Unternehmen Verfolgen die Mitarbeiter der Nab Verräter
von Dune Lawrence
Unabhängig davon, ob Sie Edward Snowden ein Verräter oder ein whistle-blower, er verdient eine Bezeichnung, über die es keine Diskussion: der insider-Bedrohung.
Der Schutz vor solchen Risiken ist eine wachsende Nische in der security-Branche, mit mindestens 20 Unternehmen-marketing-software-tools für tracking und Analyse das Verhalten der Angestellten. "Die bösen Jungs haben uns geholfen", sagt Idan Tendler, der Gründer und chief executive officer von Fortscale Sicherheit in San Francisco. "Es begann mit Snowden, und die Leute sagten, 'Wow, wenn das passiert ist, in der NSA, könnte es mit uns geschehen.'
Das problem ist älter als das Internet: der Verkäufer, der nimmt die gesamte Kundenliste mit ihm, wenn er beendet wird, oder der Ingenieur, der macht off mit den wichtigsten Produkt-designs. Aber die Technik hat es nur einfacher; jetzt ist der Verkäufer-e-mails die Daten zu seinem Google Mail-Konto, und der Ingenieur Produkt-designs auf einem USB-Laufwerk. Eine peinliche episode für Morgan Stanley, die bank wies ein Mitarbeiter früher in diesem Jahr für die Aufnahme von Informationen über schätzungsweise 350.000 Kunden von seiner fülle-management-division.
Unternehmen sind auch zu erkennen, dass tracking-Insider kann verbessern Sie Ihre Chancen der Fang außerhalb Hacker. Während die Untersuchungen der Verstöße gegen Sony und Hymne im Gange sind, ist es wahrscheinlich, dass die Angreifer entführten Mitarbeiter-Passwörter und logins, dann verwendet Sie zu navigieren das Unternehmen " computer-Systeme zu finden und zu stehlen Daten. Diese Methoden sind der Grund, es dauert ein Unternehmen länger als 200 Tage im Durchschnitt, um zu erkennen, Verstöße, laut FireEye, einer cybersecurity-Firma. "Hacker werden Mitarbeiter, wenn Sie nach innen erhalten", sagt Avivah Litan, analyst bei Marktforschungsunternehmen Gartner. "So ist der name des Spiels ist in ständiger überwachung."
Fortscale und Konkurrenten wie Securonix, mit Sitz in Los Angeles, zu verkaufen, software an und zieht Daten von einem Unternehmen in computer-Systeme und füttert es durch algorithmen zu erstellen, die ein Profil der einzelnen Mitarbeiter. Die software erstellt eine Grundlinie zeigt, was das normale Verhalten für die Benutzer: wo und Wann er sich einloggt, welche Programme er verwendet, die Datenbanken im Unternehmen, er greift regelmäßig, und die externen Webseiten er surft. Es erzeugt außerdem einen Risiko-score für Benutzer basierend auf welche Gefahr Sie darstellen können, um die Organisation. Mit "normal" etabliert, wird es viel einfacher zu erkennen Verdächtiger Aktivitäten—zum Beispiel, dass ein Arbeitnehmer das herunterladen Tausende von Dokumenten aus einer Datenbank-Sie hat die Erlaubnis zu verwenden, aber noch nie vor. "Was wir versuchen zu tun ist, erhalten diese über die Gesamtsituation", sagt Igor Baikalov, einem ehemaligen security executive bei der Bank of America und leitender Wissenschaftler am Securonix. "Der nächste Schritt ist predictive analytics: Wie können wir erkennen die kleinen Veränderungen und stoppen Sie die schlechte Sache passiert?"
Dtex-Systeme, ein security-Unternehmen mit Sitz in San Jose, Monitore insider-Bedrohungen durch die Platzierung von software auf desktops als auch Unternehmen ausgestellte laptops. CEO Mohan Koo sagt, dass in den ersten 30 Tagen der überwachung auf einen finanziellen Austausch, das system identifiziert sechs Menschen, die waren immer bereit zu gehen mit sensiblen Daten. Mitarbeiter Position für die Ausfahrt beginnen, Dinge zu tun, hatten Sie sich nicht vor, wie das ändern Ihrer e-mail-Gewohnheiten, Koo erklärt.
Andere Ansätze, die tiefer in die Psychologie. Stroz Friedberg, eine in New York ansässige consulting-Firma, spezialisiert in der digitalen Forensik, ist Roll-out der software, genannt Scout, die Auswertung der Benutzer durch den Inhalt Ihrer e-mails und andere Kommunikation mit sprachlichen und Verhaltens-Analyse-Techniken entwickelt, durch das FBI. Die software stellt eine Basis-Linie, und dann sucht nach Variationen, die signalisieren, dass ein Mitarbeiter stellt eine zunehmende Gefahr für die Gesellschaft. Rote Fahnen über ein spike durch den Verweis auf finanzielle Belastungen wie "late rent" und "medizinische Rechnungen."
Edward Stroz, der Firmengründer und ehemaliger FBI-agent, sagt, dass während die Unternehmen gefunden haben können, diese Idee zu aufdringlich in der Vergangenheit, er hat schon eine Veränderung in der Wahrnehmung in der Vergangenheit Jahr. Er ist immer noch vorsichtig, wenn es um die software, beschreibt es als ein Weg, um Arbeitgebern zu helfen, bauen Sie eine "sorgen Arbeitsplatz". Er bietet das Szenario des star-trader bei einer bank, ist enttäuscht über die Größe Ihres jährlichen bonus. Anstatt blindsided, wenn Sie Mängel, die zu einem Rivalen, eine bank mit Scout identifizieren konnte Ihre Unzufriedenheit frühzeitig und stellen Sie sicher, dass Sie nicht vertrauliche Daten oder andere team-Mitglieder mit Ihrem.
Droht in den hintergrund ist die Frage, wie die balance der Arbeitnehmer-Datenschutz mit intensiver überwachung. Dtex sagt, es macht Nutzerdaten anonym, austauschen von Namen, die mit den codes und den passenden Namen zu der Aktivität, die nur bei Bedarf für eine Untersuchung. Das hilft Unternehmen, die wirksame überwachung und Einhaltung von privacy-Gesetzen in Ländern wie Deutschland und der Schweiz, sagt Koo. Randy Trzeciak, ein cybersecurity-Spezialisten an der Carnegie Mellon, sagt, es ist wichtig für Unternehmen, um Ihre Anwälte in der Schleife und zu skizzieren, die eine klare, gut kommunizierte und konsequent durchgesetzte Politik, es gibt also keine Wahrnehmung, die selektive überwachung.
Einige der Methoden, die sich an Unternehmen, die mieten Securonix machen auch Baikalov Frage mich, wie viel ist zu viel. Er nennt die Praxis der matching-Informationen über die Benutzer-online-Verhalten mit feeds von video-Kameras und anderen Systemen, die überwachung des physischen Standorten. Einige Unternehmen, sagt er, haben ticket-Systemen, so können Mitarbeiter melden Sie verdächtige Verhalten von Kollegen. "Ist es zu viel, oder ist es tatsächlich die richtige Menge der diligence?", sagt er. “Ich bin wirklich neugierig, wie viel wir aus ihm heraus. Es ist wirklich die extreme in einer Art Orwell-monitoring."
The bottom line: Über 20 Unternehmen verkaufen tools zum überwachen der Mitarbeiter-Verhalten—von e-mail-Gewohnheiten zu Datenbank-access—Flagge und Risiken.
Datum der Veröffentlichung: