С развитием и повсеместным распространением мобильных устройств все более важным становится вопрос сохранения конфиденциальных данных компании. Раньше все было предельно просто – вот рабочий компьютер, вот домашний, вот рабочий телефон, вот домашний. Сейчас все смешалось в тугой клубок – проверять рабочую почту с домашнего компьютера, использовать свой ноутбук в качестве рабочего, две разных симки в одном смартфоне – и уже не понять, где работа, а где личная жизнь. И это окончательно сформировало проблему для многих компаний – как защитить корпоративную информацию, которая находится на персональных устройствах сотрудников. Эта тема весьма объемная и требует тщательного анализа, поэтому мы затронем ее в целой серии статей.
Также мы разберем наиболее «болезненные» случаи из имеющейся юридической практики, когда законы умело использовались злоумышленниками и компании несли убытки из-за непродуманности своих действий – это поможет вам обойти многие подобные «грабли» в своей работе.
Определим понятия и законы в вопросах безопасности данных
Итак, определим понятия и вспомним некоторые законы, на которые мы будем опираться в планировании действий по обеспечению безопасности корпоративных данных.
Личное устройство сотрудника – любое устройство, которое он приобрел на свои средства и которое имеет право использовать в любых целях в рамках закона.
Корпоративное устройство – любое устройство, выданное сотруднику, которое было приобретено на средства компании и состоит у нее на балансе.
Корпоративная информация – любая информация, которая относится к компании, в которой трудится человек, не являющаяся при этом публичной и открытой. То есть деловая переписка, адреса, пароли, контакты и прочие данные. Информация, которая доступна в открытых источниках, к таковой не относится.
Личная информация – любая информация, владельцем которой является человек как гражданин (не как сотрудник) – личная переписка, фотографии и прочее.
Рабочее место – территория, на которой трудится сотрудник, для простоты отнесем сюда любые места, где может работать человек – офис, объекты на выезде, длительные командировки, домашний офис и т.д.
Право на неприкосновенность частной жизни и тайну переписки – гарантированно Статьей 23 Конституции Российской Федерации. Действует в отношении личной информации и личных устройств сотрудников.
Трудовой договор – договор между предприятием и работником, регламентирующий их взаимодействие во всех сферах – режим, обязанности сторон, финансовая сторона и т.д. Может иметь различные Дополнительные соглашения, которые заключаются между сторонами уже после заключения основного договора (например, об изменении оклада или смене графика работы).
Право на получение полной информации об условиях труда – суть Статьи 24. Трудового Кодекса Российской федерации состоит в том, что работник вправе знать все об условиях своего труда. Включая информацию о возможном видеонаблюдении за его рабочим местом или праве работодателя отслеживать его сетевую активность.
Доказательства, полученные незаконным путем – один из неоднозначных пунктов российского законодательства (УПК РФ, Статья 7, пункт 3), ставший лазейкой для недобросовестных лиц. Суть в том, что если доказательство получено даже с незначительными нарушениями закона (например, запись диалога, сделанная без предупреждения о том, что разговор записывается или при получении данных с корпоративного ПК пользователя без его ведома (!!!)) не имеет юридической силы. И здесь речь не о «выбивании показаний» или иных действительно незаконных методах, а, к примеру, об использовании в качестве доказательств видеозаписей со скрытых камер.
BYOD (Bring Your Own Device, дословно – принеси свое собственное устройство) – ставшая популярной благодаря своему удобству концепция, которая подразумевает использование людьми своих личных устройств в рабочих целях. При этом сотрудники получают удобство и минимум устройств, необходимых в работе, а компании – значительное сокращение затрат на технику и даже площади офисов.
Приведем пример бизнеса со сложной ситуацией
С терминами определились, теперь смоделируем максимально «разношерстную» ситуацию, которая может возникнуть в бизнесе и которую нам предстоит разобрать. Итак, дано предприятие, в состав которого входят:
- Головной офис в городе А.
- Дополнительный офис в городе Б.
- Производственный цех в поселке В.
- Удаленные сотрудники в городах Г и Д. Работают из дома с личного ПК.
- Сотрудник, имеющий выездной характер работы (менеджер), действующий в рамках страны. Для работы использует смартфон и ноутбук.
- Сотрудники, имеющие выездной характер работы (монтажники/наладчики/ремонтники), действующие в рамках страны. Для работы используют наборы дорогостоящих инструментов, расходники, автомобиль.
Сперва о хорошем. Как фирма может сэкономить в такой ситуации? Элементарно: удаленные сотрудники используют свою мебель и ПК, выездной менеджер – свой ноутбук и смартфон, а ремонтная бригада – автомобиль одного из них (с компенсацией бензина и амортизации). Учитывая, что люди используют свои устройства – они на связи буквально 24/7, что выгодно компании. Как показывает практика, использование такого подхода сокращает общие расходы предприятия в среднем на 40% (по опросу компании Cisco в РФ). Кроме того, этот подход повышает лояльность сотрудников к компании за счет эффекта «на работе как дома».
Вариант от противного – вся техника покупается предприятием и выдается работникам «под расписку».
Затем немного о плохом. У всех перечисленных сотрудников с личными устройствами на них полно конфиденциальной корпоративной информации и она может стать мишенью для злоумышленников. Защитить ее в такой ситуации кажется сложнее, чем когда вся она сосредоточена в стенах офиса, но на самом деле это не так. Невозможно снабдить камерами каждый метр офиса, невозможно отследить каждый звонок или электронное письмо, а отразить атаку на ПК сотрудника не сложнее, чем на офисный компьютер. Устранить угрозу на 100% нельзя, но можно приложить усилия, чтобы минимизировать как человеческий фактор, так и технические моменты обеспечения информационной безопасности.
И, наконец, о неизбежном. Нельзя иметь одновременно сверхнадежную защиту и удобные и уютные рабочие места. Ни один «крутой спец» не согласится работать под прицелом камер, а там, где сотрудникам дано «все и для всех» – не имеет смысла говорить о какой бы то ни было защите данных. Во всем нужен баланс. Баланс между удобством работы сотрудников и безопасностью корпоративных данных. Но определить его мало, нужно выстроить целую систему, которая будет обеспечивать безопасность корпоративных данных. И речь здесь не только и не столько о какой-то технической составляющей, сколько о комплексном подходе.
5 шагов для обеспечения безопасности данных
Итак, в общем случае необходимо организовать работу по следующему алгоритму:
Шаг 1. Строгое разделение доступа к информации.
«Если за дело отвечает больше одного человека – виноватых не найти». Это простая истина очень часто игнорируется, отчего возникают ситуации, когда, к примеру, данные от аккаунтов компании в соц.сетях есть не у одного ответственного, а у целого отдела или вовсе находятся в общем доступе. Или когда все билды и исходный код производимого компанией ПО хранятся так, что любой новоприбывший «джун» может получить к ним полный доступ и банально вынести на флешке. Примеров бесконечное количество, поэтому первое действие – разграничить доступ так, чтобы каждый сотрудник имел доступ исключительно к той информации, которая ему требуется. Если чего-то не хватит – он всегда сможет попросить помощи, и это будет лучше, чем если все будут иметь доступ ко всему. Реализуется это как техническими средствами вроде контроля доступа и сетевых политик, так и банальным умением «закрывать за собой дверь кабинета».
Шаг 2. Трудовой договор.
Если вы допускаете, что сотрудник будет использовать для своей работы смартфон, то это имеет смысл прописать в трудовом договоре и должностной инструкции. Причем необходимо сделать это в таком ключе: «работник имеет право использовать личные устройства для выполнения рабочих задач при соблюдении следующих условий…». Условия прописываются либо дополнительным соглашением, либо приложением к основному трудовому договору, большого значения это не имеет.
Если вы планируете выделить сотруднику корпоративное устройство, то в договоре прописываете его ответственность за устройство и обязанность использовать его исключительно в рабочих целях и запрет на применение в личных интересах. Поскольку устройство принадлежит компании, можно установить на нем любые ограничения, а также любое отслеживающее ПО. Разумеется, эти меры также следует прописать в договоре.
Шаг 3. Соглашение о неразглашении (NDA, non-disclosure agreement).
Это отдельный документ, регламентирующий доступ частного лица к закрытым данным компании. Он может заключаться в любой ситуации с любым лицом – сотрудником компании, сотрудниками подрядчика, с исполнителями разовых работ, если в процессе их выполнения они могут получить какие-то закрытые сведения, пусть даже случайно. Суть этого соглашения в том, что человек получает от компании некоторую информацию, нужную ему для работы, но он обязан не только не разглашать ее, но и принимать все меры, чтобы не допустить ее утечки по любой возможной причине. В случае допущения такой утечки ответственность виновного может быть практически любой, вплоть до полного покрытия всех связанных с ней убытков.
Оптимально, чтобы такой документ подписывали все сотрудники компании, но в СНГ, как показывает практика, к нему относятся как к лишней бумаге и заключают в единичных случаях.
Шаг 4. Инструктаж.
Не так страшен умный враг, как глупый друг – эта поговорка имеет много разных вариаций, но суть ее в нашей ситуации сводится к одному – если сотрудник не понимает, какую ценность представляют данные, которые ему доверены, не знает, как и зачем их защищать, не понимает, чем лично ему чревата их утечка (подписывал договор и NDA, не читая – такое происходит сплошь и рядом) – то и заботиться об их сохранности он не будет.
Необходимо каждому сотруднику разъяснить его права и обязанности, указать санкции за допущение утечек, рассказать, что он сам может сделать для защиты данных и чем ему в этом может помочь компания. Ответить на все вопросы и убедиться, что сотрудник не просто «прослушал», а именно осознал все, что ему было изложено в рамках инструктажа.
Шаг 5. Обеспечение технической стороны ИБ.
Только на этом этапе нужно заниматься непосредственно технической стороной обеспечения безопасности данных – когда ваши сотрудники полностью знают все условия и в курсе своей ответственности за возможные проблемы.
Единственным адекватным решением является настройка комплексной системы информационной безопасности – той, которая защищает и офисную сеть, и удаленные устройства – ноутбуки, планшеты и иные мобильные устройства сотрудников. Оптимальным решением для российских компаний является продукт Dr.Web Enterprise Security Space от «Доктор Веб».
Сразу стоит отметить, что здесь мы рассматриваем именно вопрос защиты информации на мобильных и иных удаленных устройствах сотрудников. То есть о мерах контроля доступа в офисные помещения, пропускном режиме, мониторинге локальной сети предприятия, организации видеонаблюдения и прочих сторонах обеспечения безопасности внутри офиса мы говорить не будем – это отдельная большая тема.
Перейдем к планированию защиты
Для примера будем отталкиваться от наиболее распространенного в бизнесе в СНГ примера: сотрудники могут использовать для работы свои устройства. Вот как надо поступить по каждому пункту нашего списка сотрудников:
- Головной офис в городе А. Заключаем договора и NDA с сотрудниками, проводим инструктаж и настраиваем систему информационной безопасности, например, антивирусную сеть Dr.Web. Для сотрудников, которым это не требуется по работе – можно запретить использование персональных мобильных устройств для решения рабочих вопросов.
- Дополнительный офис в городе Б. Аналогично головному офису.
- Производственный цех в поселке В. Аналогично головному офису с поправкой на производственную специфику (своя в каждой отрасли).
- Удаленные сотрудники в городах Г и Д. Работают из дома с личного ПК. Заключить договор и NDA, проинструктировать и включить их ПК в антивирусную сеть предприятия (то есть администратор, отвечающий за безопасность, должен иметь возможность удаленной защиты их ПК). Если для работы не требуются мобильные устройства – также запретить их использование для решения рабочих вопросов.
- Сотрудник, имеющий выездной характер работы (менеджер), действующий в рамках страны. Для работы использует смартфон и ноутбук. Все те же договор, NDA и инструктаж. Учитывая важность и ценность информации, доступ к которой они имеют, оптимальным решением будет выдать им для рабочих задач корпоративные устройства – ноутбук, смартфон – все, что потребуется. Их использование в личных целях должно быть запрещено. Проявляя лояльность, можно выделить им дополнительную сим-карту для личного устройства, чтобы они могли в командировках поддерживать связь с друзьями и близкими, не тратя на это свои деньги. Это тот случай, когда небольшая для компании сумма может существенно повысить лояльность сотрудника. Также важно, чтобы максимум информации, которой они оперируют, хранился на сервере компании, куда они могли бы получить доступ по паролю, а не на устройстве. При таком раскладе кража смартфона или ноутбука не будет автоматически обозначать утечку корпоративных данных. Также при использовании корпоративного продукта от «Доктор Веб» сотрудник или администратор сети сможет удаленно зачистить украденное или утерянное устройство, начисто удалив с него все данные (функция компонента Антивор).
- Сотрудники, имеющие выездной характер работы (монтажники/наладчики/ремонтники), действующие в рамках страны. Для работы используют наборы дорогостоящих инструментов, расходники, автомобиль. Общие правила те же. Если автомобиль корпоративный – разумно оснастить его gps-маяком и отслеживать его использование сотрудниками. Если машина принадлежит самому специалисту – то, как показывает практика, точно отследить его действия просто невозможно. Самое ценное – оборудование и инструменты выдаются на условиях материальной ответственности, а смартфоны и иные личные устройства монтажника редко содержат какую-то критичную для фирмы информацию.
Итак, в целом защита обеспечена. Данные не так просто украсть или потерять, люди знают, что делают и зачем, они используют свои устройства, и достаточно лояльны компании, чтобы работать «не за страх, но за совесть».
В теории все просто прекрасно. И это в самом деле тот оптимум, который необходимо организовать в любой компании, где разрешено использование личных устройств сотрудников и которой «есть что защищать». Но реальность всегда вносит свои коррективы.
От слов к практике: с какими трудностями и проблемами придется столкнуться
Мы рассмотрели теоретическую часть обеспечения защиты корпоративной информации на устройствах сотрудников и проработали алгоритм внедрения максимально эффективной системы этой защиты в виде целого комплекса действий. В целом все выглядит вполне неплохо и кажется очень просто реализуемым.
Чтобы дать более полную картину и взглянуть на озвученную задачу со всех возможных сторон, в заключительной части материала мы обозначим трудности и проблемы, которые стоит иметь в виду. Ниже будет достаточно много не самой приятной для компании информации, но «предупрежден – значит вооружен», и понимание возможных слабых и «узких» мест в действиях, позволит продумать максимально эффективную стратегию построения системы обеспечения информационной безопасности в отношении мобильных устройств сотрудников.
Итак, наш «проблемный» список выглядит примерно следующим образом:
1. NDA не работает в реальных условиях в РФ. Увы, это так и в реальности нет никаких инструментов (кроме паяльника в темном подвале, но это не про нас) заставить сотрудника, допустившего утечку данных, ответить за этот проступок. На то есть несколько причин:
- Доказать вину конкретного сотрудника практически невозможно. Если информацией владеет более одного человека, что бывает всегда, реальную точку утечки установить нереально. Учитывая, что метод получения доказательств работодателем крайне ограничен, о чем мы поговорим позже – шансы на благоприятный исход близки к нулю.
- Человек не готов платить компенсацию и нести ответственность. Даже если все знают, что он виноват, но он настаивает на своей непричастности к случившемуся – проблема не имеет решения.
- Без согласия виновного взыскать с него ущерб можно только через суд. Кроме того, что это значительные временные и финансовые издержки, это еще и необходимость доказать вину по всем правилам юриспруденции. Да, снова первый пункт.
В итоге единственный вариант, когда человек действительно понесет ответственность согласно NDA – если он сам признает вину и не будет сопротивляться, и отрицать свои ошибки. Как решать проблему? Как поступают многие животные при виде хищника – распушать хвост, шипеть и запугивать. Наличие прописанных в NDA страшных наказаний различной степени адекватности резко снижают у подписантов тягу к безалаберному обращению с важными данными. Но с формулировками, а уж тем более с действиями, надо быть осторожнее.
Пример: Одна весьма крупная фирма в NDA с ключевыми сотрудниками кроме финансовых неустоек прописала за собой право уведомить консульские органы стран Шенгенской зоны, а также США и еще нескольких о том, что нарушивший NDA сотрудник является мошенником, шпионом и еще неизвестно кем. И после скандала с сотрудником это право реализовала. Результат – встречный иск от бывшего работника за клевету, разглашение конфиденциальной информации (!!!) о частной жизни и громадные репутационные и финансовые потери для компании. Допустивший же утечку человек озолотился. Сомнительный результат. В то же время какого-либо типа угрозы могут иметь место, но, увы, приводить их в исполнение банально незаконно.
2. Вы не имеете права доступа к личному оборудованию ваших сотрудников даже если они используют его в рабочих целях. Если у вас есть подозрения, что сотрудник сознательно допустил утечку, то вы не можете просто взять и получить доступ к его устройствам, ибо даже если вы таким образом докажете его вину – суд не примет это во внимание, поскольку доказательства были получены незаконным путем!
Пример: весьма прецедентным и показательным стал случай, когда компания, заподозрившая сотрудницу в утечке данных, взломала ее личный электронный адрес, который также использовался в рабочих целях. Были получены неопровержимые доказательства ее вины, но суд постановил, что они были получены незаконным путем, а потому во внимание приняты не были. Других столь же веских аргументов не было, и мошенница благополучно выиграла дело.
То же касается и других формальных моментов – если сотрудник не был предупрежден, что за ним ведется видеонаблюдение, если разговор с ним был записан без его согласия или в трудовом договоре нет оговорки о предоставлении доступа для работодателя к корпоративному мобильному устройству, выданному сотруднику – эти доказательства не будут приняты в суде! По сути все эти «дыры» в законодательстве РФ позволяют мошенникам уходить от ответственности, даже когда их вина и злой умысел де-факто очевидны всем. Увы, с этой правовой аномалией приходится считаться при получении доказательств вины сотрудника, что зачастую делает их добычу просто невозможной.
3. Халатность в отношении правил и норм безопасности. Ранее мы говорили об инструктаже для сотрудников и строгом распределении доступа. Но это мало сделать однажды – раз в определенный период нужно если не повторять инструктаж полностью, то хотя бы проводить минимальный внутренний аудит безопасности. Необходимо проверять способы хранения и доступности информации для пользователей из различных групп (как в сети предприятия, так и физически), а также устраивать анкетирование сотрудников на предмет понимания ими правил работы с корпоративной информацией.
4. Нелояльность сотрудников. Это самый важный пункт, и если для вас актуальна именно эта проблема – то о какой-то безопасности не стоит даже говорить. Стопроцентного метода решения этой проблемы не существует, и все они сводятся не к искоренению нелояльности, а к повышению лояльности. Предоставление сотрудникам бонусов в виде фитнеса, языковых курсов, ДМС, свободного графика, интересны задач и прочих «благ» позволяет «привязать» людей к вашей компании куда крепче, чем лишние несколько тысяч рублей зарплаты, что подтверждается множеством исследований в разных странах. Но есть и несколько важных элементов, которые также пропускать не рекомендуется:
- Тщательная проверка кандидата перед принятием на должность. Это может делать как кадровое агентство, так и служба безопасности вашего предприятия. Если возникают сомнения – можно связаться с указанными в его резюме компаниями и узнать, как он работал и как себя вел.
- Создание благоприятной атмосферы в коллективе. Это не просто, универсальных методик здесь нет, но здоровая рабочая атмосфера – норма, без которой добиться эффективного труда невозможно.
- Мирное, но тщательное расставание. Если по тем или иным причинам сотрудник увольняется – постарайтесь сделать так, чтобы он ушел «если не другом, то хотя бы и не врагом». Недоплаченные отпускные или еще какая-то «прощальная гадость» могут очень быстро аукнуться компании сливом всех данных, которые имел сотрудник. Просто потому что смог.
- Отсюда же и тщательность – договоритесь с сотрудником, чтобы он передал компании и удалил с личных устройств всю корпоративную информацию, а если в работе он использовал корпоративные устройства – все их он должен сдать обратно. Также после его увольнения все его аккаунты и доступы в компании должны быть удалены.
Суммируя все сказанное, можно сделать простой и в целом очевидный вывод – грамотная политика компании в области подбора кадров и документооборота, качественная система информационной безопасности и лояльность сотрудников вкупе с человеческим отношением к ним – вот те компоненты, которые совместно обеспечивают защиту данных не только на устройствах сотрудников, но и в целом на предприятии.
Читайте похожие статьи:
Вы можете оставить комментарий: