Автор: Евгений Красюк, директор в HR-Security, ООО «Кадровая Безопасность»

IТ-бизнес входит в топ-3 самых активно растущих сфер в Украине уже который год подряд. Он высокомаржинальный и пользуется спросом. Заказов хватает как крупным компаниям, так и небольшим командам.

Давайте рассмотрим характеристику персонала, который работает в компаниях.

Распределение IТ-специалистов по возрастам и гендерному признаку

Как видим, мужчин в этой сфере больше. Средний возраст – 28 лет, то есть после окончания вуза (20–21 год) сотрудник уже успевает поработать семь-восемь лет и наработать себе бэкграунд – как позитивный, так и не совсем.

Проверка сотрудников (более 500 человек) и проведенное исследование за 2017–2018 годы показало наиболее характерные рисковые действия айтишников:

Топ-10 наиболее частых рисковых действий среди IТ-специалистов

Waymo

Перед уходом из Waymo в Uber Энтони Левандовски скопировал на личный ноутбук более 14 тыс. файлов Google, включая графики разработки и проекты продуктов.

В марте прошлого года сообщалось, что Левандовски частично признал свою вину в краже коммерческой тайны и оказался должен бывшему работодателю $179 млн.

Tesla

Как утверждает Tesla, компания наняла инженера по автоматизации программного обеспечения 28 декабря 2020 года. В течение трех дней он начал воровать тысячи строго конфиденциальных файлов программного обеспечения из защищенной внутренней сети Tesla.

Алекс Хатилов переносил файлы в свою личную учетную запись облачного хранилища в Dropbox, к которой у Tesla нет доступа.

Позже команда информационной безопасности Tesla получила доступ к учетной записи инженера в Dropbox, где они нашли файлы, которые не имеют никакого отношения к работе. В частности, персонал службы информационной безопасности обнаружил несанкционированную загрузку данных Алексом 6 января 2021 года.

Самый значимый риск, который может принести наиболее существенный урон, – это «слив» конфиденциальной информации о проекте, финансовых данных, «соли» проекта, за счет чего компания планирует продавать свой продукт или услуги на рынке, внутренние особенности и подробности IТ-компании.

Вот некоторые примеры из реальных тестирований, которые подтверждают этот тезис:

«Опрашиваемый 1985 г.р. передавал конфиденциальную информацию бывшему коллеге. На предыдущем месте работы скопировал для себя техдокументацию IT-отдела банка, архитектуру сервера, часть базы данных отдела кадров».

«Опрашиваемый 1982 г.р. на предыдущем месте работы рассказывал конкурентам общий алгоритм работы проекта без привязки к конкретным цифрам».

«Опрашиваемый 1985 г.р. во время предтестовой беседы рассказал, что по указанию руководства собирал, передавал конфиденциальную информацию».

В отдельную касту можно выделить сисадминов – у этих сотрудников часто есть неограниченный доступ к базе данных компании: о клиентах, персональные данные сотрудников и руководства, особенности построения системы защиты и другим данным.

Их обычно не много в штате, от одного до пяти человек, зависит от размеров и масштабов компании, но ущерба или проблем могут нанести крайне много.

Из практики

«Сотрудник рассказал, что в 2013 году в ходе уголовного дела передавал силовикам конфиденциальную информацию о своих нанимателях, распространявших вредоносное ПО, и своих обязанностях».

Как видим, не все IТ-специалисты открыты и безопасны. И что крайне важно, открытый и приветливый коллектив, классный офис в формате опенспейс, доверительный подход никак не помогут IТ-компании не пустить рискового сотрудника к себе в команду.

Рекомендуем собственникам IТ-компаний уже сейчас задать себе такие вопросы:

1. Как вы принимаете кандидатов на вакансии, у вас есть система приема на работу новых сотрудников?
2. Что вы достоверно знаете о новых участниках команды?
3. Насколько безупречна репутация кандидатов, были ли в их карьере негативные поступки и противоправные действия?
4. Если вы приняли в команду человека «с рисками», есть ли у вас механизмы и инструменты для дополнительного контроля и противодействия?
5. Какие подразделения для вас наиболее важны и критичны – где сосредоточены главные ресурсы бизнеса?
6. Что вы знаете о сотрудниках, с которыми работаете и кому доверяете главные, критически важные ресурсы вашей компании?
7. Кому вы доверяете КИ – как допускаете к ней сотрудников, что у них в бэкграунде?
8. Как сотрудники на самом деле относятся к вашей компании и непосредственным руководителям? Насколько они лояльны к вам?
9. Если сотрудники только планируют или уже нанесли вашему бизнесу ущерб – как вы об этом узнаете? Если можете узнать, то каким образом?