`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Алексей Дрозд

Бесплатная почта – зло. Но зло контролируемое, причем легально!

+37
голосов

Использование бесплатных почтовых сервисов для рабочей переписки – это не просто моветон, это серьезная угроза безопасности вашей компании. Поэтому использование таких сервисов в рабочее время и на рабочем месте нужно, как минимум, строго контролировать. Причем, не нарушая законодательства.

Трудно сказать, почему сотрудники так любят использовать бесплатную почту вместо корпоративной. Возможно, всё дело в привычке к интерфейсу Mail.ru, Yahoo и «Яндекса», возможно, всё дело в желании иметь доступ к почте отовсюду, а не только с рабочего места. Правда, с современными смартфона и планшетами это становится легким делом с любым почтовым ящиком. Сравнительно небольшой процент сотрудников пользуются бесплатными сервисами для распространения корпоративных секретов, принадлежащих целиком и полностью своему работодателю. Впрочем, вредят компании не только они, а все, кто пользуется бесплатными сервисами электронной почты для ведения деловой переписки.

Обычно главное, на что обращает внимание руководство, – это «несолидность» использования адресов не на корпоративном домене. Что и говорить, если компания претендует на лидерство в том или ином сегменте рынка, и позиционирует себя как современная и продвинутая организация, адреса на визитках и буклетах, заканчивающиеся на “…@mail.ru” выглядят, скажем прямо, достаточно странно. Хотя многие производители тех же продуктов питания не стесняются даже печатать такие адреса на этикетках своих продуктов. Но имиджевые потери от использования бесплатных почтовых сервисов – ничто по сравнению с потерями информации, и особенно с её утечками.

За что отвечает бесплатный почтовый сервис? Ни за что. Если вы, может быть, читали пользовательское соглашение любого бесплатного почтового сервиса, которое «подписывали» при регистрации, то знаете, что в нем в обязательном порядке есть пункт «отказ от ответственности». Поэтому и за сохранность писем, которые вы передали, и за доступ вас к вашему аккаунту никто не отвечает. Вспомните, как часто появляются новости об утечках и взломах паролей к бесплатным почтовым серверам. В следующий раз среди десятков, а то и сотен тысяч скомпрометированных учетных записей может оказаться и ваша. И если вы сохраняли копии документов, которые пересылали своим клиентам, то последние окажутся под угрозой – теперь вашим ящиком могут распоряжаться мошенники, рассылая с него похожие как две капли воды на ваши коммерческие предложения, ссылки с которых ведут на мошеннические сайты. Вряд ли клиент, перешедший по такой ссылке и получивший «трояна», укравшего деньги с его банковской карты, будет и дальше оставаться лояльным вашей компании. А ведь это только одна из множества возможных схем действий злоумышленников после получения доступа к вашему почтовому ящику, и далеко не самая неблагоприятная для вас.

Вывод прост: на рабочем месте пользоваться бесплатными сервисами нельзя. С оговорками, конечно: если корпоративный почтовый сервер «лежит», а отправить важно письмо нужно архисрочно, то тут уж все средства хороши. Но знать, что использовать бесплатные почтовые сервисы – плохо, и совсем не использовать их – это две разные, очень разные вещи. Чтобы удостовериться, что персонал не использует «запрещенные приемы» (то есть, те самые бесплатные сервисы электронной почты) необходимо контролировать их использование.

Первая мысль, которая приходит в голову – это блокировать доступ к ним (хотя бы к самым популярным) с помощью настроек корпоративного файрволла. Но эта идея не слишком хороша. Во-первых, как уже было написано выше, бывают экстренные ситуации, когда нужна «палочка-выручалочка» в виде того же Mail.ru или Gmail. Во-вторых, всяких бесплатных почтовых сервисов в мире столько, что закрыть доступ к ним всем не представляется возможным. Значит, нужно придумать какой-то способ осуществлять неблокирующий контроль подобных сервисов.

Это очень удобно делать с помощью DLP-системы – программного продукта, созданного для контроля информационных потоков в компании и предотвращения утечек конфиденциальной информации из неё. DLP расшифровывается как Data Leak Prevention – предотвращение утечек данных. На самом деле, такая система является универсальным средством выявление неправомерных действий сотрудников.

Стоит отдельно остановиться на легальности использования DLP-систем. Некоторые сотрудники считают, что работодатель нарушает их конституционное право на конфиденциальность переписки, используя DLP-систему для анализа их почты, в том числе, и для выявления фактов пользования бесплатными почтовыми сервисами без явной необходимости подобных действий. На самом деле, в рабочее время сотрудники должны работать по правилам работодателя и вести не личную, а деловую переписку, которую работодатель имеет право контролировать. Это обстоятельство, а также использование системы ИБ указывается в трудовых договорах и дополнительных соглашениях, которые сотрудники подписывают при трудоустройстве. Т.е. сотрудников ставят в известность о наличии системы ИБ в организации. В таком случае имеет место уже не нарушение тайны переписки, которого и не происходит благодаря работе DLP-системы в автоматическом режиме, а контроль работодателем целевого использования одного из предоставляемых сотруднику ресурсов – подключения к Интернету.

Отдельно стоит рассмотреть вопрос, что же делать с сотрудником, который был «пойман с поличным» на использовании бесплатной почты. Наиболее эффективно, конечно, будет дифференциальное наказание. Если дело было в неработающем сервере корпоративной почты, то наказывать следует системного администратора, а сотрудника за находчивость можно будет даже поощрить. Если выяснится, что сотрудник просто передал какой-то один файл по старой привычке, то достаточно будет провести с ним профилактическую беседу. А вот если налицо случай инсайдерской деятельности и распространение конфиденциальных данных за пределы компании, то здесь уже следует наказывать по всей строгости, обязательно донося информацию о наказании до остальных сотрудников.

Так что, как видите, контролировать использование сотрудниками бесплатной почты, оставаясь в рамках закона, совсем не сложно. Главное – пользоваться для этого правильными средствами.

Бесплатная почта – зло. Но зло контролируемое, причем легально!

+37
голосов

Напечатать Отправить другу

Читайте также

Алексей, ой, не факт.
К примеру, за рубежом активно пользуются тем же hotmail. И не жужжат.
Если человек желает унести информацию, ему это удастся и на работе при наличии своей корпоративной почты.
Запрещать тот же gmail или hotmail - делать смарты инвалидами. А во многих где пользование своими устройствами поощряется.
Наиболее простое - не запрещать бесплатную почту, а создавать рабочие аккаунты,к примеру.

Главный посыл здесь как раз-таки не запрещать, а контролировать.

Конкретная реализация такова: нужно выявлять все письма, отправленные с одного "левого" ящика на другой "левый". Почему так?

1. Вариант "с корпоративного на левый" не подходит, т.к. получим множество ложных сработок: в перехват попадут все письма к партнёрам и клиентам компании.

2. Вариант "с левого на корпоративный" - аналогично.

В итоге, остаётся способ, описанный выше. Политика в этом случае прописывается через "двойное отрицание". То есть создаётся сложный запрос из двух условий:

A. Перехватывать все письма, в которых в поле "от кого" записан корпоративный домен "@company.com".

B. Перехватывать все письма, в которых в поле "кому" записан корпоративный домен "@company.com".

Двойное отрицание прописывается в самом запросе: not A and not B

Кстати, относительно корпоративной почты есть ещё один нюанс: выявлять наличие в письме скрытой копии, адресованной не на корпоративный домен.

В этом случае сложный запрос также состоит условий. Только на этот раз будем иметь смесь из атрибутов "кому" и "BCC".

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT