Эксперты ЭАЦ InfoWatch проанализировали ряд случаев утечек данных в России и мире, связанных с действиями увольняющихся и бывших сотрудников компаний, за 2023-2025 годы. Выяснилось, что почти половина исследованных инцидентов (45,5%) произошли по вине действующих сотрудников. В каждом третьем случае (36,5%) причиной стали действия уже уволившихся специалистов, и 18,2% пришлись на руководителей разных уровней. Стоит отметить, что доля нарушителей среди бывших сотрудников в России оказалась вдвое выше, чем в мире, и при этом они вдвое чаще не только похищают данные, но также провоцируют сбои и блокировки информационных систем компании, отмечают в ЭАЦ InfoWatch.
«Мы наблюдаем три основные причины, по которым увольняющиеся сотрудники могут похищать у своих работодателей конфиденциальные данные. Первые две – это ярко выраженные корыстные мотивы: использование корпоративной информации для личных целей с помощью продажи данных или, например, открытия своей конкурирующей компании, а также передача данных конкурентам за вознаграждение или хорошую должность. Третья и довольно популярная причина – желание отомстить. Оно возникает из-за конфликтов в коллективе, напряженных отношений с руководством, несогласия с уровнем зарплаты или по другим причинам. Стремясь нарушить работу компании, такой нарушитель может не только скопировать данные, но и блокировать доступ к конфиденциальной информации, модифицировать ее, стереть данные из хранилища», – говорит руководитель направления аналитики и спецпроектов ЭАЦ InfoWatch Андрей Арсентьев.
Согласно отчету, среди увольняющихся и уволившихся сотрудников-нарушителей преобладают корыстные мотивы, то есть желание использовать данные в личных целях или передать их конкурентам работодателя – на такие случаи приходится 72,7% рассмотренных инцидентов в России и 76,7% в мире. При этом экс-сотрудники российских компаний организуют утечки из чувства мести чаще, чем в среднем в мире – с такими мотивами связано более четверти случаев (27,3% против 14,3% в мире). Решение украсть данные сотрудники российских компаний принимают чаще всего спонтанно и за несколько дней до ухода (75% случаев), однако четверть инцидентов планируются заранее – на временном горизонте от месяца до года (25%). В мире увольняющиеся похищают информацию в основном в результате нелегитимного доступа к базам данных, передают через разные каналы связи, выносят на ноутбуках, съемных жестких дисках, флешках и других носителях, говорится в отчете. В России список каналов утечки данных среди таких нарушителей более узкий – чаще всего это интернет и ноутбуки.
С учетом такой статистики исследователи отмечают, что работа службы информационной безопасности с увольняющимися сотрудниками становится критически важной для бизнеса. Специалисты ИБ в компаниях должны иметь отдельный чек-лист на этот счет: деактивация аккаунтов, сдача корпоративной техники, выходное собеседование и так далее, отмечают авторы исследования.
«Увольнение сотрудника – это всегда риски с точки зрения информационной безопасности, независимо от причины. И для предупреждения утечек данных компании важно отслеживать действия уходящих специалистов в ИТ-системах, а после ухода оперативно отзывать все права доступа к информационным ресурсам. При этом важно понимать, что утечка данных может происходить не только по злому умыслу, но и в результате случайных нарушений. Так, уволившийся сотрудник может забыть, что сохранял данные в публичном облаке, копировал их на личную флэшку, делился ими с нейросетью при подготовке отчета. Неразбериха в процессах хранения данных, недостатки в контроле доступа, в том числе привилегированного, отсутствие контроля использования личных устройств - все это может спровоцировать волну утечек информации», – резюмирует Андрей Арсентьев.
