Скандалы с утечками информации становятся все более и более громкими. Вспомнить хотя бы недавние события с Facebook, когда личные данные пользователей оказались в третьих руках. Но корпоративная информация тоже порой нуждается в защите. "ДП" разбирался, как работодатели могут защитить свои компании от нежелательной утечки данных и как они контролируют собственных сотрудников: от чтения переписки работников до создания отдельных мессенджеров.
Данные клиентов, договоры, списки партнеров, чертежи и проектная информация. Все это может легко "убежать" из компании не столько из-за вмешательства хакеров или шпионажа конкурентов, сколько по неосторожности сотрудников. Проблема касается не только частных предприятий, но и государственных органов.
Внутри мессенджера
В апреле этого года пароли от электронной почты тысяч японских госслужащих оказались выставлены на продажу на одном из интернет-аукционов. Оказалось, чиновники использовали их для регистрации на неправительственных сайтах для получения юридической и статистической информации в рабочих целях и стали в конце концов жертвами мошенников.
Проблема защиты рабочей информации госслужащих всегда стоит особо остро, ведь они, в отличие от многих других, могут иметь доступ к секретным данным. В эпоху информационных технологий и решение должно быть технологичным. Так, многие частные и государственные структуры либо используют специальные корпоративные мессенджеры, либо заказывают разработку таких приложений индивидуально. Для госслужащих отдельный мессенджер в свое время предлагала, например, создать дочерняя компания "Ростеха".
Почти все из них используют сквозное шифрование (такое использует Telegram, что, по словам Павла Дурова, полностью исключает доступ к переписке пользователей). Но и оно не всегда гарантирует полную безопасность.
"Доступ к переписке легальным способом нельзя получить на любой платформе, где используется сквозное шифрование. Он, в частности, используется в Whatsapp, Telegram и Viber, но опять же в случае использования web-версии Telegram доступ к текущей переписке службы ИТ или ИБ (информационной безопасности), а также злоумышленники получить могут. Также стоит помнить о том, что большинство сервисов обмена сообщениями позволяет хранить или архивировать историю сообщений локально или в облачные сервисы, в частности Apple iCloud или Google Drive, соответственно, получив доступ к этим архивам, можно и прочесть историю переписки конкретного человека", — объясняет Никита Панов, старший тренер по компьютерной криминалистике компании Group-IB.
Панов считает, что избежать утечки данных в таком случае поможет использование различных Rights Management — систем, которые позволяют не только подписать файлы и документы электронным ключом отправителя, но и сделать так, чтобы открыть и прочитать этот документ мог только определенный получатель, имеющий свой цифровой ключ.
Его коллега Сергей Никитин считает, что все может зависеть от качества разработки самого мессенджера: "Если хотите сделать что-то безопасно и надежно, делайте это сами. Если у вас уникальный мессенджер, который работает только внутри сети, имеет собственное шифрование, формат трафика и истории переписок на ПК, то шанс того, что кто-то специально будет разрабатывать атаку по перехвату данных и сможет ее реализовать, стремится к нулю. Кроме того, вы можете быть уверены, что ваши данные действительно шифруются, история переписки нигде не хранится и никуда не передается. Поэтому вопрос надежности упирается уже не в доверие неким сервисам, а именно в качественную реализацию мессенджера, без ошибок и уязвимостей, что требует серьезной команды разработчиков и специалистов по криптографии и защите информации".
Шпионаж за работником
В погоне за информационной безопасностью начальник может взять под контроль переписку своих сотрудников на рабочем месте.
"Существует множество DLP-систем (комплекс контроля и мониторинга пересылаемой и хранимой информации), предназначенных для защиты корпоративной информации. Они способны отслеживать каждый клик сотрудника в офисе: мониторить и перехватывать корпоративную и личную почту, сообщения в соцсетях, переговоры в Skype, документооборот и копирование данных на съемные носители и в облачные хранилища, запросы в поисковиках, использование приложений", — говорит Антон Фишман, руководитель проектного направления Group-IB. По его словам, DLP в первую очередь предназначена для защиты не от злоумышленников, а именно от непреднамеренного инсайда, то есть защиты от нарушения политики внутри компании.
Но при этом DLP не гарантируют защиту от человеческого фактора, считают специалисты по кибербезопасности.
"Сотрудник может просто сфотографировать какие-либо важные документы на телефон или другое мобильное устройство и переслать злоумышленнику, — считает Никита Панов. — Во многих компаниях до сих пор не действует политика ограниченного доступа к USB-портам рабочих станций и сотрудники могут подключать внешние накопители и другие устройства, которые затем используются для передачи критических бизнес-данных злоумышленникам".
Также Панов отмечает, что доступ к переписке работодатель может получить через те же web-версии мессенджеров, например в десктоп-приложении Telegram.
Не тайна
Конечно же, доступ к переписке сотрудников влечет за собой вопрос о законности таких действий. По мнению Екатерины Смирновой, руководителя практики по интеллектуальной собственности и информационным технологиям юридической компании "Качкин и Партнеры", такие действия не являются нарушением права на тайну переписки.
"Обязанность обеспечивать соблюдение режима конфиденциальности и коммерческой тайны, а также ответственность за неправомерное использование или разглашение сведений, составляющих конфиденциальную информацию, в том числе коммерческую тайну работодателя, может предусматриваться в трудовом договоре, должностной инструкции, внутренними локальными актами. Такими документами может устанавливаться, что информационные ресурсы организации, включая доступ в сеть Интернет и электронную почту, предназначены исключительно для выполнения работниками производственной деятельности, а деловая и служебная переписка, в частности взаимодействие с контрагентами, по электронной почте должна осуществляться только с использованием корпоративных почтовых адресов", — рассказывает она.
Также она отметила, что работодателю не запрещено использовать аудиозаписи, переписку сотрудников, сделанные во время исполнения ими трудовых обязанностей. Так, например, скрытая аудиозапись может быть признана допустимым доказательством в суде даже без уведомления работника. Исключением в свободе использования записей или переписки сотрудников может быть запись, которая касается чьей-то личной жизни. К частной жизни человека переговоры (в том числе и телефонные), переписка в рабочее время касательно вопросов бизнеса не относятся.
"В трудовых договорах рекомендуется на всякий случай прописывать условия о том, что работник не должен использовать имущество работодателя в личных целях", — добавляет Смирнова.
В некоторых странах вопрос доступа к переписке решен на законодательном уровне. Так, в Германии начальник не имеет права проверять переписку своих сотрудников с пометкой "лично", не допускается тотальный контроль за подчиненными и ведение постоянной и точной хроники их жизни в Интернете. При этом компания сама должна решить, допускает ли она использование Интернета в личных целях на работе или нет; если да, то прав у нее становится еще меньше. За нарушение подобного режима начальнику может грозить уголовная ответственность.
И все же специалисты по кибербезопасности советуют подходить к вопросу не столь радикально. Для элементарных путей защиты корпоративной информации они советуют просто ввести элементарные правила поведения для сотрудников: хранить документы на всех видах носителей и ноутбуки в запертых ящиках и столах и блокировать рабочий компьютер всякий раз, когда работник отлучается от стола.