letablog

Как известно, работники – лицо компании. Все, что говорят и делают сотрудники организации, так или иначе ассоциируется и с самой компанией. И если следить за тем, чтобы секретари на ресепшн улыбались и вежливо разговаривали с посетителями, а продавцы соблюдали дресс-код, можно сравнительно эффективно, то контролировать поведение всех ваших сотрудников в сети довольно сложно. При этом необходимо помнить о том, что с появлением Интернета и социальных сетей, позволяющих информации распространяться с огромной скоростью, даже самое незначительное высказывание одного человека может оказаться губительным для репутации компании и привести к миллионным убыткам.

Можно привести массу ярких примеров того, как работники дискредитируют своих работодателей:

8 августа на странице Сбербанка в Facebook и Twitter появилась запись "Народный лайфхак: Если на стене мелом написать "Сбербанк", у стены образуется очередь из 30 пенсионерок. Кто пробовал? Работает?". По результатам расследования уволена эксперт по социальным медиа.

Стюардессы авиакомпании Virgin Airlines обсуждали работу в Facebook и, не стесняясь в выражениях, говорили о клиентах, а попутно сообщили всему миру о том, что в самолетах компании водятся тараканы, а двигатели приходится менять несколько раз в год. Все 13 любительниц посплетничать в сети были уволены, а обсуждение удалено со страниц социальной сети, но история попала в прессу и стала достоянием общественности.

Отличились и российские работники авиатранспорта – в январе "Аэрофлот" сообщил об увольнении неназванной сотрудницы, которая выложила в социальной сети "ВКонтакте" фото с неприличным жестом в адрес пассажиров. Ранее из компании была уволена другая стюардесса за размещение иронического твита по поводу авиакатастрофы лайнера Sukhoi Superjet-100 в Индонезии.

Надо заметить, что такие происшествия случаются в самых разных организациях – высокопоставленный сотрудник администрации президента США, владелец анонимного блога в Twitter, в котором в течение нескольких лет резко критиковал своих коллег по Белому дому и раскрывал подробности работы администрации Обамы.

Впрочем, возможность дискредитировать работодателя остается у работника даже тогда, когда он не находится на рабочем месте и не обсуждает вопросы, связанные с работой.

Учительница английского языка из американской школы Martin County High School English de Florida, которая на досуге занималась модельным бизнесом, разместила свои фотографии в купальниках в Facebook, после чего руководство приняло решение о ее увольнении.

В день вынесения приговора местным политическим активистам, организаторам «Стратегии-31» в Бурятии Надежде Низовкиной и Татьяне Стецуре, вынесенного судьей Ириной Левандовской, в сеть попали фотографии судьи провокационного характера. Специальная комиссия нашла в действиях Левандовской нарушение норм судейской этики, и полномочия федерального судьи не были продлены.

Удивительно, но нередко в такую ситуацию попадают даже те сотрудники, которые в силу своих должностных обязанностей должны понимать, как рискованны их поступки. Так, в октябре прошлого года пресс-секретарь Росмолодежи Анна Бирюкова сообщила в твиттере, что за 2000 рублей избежала лишения прав и празднует это событие. После разразившегося скандала она заявила, что это была шутка, однако в результате этого происшествия ей пришлось уволиться.

А в мае 2013 года пресс-секретарь следственного департамента МВД написала на своей странице в Facebook о том, что ей пришлось дать взятку в размере 5 тыс. руб. инспектору ГИБДД для решения проблем при снятии с учета своего автомобиля. Эта история тоже закончилась увольнением.

Бороться с подобными явлениями, безусловно, сложно,  тем не менее рекомендуется организовать проведение следующих профилактических мероприятий:

1. Первичный отбор сотрудников должен включать не только просмотр резюме, но и профилей (страничек) в социальных сетях, которые могут сказать о сотруднике больше, чем его анкета. Компания может ввести дополнительный пункт в резюме, который должен содержать ссылки на профили в соцсетях потенциального кандидата.


2. Необходимо ввести политику поведения в социальных медиа, свод правил для сотрудников, среди которых могут быть следующие: не распространять негативную информацию о компании и ее продуктах/услугах, непристойные фотографии и другую информацию, способную нанести вред репутации компании. Если обсуждение идет в рамках сферы деятельности, в которой работает компании, сотрудникам должны пояснять, что любое высказывание должно публиковаться с пометкой «*является личным мнением автора и может не совпадать с официальной позицией компании».


3. Возможно введение поощрения сотрудников за положительные отзывы о компании, оставленные в Интернет.


4. Необходимо оперативно обсуждать с коллегами проблемы, возникшие в компании внутри коллектива, не откладывая в долгий ящик, чтобы накопленный негатив не выплеснулся в сеть.


5. HR-департамент компании должен следить за тем, как ведут себя сотрудники компании в социальных сетях, это может быть периодическое отслеживание публикаций сотрудников на их страничках. В случае обнаружения необходимо оперативно реагировать и просить сотрудника удалить опубликованное им сообщение.

Атака на сайт знакомств Cupid Media привела к утечке данных о 42 млн аккаунтов, включая такую информацию, как имена, адреса электронной почты и незашифрованные пароли. В числе тех, чьи персональные данные попали в руки злоумышленников, оказались тысячи сотрудников правительственных организаций США, американских военных и даже несколько десятков работников Министерства внутренней безопасности.

Масштабные утечки информации представляют опасность не только для тех организаций и пользователей, чьи данные попадают в руки злоумышленников. Из-за того, что многие пользователи не соблюдают простейшие правила безопасности и часто применяют один и тот же пароль, риску взлома подвергаются и их аккаунты на других сайтах, включая почтовые порталы и социальные сети. Получив информацию о паролях и адресах, киберпреступники могут атаковать миллионы сайтов по всему миру.

Именно по этой причине после недавней утечки данных из Adobe был закрыт доступ к учетным записям Facebook, в которых использовались совпадавшие пароли. Владельцам таких аккаунтов предлагалось ответить на несколько вопросов, чтобы подтвердить свою личность, а затем сменить пароль.

Для того, чтобы защититься от взлома вследствие подобных происшествий, организации могут применять два способа. Первый – пойти по стопам Facebook, внимательно следить за новостями об утечках, своевременно реагировать на них и проверять попавшие в сеть данные на предмет совпадения адресов и паролей. Второй, представляющийся более эффективным – позаботиться о повышении осведомленности пользователей в вопросах информационной безопасности и, в частности, добиться того, чтобы сотрудники использовали достаточно сложные пароли и не применяли один и тот же пароль для всех случаев жизни.

1. Диверсия – на этом этапе социальный инженер устраивает атаку на ресурсы компании (корпоративная сеть, web-сайт, почта и т.д.), создавая тем самым видимость попытки взлома.


2. Реклама – на этом этапе “хакер” рекламирует свои услуги как специалиста по информационной безопасности.


3. «Помощь» – клюнув на удочку, хакер получает доступ к компьютерам компании, и тогда его возможности ограничиваются только его воображением: это и слив информации, и установка реальных программ-шпионов, вирусов и т.п.

1. Злоумышленник представляется курьером, новым сотрудником, кандидатом, пришедшим на собеседование.


2. Расчет на готовность оказать помощь ближнему. Мнимый сотрудник, забывший пропуск, или кто-то, несущий тяжелый груз, просит помочь попасть в зону ограниченного доступа.


3. Преступник невозмутимо следует за входящим в зону ограниченного доступа сотрудником.

1. Жертве звонит мнимый специалист IT-отдела, и под разными предлогами (плановая смена пароля, системный сбой, обновление ПО и т.п.) просит сообщить ему пароль для доступа к компьютеру.


2. Звонит сотрудник банка и, рассказывая сказки о невероятных происшествиях с банковской системой, просит сообщить ему любые данные, которые могут быть использованы для осуществления транзакции (номер карты, CVС-код, PIN-код, код подтверждения и т.п.).


3. Незнакомый коллега из другого отдела просит прислать ему важные файлы для работы.

Выбирай сам, что передать этим прекрасным людям: логины-пароли, коммерческую информацию, номера и пин-коды банковских карт, свое местоположение, всю свою частную жизнь!

Сбылась мечта! У тебя есть «умные» часы Samsung GALAXY Gear!  Что может быть удобнее – часы сообщат тебе о входящих sms, звонках, e-mail, покажут, кто звонит, помогут ответить или отклонить вызов. Хорошая новинка, скажешь ты? Еще один отличный прибор, чтобы собирать информацию о тебе, скажу я. Обрати внимание на встроенную фото/видеокамеру – это не камера на смартфоне, которая в большинстве случаев находится в кармане или чехле. Эта камера позволит следить за тобой все время, пока ты носишь Samsung GALAXY Gear.

Дорожишь своей личной жизнью?

Включай голову!

При выборе гаджета обращай внимание не только на внешний вид и потрясающие технические характеристики. Всякий раз, покупая что-то новое, задумайся – а что эта штука сможет делать без твоего ведома?

Шпионская сеть выявлена на «Уралмашзаводе»
«На заводе «Уралмаш» выявлены факты промышленного шпионажа. В разглашении сведений, составляющих коммерческую тайну, обвиняются сотрудники завода и представители двух фирм. Об это было заявлено в пятницу на брифинге в Управлении ФСБ по Свердловской области.»

Хлебопека уличили в промышленном шпионаже
«Приговор по необычному уголовному делу вынес суд города Богдановича. Бывшего мастера по хлебопечению местного комбината Наталью Осинцеву признали виновной в промышленном шпионаже. Женщина хотела похитить на родном предприятии... рецепт изготовления булок, за что ее приговорили к выплате штрафа в 13 тысяч рублей.»

Вскрыт факт передачи посторонним лицам конфиденциальной информации о работе одного из предприятий столицы Мордовии.
«В столице Мордовии сотрудниками отдела по борьбе с преступлениями в сфере высоких технологий (Отдела "Р") МВД республики задержана группа лиц, которая незаконно пользовалась конфиденциальной информацией ОАО "Орбита" - одного из крупнейших предприятий города.

Свердловские чекисты поймали россиян, продававших Колумбии промышленные секреты
«В Екатеринбурге осуждены два сотрудника ОАО «Уральский завод гражданской авиации» (УЗГА), которые передавали иностранцам сведения, представляющие коммерческую тайну.»

Работник «Фосагро» осужден за инсайд в пользу иностранных компаний
«Столичная полиция объявила, что начальник отдела продаж одного из российских предприятий по производству минеральных удобрений осужден за разглашение коммерческих тайн, стоивших его компании $2 млн.»

По данным статистики в 9 из 10 компаний были случаи кражи информации, однако огласку получают немногие случаи.

Так, каждый год фиксируется 200-250 происшествий, связанных с незаконным получением или разглашением коммерческой тайны. В действительности число таких преступлений в несколько раз больше.

Отток клиентов, миллионные убытки, потеря репутации – то немногое, что могут оставить после себя предприимчивые «казачки». Есть несколько способов, позволяющих обнаружить и нейтрализовать сотрудников-агентов, а также минимизировать убытки:

1. Проверка на полиграфе (детектор лжи) – может быть использован при приемке персонала на работу, а также периодической проверки на «вшивость» действующих сотрудников. Данный способ проверки является дорогостоящим, проводится только с письменного разрешения испытуемого.  Современные детекторы лжи довольно сложно обмануть, но для получения достоверных данных необходимо, чтобы тестирование проводил высококвалифицированный специалист.


2. Наблюдение – самый простой и доступный способ обнаружения недобросовестных сотрудников. Можно использовать системы видеонаблюдения, прослушивать офисные телефоны, а также следить за поведением сотрудников не только на работе, но и при проведении корпоративных мероприятий –как известно, что у трезвого на уме, то у пьяного на языке.


3. Провокации – если есть серьезные подозрения, что кто-то из сотрудников «сливает» конфиденциальную информацию, можно устроить провокацию. Есть несколько вариантов, в том числе прямая провокация, когда подозреваемому сотруднику подставное лицо делает предложение продать информацию, и намеренное дезинформирование сотрудников с целью подтверждения наличия канала утечки.


4. Беседа с сотрудниками в ряде случае может помочь выяснить, кто из работников компании может передавать конфиденциальную информацию конкурентам.


5. Внедрение технических средств обеспечивающих защиту от утечек информации (Data Loss Prevention)