Как распознать наркомана на работе

Не так давно глава Федеральной службы России по контролю за оборотом наркотиков Виктор Иванов заявил, что наркополиция будет выявлять наркоманов среди сотрудников крупных компаний. По ходу дела был заключен и договор о взаимодействии с компанией «Северсталь-Менеджмент» о проведении антинаркотических мероприятий и программ профилактики употребления наркотиков. Видимо, действительно пора, если всего за 8 месяцев 2015 года был выявлен 21 случай пребывания сотрудника на рабочем месте в состоянии наркотического опьянения. Безусловно, наркотическая зависимость ‑ это трагедия, но только представьте, какой понесет ущерб компания, если в сети драгдилера попадет высококвалифицированный специалист. А если торговец смертью сам работает в этой компании?..

Несколько лет назад, в одной из крупнейших логистической компании произошел инцидент, грозивший ей фатальными последствиями. Один из сотрудников, занимающий руководящую должность, используя своё положение в корыстных целях, организовал сеть по сбыту наркотических веществ по всей России. Неизвестно, чем бы это могло закончиться, не вмешайся тогда вовремя сотрудники отдела безопасности компании, вовремя среагировав на триггер DLP-системы. Аналитический центр SearchInform, помогавшей поймать наркодельца на его рабочем месте, согласился раскрыть подробности этого инцидента, изменив имена действующих лиц.

Что такое DLP-система? Если вкратце, то это специальное программное обеспечение, которые предотвращают утечку информации из информационной системы организации. Эти системы разбивают информацию на категории, и анализируют данные, которые выходят за пределы корпоративной сети. Если DLP-система находит подозрительные данные (как говорят ИБ-специалисты, происходит «сработка» на подозрительные действия сотрудника), то можно проследить и посмотреть, что именно он дела, чтобы принять соответствующие меры.

Для выявления подозрительной информации в основном используется две технологии – лингвистический анализ и статистические методы. Именно первая нам поможет в выявлении потенциально опасной для работодателя переписки сотрудников.

С технологической стороны это происходит достаточно просто, но понадобится небольшая подготовка на начальном этапе. Для начала необходимо составить словарь со спецлексикой. Это такие слова как «пыхнем», «спиды», «напас» и так далее. Большой словарь уменьшит количество ложных «сработок», и поможет нам сразу выявить нашего «клиента». Но проблема в том, что наркоман редко использует спецлексику в своих разговорах. Чаще это обычные слова типа «корабль», «полка», «пипетка», «коробок». Поэтому нам нужно составить второй словарь, который будет содержать в себе именно такие обычные слова, чтобы и DLP-система реагировала и на них.

Что дальше? DLP-система работает, и если в организации действительно есть те, кто связан с миром запрещенных веществ, рано или поздно служба безопасности получит оповещение, что слишком много слов из «обычного» словаря употреблялось одним из работников. Чтобы лишний раз не беспокоить настоящего любителя военно-морской истории, все такие сообщения DLP-системы нужно проверять вручную. Если разговор действительно идет о наркотиках, то нужно выявить все связи и закономерности, с целью улучшения словаря. Ведь участники беседы чаще всего «шифруются» ‑ как им кажется, вполне удачно.

Перед нами не стоит цели расшифровать их сообщения, нам нужно лишь выявить определённую закономерность в их словах и фразах. Предположим, что продавец и покупатель условились, что «лютик» - это ЛСД, «гиацинт» - героин, и так далее. Тому, кто видел такие переписки (а сотрудники из службы безопасности часто бывают выходцами из правоохранительных органов, и они видели), сразу поймет, что покупает такой человек не иван-чай. Поэтому дальше нужно составить словарь из таких слов, и настроить в DLP-системе более высокий порог вхождения. Если в беседах такие слова и их сочетания встречаются три раза и больше, то об этом нам и нужно знать.

Если вдруг мы узнали в ком-то из сотрудников заядлых цветочниц, любителей собирать гербарии и т.п., лучше сразу внести их в «белый список». Их хобби для компании не опасны, и даже могут пригодиться, например, при озеленении офиса.

Но вернемся к случаю, о котором мы говорили в начале статьи, когда служба безопасности получила «звоночек» о переписке по наркотической тематике. Некий сотрудник, назовем его Чижов, вел переписку через «Одноклассники» с заказчиком. При анализе этой переписки стало ясно, что Чижов является не только рекрутером компании «N», но и дилером-оптовиком курительных смесей. В переписке он вел диалог о возможности расширения своего ассортимента и скидках, которые может получить.

Преимущества DLP-систем в том, что они могут вести перехват не только исходящих сообщений, но и входящих, поэтому отдел безопасности может видеть всю картину целиком, и адекватно на неё реагировать, чтобы продолжать свое расследование.

На первом этапе было выявлено, что в компании работает человек, который замешан в делах, которые компрометируют компанию. Подтверждением этого служит переписка, которая ведется через социальные сети. Исходя из этого, разумно изучить другие контакты сотрудника Чижова с внешним миром. По результату отчета, было выявлено еще несколько переписок «Вконтакте», о том, как оплатить товар, и как забрать посылку.

Результаты расследования оказались, мягко говоря, шокирующими. Чижов – руководитель отдела HR, в задачи которого входил набор персонала не только в главный офис, но и в регионы. В каждом из регионов он вербовал человека, основной задачей которого было распространение наркотиков в нем. Пользуясь логистикой компании и должностным положением, он мог без всяких вопросов поместить в машину посылку для своего драгдилера, просто написав на ней имя получателя. Когда машина приезжала по адресу, человек приходил и забирал пакет от начальника отдела, не получая никаких дополнительных вопросов.

Страшно представить какие были бы последствия для компании, если бы эту схему раскрыла не внутренняя служба безопасности, а сотрудники ФСБ или ФСКН. Вполне возможно, что следствие парализовало бы её работу во всех регионах, изъяло принимавший участие в перевозках наркотиков транспорт и сделало бы еще немало полезных для выявления всех преступников, но губительных для бизнеса шагов. Избежать этого помогла DLP-система.