Как узнать что сотрудник ворует

В этом кейсе мы рассмотрим возможные способы кражи интеллектуальной информации, и других ценностей, которые можно пресечь, воспользовавшись DLP системой.

Если у вашей организации нет склада, это не значит, что у вас нечего красть. Нечистые на руку сотрудники всегда найдут, чем поживиться. Менеджеров чаще всего могут заинтересовать базы данных и информация о клиентах. Руководителей отделов и подразделений - взятки и промышленный шпионаж. Сотрудников отделов снабжения - откаты. Кассиров - наличные деньги. Бухгалтеров - деньги, находящиеся на расчетном счете. Если последний вариант крайне опасен и маловероятен, то первые имеют место быть довольно часто.

 

Какие есть косвенные признаки воровства сотрудников?

 

1. Резкое улучшение материального состояния

Если ранее человек жаловался, что едва сводит концы с концами, а теперь вдруг обзавелся новым смартфоном/часами/компьютером/автомобилем, это должно заинтересовать владельца бизнеса или кадровика.

 

2. Скрытность

Неправда ли, довольно подозрительно, если один из ваших сотрудников, выделяясь из всего коллектива, вдруг меняет пароль своей учетной записи, устаналивает VPN-сервис, пользуется анонимным браузером TOR, копирует документы в скрытую папку или на флеш-карту?

 

3. Изменение поведения

Воспользовавшись специальным ПО, можно выявить аномалии поведения. Например, работник в течение длительного периода времени ежедневно бОльшую часть рабочего дня тратил на работу в текстовом редакторе и CRM-системе. Вдруг происходят какие-то метаморфозы и он начинает проводить дни напролет на сайтах туристических агентств, выбирая путевки. Правильная система мониторинга активности, например такая как СпрутМонитор в этом случае тут же отправит уведомление руководителю.

 

4. Прогулы и опоздания

Если сотрудник всегда отличался низкой дисциплиной - это вопрос мотивации и личных качеств. Однако, в какой то момент количество опозданий, ранних уходов, или даже прогулов вдруг резко возросло - это непременно должно заинтересовать. Возможно, причиной стали, например, семейные факторы. Но также возможно, что человек перестал дорожить работой.

 

5. Дружба

Отношения в коллективе должны быть здоровыми. Однако, явные дружеские отношения между сотрудниками чаще вредят предприятию. Слишком частые перекуры и чаепития снижают продуктивность. Но это не самое страшное. Сговор персонала может принести значительный материальный ущерб. К примеру, сотрудница бухгалтерии может договориться с охранником или кладовщиком и допустить вывоз товара с территории по непроведенным документам. Или менеджер в связке с маркетологом могут организовать мини-бизнес по перепродаже лидов конкурирующей компании.

 

 

Успешные кейсы обнаружения вора с помощью DLP системы

 

Кейс №1 - Кража заявок

В компании, занимающейся строительством зданий из ЛСТК, входящие звонки принимал всего один менеджер Б. Специфика данной ниши предполагает довольно высокую стоимость привлечения клиента. Так, одна заявка на рассчет здания с контекстой рекламы обходилась приблизительно в 2000 рублей. Руководителем компании было решено установить систему отслеживания деятельности сотрудников СпрутМонитор. Программа была установлена на все имеющеся в компании компьютеры.

Одной из функций данной программы является периодическое снятие скриншотов и оптическое распознавание текста (OCR). В результате удалось зафиксировать моменты, когда сотрудник получал, просматривал (видимо, при этом фотографируя заявку на мобильный телефон), а затем удалял входящую заявку на расчет здания. Отобрать скриншоты, содержащие доказательства получения заявки было очень легко благодаря функции поиска по ключевым словам в результатах OCR.

 

 

Кейс №2 - Попытка кражи базы данных

В компании, занимающейся оптовой продажей тонколистовых профилированных изделий отдел продаж состоял из 6 человек. Система контроля персонала СпрутМонитор была установлена на компьютерах с момента основания фирмы. База клиентов велась в программе 1С Предприятие 8.3., выгрузка информации в файл была заблокирована системным администратором.

СпрутМонитор поставляется с стандартным набором ключевых слов-маркеров, руководителем Н. была настроена отправка уведомлений на email при обнаружении слов, и кроме того, средствами СпрутМонитор был заблокирован доступ к облачным сервисам хранения данных, таких как DropBox, Яндекс.Диск и т.п.

В один из дней руководитель Н. получил уведомление, о том, что на экране компьютера менеджера отдела продаж Ч. было обнаружено ключевое слово из списка "база данных". В этот самый момент менеджер Ч. занимался следующими действиями: он создал папку "база данных" (именно на эти ключевые слова и сработало правило), куда сохранял скриншоты экрана, прокручивая таблицу контактов клиентов (так как не мог экспортировать ее в какой либо файл). Далее он создал архив с этими файлами и попробовал открыть страницу загрузки файлов на Яндекс.Диск. В этот момент руководитель Н. получил второе уведомление о попытке открытия заблокированного сайта. Менеджер Ч. не знал, что загрузка заблокирована, и не имея более времени на повторную попытку, удалил архив с файлами в надежде скрыть свои действия. Как вы уже поняли, это не имело никакого смысла, так как все действия уже были зафиксированы в виде скриншотов.

 

 

Кейс №3 - Расследование

Начальник службы охраны производственного предприятия, просматривая расходные накладные обнаружил подозрительный документ. Структура документооброта в компании была достаточно стандартная: при отгрузке менеджер запрашивает в бухгалтерии 2 расходные накладные и 2 товарные. Одна из товарных накладных отдается клиенту. Вторая - остается в бухгалтерии. Одна расходная накладная отдается на склад, вторая - на охрану при выезде. По ряду внешних признаков начальник службы охраны смог определить подделку. Расходная накладная не была сформирована в программе 1С, а просто была "нарисована" в Word. Разумеется, номер документа также был вымышленным. Дело осталось за малым - установить автора данного подлога. Если бы на предприятии не была установлена система слежения за персоналом СпрутМонитор, это было бы сделать довольно сложно: на заводе на тот момент работало 5 менеджеров, 10 сотрудников бухгалтерии и 14 кладовщиков.

В результате виновник был найден - это оказался кладовщик Р. Доказательствами стали:

1). Многочисленные поисковые запросы вида "ТОРГ 12 бланк", "скачать шаблон ТОРГ 12".

2). Снимки экрана процесса редактирования накладной, который занял более часа.

3). Факт печати документа на принтере, находящемся в помещении кладовщика в момент времени его рабочей смены.

Все эти данные были зафиксированы с помощью СпрутМонитор.