История одного расследования, или как DLP помогла раскрыть схему корпоративного воровства

28 мая, 2026, 12:00

С цифровизацией всех сфер жизни мы получили не только удобство и ускорение большинства процессов, но и переход мошеннических схем из офлайн в цифру. Чтобы обнаружить такие схемы на рабочих местах, требуются специализированные системы защиты данных. О том с помощью чего именно возможно отслеживать мошенничество на рабочих местах SecPost рассказал руководитель группы информационной безопасности ООО «Юникс» Иван Чугунов.

Иван Чугунов, руководитель группы информационной безопасности ООО «Юникс»

Предыстория

Наша компания больше 20 лет реализует масштабные проекты в промышленном строительстве. При этом в структуре организации не было выделенного подразделения информационной безопасности, чтобы следить за защитой данных и выявлять внутренние нарушения. Частично функции ИБ на себя брали служба экономической безопасности и ИТ-отдел. Но в основном их задачи сводились к физическому контролю периметра: видеонаблюдению, проверке пропусков, проверке сотрудников и т.д.

Тем не менее регулярно происходили мелкие ИБ-нарушения. После нескольких таких инцидентов стало очевидно, что риски возрастают. И руководство решило, что в компании необходимо создать полноценное направление информационной безопасности. Его возглавил я и поставил первоочередные задачи:

  • Сформировать команду.
  • Провести комплексный аудит ИТ-инфраструктуры и выявить слабые места.
  • Разработать стратегию ИБ и внедрить эффективные инструменты защиты информации.
  • Обучить сотрудников базовым правилам ИБ.

Внедрение решений

После аудита мы составили план, по которому начали выстраивать информационную безопасность в компании. Закрыли периметр межсетевыми экранами нового поколения (NGFW), сменили антивирусную систему, внедрили систему управления инцидентами информационной безопасности (SIEM).

Продолжение ниже

Для контроля активности пользователей за ПК и борьбы с утечками данных важно было установить DLP – софт контролирует большинство каналов передачи данных – и блокирует слив информации. Но главное – аналитические возможности такого ПО: разнообразные виды поиска, автоматизированный анализ графики и аудио, возможности формировать отчеты и собственные ИБ-политики. Остановились на «СёрчИнформ КИБ». Программа позволяет контролировать популярные каналы, по которым в компании передается информация: почту, мессенджеры, флешки, принтеры, действия сотрудников в интернете и прочее. Умные блокировки по контенту (содержимому) и контексту (атрибутам и свойствам) для всех каналов контроля позволили оперативно ограничить для сотрудников передачу файлов с конфиденциальным содержимым. Гибкие настройки КИБ обеспечивают защиту данных, но не тормозят бизнес-процессы.

Кроме того, система способствует обучению сотрудников основным правилам ИБ. Например, если пользователь случайно попытается отправить конфиденциальный документ, система заблокирует отправку и предупредит пользователя о нарушении политик ИБ.

Как резонансный инцидент попал в поле зрения ИБ

Мы используем «СёрчИнформ КИБ» для контроля основных каналов коммуникации сотрудников за рабочими ПК – мессенджеров и почты. В системе установлены универсальные политики – контроль откатов и взяточничества, выявление саботажа и конфликтов в коллективе и т.д., и индивидуальные – под нашу компанию. Такие политики разработали и настроили по нашему запросу менеджеры внедрения «СёрчИнформ». Это включено в стандартную техническую поддержку.

Крупнейшие ИБ-компании России. Рейтинг SecPost и оценки динамики рынка

Однажды в КИБ сработала политика «Зарплаты и премии», подробности указывали на возможное хищение. Линейный руководитель общался с подчиненным в мессенджере. Они обсуждали распределение денег за продажу расходных строительных материалов, а также логистику. По косвенным признакам стало ясно, что сотрудники действовали в связке с кем-то еще из компании. Расследование показало, что в схеме был замешан персонал, который работает на стройплощадках и складах. Техническими средствами контролировать таких сотрудников невозможно. Но к тому моменту «СёрчИнформ КИБ» помогла собрать достаточно данных об инциденте, чтобы разобраться в ситуации.

Дальнейшие действия

Данные из рабочей переписки позволили сформировать подтвержденную доказательную базу мошеннических действий – с приложением соответствующих скриншотов и документов. Затем к расследованию подключились коллеги из службы безопасности (СБ). Выяснилось, что эти сотрудники уже давно находились под подозрением, но ранее доказать их вину не удавалось.

Совместно с СБ мы провели внеплановую инвентаризацию строительных материалов на складах. Эти меры были приняты для того, чтобы подозреваемые сотрудники не смогли закрыть недостачу, доставив товары с другого склада. Параллельно подразделение ИБ провело мониторинг: проанализировали все документы, которые пересылались по рабочей почте. В результате обнаружили поддельные накладные на электроинструменты и другие материалы.

Развязка истории

После завершения расследования руководство вызвало сотрудников на беседу. Сначала они отрицали свою причастность к хищению. Однако после предъявления всех собранных доказательств признали вину.

Нарушители были уволены с последующим возмещением нанесенного ущерба компании. Что касается главного фигуранта, материалы дела были переданы в правоохранительные органы для проведения уголовного расследования. Сейчас ждем решение по делу.

Какие выводы сделали

Во-первых, некоторые инциденты невозможно выявить никаким другими способами, кроме как с помощью технических решений, таких как систем защиты от утечек информации (DLP).

Во-вторых, современные инциденты ИБ требуют комплексного подхода и совместной работы всех служб безопасности: информационной, экономической и собственной службы безопасности.

И в-третьих, при внедрении средств защиты информации (СЗИ) пользуйтесь помощью вендора. Запрашивайте консультации по доработке политик безопасности под специфику вашей отрасли. Уточняйте возможности интеграции с уже используемыми системами. Опытные специалисты разработчика сэкономят вам кучу времени и усилят защитный периметр с учетом рисков именно для вашего бизнеса.

Эпилог

Никто вам не даст 100% гарантий защиты от утечек и других ИБ-инцидентов. И если инцидент все же произошел, то система защиты от утечек информации (DLP) поможет провести расследование, выявить виновных и собрать доказательную базу. Для этого в «СёрчИнформ КИБ» есть:

·     Сбор улик. Фиксирует все действия пользователей, включая контент переписок, отправленные файлы, посещение сайтов, чтобы восстановить последовательность событий нарушения.

·     Мониторинг каналов утечки. Контролирует почту, мессенджеры, облачные хранилища, внешние устройства, подключение к удаленному рабочему столу и другие каналы передачи данных.

·     Выявление инсайдерских угроз. Обнаруживает подозрительные действия. Например, массовое скачивание документов, удаление или передачу больших объемов данных, а также нетипичное поведение сотрудника.

·     Анализ рисков. Предоставляет аналитику для выявления корпоративного мошенничества, коррупционных схем, несанкционированных действий.

·     Готовые политики. Предлагает шаблоны политик безопасности (например, «Откаты», «Воровство» и т.д.), которые помогают быстро настроить мониторинг для конкретных задач расследования.

Таким образом, система защиты от утечек информации (DLP) – выступает как «цифровой» детектив, собирающий доказательную базу и помогающий расследовать нарушения.


Реклама. ООО «СерчИнформ», ИНН 7704306397, Erid:2VtzqxJYkVv

Словарь: СЗИ (Средство защиты информации), NGFW, SIEM, DLP (Data Loss Prevention, предотвращение утечек данных)
Теги:
Лица Поставщики и продукты

Читайте также