Только не играйте в Коломбо!

Автор: Михаил Хромов, Блогер

О чем сегодня говорим?

Предлагаю рассмотреть тему проведения внутренних разбирательств в организациях как отдельную дисциплину.

Это расследование компьютерных преступлений?

Нет: преступления должны расследовать соответствующие органы, у них для этого есть УПК и подобающие выражения лиц.

  • Не всякое нарушение безопасности − это уголовное или административное правонарушение.

     

  • О внутреннем правонарушении, если не были затронуты интересы третьих лиц, организация может не заявлять, а рассматривать своими силами, ограничившись рамками Трудового Кодекса.

  • Мы сейчас говорим о внутреннем нарушителе, то есть нашем собственном работнике, инсайдере, с которым, согласно Трудовому Кодексу, вправе разбираться сам работодатель. Если же выясняется, что нарушитель внешний, нам с ним делать нечего – надо выставлять претензии к той организации, где он работает, либо обращаться в полицию.

Хорошо, тогда кто и как решает, что о данном случае мы никуда не заявляем, а проводим внутреннее разбирательство?

Если руководитель организации не делегировал кому-то данную функцию, ему и решать. При этом надо понимать, что обращение в правоохранительные органы затратно, потому что работников будут отвлекать для участия в следственных действиях, могут потребовать оборудование (вплоть до основного сервера компании) для проведения экспертизы. Дальше пойдут суды. Если информация появляется в СМИ, будет негативный эффект. Все узнают, что был инцидент, заведено уголовное дело, идут допросы, организация судится с бывшим работником. Это негативно отразится на ее репутации и имидже, хотя, казалось бы, компания и выступает пострадавшей стороной. Все это убытки.

Теперь поговорим о выгоде. В данном случае − о моральном удовлетворении от того, что мерзавца осудили. Про возмещение сразу забудьте: для того, чтобы вернуть свои 3 миллиона, вы будете в течение 800 лет удерживать из зарплаты осужденного по 300 рублей. Бухгалтерские издержки на оприходование этих денег, скорей всего, будут выше.

Бизнес прагматичен. В большинстве случаев месть он не выберет. За исключением тех, когда история получила огласку, клиенты или партнеры ждут, что виновный будет найден, и нужно продемонстрировать скальп.

Во всех остальных случаях директору нужно не столько наказать нарушителя, сколько понять, как ему это удалось: на эти 3 миллиона он уже «попал», следующие терять не хочется.

Если компаниям так выгодно скрывать происшествия, почему западная статистика инцидентов отличается от российской?

Тут как при выезде на перекресток при заторе. Включается зеленый, а на перекрестке остались машины, не закончившие свой маневр. Если поехать, упереть- ся в них, то на свой зеленый не проедешь и тоже останешься мешать тому, у кого следующего зеленый. В итоге перекресток забивается, все четыре направле- ния стоят. Два или три из них могли бы ехать свободно, а оставшиеся преодолевали бы его быстрее. Потому что не упирались бы в потенциально едущих, а стояли бы только в своей очереди. Для этого надо, чтобы все или подавляющее большинство водителей пропускали свою очередь и ждали, если видно, что перекресток за время работы зеленого светофора проехать не успеешь. Если это сделает кто-то один – ничего не изменится: другие машины будут его объезжать, что в итоге все равно приведет к затору, в котором он еще и больше всех проиграет, поскольку останется стоять перед перекрестком. А если бы не пропустил других, как-нибудь бы проехал.

Такая же ситуация и с оглаской инцидентов: никому не хочется стать первым, поскольку будешь выглядеть хуже тех, кто этого не сделал. Ситуация изменится, когда инциденты начнут публиковать все.

Инсайдер чем-то отличается от внешнего нарушителя?

С точки зрения разбирательства есть особенности. Внешний нарушитель зачастую легче локализуется, особенно если действует из дома. По адресу, по провай- деру. Когда приходит полиция, сваливать вину на бабушку или кошку бессмысленно. А так зафиксировал ты действие с компьютера какого-нибудь Бендера- Задунайского, а там кабинет на 10 человек, и сам Задунайский «полагает», что кто-то его пароль подсмотрел. Да еще на компьютере не он один хозяин − тут тебе и такой агент, и сякой клиент – масса корпоративного софта, удаленно управляемого. И ведь действительно это мог быть не он. Случается и такое.

И как действовать в этом случае?

Сопоставлять время, искать противоречия, свидетелей. Он мог с кем-то поделиться той информацией, которую, как утверждает, в глаза не видел. Можно блефовать, мол, давай, рассказывай, тебя выдали уже.

Еще одно отличие внешнего врага от внутреннего в том, что в случае с первым − ваши за вас. Трудно даже представить, что администраторы попытаются подделать системные журналы или потереть их, чтобы покрыть внешнего нарушителя, если они с ним не в сговоре. У инсайдера союзников больше, а у вас − меньше. Как минимум служба, в которой он работает, совершенно точно не хочет оргвыводов, о том что работники не понятно чем заняты, и начальство недостаточно их контролирует.

Но разве утрата пароля или журналов не нарушение?

Нарушение, но другое. Вот есть некое событие, в результате которого компания понесла ущерб. Например, идет разбирательство по сливу клиент- ской базы. За это − увольнение сразу. Была ли тому причиной порча журналов, пусть даже преднамеренная? Нет, она только поиск ее виновника усложнила. А нарушение инструкции по системному протоколированию – это не виновность в утечке. За такое может быть только выговор, если не предупреждение.

Обязательно должна быть причинно-следственная связь. Классический случай, когда не сбой повлек за собой ущерб, а в процессе его устранения что-то сломали. Если дантист вырвал не тот зуб, виноват он, а не пациент, который к нему пришёл, или зуб, который болел.

У меня вопрос: инсайдера вычислили, вызвали, а он начинает активно обороняться и грозить трудовой комиссией?

Не нужно делать ничего, за что может наказать комиссия по труду.

  • Нужно действовать от лица работодателя. Необходимо, чтобы внутренние разбирательства инициировал директор, желательно, приказом или, на крайний случай, каждый раз однократным поручением. Приказ о регламенте проведения разбирательств, приказ об их проведении. Работодатель вправе только запрашивать и получать у работников объяснения. Обыск, пытка, слежка, личный досмотр, – ничего этого быть не должно. Не получили объяснения – составляйте акт об отказе, заверяйте подписью присутствовавших при этом печальном факте и отправляйтесь собирать остальные свидетельства: все меняется, может, и «отказник» ваш еще передумает.

  • Выясняйте и фиксируйте вред или опасность его наступления, которую чудом удалось предотвратить. Если (утрирую) негодяй забыл закрыть пустой сейф, у комиссии по труду возникнут претензии к обоснованности его увольнения. И, как я уже говорил, постарайтесь проследить причинно-следственную связь между его действиями (или наоборот бездействиями, там, где предписывались действия) и наступлением ущерба.

  • Нужно установить, как действовал человек, – умышленно или по неосторожности. Умышленно – значит, понимал последствия поступков и совершал их сознательно. По неосторожности – значит, по какой-то причи- не не понимал, хотя и должен был. В остальных случаях, когда ну никак не мог предвидеть, – невиновное причинение ущерба. За это наказывать нельзя. Если не можете установить факт умысла, что часто бывает, то фиксируйте неосторожность и так далее − всегда описывайте ситуацию в пользу работника. Можете какие-то смягчающие обстоятельства отразить: был напуган, раньше так не делал, всей душой к работе и т.д.

  • Нужен сам факт нарушения. Формулируйте, что именно нарушил работник, ищите соответствующий пункт в его должностной инструкции, в локальных нормативных актах, нормативке по коммерческой тайне и т.п. Что было запрещено или наоборот предписано делать, и за что предусмотрена ответственность. Проверьте, что это требование до него доводилось, – от этого зависит предыдущий пункт про «мог и должен был». Учитывайте, не было ли это сделано им по приказу начальника.

  • Наказание – только по Трудовому Кодексу. Это должно быть либо замечание/выговор/увольнение, либо непредставление к поощрению (скажем, был выдвинут на почетную грамоту и премию – вычеркнули), либо предупреждение, и не позже определенных сроков. Но это уже задача кадровой службы − по результатам вашего разбирательства и согласованию с директором правильно оформлять подобные вещи.

Значит ли это, что технический подход здесь вреден?

Технический подход здесь невозможен. Хотя бы потому, что мотив, умысел пока не фиксирует никакое средство защиты. А ещё потому, что на файле, на IP-пакете, на любом другом действии в информационной системе отпечатков пальцев нет. Максимум, что оно было произведено с компьютера Бендера- Задунайского или из-под его учетной записи. Но что это сделал именно Бендер-Задунайский, еще надо устанавливать и чем-то подтверждать. И сделано это должно быть убедительно для директора, для любой комиссии, и, желательно, для самого Бендера-Задунайского, который в идеале должен сказать: «да, было, признаю». Потому что царица доказательств хоть и перестала быть царицей, но никто ее не упразднил с античных времен.

К слову, если уж проводить такую аналогию, любого из существующих сегодня средств криминалистической техники когда-то не было, а преступления успешно раскрывались. И сейчас нормальна ситуация, когда улика получена, а использовать её по какой-либо причине нельзя, или просто нет ее – не наследил. Так что не DLP единым.

И вообще нужно чаще общаться! По электронной почте не увидишь реакцию: вот тут человек растерялся, а вот тут, наоборот, перехватил:

– «Да ладно тянуть - уже знаю, что вы ищете то-то и то-то!»
– «Откуда?»

Таким образом можно проследить цепочку, по которой прошла утечка.

Только ни в коем случае не следует изображать проницательность Коломбо или Пуаро. И боже упаси воспринимать свои умозаключения как что-то реально случившееся и натягивать факты. На стадии разбирательства можно проверять любые версии, но в акте не должно быть никаких додумок. Что не установили – так и пишете: не установили.

Это должно быть регламентировано?

Да. Прежде всего, в интересах того, кому этим заниматься, если правила игры определены, и ожидания руководства стабильные, а не меняются раз от раза. Дополнительно в регламент нужно внести условия активации процедуры, чтобы не разбираться по каждому пустяку. Условия досрочного выхода из процедуры, если, например, уже при беглой проверке выясняется, что сигнал ложный − не было события или вины работников. Порядок привлечения экспертами коллег из ИТ-подразделений, юротдела и т.д.: разобраться в одиночку не всегда хватает знаний. Полномочия, сроки, как должен выглядеть результат разбирательства.

Кстати говоря, в некоторых случаях процесс проведения разбирательств в организациях регламентирован по требованию государства. Например, в случае обработки персональных данных.

Поэтому так важно эту тему не замалчивать и активно обсуждать: часто функции разбирательств из-за дефицита кадров ложатся на специалистов по технической защите, и они по незнанию могут наломать дров.

Прямо по классике: чистые руки, горячее сердце…

Ну, здесь же очень простой принцип на самом деле: все это работает, пока обеспечивается объективность, все держится на репутации исполнителя.

Необъективные разбирательства ни руководству не нужны (раз мы уже сегодня договорились, что в подавляющем большинстве случаев его действительно интересует анализ, а не кара любой ценой), ни помощи потом не встречают.

Нельзя бесконечно долго собирать качественные свидетельства, если люди видят, что их могут припрятать, переврать, как-либо недобросовестно использовать. Вы каждый раз ходите по одним и тем же подразделениям и общаетесь с теми же людьми. Поддерживайте репутацию!

Есть такое ощущение, что если работодатель не раскрывает смысл запрета, работника нельзя винить?

Только в некоторых случаях неумышленных нарушений.

Работодатель должен если не раскрывать причины запретов, то обозначать приоритеты: вот на это строгий запрет, это крайне не приветствуется, а это просто рекомендация. Необходимо доносить это до работников, проводить обучения, а не только спускать приказы. В этом случае ясна логика запреща- емого, да и с адекватностью наказаний потом проблем меньше.

Однако есть и преднамеренные нарушения, когда работник знал о запрете и все равно его нарушил. Такая легендарная категория как обиженный работник, например, даже в идеально документированной системе актуальна. Или мошенник, вор.

Но о недостатках системы выводы тоже должны делаться?

Естественно! Вообще проведение разбирательств должно быть встроено в общую систему менеджмента информационной безопасности. Как шестеренка в механизме, которую что-то приводит в движение и которая, в свою очередь, что-то приводит в движение.

Если брать, например, международные стандарты, лучшие мировые практики в этой области, то результаты расследования у вас должны попадать на вход процесса оценки рисков – чтобы, возможно, пересмотреть, какой-то риск, который до этого происшествия считался маловероятным или такие последствия не ожидались. Кроме того, это информация для оценки руководством эффективности тех мер, которые предпринимались службой безопасности. Это основа- ние для пересмотра тех документов, которые соответствующий запрет устанавливали или, наоборот, пропустили.

Процесс внутреннего разбирательства активируется вследствие процесса обработки инцидентов. Ведь только часть инцидентов поступает на вход. Есть инциденты, которые обрабатываются, но разбирательство не устраивается. Скажем, забыл работник пароль: проверили, что это действительно имярек, старый сбросили, работник задал новый, и – достаточно, если, конечно, скомпрометированная учетная запись не повлекла никаких дальнейших инцидентов.

Бывают инциденты статистические, по ним реагирование вообще не организуется. Например, есть какой-то процент ошибочных операций, вы за ним просто наблюдаете, т.к. если он ниже некоторого порога, – это не атака, а человеческий фактор. Люди не роботы, иногда что-то неточно вводят. Или оцениваете по ним действия персонала: ввели, например, дополнительную организационную меру, ошибок стало больше или меньше. Такие вещи и определяются в регламенте. Как-то так.


Другие статьи
Поделиться:
 
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.