How to prevent data theft by existing and departing employees
DTEX के अनुसार, कंपनी छोड़ते समय कुछ 12% कर्मचारी ग्राहक विवरण, स्वास्थ्य रिकॉर्ड, बिक्री अनुबंध और अन्य गोपनीय डेटा लेते हैं।
एक पूर्व कर्मचारी डार्क वेब पर अपने पिछले नियोक्ता से खाता प्रमाणिकता बेचने का प्रयास कर सकता है। एक वर्तमान कर्मचारी सीईओ द्वारा एक गोपनीय प्रस्तुति रिकॉर्ड कर सकता है और फिर प्रेस को उस रिकॉर्डिंग का लिंक भेज सकता है। एक मौजूदा कर्मचारी एक ग्राहक सूची को तीसरे पक्ष के साथ साझा कर सकता है, जिसे तब एक प्रतियोगी को बिक्री के लिए पेश किया गया था। ये 2022 के दौरान कार्यबल सुरक्षा प्रदाता DTEX द्वारा डेटा चोरी और अंदरूनी खतरों की जांच की गई कुछ ही घटनाएं हैं।
गुरुवार को जारी डीटीईएक्स की 2023 इनसाइडर रिस्क इन्वेस्टिगेशन रिपोर्ट ने 2022 के लिए कर्मचारियों की छंटनी और डेटा चोरी के दायरे की जांच की। अपनी रिपोर्ट बनाने के लिए, कंपनी ने डीटीईएक्स इनसाइडर इंटेलिजेंस एंड इंवेस्टिगेशन टीम द्वारा वर्ष के लिए की गई सैकड़ों जांचों को देखा। परिणाम कॉर्पोरेट आईपी और डेटा चोरी में वृद्धि की ओर इशारा करते हैं।
करने के लिए कूद:
कर्मचारी किस व्यवसाय का डेटा चुरा रहे हैं?
i3 टीम ने कर्मचारियों को छोड़कर डेटा चोरी के लगभग 700 मामलों की जांच की; यह 2021 की तुलना में दोगुने मामले थे। घटनाओं के आधार पर, डीटीईएक्स ने निर्धारित किया कि 12% कर्मचारी अपने नियोक्ता को छोड़ने पर उनके साथ संवेदनशील जानकारी लेते हैं। चुराई गई सूचनाओं में ग्राहक डेटा, कर्मचारी डेटा, स्वास्थ्य रिकॉर्ड और बिक्री अनुबंध शामिल हैं।
लेकिन, 12% गैर-संवेदनशील डेटा, जैसे टेम्पलेट्स और प्रस्तुतियों को ध्यान में नहीं रखता है; उपाख्यानात्मक साक्ष्य के आधार पर, डीटीईएक्स ने कहा कि उसका मानना है कि प्रस्थान करने वाले कर्मचारियों में से आधे से अधिक इस प्रकार के डेटा के साथ जाते हैं।
कर्मचारी कैसे चुरा रहे डाटा
कॉर्पोरेट डेटा को हड़पने के लिए कर्मचारी कुछ अलग तरीकों का उपयोग करते हैं, जिसमें स्क्रीनशॉट, रिकॉर्डिंग और व्यक्तिगत उपकरणों या खातों से समन्वयन शामिल है। केवल एक उदाहरण के रूप में, प्रेस को सीईओ की प्रस्तुति का लिंक भेजने वाले कर्मचारी ने गोपनीय डेटा को कैप्चर करने के लिए एक स्क्रीन रिकॉर्डिंग टूल का उपयोग किया और फिर रिकॉर्डिंग को एक व्यक्तिगत खाते में अपलोड कर दिया।
कर्मचारियों के डेटा चोरी की घटनाओं में कौन से कारक योगदान करते हैं?
पिछले साल डेटा चोरी और सिस्टम तोड़फोड़ में कर्मचारियों की बर्खास्तगी का बड़ा योगदान था। कई मामलों में DTEX टीम ने जांच की, जिन कर्मचारियों को बर्खास्त कर दिया गया था, उनके कॉर्पोरेट खातों में कुछ प्रकार की पहुंच थी, भले ही उन्हें बर्खास्त कर दिया गया हो। कुछ मामलों में, वर्तमान कर्मचारियों ने अपने पूर्व सहयोगियों को यह जाने बिना कि उन्हें समाप्त कर दिया गया है, कॉर्पोरेट डेटा या खाता क्रेडेंशियल्स प्रदान किए।
देखना: पहुँच प्रबंधन नीति (TechRepublic प्रीमियम)
कर्मचारियों को छोड़ने के अलावा, मौजूदा कर्मचारी खतरा पैदा कर सकते हैं। कुछ कर्मचारी साइड गिग्स बनाए रखते हैं जिसके लिए वे अपने कॉर्पोरेट उपकरणों का उपयोग करते हैं। पिछले साल ऐसे उपकरणों पर तीसरे पक्ष के काम का अस्वीकृत उपयोग लगभग 200% बढ़ गया। और एक छाया आईटी परिदृश्य में, एक ही समय में अस्वीकृत अनुप्रयोगों के उपयोग में 55% की वृद्धि हुई।
कर्मचारी डेटा चोरी चेतावनी के संकेत
उन कर्मचारियों को पकड़ने के लिए जो संवेदनशील जानकारी को रिकॉर्ड या कॉपी करने का प्रयास कर सकते हैं, DTEX कुछ शुरुआती चेतावनी जोखिम संकेतकों की तलाश में रहने का सुझाव देता है। इसमे शामिल है:
- वीडियो कॉन्फ़्रेंस में स्क्रीन या वीडियो रिकॉर्डिंग सॉफ़्टवेयर का बेमेल इस्तेमाल.
- अतीत के सुरक्षा नियंत्रणों से बचने के तरीके पर किया गया कोई भी शोध।
- व्यक्तिगत फ़ाइल सेवाओं का उपयोग, जैसे Google ड्राइव या ड्रॉपबॉक्स।
- छवियों के रूप में संवेदनशील प्रस्तुतियों को सहेजना।
कर्मचारियों को रोकने के लिए जो अनुचित तरीके से कॉर्पोरेट उपकरणों या एप्लिकेशन का उपयोग कर रहे हैं, डीटीईएक्स कुछ चेतावनी संकेतों की तलाश करने का सुझाव देता है। इसमे शामिल है:
- सामान्य कर्मचारी आबादी द्वारा उपयोग नहीं की जाने वाली साइटों तक पहुँचने वाली असामान्य ब्राउज़र गतिविधि।
- गतिविधि छुपाने के लिए व्यक्तिगत सोशल मीडिया खातों में साइन इन करना।
- एकाधिक गैर-कॉर्पोरेट वेबमेल खातों का उपयोग करना।
- लेखा प्रणालियों के लिए प्रशासनिक पहुंच उनकी नौकरी से संबंधित नहीं है।
- व्यक्तिगत फ़ाइल साझाकरण साइटों का असामान्य उपयोग।
कर्मचारी डेटा चोरी की घटनाओं को कैसे रोकें I
आपके संगठन को डेटा चोरी और इसी तरह के खतरों से बचाने के लिए, DTEX निम्नलिखित अनुशंसाएँ प्रदान करता है:
- ऐसी नीतियाँ स्थापित करें जो डेटा, उपकरणों, नेटवर्क और अन्य संपत्तियों के व्यक्तिगत उपयोग और कॉर्पोरेट उपयोग के बीच अंतर को स्पष्ट रूप से परिभाषित करें। सुनिश्चित करें कि उन नीतियों को कर्मचारियों तक पहुँचा दिया गया है, चाहे वे नई हों, मौजूदा हों या जा रही हों।
- कर्मचारियों को छोड़ने के लिए डेटा एक्सेस को हटाते समय एक शून्य-भरोसेमंद मानसिकता लागू करें। हमेशा यह मान लें कि किसी कर्मचारी के जाने के बाद संवेदनशील डेटा और सिस्टम तक कुछ पहुंच बची रहेगी। ऐसे टूल की ओर मुड़ें जो एक पूर्ण ऑडिट ट्रेल बनाएंगे, यदि कोई समस्या उत्पन्न होती है।
- समझें कि डेटा चोरी को विफल करने में तकनीक 100% प्रभावी नहीं होगी। इसलिए आपको इस क्षेत्र में अपनी नीतियों पर ध्यान देने की आवश्यकता है और कर्मचारियों को छोड़ने के लिए अपनी मौजूदा प्रक्रियाओं का मूल्यांकन करते रहना चाहिए।
- केवल वास्तविक घटनाओं को ही नहीं बल्कि दुर्भावनापूर्ण इरादे के शुरुआती चेतावनी संकेतों को देखकर सक्रिय रहें।
- कर्मचारियों के साथ एक भरोसेमंद अंदरूनी संबंध बनाए रखें। उनकी गोपनीयता का सम्मान करें, डेटा एक्सेस के बारे में नीतियों को संप्रेषित करें और संदेह के बजाय समर्थन की पेशकश करें।
आगे पढ़िए: 2023 के लिए 10 सर्वश्रेष्ठ कर्मचारी निगरानी सॉफ्टवेयर (टेक रिपब्लिक)