Спам. Для нашого клієнта, невеликого, але зростаючого інтернет-магазину, що спеціалізується на ручному декорі для дому та індивідуальних подарунках, це слово з чотирьох літер загрожувало всьому бренду. Компанія пишалася своєю лояльною клієнтською базою та персоналізованим підходом до кожного клієнта.

У якийсь момент інтернет-магазин почав отримувати скарги від клієнтів на спам електронною поштою та телефонні дзвінки. У спамі часто йшлося про їхні минулі покупки в цьому магазині. Зрозуміло, що клієнти були розлючені та стурбовані тим, що їхні контактні дані витікають.

The company initially suspected a general data breach or server vulnerability; however, nothing suspicious was found during extended security checks. The CEO's next guess was an insider threat since the data leak seemed targeted and specific to customer information. Someone within a company with access to the customer database could be responsible for the incident.

Рішення

Facing a potential PR crisis and loss of customer trust, the CEO decided to use employee monitoring software to track employees' work activity. After researching solutions focused on user activity monitoring and data protection, she chose CleverControl for its extensive monitoring capabilities that could help in insider threat detection.

Основні функції CleverControl, які використовує компанія:

  • Прямий ефір: an opportunity to view employees' screens in real time could help catch the culprit red-handed.
  • Записи з екрану: these recordings allowed a quick review of each employee's workday, which could reveal suspicious activity.
  • Скріншоти: since the software takes screenshots when the user switches windows, visits a website, or copies something to the clipboard, it was highly probable that the moment of data theft would be captured. Besides, screenshots offered a quicker overview of the employee's day than screen recordings.
  • Моніторинг додатків та веб-сайтів: tracking these could help understand employees' workflow and reveal if someone was using unauthorized file-sharing services or email clients.
  • Моніторинг зовнішніх накопичувачів: Компанія хотіла знати, чи не копіював хтось базу даних клієнтів на USB-накопичувач або інший зовнішній носій інформації.
  • Моніторинг електронної пошти: у випадку витоку бази даних через електронну пошту, CleverControl зафіксує витік.
  • Розпізнавання облич: ця функція може виявити, хто отримав доступ до офісних комп'ютерів, особливо тих, що мають доступ до баз даних клієнтів.
  • Відео- та звукозапис у певних зонах офісу з відповідними повідомленнями: Захоплення аудіо поблизу робочих місць може потенційно виявити усні комунікації, пов'язані з витоком даних або несанкціонованими обговореннями.

Розслідування

The CEO, working with the IT manager, implemented CleverControl on 17 office computers. They checked the employees' activity daily, looking for a potential data leak.

In a few weeks, they noticed a log of unusual activity on a customer service representative's computer. It was active long past his usual working hours. The CEO and the IT manager focused their investigation on this activity within CleverControl, and here is what they found:

  • The external storage tracking log recorded the connection of a USB drive to the representative's workstation.
  • Скріншоти та записи екрану показали, що користувач експортував великий файл CSV з папки бази даних клієнтів на свій робочий стіл. Незабаром після цього він скопіював файл на USB-накопичувач.

Коли наступного дня генеральний директор зіткнувся з представником служби підтримки клієнтів з приводу цієї підозрілої діяльності, той заперечував усі звинувачення. Співробітник наполягав на тому, що під час інциденту він був у барі з кількома колегами, і вони підтвердили його слова.

Fearing that the problem might be worse than expected, the CEO checked CleverControl's face recognition logs. Luckily, the representative's computer had a webcam, and the feature was enabled on it. CleverControl showed a facial recognition match for a marketing assistant who worked in a different department and had no legitimate reason to use the representative's workstation. The match and the video captured from the webcam confirmed that the assistant was using the computer at the time of the incident. Further investigation of activity from the assistant's computer showed that she had been browsing job posting websites during work hours in the days leading up to the file export. She seemed to look at roles in competing online retail businesses specifically.

Резолюція

Дані, зібрані CleverControl, виявили внутрішню загрозу. Помічник маркетолога був відповідальний за викрадення бази даних клієнтів. Експорт файлів, передача через USB, активність у неробочий час та пошук роботи вказували на спробу навмисної крадіжки даних.

Коли їй представили детальні журнали файлової активності та записи USB-з'єднань, асистентка з маркетингу зізналася, що завантажила та скопіювала базу даних клієнтів. Вона знала, що представник служби підтримки клієнтів часто забуває закрити свій комп'ютер, і скористалася можливістю викрасти конфіденційні дані. Асистентка зробила це кілька місяців тому і мала намір продати оновлену базу даних конкуренту, щоб поповнити свій дохід, поки вона шукала нову роботу.

The marketing assistant's contract was terminated immediately, and the company started exploring options for legal action against her. The company also notified affected customers about a potential data leak and explained what they had done to secure data and prevent future incidents. They also offered complimentary bonuses for affected customers as a goodwill gesture.

Генеральний директор також запровадив суворіший контроль доступу до бази даних клієнтів, багатофакторну автентифікацію та посилив навчання співробітників з питань безпеки даних та етичних обов'язків.

Висновок

CleverControl відіграв життєво важливу роль у виявленні внутрішньої загрози в цьому випадку. Він надав докази, необхідні для швидкої ідентифікації викрадача даних та вжиття швидких заходів для зменшення шкоди та запобігання майбутнім інцидентам. Крім того, цей кейс підкреслює, що покладатися лише на журнали файлів або відстеження активності може бути оманливим. Розпізнавання облич слугувало додатковим рівнем розпізнавання і допомогло ідентифікувати користувача, який скоїв крадіжку. CleverControl виявився безцінним не лише для моніторингу безпеки, але й для забезпечення справедливості та точності внутрішніх розслідувань.