Як розпізнати наркомана на роботі
Нещодавно глава Федеральної служби України з контролю за обігом наркотиків Віктор Іванов заявив, що наркополіція виявлятиме наркоманів серед співробітників великих компаній. У ході справи було укладено договір про взаємодію з компанією «Северсталь-Менеджмент» про проведення антинаркотичних заходів та програм профілактики вживання наркотиків. Мабуть, справді час, якщо всього за 8 місяців 2015 року було виявлено 21 випадок перебування співробітника на робочому місці в стані наркотичного сп'яніння. Безумовно, наркотична залежність – це трагедія, але тільки уявіть, яку шкоду зазнає компанія, якщо в мережі драгдилера потрапить висококваліфікований фахівець. А якщо торговець смертю сам працює у цій компанії.
Кілька років тому, в одній із найбільших логістичної компанії стався інцидент, який загрожував їй фатальними наслідками. Один із співробітників, який займає керівну посаду, використовуючи своє становище з корисливою метою, організував мережу зі збуту наркотичних речовин по всій Україні. Невідомо, чим би це могло закінчитися, чи не втручися тоді вчасно співробітники відділу безпеки компанії, вчасно зреагувавши на тригер DLP-системи. Аналітичний центр SearchInform, що допомагала зловити наркоділка на його робочому місці, погодився розкрити подробиці цього інциденту, змінивши імена дійових осіб.
Для виявлення підозрілої інформації переважно використовується дві технології – лінгвістичний аналіз та статистичні методи. Саме перша нам допоможе у виявленні потенційно небезпечного для роботодавця листування співробітників.
З технологічної сторони це досить просто, але знадобиться невелика підготовка на початковому етапі. Для початку необхідно скласти словник із спецлексикою. Цетакі слова як «пихнемо», «спіди», «напас» тощо. Великий словник зменшить кількість хибних «спрацьовування», і допоможе нам відразу виявити нашого «клієнта». Але проблема в тому, що наркоман рідко використовує спецлексику у своїх розмовах. Найчастіше це звичайні слова типу "корабель", "полиця", "піпетка", "коробок". Тому нам потрібно скласти другий словник, який міститиме саме такі звичайні слова, щоб і DLP-система реагувала і на них.
Що далі? DLP-система працює, і якщо в організації дійсно є ті, хто пов'язаний зі світом заборонених речовин, рано чи пізно служба безпеки отримає сповіщення, що надто багато слів із «звичайного» словника вживалося одним із працівників. Щоб зайвий раз не турбувати справжнього любителя військово-морської історії, всі такі повідомлення DLP-системи потрібно перевіряти вручну. Якщо розмова справді йдеться про наркотики, то потрібно виявити всі зв'язки та закономірності, з метою покращення словника. Адже учасники розмови найчастіше «шифруються», як їм здається, цілком вдало.
Перед нами не варто мети розшифрувати їх повідомлення, нам потрібно лише виявити певну закономірність у словах і фразах. Припустимо, що продавець і покупець домовилися, що "лютик" - це ЛСД, "гіацинт" - героїн, і таке інше. Тому, хто бачив такі листування (а співробітники зі служби безпеки часто бувають вихідцями з правоохоронних органів, і вони бачили), одразу зрозуміє, що така людина купує не іван-чай. Тому далі потрібно скласти словник з таких слів, і налаштувати DLP-системі більш високий поріг входження. Якщо в бесідах такі слова та їх поєднання зустрічаються тричі і більше, то про це нам потрібно знати.
Якщо раптом ми дізналися в комусь із співробітників затятих квіткарок, любителів збирати гербарії тат.п., краще відразу внести їх у «білий список». Їхні хобі для компанії не небезпечні, і навіть можуть стати в нагоді, наприклад, при озелененні офісу.
Але повернемося до випадку, про який ми говорили на початку статті, коли служба безпеки отримала «дзвіночок» про листування з наркотичної тематики. Якийсь співробітник, назвемо його Чижов, листувався через «Однокласники» із замовником. При аналізі цього листування стало ясно, що Чижов є не тільки рекрутером компанії «N», а й дилером-оптовиком курильних сумішей. У листуванні він вів діалог про можливість розширення свого асортименту та знижки, які може отримати.
Переваги DLP-систем в тому, що вони можуть вести перехоплення не тільки вихідних повідомлень, а й вхідних, тому відділ безпеки може бачити всю картину цілком і адекватно на неї реагувати, щоб продовжувати своє розслідування.
Страшно уявити, які були б наслідки для компанії, якби цю схему розкрила не внутрішня служба безпеки, а співробітники ФСБ чи ФСКН. Цілком можливо, що слідство паралізувало б її роботу в усіх регіонах, вилучило транспорт, що брав участь у перевезеннях наркотиків, і зробило б ще чимало корисних для виявлення всіх злочинців, але згубних для бізнесу кроків. Уникнути цього допомогла DLP-система.