«Самая большая опасность — довериться тому,кого ты хорошо не знаешь». Наполеон Бонапарт
Сергей Шабалин
Дата рождения: 26.03.1980 г.
Образование: высшее юридическое.
Карьера: с 2004 г. — директор Центра детекции лжи «Признание».
Михаил Малыгин
Дата рождения: 09.12.1976 г.
Образование: ВГСХА, экономический ф-т, МВА «Линк».
Карьера: с 2001 г. — «Крокус-строй», начальник отдела снабжения, с 2003 г. — ТД «Стройбат», директор по развитию.
О методах защиты информации и о том, как найти баланс между доверием сотрудникам и контролем — герои рубрики
Наедине с детектором
Михаил Малыгин, директор по развитию ТД «Стройбат»: — Самый лучший бизнес — тот, что основан на доверии. Но в реальности все далеко не так. Контроль за персоналом на рабочем месте необходим, особенно в тех отраслях, где высок уровень опасности утечки информации.
По результатам опроса портала SuperJob.ru:
28% российских компаний контролируют переписку своих сотрудников по корпоративной электронной почте
7% отслеживают коммуникации при помощи интернет-мессенджеров
3% контролируют общение по Skype
Я привык считать, что у нас открытая компания, все на виду, и хоть в коллективе больше ста человек, все знают друг друга. Но недавно задумался о том, сколько у нас средств контроля — начиная от видеонаблюдения и заканчивая компьютерными системами — проверка электронной почты и ICQ… Коды доступа, ключи, пароли — все не так прозрачно на самом деле. И сотрудники это воспринимают нормально. Однажды даже применяли такую форму контроля, как проверку на детекторе лжи.
Сергей Шабалин, директор Центра детекции лжи «Признание»: — А на какую тему вы их проверяли?
Михаил: — Был конкретный факт: при ежеквартальной инвентаризации сталкивались с двумя проблемами — пересортом и недостачей. Я понимал, что один из факторов здесь – человеческий. Но сам факт того, что ты приходишь к своим людям и говоришь: «Ну что, ребята, давайте-ка мы вас всех проверим на детекторе лжи…», меня сильно смущал. Прямая демотивация. Но этот вопрос можно поставить совсем подругому: мы делаем это не для того, чтобы найти виновного, а чтобы доказать, что наш коллектив чист. В итоге виновных мы не выявили.
Сергей: — Очень важно то, какие вопросы ставились, насколько детально вы объяснили ситуацию. Если круг товара не определен конкретно, выявить хищение крайне сложно. Если речь идет о пропаже конкретной суммы за конкретный период — другое дело. Или, например, о сливе информации — к нам обращалась компания с такой проблемой. Был причастен менеджер: ему было выгодно сдавать за определенную плату информацию конкурентам с перспективой работы в их компании. Все это успешно выявляется.
Михаил: — Вы предъявляете это в качестве отчета. А были ли потом конкретные действия руководства?
Сергей: — Все зависит от директора. Он принимает информацию к сведению и при необходимости найдет тысячу и один способ, как уволить работника. При необходимости можно легализовать такие проверки на предприятии — и работник обязан будет проходить их ежегодно. За отказ можно привлекать к дисциплинарной ответственности.
Михаил: — Если человек отказывается проходить проверку, это сразу вызывает подозрения. И руководитель уже делает выводы…
Вторжение в личную жизнь?
Михаил: — Выводы помогают делать и камеры видеонаблюдения. У нас они стоят в целях безопасности в торговых залах и местах выдачи товара: если что-то случится, постфактум всегда можно отмотать пленку назад, выяснить причины и ход дела.
Каналы утечек информации в 2011 году (по данным InfoWatch)
1. Бумажные документы — 19,1%
2. Не определено — 16,2%
3. ПК, серверы — 13,9%
4. Интернет/интранет — 13,6%
5. Другие съемные носители — 12,8%
6. Ноутбуки, смартфоны — 9,6%
7. Носители резервных копий — 8,5%
8. Электронная почта — 6,2%
Что касается технических средств контроля — у нас ограничен, к примеру, доступ к социальным сетям. Сомневаюсь по поводу ICQ: у одной из наших сотрудниц в аське 200 внешних контактов! И вот ты думаешь: ICQ для работы нужна. Но сколько девушка тратит рабочего времени на нее? Даже если на каждый контакт в неделю она потратит минуту спросив, как дела, уже 200 минут потеряно…
Есть программа контроля за почтой: я могу при желании проверить всю входящую и исходящую почту. Но на общем ящике такой вал писем… Скоро в компании появится человек, который будет заниматься вопросами информационной безопасности.
Конечно, все эти новые технологии надо применять в пределах разумного, не допускать вторжения в личную жизнь человека.
К примеру, в спортзале, в который я хожу, объявление в раздевалке гласит: «За вами ведется видеонаблюдение с целью вашей безопасности». То есть ради моей безопасности меня снимают нагишом без моего на то разрешения, и неизвестно, куда это все идет. Это как?
Сергей: — При проверке на детекторе лжи тоже есть запрещенные темы, на которые мы не вправе говорить с испытуемым: политические убеждения, сексуальная тема.
Семь раз проверь...
Михаил: — Что касается утечки информации через личные каналы — переписку, телефонные переговоры — возникает вопрос: а что считать личным на рабочем месте? Вообще, понятия «личная переписка» на рабочем компьютере априори существовать не может. Однако Конституция не делает различий в статье о тайне переписки.*
Сергей: — Работодатель не может использовать сведения, полученные таким путем. Например, прочитал «Вконтакте», что работник плохой или что он оскорбляет руководителя — это не может служить доказательством. Просто информация принимается к сведению.
Михаил: — А если я увидел, что один из менеджеров скинул по почте кому-то более ста контактов клиентов нашей компании? Могу ли я принять какие-то меры в отношении его?
Сергей: — Эта информация может нанести какой-то ущерб вашей компании? Должно быть установлено, что является коммерческой тайной, а что нет.
Михаил: — Прямого ущерба нет, и сложно оценить его размер. Например, сотрудник продает конкурентам базу, которая нарабатывалась годами.
Сергей: — Уволить на основании этого вы не сможете, а вот дисциплинарная ответственность за разглашение коммерческой тайны полагается.
Михаил: — Но в чем еще сложность: он отправляет клиентскую базу себе же на почту, мотивируя это тем, что дома хочет поработать…
Чаще всего информация утекает по невнимательности. В 25% случаев секретарь распечатывает на корпоративном принтере документы и забывает их там. Или отправляет по электронной почте письмо не тому человеку. Такие вещи легко отследить и заблокировать с помощью специальных программ. Но если в компании завелся инсайдер, который хочет увести информацию, и при этом он человек технически грамотный, подружился с системным администратором, то никакой софт не устоит.
Давать полную свободу в нашем сложном мире развитых коммуникаций, соблазнов и жесткой конкуренции нельзя. Я пришел к выводу, что нужно усилить контроль на входе, улучшить качество подбора персонала. Это как страховка: лучше ее один раз купить и быть спокойным.
Сергей: — Пользоваться почтой в личных целях не запретишь, но работодатель имеет право следить за информацией. C другой стороны, если бы руководитель полез ко всем своим подчиненным в почту, в ICQ, это было бы похоже на паранойю, манию преследования. Надо уважать общечеловеческие, конституционные права.
Способы защиты от сетевых атак
1. Устанавливайте только лицензионное программное обеспечение, которое будет обновляться.
2. Использование антивирусных средств и регулярное обновление их сигнатур может решить проблему с троянскими программами, вирусами, почтовыми червями, но не решит проблему снифферов и rootkitов.
3. Шифрование передаваемых данных. Проблема не решает полностью проблему снифферов, однако противник перехватывает данные, которые нельзя свободно прочитать. Для их расшифровки требуется время.
4. Использование антиснифферов (например, AntiSniff или PromiScan).
5. Использование межсетевых экранов.
6. Использование антируткитов.
7. Блокируйте выход в интернет всем приложениям, которые вам не знакомы, и по необходимости вручную обновляйте свое программное обеспечение.
8. Для бухгалтеров, которые работают с банками через систему «Клиент-банк», по возможности не выходить в интернет для просмотра почты и иной информации с компьютера, на котором производятся платежные операции.
9. И, конечно же, пригласите хорошего системного администратора.
