Как решаются проблемы шпионажа в офисе
Моосковское бизнес-сообщество лет 10 назад бурно обсуждало развод одной семейной пары. Не столько потому, что распавшаяся семья считалась очень прочной, сколько оттого, что жена работала в компании мужа, владельца крупной розничной сети, коммерческим директором. И ушла к прямому конкуренту, владельцу другой крупной сети, забрав с собой сотрудников, поставщиков и коммерческие тайны! Эта история стала не только личной драмой, но и нокдауном для семейного дела.
Самые сокрушительные удары почти всегда наносятся изнутри, признают эксперты по информационной безопасности. В двух третях случаев компании и организации теряют ценные данные по вине внутренних нарушителей – то есть своих сотрудников, отмечают эксперты аналитического центра ГК InfoWatch, крупнейшего в России продавца DPL-оборудования, средств защиты от утечки конфиденциальных данных.
Внутренняя угроза
Электронные письма из штаба кандидата в президенты США, демократа Хиллари Клинтон, из которых мир узнал о финансовых и процедурных нарушениях соратников экс-госсекретаря, по версии пострадавшей стороны, попали к обнародовавшей их организации WikiLeaks от русских хакеров. По версии же самой WikiLeaks – от инсайдера в предвыборном штабе. Этот демократ-разоблачитель якобы похитил информацию, к которой имел официальный доступ, потому что был возмущен коррупцией в родной партии.
Утечка данных о владельцах офшоров из архива юридической фирмы Mossack Fonseca, ставшая самой масштабной в мире и вскрывшая финансовые тайны многих политиков, звезд и бизнесменов, по некоторым данным, акт мести со стороны человека, близкого к руководству компании. И такие внутренние утечки – актуальная проблема практически во всех странах. Например, Банк России недавно специально рекомендовал отечественным финансовым организациям следить за своими сотрудниками: с 1 мая начнут действовать разработанные регулятором рекомендации по борьбе с внутренними нарушителями. Именно инсайдеры могут нанести наибольший ущерб банку, предупреждает ЦБ.
Небезопасные данные
Количество утечек информации продолжает расти во всем мире: за 2016 год аналитический центр InfoWatch зарегистрировал упоминания о 1556 случаях потери конфиденциальной информации – это на 3,4% больше, чем годом ранее. В результате утечек скомпрометировано 3 млрд персональных данных – личной информации, номеров социального страхования и реквизитов банковских карт. Самый существенный всплеск произошел в России – здесь зафиксировано 240 утечек, что на 80% превосходит результат 2015 года. Это может быть связано с ростом числа сервисов – и частных, и государственных, обрабатывающих личные данные, предполагает представитель InfoWatch. Теперь ваши электронные данные в компьютерном виде хранятся и в поликлинике, и в компании, обрабатывающей коммунальные платежи. Правда, даже с такой динамикой страна не смогла догнать лидирующие по количеству утечек США и осталась на втором месте, перед Великобританией.
«В результате утечек информации скомпрометировано 3 млрд персональных данных – личных данных, номеров социального страхования и реквизитов банковских карт» _InfoWatch, аналитический центр_
Это, конечно, только те потери, данные о которых дошли до журналистов. Даже при законодательно установленной обязанности сообщать о потерях данных не каждая компания готова признать утечку, особенно умышленную. Ведь даже если похищенные данные не были использованы злоумышленниками, известие об утечке нанесет компании вполне реальный ущерб. Об этом можно судить на примере банка Morgan Stanley. В начале 2015 года на интернет-биржах похищенной информации появились личные данные его клиентов, и представителям банка пришлось признать, что один из сотрудников организации выкрал информацию о 350 000 клиентов. Никто не пострадал, преступника обнаружили, уволили, им занялась полиция, успокаивал банк. Тем не менее на следующий день после заметок об утечке акции Morgan Stanley подешевели на 3,4%.
Дорогая безопасность
Компании объявили войну «кротам», и это начинает приносить свои плоды. В 2015 году число внутренних утечек начало снижаться впервые с 2004-го – на 3% по отношению к данным за 2014 год и на 13% к 2013 году, отметили эксперты InfoWatch. Также уменьшилась и их доля в общем числе утечек: до 62% в 2016 году против 75% в 2014-м. Вдобавок резко сократилось количество умышленных краж информации сотрудниками. Теперь на них приходится лишь 20% внутренних утечек.
Компании реже теряют ценную информацию по вине сотрудников компаний, тогда как ущерб от действий киберпреступников растет, отмечает руководитель отдела по анализу и контролю IT-рисков ФБК Grant Thornton Александр Черненко. Это объясняется тем, что российский бизнес научился следить за сотрудниками и обзавелся необходимым оборудованием.
Правда, обходится это недешево. Российские компании в год тратят порядка 5 млрд руб. на средства защиты от утечки конфиденциальных данных (так называемое DPL-оборудование), подсчитал информационно-аналитический центр Anti-Malware.ru. Система информационной безопасности будет стоить организации со штатом 2000 человек 20–22 млн руб. плюс работа двух специалистов с зарплатой около 60 000 руб. в месяц, подсчитывает Лев Матвеев, председатель совета директоров группы компаний SearchInform.
Как именно компании охраняют данные? Чтобы предотвратить утечки, Банк России рекомендует следить за передачей информации, отсылаемой на внешние адреса; наблюдать за использованием сотрудниками личных средств связи – то есть телефонов, смартфонов и планшетов – и копированием информации на внешние носители. Кроме того, ЦБ рекомендует заблокировать все популярные мессенджеры – ICQ, WhatsApp, Viber, Skype – на тех компьютерах, где обрабатывается конфиденциальная информация. Плюс контролировать использование публичных облачных сервисов. Еще следует контролировать трафик электронной почты и общение сотрудников с помощью камер, советует Матвеев. Исследовательская служба HeadHunter выяснила, что у каждого пятого работника в России, имеющего дело с информационными технологиями, ограничен доступ к файлообменникам, у каждого седьмого нет на рабочем компьютере DVD- и USB-разъемов и ограничен доступ к онлайн-мессенджерам и личной почте.
Утечка по глупости
Компании победили шпионов, но теперь резко выросло количество потерь информации из-за случайных действий сотрудников. С 2013 года доля внутренних утечек, которые произошли из-за случайных ошибок сотрудников, условно говоря, нажавших не ту кнопку, выросла с 46 до 80%. Доля злонамеренных внутренних утечек, соответственно, сократилась до 20%.
Элементарный пример: один из служащих кредитного рейтингового агентства Equifax в США по ошибке отправил одной из клиенток, запросившей данные о своей кредитной истории, 300 писем с финансовыми данными других клиентов. В результате дама получила полный набор личных финансовых данных – от имен и дат рождения до номеров персональных банковских счетов – жителей нескольких штатов.
Или случай из российской практики: последний эпизод четвертого сезона телесериала «Шерлок», озвученный «Первым каналом», который и планировал показать этот сериал в России одновременно с мировой премьерой на BBC, нелегально появился в интернете 14 января 2017 года – за день до премьерного показа. И, судя по всему, пиратскую копию посмотрели многие, потому что на «Первом канале» у этого эпизода были рекордно низкие рейтинги. Опасаясь штрафных санкций от BBC, канал оперативно начал расследование и уже через несколько дней отчитался о результатах. «Мы с сожалением сообщаем, что один из наших сотрудников, не имея злого умысла, нарушил строгие протоколы безопасности, допустив преступную халатность при исполнении должностных обязанностей. Вследствие этого файл попал в сеть», – говорится в официальном сообщении пресс-службы. Канал также заявил, что после инцидента протокол безопасности был полностью изменен «во избежание подобных случаев». BBC был удовлетворен.
Как именно пираты получили доступ к «Шерлоку», не сообщается, но аналитики InfoWatch предполагают, что достаточно было загрузить серию в облако, чтобы до нее добрались пираты. Интернет становится опасным каналом: компании все чаще теряют данные через него, тогда как количество утечек через электронную почту, бумажные или съемные носители снижается.
Честные или изощренные?
Виновников утечек – как умышленных, так и случайных, – чаще всего находят среди рядового персонала. На топ-менеджеров, по данным InfoWatch, в прошлом году пришелся лишь 1% утечек, а на руководителей других уровней – 9%.
На первый взгляд, статистика InfoWatch показывает, что так называемые привилегированные пользователи – топ-менеджеры и системные администраторы – стали порядочнее. Доля умышленных утечек через руководителей сократилась с 11 до 2,2%, через системных администраторов – с 1,3 до 0,4%.
С одной стороны, всех этих пользователей взяли под контроль. С другой – вполне вероятно, что они просто научились обходить системы безопасности, предупреждают аналитики. Принципы и особенности работы систем защиты для них не являются тайной, и в итоге «грамотные» пользователи, решившие украсть информацию у работодателя, просто не используют контролируемые каналы. Снижение доли умышленных утечек, таким образом, частично объясняется растущей компьютерной грамотностью внутреннего нарушителя.
Предупрежден – значит вооружен
Имеют ли компании право следить за сотрудниками? Обычно вопрос о законности прослушивания разговоров и контроля переписки возникает при оспаривании произведенных на их основе увольнений, говорит партнер юридической компании Orient Partners Александр Карпухин. Переписка и телефонные переговоры работника очевидно содержат личные сведения, которые являются тайной. «Ограничение этого права допускается только на основании судебного решения. За нарушение тайны частной жизни, незаконный оборот средств, позволяющих проводить прослушку, есть уголовное наказание, а за нарушение порядка сбора информации о гражданах – административное», – рассуждает Карпухин. Таким образом, работодатель не имеет права проверять личные телефоны и личные почтовые ящики работника, заключает он.
Другое дело рабочая техника. Работодатель имеет право проверить, в каких целях используется рабочее оборудование. Во многих компаниях работодатель размещает при входе в компьютерную систему предупреждение о возможности просмотра компьютера и информации на нем в служебных целях. Входя в систему, работник соглашается с этим, отмечает Карпухин.
Но, как правило, суды не интересуются вопросом о законности и методах получения работодателем информации. И, более того, вообще не рассматривают вопрос о законности или незаконности проверки действий сотрудников: признается дисциплинарным проступком сам факт разглашения информации, при том что сотрудники подписывали документы об их неразглашении.
Сотрудники «Вымпелкома» были уволены за пересылку информации с рабочего почтового ящика на личный, а сотрудница коллекторской компании «Национальная служба взыскания» – за копирование рабочей информации на флешку. Она объясняла суду, что собиралась унести накопитель домой, чтобы поработать внеурочно, но суд решил дело в пользу работодателя и признал ее увольнение законным.
«Лишь 10% сотрудников согласны с тем, что плоды их труда являются собственностью нанимателя» _HeadHunter, компания интернет-рекрутмента_
Работник, который узнал, что его почта и телефон проверяются, может обратиться в правоохранительные органы в связи с нарушением своего права на частную жизнь. Однако правоохранительные органы не имеют практической возможности провести проверку, да и в принципе крайне неохотно работают с такими делами, говорит Карпухин из Orient Partners.
При проведении прослушивания, видеонаблюдения или иной негласной формы контроля за сотрудниками работодатель обязан получить от них согласие на это в письменной форме, подчеркивает управляющий партнер компании «ЮрПартнеръ» Антон Толмачев. Европейский суд по правам человека также склонятся к тому, что, если работник добровольно согласился на слежку за ним, его права не нарушаются, отмечает Толмачев.
Особое мнение
Согласны на тотальный контроль далеко не все. Если добиться подписи под документом о прослушке от линейного персонала работодателю достаточно легко, то с сотрудниками на более высоких позициях все чаще возникают проблемы. Случаи, когда кандидаты отказываются от предложения, узнав о том, что их переписка и телефонные разговоры на новом месте работы будут контролироваться, не единичны, рассказывает руководитель агентства Pruffi Алена Владимирская. В таких случаях бывает, что работодатели идут навстречу, исключив соглашение о прослушке из списка соглашений, подписанных с особо нужным им кандидатом, признает она. Но такие исключения делаются для особо ценных специалистов и руководителей, добавляет она.
Контролю за сотрудниками в России мешают два аспекта. Во-первых, вышедшее на рынок труда молодое поколение, проводящее полжизни в сети, особенно нервно реагирует на вторжение работодателя в личное пространство. Этот парадокс еще лет 15 назад заметил профессор Джеффри Роузен, автор книги «Толпа обнаженных: безопасность и свобода в беспокойную эпоху» (The Naked Crowd: Reclaiming Security and Freedom in an Anxious Age, 2004 г.). Вопросы вторжения в частную жизнь волнуют молодых людей гораздо больше, чем старшее поколение, указывал Роузен. Молодые люди с легкостью доверяют личные данные розничным компаниям – в обмен на скидки – или социальным сетям, но их очень трудно убедить в целесообразности представления частных конфиденциальных сведений государственным чиновникам и работодателям, писал он, ссылаясь на правительственные исследования.
Итак, молодежь, которой в России работодателям и так не хватает, против контроля. И еще национальный аспект: оказывается, российские сотрудники реже иностранных коллег соглашаются с утверждением, что все созданное ими на рабочем посту – от интеллектуальной собственности до базы контактов – принадлежит работодателю, отмечают рекрутеры. По данным опроса HeadHunter, лишь 10% сотрудников согласны с тем, что плоды их труда являются собственностью нанимателя. Более половины служащих при увольнении забирают с собой рабочие материалы и даже конфиденциальные корпоративные данные – и в большинстве случаев без разрешения работодателя, несмотря на подписанные документы о неразглашении. В большинстве случаев речь идет о собственных наработках, но многие не считают зазорным забрать с собой методики и разработки, созданные в команде, базы клиентов и партнеров, а 3% участников опроса признались, что уносили с собой и конфиденциальные сведения о компании. Чаще всего так поступали юристы, маркетологи и управленцы, а реже всего — представители сфер безопасности, автомобильного бизнеса и страхования. Каждый десятый из тех, кто выносил секретную информацию, был готов продать ее конкурентам. Неважно, что на работе все возможные каналы передачи данных контролируются, обходные пути всегда найдутся, с оптимизмом отмечали россияне, опрошенные службой HeadHunter.