Вычислить коррупционера без DLP непросто: разве что в курилке или за обедом услышишь зацепку «А Иванов-то себе квартиру в центре взял и машину новую!». И в голове сложится паззл: «Иванов – рядовой менеджер, наследство не получал. Нужно проверить». Однако сегодня поговорим об автоматизированном поиске откатчиков с помощью «КИБ СёрчИнформ».
Для начала:
Определите места обитания
Откатами чаще всего грешат две категории сотрудников – те, кто тратит деньги, и те, кто их приносит. Так что контролировать будем:
- отделы материально-технического снабжения;
- отделы продаж;
- бухгалтерию;
- управленцев разного калибра (топ-менеджмент, руководители региональных подразделений, начальники отделов).
Загрузите и настройте политики
Пользователи DLP-системы «КИБ СёрчИнформ» после установки системы получают готовые политики безопасности. Их нужно импортировать в AlertCenter и настроить под собственные задачи. Для поиска коррупционеров подойдут политики «Откаты», «Воровство и махинации», «Обсуждение зарплат».
Большинство политик для выявления откатчиков основаны на контентном анализе их переписки в мессенджерах и некорпоративной почте. Вы можете настроить для них различные виды поиска: по словарям, фразам, сложным запросам.
Поиск по словарям позволяет найти разговоры и документы определенной тематики. За годы работы с клиентами мы собрали десятки готовых словарей на разные темы. Например, в словаре «Откаты» есть множество вариантов описания взятки: «гонорар», «передача», «карман», «погоны», «отбивка». Это действенно, ведь сотрудники, замешанные в откатах, в переписке описывают темные дела отстраненными образами.
Словари можно редактировать – удалять лишние слова и дополнять с учетом региональных особенностей и профессионального сленга. Это сузит поиск и застрахует вас от ложных срабатываний системы.
Например, наш клиент из металлургической отрасли в первые дни после запуска «КИБ СёрчИнформ» получил множество алертов по слову «кокс», которое входило в словарь «Наркотики». Оказалось, что металлурги используют его в безобидном значении «топливо». Слово исключили.
Фразовый поиск пригодится для поиска по составным запросам. Для большей точности выберите параметры «использовать синонимы», «поиск с морфологией» (чтобы учитывать словоформы) и «поиск фразы» (можно выбрать число промежуточных слов), при этом снимите галочку «учитывать порядок слов».
Теперь можно использовать комплексные запросы – «личное местоимение+значимое слово», «значимое слово+слово-компаньон», «глагол+значимое слово»:
- мой интерес;
- твой процент;
- дать взятку;
- положить на лапу;
- награда тендер;
- подарок закупки.
Например, по сочетанию «награда тендер» программа без труда найдет завуалированную фразу «содействие закупкам». Звучит подозрительно, правда?
Бороться с ложными совпадениями поможет сложный запрос, в котором можно объединить несколько видов поиска. Задайте ключевое слово, фразу, название документа и пропишите условия поиска с помощью логических операторов (и, или, не).
Создайте новые политики
В AlertCenter вы можете создать собственную политику с нужными вам атрибутами поиска. Настройки зависят от того, что вы хотите отслеживать. В любом случае нужно задать:
- параметры поиска;
- каналы, по которым система будет искать нужные сведения.
Например, вы хотите создать политику для контроля за перемещением коммерческих предложений. Для этого можно использовать уже знакомый вам поиск по словарю, но лучше покажет себя уникальный алгоритм «поиск похожих». С его помощью можно находить документы с похожими на оригинал формой и содержанием. Чтобы настроить поиск похожих, вставьте в окно поиска текст типового коммерческого предложения и укажите процент «схожести» эталонного и найденного документа.
Следующий шаг – выбор отслеживаемых каналов передачи. Например, почта (MailController) и облачные сервисы (CloudController).
Политика создана. Задайте интервал проверок и запускайте поиск. Если вы получаете много ложных сработок, конкретизируйте правила поиска. Для удобства можно настроить регулярные уведомления об инцидентах на вашу почту.
Поднимите архивы
«КИБ СёрчИнформ» позволяет вести поиск не только по недавно перехваченной информации, но и по архиву. Эта функция доступна для большинства сервисов веб-почты, а также для популярных мессенджеров – Skype, Viber. Программа автоматически подтягивает историю сообщений после активации этих сервисов на компьютере с агентом.
Ретроспективный анализ переписки поможет держать на контроле сотрудников, которые часто проверяют некорпоративную почту и ведут переписки в мессенджерах с рабочего ПК. «КИБ СёрчИнформ» изучит историю сообщений и писем на предмет подозрительных тем.
Ищите улики
Когда все настроено, самое время проверить того самого офис-менеджера Иванова с квартирой в центре. Если подозрения серьезные, потратьте время на ручной поиск в «Консоли аналитика» и изучите его переписку в почте, социальных сетях и мессенджерах. Посмотрите, что он отправлял в «облака» и на съемные носители.
Не знаете, с кого начать поиск? Тогда обратите внимание на следующие признаки и схемы откатчиков.
Компред «с подарком»
Поставщик высылает коммерческое предложение на некорпоративную почту сотрудника и на стороне договаривается о бонусе за сделку. Через несколько дней уже на официальную почту сотрудника приходит коммерческое предложение с завышенной стоимостью (откат).
Как отследить: Настройте поиск по ключевой фразе «коммерческое предложение» или поиск похожих во входящей/исходящей некорпоративной почте сотрудников. Система проработает не только письма, но и вложения.
Вынос документов
Некоторые сотрудники «не ходят» на сторонние почтовые ящики с рабочего компьютера и копируют на внешние носители нужные им финансовые документы, акты, счета-фактуры, выписки ЕГРЮЛ организации. Обсуждение махинаций происходит за пределами офиса.
Как отследить: Модуль DeviceController автоматически сохраняет на сервер копии всех файлов, переданных на внешние носители с компьютера, на котором установлен агент. Так что не забывайте включать его в политики безопасности. Также настройте теневое копирование содержимого USB-девайсов, подключаемых к компьютеру. Обязательно включите в перехват файлы в офисных форматах (xls, doc, pdf).
Лакшери-серфинг
Зацепкой для ИБ-специалиста могут стать и поисковые запросы сотрудника, несопоставимые с его официальным доходом. В истории браузера коррупционеров мелькают путевки на дорогие курорты, покупка элитной недвижимости, изготовление украшений с бриллиантами и другие лакшери-товары и услуги.
Как отследить: Создайте политику для отслеживания поисковых запросов в HTPPController. В настройках модуля пропишите ключевики «путевка мальдивы купить», «ювелирные украшения москва», «элитное жилье» и подобные.
Баланс в мониторе
Нередко откатчики получают взятки переводом на банковскую карту. Нетерпеливые проверяют баланс на работе. Большинство интернет-банкингов отображают остаток по счету сразу после авторизации пользователя – на главной странице. За день откатчик может зайти на эту страницу неоднократно.
Как отследить: Настройте принудительные скриншоты в MonitorController – пропишите веб-адреса банков. Аналогично можно настроить видеозапись сеанса. Теперь, если пользователь захочет проверить баланс, программа автоматически сделает снимок его экрана. Конечно, 300 тыс. евро на счету сотрудника с зарплатой в 30 000 рублей станет однозначным поводом продолжить его мониторинг.
Публичный хвастун
Даже скрытные коррупционеры могут потерять бдительность через какое-то время и начать хвастаться недавней покупкой в общем Скайп-чате. Если сумма покупки подозрительно превышает официальную зарплату сотрудника, нужно ставить его на усиленный контроль.
Как отследить: Настройте фразовый поиск в перехвате сообщений из мессенджеров с ключевыми словами «квартира», «автомобиль», «ролекс» в связке с глаголами «купил», «пригнал», «зацепил».
Хорек-паникер в действии
Не сильные духом сотрудники, втянутые в откатные схемы, могут выдать себя излишним беспокойством в переписке с коллегами.
Как отследить: Настройте поиск в мессенджерах по ключевым фразам «опасность», «не боитесь», «страх», «запалить». В найденном диалоге могут появиться зацепки для внутреннего расследования.
Черновик преступника
Редкая схема, которую выявил один из наших клиентов. Сотрудники, которые были в сговоре, завели общий ящик на mail.ru и обсуждали в черновике письма боковые схемы продажи оборудования компании.
Как отследить: Система автоматически сканирует не только письма, но и черновики. Если нужно, поиск по черновикам можно выключить в настройках MailController.
Откатчик поневоле
С помощью откатов работники пытаются компенсировать нехватку средств. Разнятся только запросы: одному хочется быстрее решить квартирный вопрос, а другому не хватает «карманных» на очередной поход в казино.
Сложные жизненные ситуации, наличие зависимостей, внезапная болезнь близкого родственника могут склонить сотрудника к преступлению. На таких сотрудников могут оказывать давление не только конкуренты и поставщики, но и коллеги. Случается, что начальники используют подчиненных из групп риска в качестве посредников, чтобы скрыть свое участие в темных делах.
Автоматизировать формирование групп риска помогает ProfileCenter. Программа анализирует переписку сотрудников и составляет их психологические портреты. Откатчики могут обнаружиться среди карьеристов, любителей подарков, людей, склонных к необоснованному риску.
В AlertCenter есть предустановленные политики для разных групп риска – азартные игроки, люди с зависимостями (алкоголь, наркомания) и серьезными заболеваниями, сотрудники с долгами и кредитами. У каждой политики свой словарь, по которому система ищет зацепки в переписке. Его также можно редактировать.
Попадание сотрудника в группу риска само по себе не говорит о том, что он преступник. Но за ним нужен более строгий контроль.
Заключение
Даже если вам кажется, что в вашей компании все чисто, лучше принять меры заранее. Регулярный мониторинг персонала позволит вовремя обнаружить сотрудников, замешанных в откатных схемах.
В первый месяц использования «КИБ СёрчИнформ» один из наших клиентов выявил 100 ИБ-инцидентов, включая боковые схемы и фальсификацию документов. Проверьте сотрудников на честность во время бесплатного 30-дневного триала.