"Сплеск спаму": Як CleverControl виявив крадіжку бази даних клієнтів

Зіткнувшись з потенційною PR-кризою та втратою довіри клієнтів, генеральний директор вирішила використовувати програмне забезпечення для моніторингу працівників для відстеження їхньої робочої активності. Дослідивши рішення, орієнтовані на моніторинг активності користувачів та захист даних, вона обрала CleverControl за його широкі можливості моніторингу, які могли б допомогти у виявленні внутрішніх загроз.

Основні функції CleverControl, які використовує компанія:

1. Прямий ефір: можливість переглядати екрани співробітників у режимі реального часу може допомогти спіймати винуватця на гарячому.
2. Записи з екрану: ці записи дозволяли швидко переглянути робочий день кожного працівника, що могло б виявити підозрілу активність.
3. Скріншоти: оскільки програма робить скріншоти, коли користувач перемикає вікна, відвідує веб-сайт або копіює щось у буфер обміну, була висока ймовірність того, що момент крадіжки даних буде зафіксований. Крім того, скріншоти давали швидший огляд робочого дня працівника, ніж записи з екрану.
4. Моніторинг додатків та веб-сайтів: Відстеження цих даних може допомогти зрозуміти робочий процес співробітників і виявити, чи користується хтось несанкціонованими файлообмінниками або поштовими клієнтами.
5. Моніторинг зовнішніх накопичувачів: Компанія хотіла знати, чи не копіював хтось базу даних клієнтів на USB-накопичувач або інший зовнішній носій інформації.
6. Моніторинг електронної пошти: у випадку витоку бази даних через електронну пошту, CleverControl зафіксує витік.
7. Розпізнавання облич: ця функція може виявити, хто отримав доступ до офісних комп'ютерів, особливо тих, що мають доступ до баз даних клієнтів.
8. Відео- та звукозапис у певних зонах офісу з відповідними повідомленнями: Захоплення аудіо поблизу робочих місць може потенційно виявити усні комунікації, пов'язані з витоком даних або несанкціонованими обговореннями.

Генеральний директор разом з ІТ-менеджером впровадили CleverControl на 17 офісних комп'ютерах. Вони щодня перевіряли активність співробітників, шукаючи потенційний витік даних.

Через кілька тижнів вони помітили журнал незвичайної активності на комп'ютері представника служби підтримки клієнтів. Він був активний задовго до його звичайного робочого часу. Генеральний директор та ІТ-менеджер зосередили своє розслідування на цій активності в CleverControl, і ось що вони знайшли:

1. Журнал відстеження зовнішнього накопичувача зафіксував підключення USB-накопичувача до робочої станції представника.
2. Скріншоти та записи екрану показали, що користувач експортував великий файл CSV з папки бази даних клієнтів на свій робочий стіл. Незабаром після цього він скопіював файл на USB-накопичувач.

Коли наступного дня генеральний директор зіткнувся з представником служби підтримки клієнтів з приводу цієї підозрілої діяльності, той заперечував усі звинувачення. Співробітник наполягав на тому, що під час інциденту він був у барі з кількома колегами, і вони підтвердили його слова.

Побоюючись, що проблема може виявитися серйознішою, ніж очікувалося, генеральний директор перевірив журнали розпізнавання облич CleverControl. На щастя, на комп'ютері представника була веб-камера, і ця функція була ввімкнена. CleverControl показав збіг розпізнавання обличчя з помічником маркетолога, який працював в іншому відділі і не мав законних підстав використовувати робоче місце представника. Збіг і відео з веб-камери підтвердили, що асистент використовував комп'ютер під час інциденту. Подальше дослідження активності з комп'ютера асистентки показало, що вона переглядала веб-сайти з вакансіями в робочий час у дні, що передували експорту файлів. Здавалося, вона шукала вакансії в конкуруючих інтернет-магазинах.

Дані, зібрані CleverControl, виявили внутрішню загрозу. Помічник маркетолога був відповідальний за викрадення бази даних клієнтів. Експорт файлів, передача через USB, активність у неробочий час та пошук роботи вказували на спробу навмисної крадіжки даних.

Коли їй представили детальні журнали файлової активності та записи USB-з'єднань, асистентка з маркетингу зізналася, що завантажила та скопіювала базу даних клієнтів. Вона знала, що представник служби підтримки клієнтів часто забуває закрити свій комп'ютер, і скористалася можливістю викрасти конфіденційні дані. Асистентка зробила це кілька місяців тому і мала намір продати оновлену базу даних конкуренту, щоб поповнити свій дохід, поки вона шукала нову роботу.

Контракт з асистентом маркетолога було негайно розірвано, і компанія почала вивчати варіанти судового позову проти неї. Компанія також повідомила постраждалих клієнтів про потенційний витік даних і пояснила, що було зроблено для захисту даних і запобігання майбутнім інцидентам. Компанія також запропонувала безкоштовні бонуси для постраждалих клієнтів як жест доброї волі.

Генеральний директор також запровадив суворіший контроль доступу до бази даних клієнтів, багатофакторну автентифікацію та посилив навчання співробітників з питань безпеки даних та етичних обов'язків.

CleverControl відіграв життєво важливу роль у виявленні внутрішньої загрози в цьому випадку. Він надав докази, необхідні для швидкої ідентифікації викрадача даних та вжиття швидких заходів для зменшення шкоди та запобігання майбутнім інцидентам. Крім того, цей кейс підкреслює, що покладатися лише на журнали файлів або відстеження активності може бути оманливим. Розпізнавання облич слугувало додатковим рівнем розпізнавання і допомогло ідентифікувати користувача, який скоїв крадіжку. CleverControl виявився безцінним не лише для моніторингу безпеки, але й для забезпечення справедливості та точності внутрішніх розслідувань.