Потребность в общении для человека, с одной стороны, вполне естественна, с другой — это один из каналов утечки конфиденциальной информации. Следовательно, для борьбы с утечками необходимо ограничить общение. Такая логика, возможно, достойна армейского прапорщика, но для специалиста по защите информации мир устроен несколько сложнее.
Как только на предприятии появляется доступ в Интернет, все работники немедленно (точнее, сразу после того, как им надоест порнография и анекдоты) начинают общаться с себе подобными на форумах, блогах, чатах и иных сетевых ресурсах — профессиональных, национальных, социальных и сугубо личных.
Насколько это общение вредно для конфиденциальности? Какой приносит ущерб предприятию? А может быть, не приносит? Может, даже наоборот? Давайте разберёмся.
Как и у всех других, у нашей медали две стороны, а все недостатки суть продолжение достоинств. Плюсы и минусы общения в Сети можно разместить на трёх уровнях абстракции. Как видно из представленных в Tаблице 1 данных, существует всего три риска. Причём избавление от этих рисков одновременно означает и отказ от возможных выгод. По этому пути идут примитивно мыслящие руководители либо руководители примитивных коллективов — таких, где пиар, обмен знаниями, моральный климат в коллективе — вещи ненужные или неактуальные.
В соответствии с таблицей запрет или ограничение могут быть сделаны на любом из трех уровней. Меры третьего уровня — самые тонкие и неформальные. Они подразумевают, что сотрудники отдают себе отчёт в том, “как их слово отзовётся”, и при общении в Сети чётко отделяют личное от не вполне личного и тщательно “фильтруют базар”. Иногда ставится интеллектуальный фильтр в виде пиар-службы, которая модерирует постинги сотрудников (но отследить все просто нереально — Интернет-ресурсов слишком много). Бывает, что работникам полностью запрещают выступать от имени предприятия или как-либо ассоциировать себя с предприятием; иногда даже предписывают снабжать все постинги “дисклеймером” (уведомлением), что, дескать, всё вышесказанное — только частное мнение, не имеющее отношения к месту работы.
Отслеживать постфактум публикации своих работников в Интернете можно при помощи поисковой системы. Надо сформировать запрос, включающий варианты наименования предприятия, имена и ники (сетевые псевдонимы) работников. Такой запрос следует повторять регулярно, а лучше — поручить это поисковой системе, подписавшись на соответствующие обновления. Есть и специализированные поисковики, которые автоматически ищут все упоминания о вас и присылают вам все новые ссылки.
Меры второго уровня подразумевают контроль только формального содержания передаваемой информации. Этот контроль может быть автоматизирован при помощи так называемых DLP-систем (data leakage protection). Они следят, чтобы в электронной почте, веб-трафике и по другим каналам не проскочила наружу конфиденциальная информация.
Неразрешённая к передаче наружу информация детектируется как по формальным признакам (по атрибутам), так и по анализу контента. DLP-система, достаточно сложная в эксплуатации, требует её учёта в конфигурации всей локальной сети, почти всех единиц оборудования. Далеко не все предприятия могут позволить себе полноценную DLP, поэтому некоторые ставят её имитацию. Также можно ограничиться организационными мерами, возложив подобный контроль исходящей информации на самого работника. На сегодняшний день в России представлены только три DLP-системы — от компаний InfoWatch, WebSence и Perimetrix. К ним также можно отнести недавно анонсированный интегрированный продукт компании “Инфосистемы Джет” (СКВТ+СМАП), так как он будет охватывать несколько каналов и иметь унифицированный менеджмент политики безопасности.
Меры первого уровня сводятся к регулированию самого факта сетевого взаимодействия. Например, работникам тупо отрубают доступ к некоторым сайтам. Или же такой доступ разрешается не всем, а только “проверенным” (к сожалению, на практике “проверка” обычно сводится к выстраиванию отношений между сотрудником и службой безопасности).
Статистику запретов подсчитать довольно сложно. Можно лишь утверждать, что “казённый” доступ в Интернет составляет довольно существенную часть трафика в обеих столицах и основную — в провинции. Таким образом, полностью исключать Интернет из “рациона” своих работников — это действие, несовместимое с концепцией социальной ответственности бизнеса. Райком не одобрит.
Автор встречал в своей практике меры всех трёх уровней, но почему-то не довелось увидеть случаев их совместного применения. Мысли “безопасников” обычно ограничены единственным уровнем.
Давайте рассмотрим несколько примеров.
Пример 1-го уровня. Не так давно автор выбирал себе новое место работы. На приглянувшемся предприятии ему предложили неплохие условия. Но при более детальном рассмотрении обнаружилось, что доступ в Интернет с рабочего места ограничен как по объёму трафика, так и по адресации. Полностью запрещена “аська”, веб-почта, нет возможности создавать туннели и даже нельзя установить свою операционную систему. Автор отказался от должности, хотя об остальных условиях уже договорились. Кадровик был искренне удивлён таким отказом “из-за ерунды”, а вот несостоявшийся начальник сделал понимающее лицо, пожаловался, что сам страдает, и предложил более высокую зарплату. Но айтишная честь выше презренного металла!
Пример 2-го уровня. Несколько лет назад в одной профессиональной телеконференции в USENET'е завязалась дискуссия между представителями альтернативных точек зрения на методы защиты информации. Сначала спор вёлся в академическом стиле, затем перешёл на личности, а потом и того хуже — стали упоминаться места работы оппонентов. Не слишком пристойные, но привычные аргументы типа “Ламер! — Сам ламер!” сменились вовсе недопустимыми: “А ваш проприетарный продукт на GPL-коде сделан! — А у вас откаты больше общепринятых 15%!”. Автору неизвестно, повлекли ли эти утечки убытки для компаний, но что могли повлечь — факт.
Пример 3-го уровня. В 2007 г. ЖЖ-пользователь под кличкой Tarlith послал по широко известному, но неприятному адресу депутата Госдумы Алксниса. По инициативе последнего, скандал вышел за рамки виртуального мира, обсуждался в прессе и даже на телевидении. Хотя формально оскорбивший выступал под анонимным ЖЖ-аккаунтом, узнать его место работы оказалось очень просто. В итоге СМИ представили дело не в виде конфликта двух граждан и даже не в виде конфликта простого смертного с депутатом, а как инцидент между сотрудником Фонда эффективной политики и депутатом от оппозиции. Ни повод конфликта, ни сам конфликт не имели отношения к ФЭПу и Госдуме. Но ради зрелищности и драматизма СМИ повернули дело именно так и даже многозначительно намекали на разные политико-подковёрные обстоятельства.
Вывод: не пытайтесь решить социальные проблемы техническими средствами. Лечите подобное подобным.
С автором статьи, к.ф-м.н., главным аналитиком компании InfoWatch, старшим преподавателем “Академии АйТи”, можно связаться по адресу: fnn@fnn.ru.
Уровень | Польза | Вред |
1. Сам факт общения | Общение и иное социальное взаимодействие означает более комфортные условия на рабочем месте, лучшее моральное состояние сотрудника | Личное общение — это трата рабочего времени и казённого трафика |
2. Содержание информации | Есть возможность посоветоваться с общественностью, совершить контакт, обмен информацией в служебных целях | Есть возможность ненамеренно разгласить конфиденциальную информацию |
3. Трактовка информации | Общаясь в Сети, сотрудники могут тем самым выполнять некоторые пиар-задачи для компании, повышать её узнаваемость, косвенно рекламировать | При неаккуратном общении есть возможность дискредитации своего предприятия |