Охранник в роли сыщика
Сегодня я вам расскажу правдивую историю, которая считается у нас коммерческой тайной. Однако после обезличивания и удаления узнавабельных деталей мне разрешили её обнародовать.
Одна крупная компания "А" (даже не буду уточнять, в какой стране она находится) долго думала, стоит ли заказывать себе установку нашей DLP-системы. Дело весьма затратное и, главное, хлопотное. Окупится ли, не известно. В конце концов решили так: за небольшие денежки мы им систему ставим временно, настраиваем и два месяца гоняем в тестовом режиме. В зависимости от результатов, они купят полную лицензию и запустят DLP в активном режиме, либо оставят в пассивном, либо вообще откажутся.
Описали мы их риски, пересчитали каналы утечек, да и поставили "Traffic Monitor". И что он поймал? Первый раз пришёл невод с ерундой всякой: развлекательный контент, музычка, кинишко, посиделки в соцсетях, асечно-твиттерный трёп не по делу и прочие мелкие нарушения политики безопасности. Ради этого, конечно, DLP внедрять не стоит. Другая группа фильтров выдала нам, что работники болт забивают на коммерческую тайну: публикуют на блогах и форумах сведения о своей работе, обсуждают казённые дела и сделки, шлют незашифрованную документацию через всякие Гмылы и Яхи. Это уже серьёзнее, но предотвращения реального ущерба показать не удаётся, поскольку все такие утечки несут лишь потенциальную опасность.
И вот уже под конец тестового периода самые хитровыкрученные фильтры поймали кое-что посерьёзнее.
Далее цитирую отчёт почти дословно. «В процессе анализа трафика по категории "Конкурсная документация" выявлены следующие признаки мошенничества. Документы по одному и тому же конкурсу рассылаются не единым списком, а последовательно. Некоторым адресатам значительно позже, чем остальным. При этом рассылаемые пакеты конкурсных документов имеют немного разное содержание для разных адресатов. Конкурсная документация не только рассылается через корпоративную электронную почту, но и через почтовые ящики на бесплатных публичных хостингах (в том числе, на адреса, не указанные в реестре поставщиков), а также копируется на сменные носители.» И всё это - с указанием конкретных адресов, аккаунтов, моментов времени, с приложением теневых копий каждого сообщения.
Вот эта утечка, по неофициальному признанию клиента (теперь уже - не потенциального, а состоявшегося клиента), по размеру ущерба перекрывает полную стоимость DLP-системы. Конкурсов и тендеров у них проводилось много и регулярно. И хотя ущерб от выявленного мошенничества предотвратили только частично, у руководства компании "А" не осталось сомнений в рентабельности проекта.
Одна крупная компания "А" (даже не буду уточнять, в какой стране она находится) долго думала, стоит ли заказывать себе установку нашей DLP-системы. Дело весьма затратное и, главное, хлопотное. Окупится ли, не известно. В конце концов решили так: за небольшие денежки мы им систему ставим временно, настраиваем и два месяца гоняем в тестовом режиме. В зависимости от результатов, они купят полную лицензию и запустят DLP в активном режиме, либо оставят в пассивном, либо вообще откажутся.
Описали мы их риски, пересчитали каналы утечек, да и поставили "Traffic Monitor". И что он поймал? Первый раз пришёл невод с ерундой всякой: развлекательный контент, музычка, кинишко, посиделки в соцсетях, асечно-твиттерный трёп не по делу и прочие мелкие нарушения политики безопасности. Ради этого, конечно, DLP внедрять не стоит. Другая группа фильтров выдала нам, что работники болт забивают на коммерческую тайну: публикуют на блогах и форумах сведения о своей работе, обсуждают казённые дела и сделки, шлют незашифрованную документацию через всякие Гмылы и Яхи. Это уже серьёзнее, но предотвращения реального ущерба показать не удаётся, поскольку все такие утечки несут лишь потенциальную опасность.
И вот уже под конец тестового периода самые хитровыкрученные фильтры поймали кое-что посерьёзнее.
Далее цитирую отчёт почти дословно. «В процессе анализа трафика по категории "Конкурсная документация" выявлены следующие признаки мошенничества. Документы по одному и тому же конкурсу рассылаются не единым списком, а последовательно. Некоторым адресатам значительно позже, чем остальным. При этом рассылаемые пакеты конкурсных документов имеют немного разное содержание для разных адресатов. Конкурсная документация не только рассылается через корпоративную электронную почту, но и через почтовые ящики на бесплатных публичных хостингах (в том числе, на адреса, не указанные в реестре поставщиков), а также копируется на сменные носители.» И всё это - с указанием конкретных адресов, аккаунтов, моментов времени, с приложением теневых копий каждого сообщения.
Вот эта утечка, по неофициальному признанию клиента (теперь уже - не потенциального, а состоявшегося клиента), по размеру ущерба перекрывает полную стоимость DLP-системы. Конкурсов и тендеров у них проводилось много и регулярно. И хотя ущерб от выявленного мошенничества предотвратили только частично, у руководства компании "А" не осталось сомнений в рентабельности проекта.