Следить за действиями удаленной техподдержки Amazon будут из-за случаев несанкционированного доступа мошенников к базе данных клиентов.

Почему возникла необходимость «слежки»

Согласно данным документа для внутреннего пользования, который выпустила Amazon, с увеличением количества сотрудников на удаленке вырос и риск утечки информации, в частности, конфиденциальных данных клиентов.

В документе перечислены страны, где представлена компания, и имеющие самое большое количество возникших инцидентов, угрожающих безопасности Amazon:

• Индия — больше 120 случаев;
• Филиппины — почти 70;
• США — 40.

Самым распространенным инцидентом является — завладение персональными данными клиентов компании.

В документе, который получила Vice, Amazon честно признается сотрудникам, что имеется «дыры» в безопасности, так как на данный момент не существует надежного способа проверить, действительно ли сотрудник на удаленке является тем, за кого себя выдает. Например, человек может отлучиться, не заблокировав аккаунт, а в это время кто-то может воспользоваться ситуацией в своих корыстных целях.

Также в документе рассказывается и о других случаях. Например, один из сотрудников технической поддержки с помощью устройства USB Rubber Ducky за час сумел украсть тысячи персональных записей клиентов компании. Другой сотрудник продал злоумышленнику свое устройство многофакторной аутентификации для дальнейшего использования его в преступных целях.

Ситуация с безопасностью еще усугубляется тем, что приходится привлекать аутсорсинг из стран с высоким уровнем коррупции и преступности.

В связи с участившимися случаями нарушения конфиденциальности клиентской базы данных, руководство Amazon приняло решение начать отслеживать действия своих сотрудников в рабочее время.

Выбор программного решения

Проведенный анализ всех известных случаев несанкционированного доступа к данным клиентов показал, что чаще всего для этого используется социальная инженерия. Поэтому для контроля за своими сотрудниками Amazon будет использовать разработку от BehavioSec. Компания известна тем, что уже пять лет работает над проблемой идентификации пользователей по поведенческим параметрам.

Руководство Amazon успокаивает своих сотрудников — никто не собирается следить, на какие сайты они заходят, какие приложения запускают или какие конкретные данные вводят. Также не будут фиксироваться какие-либо логины и пароли. Программное обеспечение, которое будет задействовано компанией, предназначено для анализа естественных движений при работе сотрудниками техподдержки на клавиатуре и мыши. При любом подозрении на то, что произошла смена пользователя, доступ к данным компании будет блокироваться.

Как утверждают разработчики приложения и те, кто участвовал в его тестировании, надежность обеспечения идентификации пользователя составляет около 99,7%.

Внедрение мониторинга за сотрудниками Amazon планирует начать уже в текущем году. В планах компании с его помощью к концу 2022 года обеспечить 100% безопасность своих данных.

В настоящий момент юристы Amazon работают над проблемой нарушения конфиденциальности, связанной со сбором данных о нажатии клавиш работниками.

Кстати, в начале августа NBC сообщила, что удаленные сотрудники аутсорсингового call-центра Teleperformance, одного из крупнейших в мире, из-за угроз увольнения вынуждены соглашаться на установку видеонаблюдения в home-офисе. Такой мониторинг позволяет отслеживать работу клавиатуры и мыши, и в момент, когда они бездействуют, ставить на них метку «бездействующие». Далее этот статус дает основание штрафовать сотрудника или не оплачивать отработанные часы.