Не будет откровением факт, что большая часть информации в настоящее время создаётся, передаётся и хранится в электронном виде с использованием компьютерной техники. Кроме того, бурный  научно-технический прогресс привёл к высокой автоматизации и информатизации бизнес процессов. Следовательно, и утечки её происходят через электронные устройства – компьютеры, которые в настоящее время стали практически основным инструментом для большинства сотрудников многих компаний.

Как показывает мировая практика, почти 80% компаний недооценивает уровень своей информационной безопасности и не считает необходимым внедрять и использовать системы аудита действий пользователей своих компьютерных сетей. И, совершенно напрасно, так как известно, что более 65% инцидентов, связанных с утечками информации, происходит именно в результате неумышленных и целенаправленных действий сотрудников компании.

Этот человеческий фактор, именуемый «внутренней» угрозой безопасности, представляет собой значительно большую угрозу и требует значительно больше усилий для нейтрализации, чем защита от «внешних» угроз. Для борьбы с угрозами извне, как правило,  вполне достаточно использовать хорошие антивирусные программы и правильно настроить аппаратную часть компьютерной сети.

Борьба с внутренними злоумышленниками значительно сложнее и включает использование не только программ аудита пользователей компьютерной сети предприятия (системы DLP), но и большую аналитическую работу, в том числе и по результатам действий этих программ.

Необходимо определиться с видами угроз и типами нарушителей, в зависимости от доступа их к соответствующему их служебному положению уровню конфиденциальной информации.

Источником утечки информации могут стать, как обычные сотрудники, так и те, кто имеет права доступа к конфиденциальной информации, программному обеспечению и аппаратной части компьютерной сети, системе безопасности предприятия. Это руководители разного уровня, системные администраторы, работники службы безопасности, другие IT специалисты предприятия.

Современная система мониторинга действий сотрудников предназначена для контроля пользователей всех уровней иерархии компании и позволяет анализировать их активность при открытии приложений и программ, отправке и получении почты, подключении внешних устройств и посещении веб ресурсов. При этом она не загружает ресурсы сети, не тормозит передачу данных и не замедляет бизнес процесс.

Для предотвращения угроз утечек информации необходимо решить следующие вопросы:

1. Разделить основную информацию в компании по уровню конфиденциальности.
2. Определить круг лиц, которым  по служебной необходимости будет доступна конфиденциальная информация того или иного уровня.
3. Определить для каждого уровня конфиденциальности информации возможные каналы утечки.
4. Выбрать и грамотно использовать систему, осуществляющую аудит пользователей компьютерной сети предприятия.

Практика показала, что можно выделить следующие группы сотрудников, попадающие в группу риска нарушителей информационной безопасности:

• Руководители разного уровня. Они, как правило, имеют доступ к конфиденциальной информации высокого уровня. При этом они чаще всего являются лояльными сотрудниками, и утечки информации через них происходят на неумышленном уровне из-за пренебрежения правилами безопасности и по халатности.
• Нелояльные сотрудники и сотрудники, готовящиеся уволиться из компании. Это люди, обиженные за что-то на руководство или сослуживцев и желающие отомстить. Кроме этого есть сотрудники, ведущие «двойную игру», т.е. имеющие личную выгоду от продажи информации конкурентам компании.
• Сотрудники IT отделов и службы безопасности. Эти люди имеют полный доступ ко всей информации в сети и их задачей, как раз и является её защита. Это должны быть хорошо проверенные и лояльно настроенные к предприятию люди. Если они вознамерятся нанести вред своей компании, то это будет сделано на высоком техническом уровне, скорее всего, достигнет результата, и он будет для фирмы весьма плачевным.
• Посторонние лица. Это сотрудники подрядных организаций, командированные лица, посетители. Из-за халатности сотрудников компании и «дырах» в системе безопасности они могут случайно или намеренно получить доступ к конфиденциальной информации, а дальше использовать её в своих целях.

DLP системы, предназначенные для мониторинга действий пользователей компьютерной сети предприятия, как правило, имеют схожую архитектуру. На компьютеры пользователей из заранее определённой группы риска утечек информации устанавливаются программы- агенты, которые собирают всю информацию о производимых на них действиях и передают её через сеть на компьютер, установленный у сотрудника компании, уполномоченного производить контроль. На компьютер этого сотрудника устанавливается серверная и административная часть программы, которая собирает и анализирует получаемые от программ- агентов данные, с целью блокировки запрещённых действий, формирования отчётов и выдачи предупреждающих сигналов.

В современных программах, какой, например, является программный продукт LanAgent (https://lanagent.ru), предусмотрен гибко настраиваемый по различным параметрам сбор данных с подконтрольных компьютеров, адаптируемый под конкретные задачи набор отчётов и анализ продуктивности и отклонений от характерного поведения пользователей компьютерной техники. Важным преимуществом этой программы, наряду с бюджетной стоимостью, является её высокая функциональность, минимальные требования к компьютерам, на которые она устанавливается, простота в настройке и обслуживании.

Рассмотрим основные задачи, с которыми должна справляться система мониторинга действий сотрудников компании.

1. Контроль времени активности пользователя при использовании продуктивных (необходимых для выполнения служебных обязанностей) и непродуктивных программ и ресурсов.
2. Контроль копируемых, в том числе и на внешние носители, файлов и документов, отправляемых на печать.
3. Выявление и блокировка установки и использования посторонних и запрещённых программных продуктов, посещения запрещённых веб ресурсов и сайтов, копирования несанкционированной информации, хищения аппаратной части и комплектующих компьютерного оборудования.
4. Реагирование подачей сигнала на использование сотрудником информации, содержащей определённые слова или фразы.
5. Контроль и теневое копирование отправляемой и получаемой сотрудником служебной и веб почты.
6. Сбор доказательной базы для расследования возможных инцидентов путём снятия скриншотов с экранов мониторов и перехвата нажатий клавиатуры.
7. Запись с веб камеры изображения и звука.

Программы аудита действий пользователей компьютерной сети имеют в своём арсенале ещё много других функций, целесообразность использования которых определяется потребностями и задачами конкретного предприятия. Эффективность их применения напрямую зависит от компетентного их использования и регулярного обновления.  Максимальный результат даёт  комплексное использование  возможностей программы, аналитическая работа с её результатами  и применения административных методов борьбы за информационную безопасность.