Можно ли поймать откатчика без DLP? Как связаны откаты и любовь к покеру? Какие каналы связи используют коррупционеры? Есть ли у откатчиков свой сленг? Делимся реальным опытом поиска любителей пухлых конвертов.
Вычислить коррупционера без DLP непросто: разве что в курилке или за обедом услышишь зацепку «А Иванов-то себе квартиру в центре взял и машину новую!». И в голове сложится паззл: «Иванов рядовой менеджер, наследство не получал. Нужно проверить». Однако сегодня поговорим об автоматизированном поиске откатчиков с помощью «СёрчИнформ КИБ».
Для начала:
Откатами чаще всего грешат две категории сотрудников – те, кто тратит деньги, и те, кто их приносит. Так что контролировать будем:
Как мошенничают бухгалтеры: четыре популярных схемы и способы их обнаружения. Читать.
Пользователи DLP-системы «СёрчИнформ КИБ» после установки системы получают готовые политики безопасности. Их нужно импортировать в AlertCenter и настроить под собственные задачи. Для поиска коррупционеров подойдут политики «Откаты», «Воровство и махинации», «Обсуждение зарплат».
Большинство политик для выявления откатчиков основаны на контентном анализе их переписки в мессенджерах и некорпоративной почте. Вы можете настроить для них различные виды поиска – по словарям, фразам, сложным запросам.
Поиск по словарям позволяет найти разговоры и документы определенной тематики. За годы работы с клиентами мы собрали десятки готовых словарей на разные темы. Например, в словаре «Откаты» есть множество вариантов описания взятки: «гонорар», «передача», «карман», «погоны», «отбивка». Это действенно, ведь сотрудники, замешанные в откатах, в переписке описывают темные дела отстраненными образами.
Словари можно редактировать – удалять лишние слова и дополнять с учетом региональных особенностей и профессионального сленга. Это сузит поиск и застрахует вас от ложных срабатываний системы.
Фразовый поиск пригодится для поиска по составным запросам. Для большей точности выберите параметры «использовать синонимы», «поиск с морфологией» (чтобы учитывать словоформы) и «поиск фразы» (можно выбрать число промежуточных слов), при этом снимите галочку «учитывать порядок слов».
Теперь можно использовать комплексные запросы – «личное местоимение+значимое слово», «значимое слово+слово-компаньон», «глагол+значимое слово»:
Например, по сочетанию «награда тендер» программа без труда найдет завуалированную фразу «содействие закупкам». Звучит подозрительно, правда?
Бороться с ложными совпадениями поможет сложный запрос, в котором можно объединить несколько видов поиска. Задайте ключевое слово, фразу, название документа и пропишите условия поиска с помощью логических операторов (и, или, не).
В AlertCenter вы можете создать собственную политику с нужными вам атрибутами поиска. Настройки зависят от того, что вы хотите отслеживать. В любом случае нужно задать:
Например, вы хотите создать политику для контроля за перемещением коммерческих предложений. Для этого можно использовать уже знакомый вам поиск по словарю, но лучше покажет себя уникальный алгоритм «поиск похожих». С его помощью можно находить документы с похожими на оригинал формой и содержанием. Чтобы настроить поиск похожих, вставьте в окно поиска текст типового коммерческого предложения и укажите процент «схожести» эталонного и найденного документа.
Следующий шаг – выбор отслеживаемых каналов передачи. Например, почта (MailController) и облачные сервисы (CloudController).
Политика создана. Задайте интервал проверок и запускайте поиск. Если вы получаете много ложных сработок, конкретизируйте правила поиска. Для удобства можно настроить регулярные уведомления об инцидентах на вашу почту.
«СёрчИнформ КИБ» позволяет вести поиск не только по недавно перехваченной информации, но и по архиву. Эта функция доступна для большинства сервисов веб-почты, а также для популярных мессенджеров – Skype, Viber. Программа автоматически подтягивает историю сообщений после активации этих сервисов на компьютере с агентом.
Ретроспективный анализ переписки поможет держать на контроле сотрудников, которые часто проверяют некорпоративную почту и ведут переписки в мессенджерах с рабочего ПК. «СёрчИнформ КИБ» изучит историю сообщений и писем на предмет подозрительных тем.
Когда все настроено, самое время проверить того самого офис-менеджера Иванова с квартирой в центре. Если подозрения серьезные, потратьте время на ручной поиск в «Консоли аналитика» и изучите его переписку в почте, социальных сетях и мессенджерах. Посмотрите, что он отправлял в «облака» и на съемные носители.
Не знаете, с кого начать поиск? Тогда обратите внимание на следующие признаки и схемы откатчиков.
Поставщик высылает коммерческое предложение на некорпоративную почту сотрудника и на стороне договаривается о бонусе за сделку. Через несколько дней уже на официальную почту сотрудника приходит коммерческое предложение с завышенной стоимостью (завуалированный откат).
Как отследить: Настройте поиск по ключевой фразе «коммерческое предложение» или поиск похожих во входящей/исходящей некорпоративной почте сотрудников. Система проработает не только письма, но и вложения.
Убедитесь, что ваш поставщик чист на руку. Антикоррупционные меры в ретейле. Узнать.
Некоторые сотрудники «не ходят» на сторонние почтовые ящики с рабочего компьютера и копируют на внешние носители нужные им финансовые документы, акты, счета-фактуры, выписки ЕГРЮЛ организации. Обсуждение махинаций происходит за пределами офиса.
Как отследить: Модуль DeviceController автоматически сохраняет на сервер копии всех файлов, переданных на внешние носители с компьютера, на котором установлен агент. Так что не забывайте включать его в политики безопасности. Также настройте теневое копирование содержимого USB-девайсов, подключаемых к компьютеру. Обязательно включите в перехват файлы в офисных форматах (xls, doc, pdf).
Зацепкой для ИБ-специалиста могут стать и поисковые запросы сотрудника, несопоставимые с его официальным доходом. В истории браузера коррупционеров мелькают путевки на дорогие курорты, покупка элитной недвижимости, изготовление украшений с бриллиантами и другие лакшери-товары и услуги.
Как отследить: Создайте политику для отслеживания поисковых запросов в HTPPController. В настройках модуля пропишите ключевики «путевка мальдивы купить», «ювелирные украшения москва», «элитное жилье» и подобные.
Нередко откатчики получают взятки переводом на банковскую карту. Нетерпеливые проверяют баланс на работе. Большинство интернет-банкингов отображают остаток по счету сразу после авторизации пользователя – на главной странице. За день откатчик может зайти на эту страницу неоднократно.
Как отследить: Настройте принудительные скриншоты в MonitorController – пропишите веб-адреса банков. Аналогично можно настроить видеозапись сеанса. Теперь, если пользователь захочет проверить баланс, программа автоматически сделает снимок его экрана. Увидели 300 тыс. евро на счету сотрудника с зарплатой в 30 000 рублей? Стоит к нему присмотреться.
Даже скрытные коррупционеры могут потерять бдительность через какое-то время и рассказать о недавней покупке в общем Скайп-чате. Если сумма покупки подозрительно превышает официальную зарплату сотрудника, нужно ставить его на усиленный контроль.
Как отследить: Настройте фразовый поиск в перехвате сообщений из мессенджеров с ключевыми словами «квартира», «автомобиль», «ролекс» в связке с глаголами «купил», «пригнал», «зацепил».
Не сильные духом сотрудники, втянутые в откатные схемы, могут выдать себя излишним беспокойством в переписке с коллегами.
Как отследить: Настройте поиск в мессенджерах по ключевым фразам «опасность», «не боитесь», «страх», «запалить». В найденном диалоге могут появиться зацепки для внутреннего расследования.
Редкая схема, которую выявил один из наших клиентов. Сотрудники, которые были в сговоре, завели общий ящик на mail.ru и обсуждали в черновике письма боковые схемы продажи оборудования компании.
Как отследить: Система автоматически сканирует не только письма, но и черновики. Если нужно, поиск по черновикам можно выключить в настройках MailController.
С помощью откатов работники пытаются компенсировать нехватку средств. Разнятся только запросы: одному хочется быстрее решить квартирный вопрос, а другому не хватает «карманных» на очередной поход в казино.
Сложные жизненные ситуации, наличие зависимостей, внезапная болезнь близкого родственника могут склонить сотрудника к преступлению. На таких сотрудников могут оказывать давление не только конкуренты и поставщики, но и коллеги. Случается, что начальники используют подчиненных из групп риска в качестве посредников, чтобы скрыть свое участие в темных делах.
Автоматизировать формирование групп риска помогает ProfileCenter. Программа анализирует переписку сотрудников и составляет их психологические портреты. Откатчики могут обнаружиться среди карьеристов, любителей подарков, людей, склонных к необоснованному риску.
В AlertCenter есть предустановленные политики для разных групп риска – азартные игроки, люди с зависимостями (алкоголь, наркомания) и серьезными заболеваниями, сотрудники с долгами и кредитами. У каждой политики свой словарь, по которому система ищет зацепки в переписке. Его также можно редактировать.
Попадание сотрудника в группу риска само по себе не говорит о том, что он преступник. Но за ним нужен более строгий контроль.
Даже если вам кажется, что в вашей компании все чисто, лучше принять меры заранее. Регулярный мониторинг персонала позволит вовремя обнаружить сотрудников, замешанных в откатных схемах.
В первый месяц использования «СёрчИнформ КИБ» один из наших клиентов выявил 100 ИБ-инцидентов, включая боковые схемы и фальсификацию документов. Проверьте сотрудников на честность во время бесплатного 30-дневного триала.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных
