент LiveView позволяет подключаться в режиме реального времени к мониторам сотрудников, чтобы видеть, что именно они делают на том или ином сайте или в приложении. Одновременно можно наблюдать за происходящим на нескольких (до 16) рабочих столах. Предусмотрена возможность записи трансляции.

Онлайн-режимы не требуют предварительной настройки. Однако для их работы необходима локальная или VPN-сеть со стабильным подключением, поэтому при контроле удаленных сотрудников рекомендуется использовать широкий VPN-канал.

 

Практическое применение

Чтобы увидеть, как перечисленные инструменты помогают контролировать сотрудников на «удалёнке», предлагаем рассмотреть примеры из практики клиентов «СёрчИнформ».

 

Контроль продолжительности рабочего времени

В транспортной компании офисных сотрудников в филиалах перевели на удалённую работу, на руки выдали корпоративные ноутбуки с установленными агентами DLP-системы.

Внешне работа продолжилась в обычном режиме: сотрудники ежедневно направляли отчёты и присутствовали на утренних онлайн-планёрках. Однако при анализе данных ProgramController ИБ-служба заметила, что активность удалённых пользователей за ПК значительно упала. Сразу несколько специалистов из одного филиала попало в отчёт «Ранние уходы». Каждое утро они «отмечались» перед руководством во время Skype-конференций, с 8 до 10 часов совместно готовили отчёт для головного офиса, направляли его к 11 утра и до часа дня ждали уточняющих вопросов. Если их не поступало, выключали компьютеры и занимались своими делами. Специалисты ИБ передали информацию руководству компании, «саботажникам» объявили выговор и лишили премий.

Задействованные инструменты: ProgramController — фиксация времени включения и выключения ПК, сравнение промежутка активности с графиком рабочего времени.

 

Контроль продуктивности в рабочее время

В период карантина ритейлер товаров для дома перевёл деятельность в онлайн-формат, в обычном режиме работали только сотрудники, занятые в сборке и доставке заказов. Однако их работу удалённо координировали менеджеры, которые должны были предоставлять информацию о новых заказах и контролировать сопутствующий документооборот.

Один из старших менеджеров стал жаловаться начальству, что не успевает обрабатывать заявки в авральном режиме, и попросил выделить специалиста на помощь в оформлении заказов. Специалиста выделили, однако количество выполненных задач выросло незначительно. В проблеме решили разобраться с помощью DLP.

ProgramController показал, что с момента перехода на «удалёнку» эффективность старшего менеджера упала, до четырёх часов рабочего времени он проводил непродуктивно: играл в онлайн-игры и смотрел сериалы. Когда ему предоставили помощника, сотрудник и вовсе передал напарнику всю работу, так что количество непродуктивных часов у него выросло до шести. Помощник при этом постоянно был занят в «полезных» программах (CRM, программе складского учёта, офисном ПО) и выполнял полуторную норму по обработке заявок. Руководство приняло меры: старшего менеджера уволили, а помощника назначили на его место.

 

Рисунок 5. Пример отчёта об эффективности пользователя

 Пример отчёта об эффективности пользователя

 

Задействованные инструменты: ProgramController — анализ продуктивности запущенных процессов, отчёт об эффективности пользователей.

 

Контроль активности в рабочее время

В IT-компании большинство технических специалистов работало удалённо, сотрудники административных подразделений (бухгалтерии, отдела кадров, юридического отдела и т.п.) могли работать из дома с корпоративного оборудования до трёх дней в неделю.

Таким правом воспользовалась экономист. В течение рабочего дня она должна была принять участие в обсуждении крупного проекта, в назначенное время в корпоративном мессенджере была онлайн, но не отвечала на сообщения и звонки. Коллеги предположили, что она занята в параллельной беседе с заказчиком, однако молчание затянулось, и руководство решило проверить, что она делает, с помощью DLP. Модуль учёта текущей активности показал, что пользователь бездействует уже час. Тогда ей позвонили на личный телефон и, хотя она действительно ссылалась на срочную работу с клиентом, на заднем плане явственно услышали посторонние звуки — сотрудница ходила по магазинам. За халатное отношение к трудовым задачам она получила замечание.

Задействованные инструменты: ProgramController — регистрация отсутствия активности пользователя в ПО (щелчков и движения мыши, действий с клавиатурой); «Текущая активность» — предоставление данных о действиях пользователя в режиме реального времени.

 

Контроль безопасности

Инструменты по контролю дисциплины помогают решать и основную задачу DLP-системы — защищать компанию от утечек и корпоративного мошенничества. Вот пример.

На производственном предприятии в удалённом режиме работали сотрудники отдела продаж, их действия отслеживали с помощью DLP. Служба безопасности контролировала отдел на предмет выявления «откатов», взяток и других махинаций. В частности, была настроена политика по борьбе с подделкой документов: система с помощью MonitorController регистрировала запуск графических редакторов на ПК менеджеров как опасный инцидент. Однажды пришел «алёрт» о том, что сотрудник запустил Adobe Photoshop, который, очевидно, не был ему нужен в повседневной работе. Специалисты СБ сразу же подключились к рабочему столу пользователя, чтобы подтвердить или опровергнуть свои опасения. Там они увидели, что менеджер по продажам редактирует коммерческое предложение. Дальнейшее расследование показало, что сотрудник договорился с поставщиком об «откате», указал в бланке завышенные цены и вставил нужные печати и подписи из других документов. Махинатора уволили.

 

Пример видео с экрана пользователя — доказательство подделки печатей

 

Задействованные инструменты: MonitorController — фиксация запуска нежелательных процессов, «сработка» политики безопасности; LiveView — онлайн-просмотр экрана сотрудника.

 

Выводы

В «СёрчИнформ КИБ» есть всё необходимое для того, чтобы контролировать соблюдение рабочего распорядка и правил безопасности. При самостоятельном использовании описанные модули закрывают актуальные потребности по контролю персонала вне офиса, позволяют анализировать и оптимизировать бизнес-процессы в новом дистанционном формате. При использовании вместе с другими инструментами КИБ они дают дополнительную фактуру для расследования и предотвращения инцидентов, позволяют собрать доказательства. Таким образом, система обеспечивает возможность расширить представление о происходящем в компании и не упустить важные детали, даже если персонал находится вне поля зрения работодателя.

Протестировать возможности ProgramController, MonitorController и других модулей «СёрчИнформ КИБ» можно бесплатно в течение 30 дней. Для этого достаточно оставить заявку на сайте вендора.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru