До недавнего времени все угрозы информационной безопасности были вызваны техническими уязвимостями в системах, которыми злоумышленники могли воспользоватьсaя. Теперь этот перечень пополнился и другими рисками. Дело в том, что законодательства различных стран возложили на компании ответственность за проблемы в области компьютерной безопасности. В частности, одним из законодательных требований стала защита персональных данных. Несоблюдение этого требования многие эксперты склонны рассматривать как новую угрозу для бизнеса.
Правда, сегодня отечественное законодательство не преследует корпорации даже в случае выявления противоправных действий сотрудников, использующих ИТ-средства компании. Это не самая значимая угроза, и при оценке рисков ее просто принимают во внимание, а не предотвращают или минимизируют. Но не исключено, что через несколько лет все изменится, тем более что становятся известными весьма показательные прецеденты.
По мнению менеджера по развитию бизнеса компании Cisco Systems Алексея Лукацкого, за действия, совершенные конкретным человеком должен отвечать конкретный человек: «Такая позиция логична с точки зрения здравого смысла и закона. Как правило, для регулирования подобных вопросов достаточно трудового договора, где присутствует пункт о том, что корпоративные ресурсы, предоставленные работодателем работнику не могут использоваться для выполнения неслужебных обязанностей или противоправных целей».
Не так давно прошли сообщения о том, что Тверской районный суд Москвы вынес приговор братьям Илье и Александру Заславским, которых год назад сотрудники ФСБ обвинили в промышленном шпионаже. Один из братьев — сотрудник компании ТНК-BP, а второй — глава клуба выпускников Британского совета. Заславские были осуждены на год условно с испытательным сроком два года за попытку получить закрытую информацию, составляющую коммерческую тайну компании «Газпром». Подсудимые обвинялись по двум статьям: 30, часть 3 и 183, часть 1 УК РФ (покушение на незаконное получение сведений, составляющих коммерческую тайну, сбор сведений, составляющих коммерческую тайну, путем подкупа). В пресс-службе ФСБ отметили, что суд впервые вынес приговор по этим статьям. По версии ФСБ, задержанные собирали закрытую информацию о компании «Газпром» в пользу иностранных нефтяных и газовых компаний, чтобы обеспечить им преимущество перед российскими конкурентами.
В ТНК-BP приговор суда никак не комментировали. Во время обыска, который оперативники провели в марте прошлого года, были изъяты вещественные доказательства, в том числе копии документов государственных органов РФ, докладных и аналитических записок, относящихся к тематике недропользования, а именно они в первую очередь и относятся к коммерческой тайне. Полученную информацию братья Заславские хранили на корпоративных почтовых серверах, которые были изъяты в ходе сбора доказательств.
Примечательно, что репутация компании ТНК-BP в результате не пострадала.
На Западе мотивация ответственности бизнеса перед обществом и контроль за действиями сотрудников носят иной характер. «Думаю, в качестве ключевого фактора мотивации на Западе выступает имеющееся в обществе понимание того, что с этими вредными вещами надо бороться. Неограниченный, бесконтрольный доступ к информации аморального характера, а также полная анонимность Internet только усугубила масштабы этого зла», — считает заместитель генерального директора компании InfoWatch Рустэм Хайретдинов.
В западную прессу попадают несколько иные истории, затрагивающие вопрос контроля за действиями сотрудников и тем контентом, которым они наполняют корпоративный трафик. Например, известен случай, когда сотрудница одной компании получила по корпоративной почте от коллеги картинку откровенного содержания. Это стало поводом для обвинения в сексуальных домогательствах. Примечательно, что ответчиком был не сотрудник, с чьего почтового адреса ушло фривольное сообщение, а компания, которая, по мнению заявительницы, позволяет сотрудникам распространять подобный контент. Очевидно, что иск к юридическому лицу может многократно превышать размер иска к частной персоне. Не исключено, что вся эта некрасивая громкая история стала плодом сговора сотрудников двух организаций. Тем не менее факт налицо и иск был удовлетворен.
Для России подобные истории скорее экзотика. Тем не менее в условиях кризиса, когда конкуренция обостряется, подобные прецеденты могут быть использованы в конкурентной борьбе.
Пути решения проблемы
Руководители ряда компаний не исключают, что их сотрудники могут, например, принимать легкие наркотики и использовать корпоративную почту или средства обмена короткими сообщениями для их заказа или даже для продажи. Технически решение этой проблемы выглядит просто — в первую очередь посредством контроля доступа на запрещенные сайты, перечень которых несложно пополнять. Но контроль доступа не позволяет отслеживать входящий и исходящий контент и в частности какую информацию сотрудники копируют на корпоративные компьютеры, публикуют в Internet или рассылают по почте.
На прошедшей выставке InfoSecurity ряд производителей средств фильтрации представили довольно развитые средства анализа фото- и видеоконтента. Если раньше считалось, что анализировать необходимо только тексты, то сейчас стремительными темпами развиваются средства по контролю фото- и видеоконтента.
Темпы развития технологий, как правило, выше, чем темпы их использования потребителями. Например, при наличии средств сложного анализа текста пользователи продолжают довольствоваться анализом сообщения по ключевым словам. «Конкуренция решений часто уходит в те области и направления, которые в реальной жизни никогда не будут использоваться. Например, кто-то из производителей заявляет, что их решение поддерживает более трехсот форматов данных, а у конкурентов только семьдесят. На самом деле активно будет использоваться от силы десяток наиболее популярных. Все остальное — из разряда экзотики», — считает Хайретдинов.
«Контролировать входящий и исходящий контент необходимо хотя бы потому, что кража конфиденциальной информации с использованием корпоративной почты или общедоступных сервисов — угроза более чем актуальная, особенно сейчас, в условиях кризиса, — считает директор по развитию бизнеса НИП «Информзащита» Михаил Емельянников. — Что касается рисков, вызванных с действиями сотрудников, которые используют корпоративные ресурсы для недопустимой деятельности (рассылки спама, экстремистских материалов, доступа к порнографическим сайтам), то ими работодатели займутся, только когда появятся соответствующие законодательные нормы. Без них заставить бизнес вкладываться в контентный анализ и блокирование неправомерных действий практически невозможно».
Задача контроля контента не исчерпывается технологиями. В условиях, когда мотивация отсутствует (в первую очередь со стороны регуляторов), у многих остаются нерешенными базовые задачи, без которых мониторинг контента будет малоэффективен. Например, изменение отношения к корпоративным ресурсам потребует дополнительных проработок политик безопасности и регламентов, а сейчас такие политики для доступа к конфиденциальной информации определены далеко не на всех предприятиях и в организациях. Далеко не везде введен режим коммерческой тайны, а это значит, что сотрудника будет очень сложно обвинить в нарушении или разглашении этой тайны.
Без решения перечисленных базовых задач заниматься решением экзотических задач никто не будет, поэтому сегодня тему ответственности за действия сотрудников, использующих корпоративные ресурсы для своих противозаконных целей, скорее стоит расценивать как миссионерскую. Это подтверждает и реакция руководителей служб информационной безопасности на заседании недавно состоявшегося экспертного совета «DLP-Эксперт». Попытка обсудить эти вопросы вызвала недоумение у его участников, поскольку сейчас перед ними стоят совсем другие задачи.
Однако тенденция рано или поздно изменится. После выхода из кризиса жизнь станет налаживаться, появятся другие потребности, которые не всегда будут совпадать с нормами принятой морали и требованиями общества. Чтобы эти частные инициативы не поставили под угрозу ни в чем не повинный бизнес, о мерах противодействия стоит задуматься уже сейчас.