14.09.2022 | Анализ поведения пользователей на благо экономической безопасности |
Оказывается, можно. С помощью технологии UBA – анализа поведения пользователей и выявления аномалий на ранней стадии. Вот вам жизненный пример работы этой технологии: как специалист отдела ЭБ с помощью UBA решал задачу мониторинга недавно принятого на работу сотрудника, и что из этого вышло. Итак, специалист по экономической безопасности одной из компаний производственной сферы решал довольно тривиальную для ЭБ задачу: профилактический мониторинг активности недавно принятого в организацию сотрудника (в данном случае – главного инженера). Так как UBA осуществляет неустанный качественный и количественный контроль активности сотрудников, был зафиксирован всплеск внешней активности главного инженера по каналу коммуникации «Корпоративная почта». Ранее не писавший и не получавший писем инженер вдруг резко активизировал переписку с внешними лицами.
Рис. 1 Зафиксирован качественный персональный всплеск внешней активности главного инженера Специалисту по экономической безопасности сразу бросились в глаза явные признаки нетипичного поведения главного инженера. Так, в день фиксации аномалии внимание безопасника привлекло письмо в почте инженера, полученное с электронного ящика бесплатной российской почтовой системы. В письме лицо, позже идентифицированное как должностное лицо контрагента, со своей личной, а не корпоративной почты (что само по себе уже подозрительно), направило главному инженеру не официальное коммерческое предложение, а приблизительный план-набросок предстоящих трат.
Рис. 2 План-набросок предстоящих трат, оформленный от руки и полученный от должностного лица контрагента Данного факта и приблизительно обозначенной в нем суммы «неэффективного расходования средств» было достаточно для того, чтобы внимательнее изучить все письма, относящиеся к периоду аномалии, и попробовать оценить масштаб бурной деятельности, развернутой главным инженером. Тогда безопасник обратился в раздел UBA-системы «Особые контакты», где в числе внешних неизвестных контактов традиционно выявляются контакты с личным почтовым ящиком, друзьями, родней, и, самое важное, будущие аффилированные контрагенты. С данными контактами еще никто в организации не взаимодействовал, а потому они оказались самыми интересными, в особенности потому, что относились к периоду персональной аномалии проверяемого лица.
Рис. 3 Контакты с «будущим потенциальным поставщиком» в сфере вентиляции и климатического оборудования Специалист по экономической безопасности обратил внимание на контакты главного инженера с «будущим потенциальным поставщиком» в сфере вентиляции и климатического оборудования, доменная часть почты которого оканчивается на @__climate.ru. Так как с контактом явно осуществлялась переписка, безопасник обратился к ее содержанию, заподозрив в качестве причины направления двух коммерческих предложений в один день возможную корректировку не сроков, а суммы.
Рис. 4 Сравнение цен между утренним и вечерним коммерческими предложениями
Рис. 5 Коммерческое предложение от 11:03 (утреннее)
Рис. 6 Коммерческое предложение от 16:28 (вечернее) с подросшей ценой Разница между утренним и вечерним коммерческими предложениями составила более 400 тыс. рублей. Прежде чем идти с выявленным материалом к руководству организации и принимать меры, безопасник попытался установить пути распространения данного «модернизированного» коммерческого предложения, чтобы знать всю хронологию развития событий. Обратившись к функции «Умный поиск», специалист по ЭБ установил цепочку поступления утреннего невыгодного с точки зрения коррупционных проявлений коммерческого предложения, а затем вечернего «модернизированного» со значительно подросшей ценой. Также был установлен факт пересылки «модернизированного» коммерческого предложения директору по производству, не являющемуся участником круга лиц, помогающих освоить бюджет.
Рис. 7 Цепочка поступления извне и пересылки внутри организации коммерческих предложений Таким образом, в результате целенаправленного решения подразделением экономической безопасности задачи по сопровождению принятого работника в период испытательного срока с помощью точной подсветки системой UBA аномального поведения был выявлен и изобличен сотрудник, забывший при устройстве на работу уведомить работодателя о наличии у него конфликта интересов и корыстного умысла. |
Проверить безопасность сайта