Детектив проверка персонала

IT-специалисты все чаще крадут секретную корпоративную информацию

  консалтинговое агентство, информационно-аналитическое обеспечение, Информант, конкурентная разведка, маркетинговые исследования
 
  Каждый третий IT-специалист злоупотребляет административными паролями, чтобы получить доступ к секретной корпоративной информации. Самый большой интерес для «айтишников» представляют клиентские базы, информация по сделкам слияния и поглощения, пароли руководства. При этом в случае увольнения офисные служащие готовы прихватить эти данные с собой. Примечательно, что в нынешнем году таких «энтузиастов» стало на порядок больше, констатируют специалисты Cyber-Ark.

  Компания Cyber-Ark, специализирующаяся на информационной безопасности и защите от утечек данных, в рамках исследования «Доверие, безопасности и пароли» опросила более 400 старших IT-специалистов в США и Великобритании, в основном из числа работающих в крупных компаниях, и выяснила, что 35% из них суют нос в секретные данные компании, а 74% респондентов заявили, что могли бы в обход действующих систем защиты получить доступ к информации. Результаты такого же исследования, проведенного год назад, показали, что шпионажем занимаются 33% IT- специалистов.

  Согласно данным Cyber-Ark, «айтишники» часто просматривают документы отдела кадров, клиентские базы данных, планы компании по слиянию, списки на увольнение и в последнюю очередь маркетинговую информацию.

  Однако не это самое страшное. Гораздо больше руководство компаний должен волновать тот факт, что в случае увольнения сотрудники готовы прихватить с собой информацию, имеющую критическое значение для поддержания конкурентных преимуществ и корпоративной безопасности. В прошлом году таких энтузиастов было на порядок меньше.

  47% опрошенных прикарманили бы клиентские базы (в прошлом году таких было 35%). В четыре раза выросло число сотрудников, желающих забрать с собой в случае увольнения финансовые отчеты — с 11% в 2008 году до 46% в 2009-м. Если в прошлом году было только 7% сотрудников, которые собирались украсть информацию о планах компании по слияниям и поглощениям, то в нынешнем году таких уже 47%. Пароли руководства интересны 46% против 11% в 2008 году.



  По словам генерального директора Cyber-Ark Уди Мокади, компания стремится к повышению осведомленности о рисках, связанных с неконтролируемыми привилегированными аккаунтами. «Эти аккаунты обеспечивают работникам „ключи от царства“, предоставляя им доступ к ценной конфиденциальной информации. Компании должны проснуться и понять, что доверие — это не политика безопасности; на них лежит ответственность за защиту ценных данных и систем», — приводятся слова гендиректора в пресс-релизе компании.

  «Естественно, IT-специалист — одно из самых важных звеньев в цепи информационной безопасности компании. Именно он контролирует все информационные потоки, имеет доступ к практически всей корпоративной переписке, будь то E-Mail или IM вроде ICQ, Skype и др. И если IT-специалист и работодатель расходятся полюбовно, то проблем нет. А вот если они расстаются на конфликтной ноте, то последствия могут быть весьма плачевными — от утечки конфиденциальной информации до временного паралича работы IT-инфраструктуры», — говорит RB.ru Антон Салов, руководитель отдела корпоративных интернет-решений компании Softline.

  По его словам, крупные компании пытаются защититься как юридическими мерами, включая соответствующие пункты в условия контракта, так и административными, распределяя обязанности между несколькими IT-специалистами.

  Сегмент среднего и малого бизнеса, который не может позволить себе держать полноценный IT-отдел, действует более инновационно, отмечает Салов. Зачастую, все взвесив, руководители отказываются от организации внутреннего информационного департамента в пользу аутсорсинга крупными компаниями, хорошо зарекомендовавшими себя на рынке IT-услуг, или в пользу переноса части инфраструктуры на SaaS (Software as a service — «программное обеспечение как услуга»).

  "Тут важен аспект доверия поставщику услуги, и каждый руководитель для себя сам должен решить, чего он больше боится — утечек изнутри, со стороны недобросовестного работника, или же со стороны держателя сервиса, куда выносится вся переписка. А кризис и сокращения IT-бюджетов все острее ставят на повестку дня такой выбор. Именно поэтому, опасаясь мести со стороны уволенных сотрудников, руководители все больше и больше думают об исключении этого «слабого звена», — резюмирует собеседник RB.ru.

  Стоит напомнить, что незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну, наказывается по статье 183 Уголовного кодекса РФ. Это статья предусматривает наказание в виде штрафа от 80 до 200 тыс. рублей или в размере заработной платы за период от 1 до 18 месяцев, а также лишение права занимать определенные должности и лишение свободы сроком до 5 лет.

  Так, в конце мая сотрудник «Росгосстраха» был осужден в Москве за незаконную продажу конфиденциальной информации о клиентах. По данным следствия, он имел доступ к клиентским базам, которые составляют коммерческую тайну. Преступник скопировал данные на флэш-карту и нашел в интернете покупателя, в роли которого выступил сотрудник Департамента экономической и информационной безопасности «Росгосстраха». Сотрудник хотел продать информацию о 34 тыс. физических лицах за 50 тыс. рублей.

Автор — Дина Савельева, RB.ru