Новости с шокирующими подробностями мести уволенных сисадминов и специалистов по информационной безопасности своим работодателям в последнее время не редкость. К примеру, в Барнауле системный администратор государственного учреждения, после того как его уволили, вывел из строя компьютерную сеть, запустив вирус. А в Москве обиженный начальник отдела информационной безопасности банка из мести стер информацию со счетов некоторых клиентов, нарушил работу сайта и разместил на нем оскорбления в адрес бывших коллег. Сотрудник ИТ-отдела фармацевтической компании в Новгороде, с которым руководство решило расстаться против его воли, удалил все финансовые данные организации.
Безусловно, такие сообщения заставляют руководство предприятий любого масштаба внимательнее относиться к своим сотрудникам, занятым в сфере управления ИТ-ресурсами и обеспечения безопасности информации.
Доверяй, но...
Большинство экспертов сходится во мнении, что увольнение системного администратора и ИБ-специалиста — крайняя мера, прибегать к ней стоит только в исключительных случаях. Поскольку такие сотрудники относятся к разряду ключевых, повышенное внимание к ним должно обеспечиваться с самого начала — еще до приема на работу. К примеру, Петр Курило, начальник отдела информационной безопасности «ТрансКапиталБанка», подчеркивает, что в процессе найма такой категории персонала нужно учитывать несколько моментов. Во-первых, потенциальных кандидатов на должности сисадмина или ИБ-специалиста должна проверить служба безопасности организации. Во-вторых, работодателю необходимо внимательно изучить резюме, серьезно отнестись к проведению квалификационных собеседований. И наконец, не мешает связаться с прошлым работодателем для того, чтобы составить более полное представление о кандидате.
Всеволод Иванов, исполнительный директор компании InfoWatch, рекомендует также в самом начале отношений работодателя с сотрудниками, которые будут иметь доступ к конфиденциальной информации организации, подписать в дополнение к трудовому договору необходимые документы, где четко будут прописаны различные сценарии и ответственность сторон.
Для сисадминов и ИБ-специалистов должны быть созданы комфортные условия работы, нормальный климат в коллективе, хорошая мотивация. Тогда эти сотрудники, как и любые другие, будут трудиться эффективно и не возникнет причин для взаимного недовольства между персоналом и руководством. Однако, даже если работодателя все устраивает в «айтишниках» и «безопасниках», Всеволод Иванов рекомендует не терять бдительности и периодически проводить независимый аудит таких «суперпользователей». Если же на это нет средств или просто не хочется «возиться», стоит по крайней мере регулярно проверять отчеты, обращая внимание на необычную активность администраторов систем. Если руководитель заметил, что сисадмин или ИБ-специалист начал добавлять функциональность, которой может управлять он один, это свидетельствует о его желании сделать себя «неприкасаемым». Существенно снизить риски поможет наличие «зеркальных» сотрудников, которые могут работать параллельно и дублировать друг друга при необходимости. «Вам нужно организовать свое ИТ-подразделение так, чтобы в нем не было ни одного незаменимого человека», — советует Роберт Монро, профессор Университета Карнеги-Меллона, обладающий многолетним опытом реализации ИТ-проектов.
На каком-либо этапе руководство может решить расстаться с тем или иным сотрудником компании. Причин для недовольства может быть несколько. Аналитики Falcongaze подсчитали, к примеру, что в 2012 году наиболее популярной в мире причиной для увольнений стало нецелевое использование рабочего времени и Интернета (34%). На втором месте в рейтинге — обсуждение, критика руководства и политики компании (19%). «Бронза» принадлежит такой причине, как поиск новой работы (13%). За взятки увольняли 11% сотрудников в прошлом году, за халатное обращение с конфиденциальными данными — 10%, за нарушение внутренних правил компании — 8%, за шпионаж в пользу конкурентов — 5%. Все это относится и к рассматриваемой нами категории персонала, правда, с той оговоркой, что с сисадминами и «безопасниками» расстаются, главным образом, после произошедших по их вине инцидентов в информационных системах. При этом, основываясь на опыте руководителей компаний разного масштаба, можно констатировать, что неприятных сюрпризов скорее стоит ждать от «айтишников», нежели от специалистов по ИБ.
Чтобы помнили
Какими бы ни были причины, расставаться с ключевыми сотрудниками нужно крайне осторожно. Потому что даже плавный бесконфликтный сценарий в любой момент может обернуться драмой. Дмитрий Михеев, эксперт центра информационной безопасности компании «Инфосистемы Джет», рекомендует заранее смоделировать ситуацию и составить план, в том числе учитывающий и характерную для конфликтного увольнения эмоциональность сотрудников. Обязательно нужно отозвать права аккаунта администратора, сменить пароли и отключить служебные учетные записи на ключевых системах. Причем полномочия лучше снимать с сотрудника в момент объявления об увольнении, а подробный контроль за движением данных с рабочих мест и архивных систем следует обеспечить заранее. Это позволит избежать возможных утечек конфиденциальных данных или как минимум зафиксировать их. Также необходимо ограничить доступ уволенного сотрудника на территорию компании, обеспечить его сопровождение при необходимости, изъять ключевые носители, вскрыть сейфы и опечатываемые объекты, сдать или принять журналы ключевых материалов и сохраненные на физических носителях мастер-пароли. В ходе сдачи дел желательно сразу же производить их приемку замещающим специалистом, проверить документальную фиксацию необходимых соглашений о неразглашении, завизировать документы по материальным ценностям. Кстати, нельзя сообщать об увольнении в пятницу, поскольку в этом случае риск неадекватной реакции и возможного ущерба вырастает в разы.
Владимир Чибисов, директор по ИТ компании «ЕвроХим», подчеркивает, что обсуждаемая категория персонала «способна нанести прямой или косвенный ущерб компании, последствия которого могут быть существенными или фатальными». Поэтому в его организации придерживаются жесткого стиля расставания с такими сотрудниками: без предупреждения производится блокировка учетных записей, изъятие АРМов, смена паролей привилегированных учетных записей увольняемого. В дополнение к стандартным мерам Чибисов рекомендует провести беседу с таким сотрудником, предупредить его об ответственности, в том числе уголовной, за причинение возможного ущерба, а также предостеречь от необдуманных действий во благо дальнейшей карьеры. Кроме того, руководству надлежит полностью выполнить требования Трудового кодекса РФ по отношению к такому специалисту.
По мнению Всеволода Иванова, обоюдовыгодное решение таких проблем лежит в плоскости человеческих отношений. Руководитель должен выстроить ситуацию таким образом, чтобы сотрудник не чувствовал себя проигравшим, обиженным, несправедливо уволенным по произволу начальства. Идеальное увольнение — это когда обе стороны довольны. Как говорится в одной американской книге: расставаясь с сисадмином, директору стоит лично подать ему пальто и еще раз спросить, всем ли он доволен.
Иванов уверен, что, если превентивные меры по предотвращению опасных сценариев развития событий не были приняты и конфликтная ситуация все же произошла, не стоит экономить на отступных и бонусах, поскольку риск для компании слишком уж велик.
Все предусмотреть невозможно
Илья Медведовский, генеральный директор компании Digital Security, обращает внимание на важность проведения полного аудита всех информационных систем после ухода значимого сотрудника из компании. Ресурсы следует проверить прежде всего на наличие пользователей с повышенными правами доступа в ОС и приложениях, оставленных троянов, бэкдоров и вирусов, закладок в исходном коде разработанных бизнес-приложений, а также проанализировать правила фильтрации на межсетевом экране, актуальность бэкап-копий, обновления антивирусной защиты. После увольнения сисадмина или специалиста по ИБ необходимо обязательно сменить пароли на всех системах, к которым он имел доступ, а также пароли других сотрудников, работающих с конфиденциальной информацией. Также нужно сразу заблокировать его учетную запись, чего не делают во многих компаниях из-за опасения, что внутри какого-нибудь сервера в сети есть задание, для успешного выполнения которого в домене должна присутствовать эта учетная запись.
Медведовский также обращает внимание еще на один тип сотрудника, опасность увольнения которого не стоит недооценивать, — это программист бизнес-приложений («1С», IBM Notes/Domino и т. д.): «Его увольнение может таить в себе массу гораздо более опасных сюрпризов, чем увольнение администратора. Закладки в коде, живущие годами, позволяют получить доступ к приложениям в обход любых схем аутентификации — мы в нашей практике встречали такие случае не один раз. Такие закладки обычным аудитом информационной системы без применения специализированных средств анализа безопасности кода в принципе невозможно обнаружить».
Безусловно, панацеи от угроз, связанных с профессиональной деятельностью ключевых ИТ- и ИБ-специалистов, не существует. Конечно, у каждой российской компании наверняка есть своя специфика, своя изюминка, свои модели выстраивания отношений с сотрудниками. Но даже в том случае, если какие-то советы по найму и увольнению системных администраторов и работников службы ИБ покажутся неприменимыми в вашей ситуации, помните о главном: любые сотрудники вашей компании — прежде всего живые люди. Не стоит демонизировать стратегически важный персонал и устраивать тотальную слежку за «айтишниками» и «безопасниками». Лучше попробовать построить с каждым ключевым сотрудником по-человечески искренние, хорошие отношения. Это потребует не так много времени и усилий, а отдача может быть колоссальной.