Один коллега-безопасник нанялся наводить порядок в ИТ-хозяйстве крупного предприятия. В качестве главы только что сформированного отдела ИБ. В частности, он решил запугать работников. Проводя тренинг по вопросам ИБ, наш герой напомнил им, что в случае обращения каких-либо лиц с предложениями передать им конфиденциальную информацию об этом следует немедленно ставить в известность отдел ИБ и его лично. Для пущей действенности он пообещал, что станет устраивать провокации – подсылать шпионов с заманчивыми предложениями. И кто не сообщит, тот будет приравнен к настоящему злоумышленному инсайдеру со всеми вытекающими.

Насчёт провокации он, конечно же, хватил лишку. Метод провокации, конечно, работает хорошо, но недостойный он, это метод. Аморальный. Да и не выделено бюджета на подобные мероприятия. Так, попугать, чтобы бдительность не теряли.

Каково же было удивление нового начальника ИБ, когда через месяц к нему с раннего утра заявился один из операторов и заявил: «Я ваш метод провокации не одобряю, но, как положено, докладываю. Вчера вечером мне предлагали. Можно идти?» Озадаченный безопасник не отпустил его и потребовал рассказать всё в подробностях.

В подробностях было так. Оператору назначил встречу его старый приятель по какому-то поводу. Там познакомил со своим другом. И вот этот друг приятеля, проявивший удивительную осведомлённость о месте работы и трудовых обязанностях оператора, сделал ему предложение. Нет, не передавать конфиденциальную информацию, а наоборот – корректировать кое-что в биллинговой системе предприятия. И за это получать ровно 50% от номинала скорректированных данных. Регулярно. Каждую неделю. Наличными. Сумма вырисовывалась такая, что в случае заключения сделки оператор мог бы свою официальную зарплату просто подавать нищим ввиду её незначительности.

Услышал сию новость, начальник ИБ очень крепко задумался. В конце концов он сказал оператору: «Ты знаешь, это была не провокация.» Беззаботное выражение лица у того тут же слетело, сменившись удивлённым, в глазах заплясали доллары. Начальник продолжал: «Но ты правильно сделал, что пришёл ко мне. Потому что без меня у тебя всё равно ничего бы не вышло. У тебя есть доступ в биллинг, но этого недостаточно. Тут работает FPS [Fraud Prevention System – система предотвращения мошенничества]. И только я могу её перенастроить, чтоб не замечала, чего не надо. Так что половина денег – мне. Согласен?» – «Конечно, согласен.» На самом деле, никакой FPS там и в помине не было. И хрен бы он чего заметил, особенно если вносить корректировки не резко, а плавно увеличивая разницу.

Именно этим планированием (какие показания по какому графику корректировать, чтобы выглядело натурально) начальник ИБ и занялся, в промежутках подсчитывая будущие барыши. Доходы, прямо скажем, светили сказочные. Но светили недолго. Уже вечером безопасник был с треском уволен с должности. Метод провокации сработал отлично.