Аутсорсинг в сфере информационной безопасности

Бухгалтер крупного производителя регулярно готовил отчёты по поставщикам. В один из дней по невнимательности он отправил сводную таблицу (78 строк по контрагентам, цены и условия) на внешний адрес подрядчика. Поставщик сразу заявил о пересмотре условий и скидок.

Что сделали: включили защиту исходящей почты, автоматическую проверку получателей и вложений, словари коммерческой тайны, а письма с чувствительными файлами отправляем в карантин на проверку руководителем. Дополнительно настроили предупреждение при отправке материалов на внешние домены.

Результат: за 60 дней доля неправильных адресатов снизилась на 95%, случаи передачи прайс‑листов вовне — 0, время реакции службы безопасности на инцидент — 18 минут. Предотвращённые потери — 8−12 млн ₽ в год.

В последний день работы менеджер попытался вынести на USB коммерческие предложения и переписку с клиентами. Доступ к базе был закрыт, но e‑mail‑история содержала контактные матрицы и договорённости.

Что сделали: включили запрет записи файлов с признаками коммерческой тайны на съёмные носители, онлайн‑оповещение службы безопасности и обязательную беседу при увольнении. Переадресации на личную почту блокируются правилами.

Результат: утечки не произошло; попытки записи на USB в отделе продаж снизились на 90% за 2 недели (с 51 до 5 событий), а время реакции на попытку — 9 минут. Повторных нарушений — 0.

Врач‑реаниматолог передавал списки умерших и адреса в ритуальное агентство через мессенджер. Диалог в браузерной версии был открыт на рабочем ПК, что помогло выявить канал.

Что сделали: включили контроль корпоративной и веб‑версии мессенджеров, словари медицинских терминов и персональных данных, запретили отправку подобных сведений вне домена, провели обучение и предупредили персонал об ответственности.

Результат: инцидент локализован за 20 минут, повторов за 6 месяцев — 0; в отделении доля сообщений с риском ПДн снизилась до 3%, репутационных публикаций не возникло.

Руководство заподозрило, что коммерческая информация уходит к конкурентам. Проверка показала, что сотрудник настроил переадресацию всей переписки на личный адрес за месяц до увольнения.

Что сделали: активировали выявление и блокировку правила переадресации, ограничили массовые пересылки и включили автоуведомления руководству и службе безопасности; перенастроили права доступа к папкам коммерческого отдела.

Результат: канал перекрыт, предотвращённый ущерб оценён до 32 млн ₽; ежемесячный аудит почтовых правил и сторонних подключений стал обязательным, повторов не выявлено.

Уволившийся главный бухгалтер загрузила в облако клиентскую базу и данные по объектам из 1С за отчётный период. По оценке руководителя, потенциальный ущерб мог превышать 40 млн ₽.

Что сделали: включили контроль облачных хранилищ и публичных ссылок, маркировку финансовых документов, автоматическое удаление устаревших внешних доступов и уведомления руководству при массовой выгрузке.

Результат: канал утечки перекрыт в день обнаружения; за 48 часов сняты 100% найденных публичных ссылок (37 шт.), подобные попытки выгрузки снизились с 12 до 1 в месяц, заведён регламент выхода сотрудников финансового блока.

В крупной организации по авторским правам система учёта активности показала, что 52 из 700 сотрудников проводили в развлечениях 15−20 часов еженедельно. Фактические потери оценивались свыше 10 млн ₽ в год.

Что сделали: внедрили отчёты о непродуктивной активности, пороговые уведомления руководителям, персональные планы исправления и контроль реализации.

Результат: непродуктивное время сократилось с 40% до 12% за 60 дней, экономический эффект — около 10,4 млн ₽ в год за счёт перераспределения нагрузки и сокращения внештатных часов; уровень конфликтов с профсоюзом — 0 кейсов.

Заведующая складом жаловалась на постоянные переработки и просила помощника, но по данным учёта активности 4−6 часов в день уходили на социальные сети.

Что сделали: перераспределили задачи, наняли второго сотрудника и перевели учёт по сменам с отчётностью по SLA отгрузок; по итогам испытательного периода должности поменяли местами.

Результат: SLA отгрузки улучшен с 93% до 98%; число клиентских жалоб сократилось на 41% за 2 месяца; непроизводительное время снизилось до 5−7% от смены.

В ходе внутренней проверки выяснилось, что IT‑специалист подключил дополнительный внешний ящик и настроил зеркалирование корреспонденции генерального и коммерческого директоров. Это давало доступ к переговорам по ценам, планам развития и кадровым решениям.

Что сделали: Включили выявление скрытых правил переадресации и сторонних подключений, журналирование административных действий, а также корреляцию входов в почту с нетипичных сетей. DLP — правила запретили пересылку конфиденциальных вложений на внешние домены; все найденные правила перенаправления блокируются и требуют согласования двух лиц.

Результат: Канал закрыт в день обнаружения, время реакции на срабатывание — 11 минут. За первый месяц выявлено и удалено 6 устаревших правил, ежемесячный аудит почтовых правил введён как обязательный. Потенциальные потери по оценке совета директоров — до 75−90 млн ₽ в год предотвращены.

Коллега шантажировал сотрудницу‑бухгалтера и требовал копии отчётов, данные о зарплатах и закупках. Переписка шла через личные адреса и мессенджеры, что осложняло фиксацию нарушений.

Что сделали: Настроили DLP — правила на выявление финансовых документов по метаданным и шаблонам, ограничили внешние отправки с упоминанием зарплатных полей и закупочных спецификаций, включили отчёты руководителю при попытках пересылки на личные домены. Провели беседу с участием юриста.

Результат: Утечка пресечена, повторных попыток за 6 месяцев — 0. Количество сообщений с признаками финансовых данных, отправленных вовне, сократилось с 19 до 0 в месяц; риск юридических претензий снят. Экономический эффект — предотвращённые потери до 8−10 млн ₽.

После увольнения менеджер по продажам устроился к конкуренту и поддерживал «дружеские» контакты с сотрудниками, выпытывая изменения стратегии и ценовой политики.

Что сделали: Настроили DLP на выявление пересылки внутренних регламентов и презентаций вне домена, мониторинг нестандартных переписок с внешними адресами и автообрезание вложений с признаками коммерческой тайны. Ввели процедуру offboarding: отзыв прав доступа в день увольнения и запрет переноса переписки.

Результат: Попытки вынесения внутренних материалов упали с 14 до 1 случая/месяц за первый квартал; среднее время реакции на подозрительный диалог — 15 минут; повторных утечек к бывшему сотруднику не зафиксировано.

Сотрудница ресепшен систематически отправляла сканы паспортов постояльцев на внешнюю почту и перепродавала на специализированных площадках.

Что сделали: Включили DLP — правила по распознаванию паспортных полей и шаблонов, запрет отправки подобных вложений вне домена и контроль браузерной версии почты/мессенджеров. Отработали процесс быстрого уведомления руководства и юридического фиксирования инцидента.

Результат: Повторных отправок — 0; время локализации инцидентов — до 20 минут; штрафных претензий и публикаций удалось избежать. Доля сообщений с риском персональных данных упала с 22% до 3% за 6 недель.

Зам гендиректора одного из офисов на тендерах лоббировал интересы одного поставщика, договорившись о вознаграждении в 10 млн ₽.

Что сделали: DLP настроили на выявление пересылки тендерных таблиц и офферов, контроль печати и запрет внешних отправок без согласования, а также анализ переписок по маршрутам с представителями поставщика. Внесли изменения в матрицу согласований.

Результат: Нарушение вскрыто, канал влияния закрыт; по итогам квартала экономия на закупках — 15,1%, срок согласования сделок — минус 2 дня. Повторных отклонений от регламента не выявлено.