Spam. Pentru clientul nostru, un retailer online mic, dar în creștere, specializat în decorațiuni interioare artizanale și cadouri personalizate, acest cuvânt din patru litere le amenința întregul brand. Compania era mândră de baza sa de clienți loiali și de abordarea personalizată a fiecărui client.

La un moment dat, magazinul online a început să primească reclamații din partea clienților cu privire la primirea de e-mailuri și apeluri telefonice spam. Adesea, spam-ul făcea referire la achizițiile lor anterioare de la comerciantul cu amănuntul. Este lesne de înțeles că clienții erau furioși și îngrijorați de modul în care datele lor de contact au fost divulgate.

The company initially suspected a general data breach or server vulnerability; however, nothing suspicious was found during extended security checks. The CEO's next guess was an insider threat since the data leak seemed targeted and specific to customer information. Someone within a company with access to the customer database could be responsible for the incident.

Soluția

Facing a potential PR crisis and loss of customer trust, the CEO decided to use employee monitoring software to track employees' work activity. After researching solutions focused on user activity monitoring and data protection, she chose CleverControl for its extensive monitoring capabilities that could help in insider threat detection.

Caracteristicile cheie CleverControl utilizate de companie au inclus:

  • Vizualizare în direct: an opportunity to view employees' screens in real time could help catch the culprit red-handed.
  • Înregistrări pe ecran: these recordings allowed a quick review of each employee's workday, which could reveal suspicious activity.
  • Capturi de ecran: since the software takes screenshots when the user switches windows, visits a website, or copies something to the clipboard, it was highly probable that the moment of data theft would be captured. Besides, screenshots offered a quicker overview of the employee's day than screen recordings.
  • Monitorizarea aplicațiilor și a site-urilor web: tracking these could help understand employees' workflow and reveal if someone was using unauthorized file-sharing services or email clients.
  • Monitorizarea dispozitivelor de stocare externe: compania trebuia să știe dacă cineva a copiat baza de date a clienților pe o unitate USB sau alt dispozitiv de stocare extern.
  • Monitorizarea e-mailurilor: în cazul în care baza de date a fost divulgată prin e-mail, CleverControl ar înregistra divulgarea.
  • Recunoașterea feței: această caracteristică ar putea dezvălui cine a avut acces la calculatoarele de birou, în special la cele cu acces la bazele de date ale clienților.
  • Înregistrarea video și sonoră în anumite zone ale birourilor, cu notificări corespunzătoare: captarea audio în apropierea stațiilor de lucru ar putea dezvălui comunicări verbale legate de scurgeri de date sau discuții neautorizate.

Ancheta

The CEO, working with the IT manager, implemented CleverControl on 17 office computers. They checked the employees' activity daily, looking for a potential data leak.

In a few weeks, they noticed a log of unusual activity on a customer service representative's computer. It was active long past his usual working hours. The CEO and the IT manager focused their investigation on this activity within CleverControl, and here is what they found:

  • The external storage tracking log recorded the connection of a USB drive to the representative's workstation.
  • Capturile de ecran și înregistrările de ecran au arătat că utilizatorul a exportat un fișier CSV mare din folderul bazei de date a clienților pe desktop. El a copiat fișierul pe o unitate USB la scurt timp după aceea.

În ziua următoare, când directorul general l-a confruntat pe reprezentantul serviciului clienți cu privire la această activitate suspectă, acesta a negat toate acuzațiile. Angajatul a insistat că se afla la un bar cu câțiva colegi în momentul incidentului, iar colegii i-au confirmat spusele.

Fearing that the problem might be worse than expected, the CEO checked CleverControl's face recognition logs. Luckily, the representative's computer had a webcam, and the feature was enabled on it. CleverControl showed a facial recognition match for a marketing assistant who worked in a different department and had no legitimate reason to use the representative's workstation. The match and the video captured from the webcam confirmed that the assistant was using the computer at the time of the incident. Further investigation of activity from the assistant's computer showed that she had been browsing job posting websites during work hours in the days leading up to the file export. She seemed to look at roles in competing online retail businesses specifically.

Rezoluția

Datele colectate de CleverControl au detectat o amenințare internă. Asistentul de marketing a fost responsabil pentru furtul bazei de date a clienților. Exportul de fișiere, transferul USB, activitatea în afara orelor de program și căutarea unui loc de muncă au indicat o tentativă deliberată de furt de date.

Când i s-au prezentat jurnalele detaliate ale activității fișierelor și înregistrările conexiunilor USB, asistenta de marketing a mărturisit că a descărcat și copiat baza de date a clienților. Ea știa că reprezentantul serviciului clienți uita adesea să își blocheze computerul și a profitat de ocazie pentru a fura date sensibile. Asistenta a făcut acest lucru în urmă cu câteva luni și intenționa să vândă o bază de date actualizată unui concurent pentru a-și suplimenta veniturile în timp ce își căuta un nou loc de muncă.

The marketing assistant's contract was terminated immediately, and the company started exploring options for legal action against her. The company also notified affected customers about a potential data leak and explained what they had done to secure data and prevent future incidents. They also offered complimentary bonuses for affected customers as a goodwill gesture.

Directorul general a implementat, de asemenea, controale mai stricte ale accesului la baza de date a clienților, autentificare cu mai mulți factori, precum și o mai bună formare a angajaților privind securitatea datelor și responsabilitățile etice.

Concluzie

CleverControl a jucat un rol esențial în detectarea amenințărilor interne în acest caz. Acesta a furnizat dovezile necesare pentru a identifica rapid hoțul de date și pentru a lua măsuri rapide de reducere a pagubelor și de prevenire a incidentelor viitoare. În plus, acest caz evidențiază faptul că bazarea exclusivă pe jurnalele de fișiere sau pe urmărirea activității poate fi înșelătoare. Recunoașterea facială a servit ca un strat suplimentar de recunoaștere și a ajutat la identificarea utilizatorului real care a comis furtul. CleverControl s-a dovedit neprețuit nu doar pentru monitorizarea securității, ci și pentru asigurarea corectitudinii și preciziei în cadrul investigațiilor interne.