IT-специалисты могут «слить» конкурентам конфиденциальную информацию, как в Tesla и Waymo. Вот о чем надо знать собственникам

05.03.2021 - Просмотров: 47

Этот материал не является редакционным, это личное мнение его автора. Редакция может не разделять этого мнения.

IT-бизнес входит в топ-3 самых активно растущих направлений в Украине уже последний год подряд. Она крайне маргинализирована и пользуется спросом. Заказов хватает как для крупных компаний, так и для небольших команд.

Давайте посмотрим на характеристики персонала, который работает в компаниях.

Распределение ИТ-специалистов по возрасту и полу

Как мы видим, мужчин в этой области больше. Средний возраст-28 лет, то есть после окончания вуза (20-21 год) сотрудник уже успевает проработать 7-8 лет и выработать фон — как положительный, так и не совсем.

На основе аудита сотрудников (более 500 человек) и изучения наиболее типичных рискованных действий и противоправных действий сотрудников ИТ-компаний в 2017-2018 годах можно выделить следующие наиболее характерные рисковые действия:

Топ-10 самых частых рискованных действий среди ИТ-специалистов

Вот последние случаи, которые появились в СМИ:

Уэймо

Перед тем как уйти из Waymo в Uber, Энтони Левандовски скопировал на свой персональный ноутбук более 14 000 файлов Google, включая графики разработки и дизайн продуктов.

В марте прошлого года сообщалось, что Левандовский частично признал свою вину в хищении коммерческой тайны и задолжал бывшему работодателю 179 миллионов долларов.

Тесла

По словам Теслы, компания наняла инженера по автоматизации программного обеспечения 28 декабря 2020 года. В течение трех дней он начал красть тысячи конфиденциальных программных файлов из защищенной внутренней сети Tesla.

Алексей Хатилов перенес файлы на свой личный облачный аккаунт в Dropbox, к которому у Tesla нет доступа.

Позже команда информационной безопасности Tesla получила доступ к учетной записи инженера Dropbox, где они нашли файлы, которые не имели никакого отношения к работе. В частности, сотрудники службы информационной безопасности обнаружили несанкционированную загрузку данных Алексеем 6 января 2021 года.

Наиболее существенным риском, который может принести наиболее значительный ущерб, является утечка конфиденциальной информации о проекте, финансовых данных," соли " проекта, за счет которой компания планирует продавать свой продукт или услуги на рынке, внутренних особенностей и деталей ИТ-компании.

Вот несколько примеров из реальных тестов, подтверждающих этот тезис:

"Опрашиваемый, 1985 года рождения, передал конфиденциальную информацию бывшему коллеге. На предыдущей работе я скопировал техническую документацию ИТ-отдела банка, серверную архитектуру и часть базы данных отдела кадров."

"Собеседник 1982 года рождения на предыдущей работе рассказал конкурентам общий алгоритм проекта, не ссылаясь на конкретные цифры."

"Интервьюируемый, 1985 года рождения. В ходе предтестовой беседы он заявил, что по указанию руководства собирал и передавал конфиденциальную информацию."

В отдельную касту можно выделить системных администраторов — эти сотрудники часто имеют неограниченный доступ к базе данных компании — к клиентам, к персональным данным сотрудников и руководства, к особенностям построения системы безопасности и другим данным.

Обычно их в штате не так много, от 1 до 5 человек, в зависимости от размера и масштаба компании, но может быть очень много повреждений или проблем.

Из практики

"Сотрудник рассказал, что в 2013 году в ходе уголовного дела он передал силовикам конфиденциальную информацию о своих работодателях, распространявших вредоносное ПО, и своих обязанностях."

Как мы видим, не все ИТ-специалисты открыты и безопасны. И что крайне важно, открытая и дружная команда, классный офис в формате open space, доверительный подход никак не помогут ИТ-компании помешать рискованному сотруднику присоединиться к ее команде.

Мы рекомендуем владельцам ИТ-компаний прямо сейчас задать себе следующие вопросы:

  • Как вы принимаете кандидатов на вакансии, есть ли у вас система найма новых сотрудников?
  • Что вы знаете о новых членах команды?
  • Насколько безупречна репутация кандидатов, были ли негативные действия и противоправные действия в их карьере?
  • Если вы приняли в команду человека "с рисками", есть ли у вас механизмы и инструменты дополнительного контроля и противодействия?
  • Какие отделы для вас наиболее важны и критичны (где сосредоточены основные бизнес-ресурсы)?
  • Что вы знаете о людях, с которыми работаете, и кому доверяете наиболее важные, критические ресурсы вашей компании?
  • Кому вы доверяете ключ — как вы позволяете сотрудникам получить к нему доступ, что находится в их прошлом?
  • Как на самом деле сотрудники относятся к вашей компании и вашим непосредственным руководителям? Насколько они вам преданы?
  • Если сотрудники только планируют или нанесли ущерб вашему бизнесу — откуда вы об этом знаете? Если вы можете это выяснить, то как?
Читайте также