`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Внедрение DLP на предприятии

Установка пробной версии DLP-решения позволяет специалисту, отвечающему за информационную безопасность, без каких-либо затрат адекватно оценить, насколько сотрудники предприятия лояльны компании и каковы реальные угрозы утечек.

Следующий этап после оценки рисков — выбор системы информационной безопасности для внедрения на предприятии. Как уже было сказано, угрозы делятся на внешние и внутренние. Что касается внешних угроз, то, обычно, IT-специалисты решают данную проблему установкой антивирусов, файрволов, прокси-серверов в сочетании с аппаратными средствами.

Ну а когда дело доходит до борьбы с инсайдерами, то IT-специалисты порой неожиданно оказываются яростными противниками внедрения систем информационной безопасности. Руководствуются они, в общем-то, понятными мотивами — нежеланием устанавливать на предприятии дополнительные программные комплексы, которые могут привести к возникновению перебоев в работе всей сети или отдельных рабочих станций. Специалистам, отвечающим на предприятии за информационную безопасность, не стоит доверять в этом вопросе IT-специалистам — ведь оказаться инсайдером может кто угодно, в том числе и системный администратор. В том числе и потому, что они имеют доступ практически к любой информации, циркулирующей на предприятии.

Выбирая DLP-решение для внедрения на предприятии, следует оценить его по ряду критериев. Начнем с того, что решения, не контролирующие все каналы передачи информации и документы, находящиеся на рабочих станциях пользователей, являются, мягко говоря, полумерой. К примеру, если некоторое DLP-решение не может обеспечить перехват и анализ Skype, то руководством предприятия, в лучшем случае, будет принято решение заблокировать установку этого приложения. Что может негативно сказаться на производительности труда менеджеров, которые используют Skype далеко не для того, чтобы болтать с друзьями. Это же касается и программ для обмена мгновенными сообщениями (интернет-пейджеров), не говоря уже о контроле над http и e-mail. Конечно, не каждому сотруднику так уж нужно пользоваться ICQ или ЖЖ, но некоторым категориям работников это необходимо. Полный же запрет на использование определенных программ может привести к понижению не только производительности труда, но и лояльности сотрудников.

Но если же один из каналов, по которому конфиденциальная информация может покинуть пределы организации, не будет перекрыт, то нужно ли вообще перекрывать все остальные? Это в равной степени касается и записи данных на внешние устройства (флеш-карты, DVD/CD), и вывода документов на принтер, и нахождения конфиденциальных документов на компьютерах пользователей.

Время, которое требуется на внедрение решения по информбезопасности в локальной сети предприятия, может сильно варьироваться. Минимальный декларируемый производителями срок составляет два дня — но это только то время, которое уйдет на непосредственную установку программного продукта. Еще как минимум неделя потребуется для настройки политик информационной безопасности и отладку работы решения. При этом важно выяснить у производителя, может ли его продукт быть установлен, скажем, в выходные дни или без ведома пользователей непосредственно во время их работы — или деятельность предприятия фактически будет парализована на время внедрения продукта. В худшем случае внедрение некоторых систем информационной безопасности может затянуться и на полгода. Обычно те производители, которые меняют сеть под свое решение, внедряют продукт дольше, чем те, которые приспосабливают решение под сеть.

И еще: процесс внедрения также должен быть оценен с точки зрения присутствия сторонних специалистов на предприятии. Зачастую они не только устанавливают защитное ПО, но и просят познакомить их с секретными документами, чтобы снять с них т.н. «цифровые отпечатки». В дальнейшем отпечатки будут использоваться для пресечения попыток похищения конфиденциальных данных. Однако часто не только ознакомление посторонних с конфиденциальными документами, но и само их присутствие на предприятии может быть недопустимо.

И еще: процесс внедрения также должен быть оценен с точки зрения присутствия сторонних специалистов на предприятии. Зачастую они не только устанавливают защитное ПО, но и просят познакомить их с секретными документами, чтобы снять с них т.н. «цифровые отпечатки». В дальнейшем отпечатки будут использоваться для пресечения попыток похищения конфиденциальных данных. Однако часто не только ознакомление посторонних с конфиденциальными документами, но и само их присутствие на предприятии может быть недопустимо.

Внедрение DLP на предприятии

Кейс о социальной инженерии

Многие из нас наверняка получали, к примеру, по ICQ, если вы все еще им пользуетесь, сообщения примерно такого содержания:

«Дoброго времени суток! Вас беспокоит техническая поддержка сервиса icq.com. На ваш профиль в ICQ время от времени поступают жалобы от других пользователей сайта по пункту 5.27 правил ICQ. В настоящее время сильно увеличилось количество спама в нашей службе мгновенного обмена сообщениями в сети, потому мы были вынужденны организовать жесткие меры для решения данной проблемы. Потому в том случае, если пользователь не подтвердит верификацию профайла через специальную нашу ссылку, то его профиль будет удален по истечение 15 минут без возможности восстановления. Ознакомится с жалобами пользователей на ваш аккаунт а также и пройти верификацию профайла Вы можете по даной ссылке:

SUPPORT-ICQ.RU/SUPPORT.php

Если же Вы будете игнорировать это сообщение и последующие выше указанные действия, то Ваш профайлбудет удален по истечении 15 минут и востановлению подлижать не будет.

С уважением,

Центральная служба поддержки пользователей icq.»

(орфография и пунктуация сохранены)

Конечно же, интернет-пользователи в своем большинстве люди грамотные и осторожные, вряд ли многие из них попадутся на такую удочку. Но и на старуху бывает проруха. Да и наглость и прямолинейность автора данного послания откровенно удивляют.

Вполне возможно, кто-то из молодых пользователей может «повестись» на такой обман. А ведь компьютерные злоумышленники, которые применяют в своей работе методы социальной инженерии, совершенствуют эти методы постоянно, непрестанно обмениваются опытом. В итоге постоянно появляются новые и новые «шедевры социальной инженерии», в сравнении с которыми «нигерийские письма» уже даже не выглядят смешными (а ведь и «нигерийские письма» уже разорили сотни тысяч людей).

Так что по этой причине было решено в данной статье собрать несколько наиболее простых приемов, позволяющих пользователю своими силами, без применения какого-либо специализированного ПО, а также без консультаций со специалистами и без, само собой, переходов по ссылке определить, что же он получил, — реальное письмо от какой-либо сервисной службы, либо хакерское фейк-послание. На примере данного сообщения мы рассмотрим наиболее распространенные особенности фейковых писем.

1. Большое количество грамматических ошибок. Авторы подобных этому сообщений искрене палагают, што они отлично изучить русская езыка. В данном сообщении множество восемь различных ошибок, и это даже не учитывая довольно корявого стиля текста.

2. Получателя письма пытаются ввести состояние цейтнота. В данном сообщении указывается, что профайл удалится в течение 15 минут. Получателю не предоставляют времени даже спокойно подумать, не говоря уж о том, чтобы поговорить со специалистами. Стоит учитывать, что данное конкретное сообщение поступило утром в субботу. Естественно, большинство IT-специалистов в субботу могут спокойно отдыхать дома от работы, и проводить консультации вряд ли захотят.

3. Нет возможностей для обратной связи. В сообщении можно заметить исключительно веб-ссылку. Не указываются ни e-mail, ни телефоны — нет вообще никаких координат «службы поддержки пользователей ICQ». И вряд ли нынешние владельцы ICQ настолько бедны, что не могут позволить себе содержать достойную службу поддержки.

4. Нелогичность разных утверждений. В пришедшем тексте даже с точки зрения обычной логики можно заметить откровенные глупости. К примеру, упоминаются жалобы от пользователей сайта по пункту 5.27 правил ICQ. Какого именно сайта? Почему не указывается его адрес? Да и вообще, причем здесь какой-то сайт к работе интернет-мессенджера?

Далее: «профиль будет удален по истечение 15 минут без возможности восстановления». Почему Mail.Ru Group удаляет данные без возможности восстановления? Также непонятно, что такое «подтверждение верификации профайла».

В общем, я желаю вам быть внимательными и не попадаться на подобные уловки злоумышленников!

Кейс о социальной инженерии

Как скрыться от рекламной слежки

«Бесплатность» большого количества сервисов Google является столь же мифической, как и, например, «бесплатная» медицина. Ведь каждый поход в поликлинику граждане оплачивают из своих налогов. Ну, а за возможность пользоваться почтовым ящиком на Gmail потребуется заплатить просмотром рекламы. Каждый пользователь, который создает для себя аккаунт в Google, заключает с данной компанией своеобразную сделку: собственно поисковый сервис, а также услуги почты Gmail, видеосервиса YouTube, карт Google Maps он принимает в обмен на данные о себе. Можно предположить, что уже через несколько лет Google будет иметь возможность сформировать настоящий «портрет» любого из своих пользователей. Просто потребуются алгоритмы, которые смогут свести воедино все — от фотографий и номеров телефона в аккаунте пользователя до различных поисковых запросов, геотэгов и самых частых «кликов» в сети интернет.

Данная информация и является тем товаром, который Google предлагает своим рекламодателям. Даже скорее, данный товар предлагается больше маркетологам, потому что чем больше Google узнает о каждом рядовом пользователе, тем легче в итоге получается «отнести» его к аудитории конкретных рекламодателей. Они, рекламодатели, также будут платить больше в том случае, если их объявления увидят не просто интернет-пользователи, а их потенциальные клиенты — те люди, которых рекламируемый продукт скорее заинтересует. Такая рекламная методика получила название «таргетирование»: родителям маленьких детей в Сети демонстрируется реклама разнообразных детских товаров, а также детского питания, автовладельцы же увидят рекламу доступного по цене автосервиса, а также запчастей, бизнесмены, которые по долгу службы вынуждены часто летать, будут видеть рекламу авиакомпаний.

Избавиться от этой назойливой «рекламной слежки» можно, но для этого нужно задействовать настройки рекламы в аккаунте пользователя. Для начала потребуется зайти в аккаунт, потом перейти по адресу myaccount.google.com и кликнуть по вкладке «История». Страницу, которая в итоге открывается, нужно прокрутить вниз, найти там слово «Реклама» и нажать рядом с ним ссылку «Изменить настройки». Здесь демонстрируются настройки «рекламных предпочтений пользователей» и данные — такие как пол, языки, возрастная категория, а также сферы интересов. Если вы желаете увидеть весь список интересов, на которые ориентируется Google во время передачи ваших данных рекламодателям, следует нажать клавишу «Изменить». С ее помощью можно как настроить список интересов, так и вовсе выключить персонализацию рекламы, сделать это можно в нижней части страницы, при помощи раздела «Отключение персонализации».

Стоит учитывать, что и после этого вы все равно будете видеть рекламу на страницах. Разве что она уже не будет «настроена» специально под вас.

Очень важная возможность — вообще сделать так, чтобы Google собирала меньше сведений о вас. Прежде всего, следует изучить историю поисковых запросов. В знакомой вкладке «История» первым же пунктом является раздел «Что искали». Заглянув в раздел «Управление историей», мы увидим графики нашей интернет-активности по часам, по дням, тут же можно посмотреть нашу активность за месяц и т.п. Кроме того, здесь выкладывается и отчет по специфике поиска пользователя — речь о сайтах, картинках, картах и видео. Главное тут — список адресов и слов, которые мы уже смотрели в Google, где указываются точное время и даты. Все это следует удалить из истории. После нужно и вовсе выключить возможность сбора информации о вашем поиске: достаточно нажать пункт «Отключить» на картинке пункта «Что искали».

Абсолютно все то же самое следует проделать с нашим местоположением и с нашими перемещениями (опция «Где вы побывали»). Наконец, то же касается и истории поиска, и просмотра на YouTube, все данные функции доступны на вкладке «История».

Следующий шаг — чистка рубрики «Личный кабинет». Тут можно увидеть все источники, через которые Google собирает данные о пользователях, начиная с наших аккаунтов и до почтовых сообщений и контактов. Собрано очень много информации, с последних записей в блоге до фотографий из Google Фото и покупок, совершенных при помощи Кошелька Google. Удивляемся, а затем методично блокируем абсолютно все, что возможно.

Далее нужно посмотреть, какими девайсами мы пользуемся, — это тоже Google учитывает. Вплоть до времени и дат. Кстати, интересно, что это относится не только к девайсам на Android, но и вообще к любым устройствам, с которых вы выходите в ваш аккаунт. Такую информацию можно найти во вкладке «Безопасность» — «Устройства и действия». Нужно проверить, как девайсы применялись для входа в аккаунт. Если вы заметите в списке гаджет, которого у вас нет и не было, то следит за вами еще кто-то, не только Google. Для незнакомого устройства стоит заблокировать доступ, после этого требуется сменить пароль.

Напоследок можно перейти в «Безопасность» — «Доступ к аккаунту», а также посмотреть список «сторонних ресурсов» и приложений, имеющих доступ к аккаунту, а также данные о том, к каким из сервисов они имеют доступ. Ненужное необходимо заблокировать.

Как скрыться от рекламной слежки: часть 1, часть 2

И все-таки они становятся "корпорацией зла"...

Google, кажется, всерьез намеревается собрать и проанализировать абсолютно всю информацию в мире. Американская компания, которая начинала свое существование в качестве обычного интернет-поисковика, в итоге сумела проникнуть практически во все сферы жизни современного общества, и сделала она это за сравнительно короткий срок — всего за десятилетие. В ее активе не только самый популярный поисковик, но и известный видеосервис YouTube, и знаменитая почтовая служба Gmail, и легендарный быстрый браузер Chrome, и собственное облачное хранилище, и карты Google Maps, и, разумеется, мобильная операционная система Android — очень впечатляющий набор.

Даже в самом руководстве Google не очень-то пытаются скрывать тот факт, что хотят быть компанией, знающей «все обо всех». Прежде всего, само собой, они стремятся получить знания о клиентах — то есть о простых пользователях. Уже в настоящее время Google прекрасно осведомлена о том, что именно мы разыскиваем в интернете, на какие баннеры мы нажимаем, о чем мы пишем письма, какое кино смотрим и каким софтом мы пользуемся в повседневной работе.

Однако Google со временем становится чем-то вроде «всевидящего ока» — даже немного забавно, что древняя библейская аллегория уже в наше время обретает материальное воплощение. Тем не менее, Google действует. Фирма Skybox Imaging, которая была приобретена «корпорацией добра» за $500 млн., производит спутниковые съемки поверхности земли. Кроме того, в 2014 году Google приобрела за $60 млн стартап Titan Aerospace. И теперь беспилотники, созданные этой компанией, могут летать на очень большой высоте, летая непрерывно до пяти лет, питаясь при этом от солнечной энергии. В не столь отдаленном будущем беспилотники Google получат возможность контролировать абсолютно все — от вырубки лесов и до разливов нефти. Однако, как утверждает официальная версия, беспилотники нужны только для улучшения сервисов Google Maps и Google Earth, также они позволяют обеспечить доступ к сети интернет в удаленных и бедных районах планеты.

Важным направлением работы для Google являются и роботы. Интернет-компания, среди прочего, приобрела и инженерную компанию Boston Dynamics, специализирующуюся на создании различных роботов, а также на выпуске ПО для разнообразных интерактивных компьютерных симуляторов. Самой известной из ее разработок можно назвать четвероногого «робота-пса» BigDog, созданного для нужд армии США. Можно вспомнить и про успешные испытания автоматических автомобилей от Google, о которых наверняка наслышаны очень многие.

Возможно, не очень хорошо заранее подозревать в чем-то недобросовестном компанию, по большому счету пока совершенно ничего плохого не сделавшую. Да, конечно, есть методичное «выдавливание» конкурентов с рынка, но в системе капиталистических отношений это кажется вполне нормальным. И ведь долгое время девизом Google было «Не становиться злом», да и компания сейчас старается придерживаться данного принципа.

Кроме того, нельзя спорить с тем, что нынешнего «глобального доминирования» корпорация Google добилась вполне честно. Продукты Google чаще всего бесплатны, при этом они еще и инновационны, и являются более качественными, чем аналогичные продукты от конкурирующих компаний. Оборотная сторона данного успеха — обычному человеку будет все сложнее не использовать продукцию Google. Однако даже если вы и откажетесь из принципа от всей продукции Google, все равно вы не сможете помешать спутникам корпорации снимать ваш дом, а обладателям «умных очков» Google Glass фотографировать вас без вашего согласия.

По мнению Business Insider, сейчас уже проблема даже не в том, что Google знает об обычных пользователях чересчур много. Просто теперь пользователи, которые делают выбор «не в пользу Google» и отказываются предоставлять системе сведения о себе, в итоге навлекают на себя серьезные последствия. Но все-таки, от чересчур пристального внимания со стороны Google и сегодня вполне можно избавиться. Ведь все данные, хранимые Google, пока еще доступны обычным пользователям. Их можно удалить, и далее мы расскажем, каким образом это сделать.

И все-таки они становятся "корпорацией зла"...

Самое важное при составлении политики информационной безопасности

Если вы собираетесь гарантировать информбезопасность компании, для начала потребуется решить, что именно нужно обеспечить, и только затем ответить на вопрос – «как обеспечить?». Без ответов на эти вопросы любые системы, которые вы покупаете и внедряете, будут просто пустой тратой денег. Понять, что требуется сделать для обеспечения информационной безопасности, вам поможет своевременно проработанная политика ИБ, к созданию которой потребуется подойти с максимальной серьезностью.

Для начала установим, что именно сегодня подразумевается под термином «политика информационной безопасности компании». Исследования, проведенные компанией SearchInform, подтверждают, что около трети компаний сегодня могут похвалиться профессионально проработанной политикой информационной безопасности. С другой стороны, приблизительно десятая часть компаний не задается вопросом, как и для чего им нужно защищать информацию. Из данной статистики можно сделать вывод, что разработка политики информбезопасности, равно как и ее реализация в практике работы фирмы придаст конкурентное преимущество определенной организации.

Политикой информбезопасности сегодня называют свод правил, которые охватывают потенциальные угрозы в сфере информации, с коими иногда сталкивается компания, и меры для защиты от данных угроз. Необходимо также отметить, что отличную изученность и превосходную известность абсолютного большинства информугроз, также как и методов для защиты от них, требуется очень подробно отобразить в корпоративной политике информационной безопасности.

При проработке политики информбезопасности самым главным являются максимальные подробность и точность. Не стоит бояться составлять данный документ в слишком уж громоздкой форме из-за большого количества подробностей. Дело в том, что политика ИБ используется не для инструктажа отдельных сотрудников, а в качестве своеобразного «свода законов» для различных специалистов. Руководствуясь данным документом, сотрудники отдела информационной безопасности смогут проработать должностные инструкции для других специалистов компании, а также и иные необходимые для воплощения положений политики данные.

При составлении корпоративной политики информационной безопасности очень важно определить пользовательские роли в пределах корпоративной информсети, чтобы потом на основании данных ролей «настроить» классы защиты информации и допуски для разных категорий пользователей. Понятно, что бухгалтерии по работе требуется одна информация, а отделу продаж нужны уже совсем другие данные, а отделу маркетинга – третьи. Всё это непременно должно быть отображено в политике информбезопасности компании.

В любом случае, на разработку политики информационной безопасности не стоит жалеть ни средств, ни сил, потому что все ваши вложения в будущем окупятся сторицей.

Первое, что потребуется сделать, когда создается основная политика безопасности – это установить, какие сотрудники пользуются в работе какими видами информации. Любое применение контента за пределами ролей и доступов, которые прописаны в политике информбезопасности, возможно исключительно с разрешения отдела информационной безопасности. При этом пользователь должен аргументировано обосновать необходимость этого применения.

Зачастую доступы и роли в итоге предстают в виде многоуровневой структуры. Ничего страшного тут нет, однако сильно увлекаться столь тщательной классификацией все же не стоит, ведь большое количество «ролей» и «уровней» запутает политику, сделав ее тяжело применимой в каждодневной практике по защите информации.

В политике информационной безопасности угрозы обычно представлены как риски. Предварительно при помощи сертифицированных методик требуется рассчитать вероятность осуществления на практике определенной угрозы, затем рассчитывается возможный ущерб для организации, рассчитываются вероятности – в итоге устанавливается значение риска. Для угроз, у которых риск меньше порогового (таковой для каждой из организаций определяется индивидуально), меры по защите предпринимать нет смысла, потому что защита в итоге обойдется дороже, чем сами инциденты. С другой стороны, для «режимных» предприятий обычно пороговый уровень риска очень небольшой, благодаря чему защищаться нужно и от совсем незначительных угроз.
Политика информбезопасности должна предусматривать раздел, который описывает, помимо правил, различные технические решения, которые используются для защиты от современных угроз. Безусловно, тут не нужно конкретизировать всё, чтобы не приходилось производить обновление политики информбезопасности слишком уж часто. Однако общие требования к применяемым сегодня средствам обеспечения ИБ и упоминание различных классов систем в политике информбезопасности должны быть.

При организации политики информационной безопасности обязательно следует помнить и о том, что такая политика должна охватить как защиту конфиденциальности информации, так и обеспечение целостности, доступности и подлинности этой информации. В некоторых случаях это даже будет важнее, чем конфиденциальность. Например, в финансовой сфере подлинность информации можно назвать основной ее характеристикой. Для гарантии доступности информации не стоит забывать и о ее резервном копировании, оно также является очень важной частью корпоративной политики защиты данных.

Можно сказать, что составление политики информбезопасности довольно сложный процесс, поэтому возникает вопрос, заниматься ли этим самостоятельно, или стоит выбрать подрядчика, который выполнит большой объем работы по созданию политики в короткие сроки и на хорошем уровне. Вопрос на самом деле довольно сложный, по той причине, что выбрать компанию, обладающую опытом в отрасли, на которой специализируется ваша компания, и понимающую специфику работы вашей компании, довольно сложно. При этом и услуги привлеченной компании будут стоить дорого. Но с другой стороны, профессионалы смогут усмотреть в политике информационной безопасности некоторые важные моменты, упущенные другими. При том и разработка политики информбезопасности с помощью своих сотрудников также будет платной. Так что здесь нужно хорошо взвесить все «за» и «против».

Самое важное при составлении политики информационной безопасности: часть 1, часть 2

Чтобы раздобыть конфиденциальную информацию компании, надо просто пройтись по кабинетам

В 88% случаев для того, чтобы получить конфиденциальную информацию той или иной компании, достаточно просто туда зайти. Именно так говорят исследования Ponemone Institute, результатами которых я не могу не поделиться с ИБ-сообществом. Отдельные моменты выделены "болдом" — именно их я полагаю наиболее важным для безопасников.

Ponemon Institute, расположенный в Траверс Сити, США, отправил своих исследователей в 47 офисов 7-ми больших компаний, которые заранее дали добро на проведение  опыта, который предложил университет. Сам опыт заключался в следующем. Исследователи играли роль обычных сотрудников компании. Руководство компаний было в курсе, где и когда этот эксперимент будет проводиться. Рядовые сотрудники компаний — нет.

Исследователи на протяжении двух часов просто гуляли по офису, фотографировали экраны компьютеров, документы с пометкой «секретно» забирали с собой. И все это происходило на глазах сотрудников компании. В большинстве случаев рядовые сотрудники не задавали никаких вопросов и не пытались противодействовать краже. Даже те ситуации, когда нарушитель открывал Excel таблицу на каком-либо компьютере и фотографировал ее, оставались без внимания.

«Мы ожидали, что кто-нибудь скажет что-то типа «Эй, вы что тут делаете?», — сказал Лари Понемон, основатель и глава института. Всего только в 7-и случаях сотрудник противостоял исследователю при попытке сфотографировать экран.  В 4-х — при попытке кражи конфиденциальных документов. И только в 2-х случаях, когда исследователи свободно гуляли по офису, разглядывали вещи сотрудников, заглядывали в их мониторы, рассматривали принтеры и факсы. И только в одном случае о подозрительных действиях было сообщено руководству компании. Украденные документы содержали информацию о сотрудниках компании, о клиентах. Были там и финансовые документы, учетные данные и другая конфиденциальная информация.

Стоит отметить, что успешность исследования зависела от нескольких факторов. К примеру, от расположения офиса и от вида работы, выполняемой в том или ином отделе. Скажем, в помещениях со свободной планировкой (open-plan offices) исследователям было легче собрать информацию, чем по кабинетам.

В отделах обслуживания клиентов, сбыта товаров , то есть там, где есть поток незнакомых лиц, конфиденциальной информацией завладеть легче, чем, к примеру, в бухгалтерии. Справочные службы IT и отдел обработки данных располагаются примерно посередине. Только в пяти научно-исследовательских отделах исследователям не удалось завладеть какой-либо информацией.

Еще один момент, на который исследователи обращали внимание, заключался в эффективности "защитных экранов". Если говорить вкратце, то эффект от них незначительный. Также исследователи обращали внимание на эффективность политики "чистого рабочего стола" (корпоративная директива, которая определяет, в каком виде сотрудники должны оставлять свои рабочие места, когда они оставляют их без присмотра или покидают офис), уничтожения документов в машинах измельчения бумаги (шредерах), на практику уведомления служб безопасности о подозрительных действиях.

В то же время был отмечен тот факт, что у исследователей было намного больше времени, чем могло бы быть у настоящих злоумышленников. Однако, примерно в половине офисов первые конфиденциальные документы были найдены в течение 15-ти минут.

---

Какие  из этого всего можно сделать выводы? Ну, во-первых, все-таки банальным проникновением в здание можно добиться куда большего, чем долгим и нудным изучением уязвимостей сайта компании. Хотя, конечно, если компания далеко, то это становится серьезным препятствием. Т.е. локальные конкуренты и злоумышленники опаснее.

Во-вторых, не стоит надеяться на лояльность работников компании. Как и на их сознательность — пока это не закреплено законодательно, никто и не пошевелится. Так что спасение утопающих — дело рук самих утопающих.

Ну, и в-третьих, лучшее средство от физического проникновения — физическая же безопасность.Т.е. банальные стены и двери кабинетов, которые желательно отпираются  карт-ключами или чем-то подобным. Потому что все остальное слишком заставляет полагаться на сознательность сотрудника, а тут уж см. п. 2.

А вы что думаете по этому поводу?

Чтобы раздобыть конфиденциальную информацию компании, надо просто пройтись по кабинетам

Прослушивание Skype: правда и мифы

Skype надежно защищает информацию своих пользователей. Тем не менее, сегодня наличествуют и методы для прослушивания Skype, которые не подразумевают расшифровки трафика.

Сообщения о взломе протоколов Skype появляются в прессе достаточно часто. И, тем не менее, тяжело сказать, насколько они правдивы. Прослушать Skype и правда довольно сложно, к примеру, выделение пакетов Skype-трафика в общем потоке сетевых данных является сравнительно простой задачей, но даже эту задачу и сегодня с успехом могут решать  относительно небольшое количество «файрволов». А все потому, что протокол Skype обладает распределенной структурой. Обмен информацией происходит между собственно клиентскими приложениями, и при этом совершенно не задействуется центральный сервер, ведь к нему можно легко закрыть доступ по его адресу. В большинстве компаний по этой причине просто запрещают устанавливать Skype на рабочие ПК.

Но, допустим, вам все-таки удается «перехватить» Skype-трафик. Стоит знать, что это даже не полдела, ведь потом еще нужно будет долгое время мучиться с расшифровкой данного трафика. При использовании шифрования трафика задействуется AES-256, а для передачи его ключа применяется 1024-битный ключ RSA. Такого набора вполне достаточно для того, чтобы не беспокоясь обсуждать в Skype даже государственные перевороты и революции. Открытые ключи пользователей здесь сертифицируются при помощи центрального сервера Skype во время входа в систему с использованием 1536- или 2048-битных сертификатов RSA. Так что «увести» аккаунт Skype во время подключения к сети тоже будет не очень просто.

Что касается способов, основанных на перехвате информации еще до собственно шифрования, то они сомнений в их эффективности совершенно не вызывают. Такие способы используются всеми – это и спецслужбы авторитарных режимов, прослушивающие разговоры диссидентов, и даже очень любопытные представители «офисного планктона», подслушивающие разговоры коллег. Временами применение таких агентов для прослушивания является легальным, однако очень часто они внедряются и используются по той же самой схеме, что и разное вредоносное ПО.

Также нам нужно подчеркнуть, что у спецслужб доступ к Skype есть в любом случае, ведь сама компания Skype, принадлежащая в настоящее время Microsoft, заверяет, что не отказывается от сотрудничества с любыми правительствами. Примером можно назвать версию Skype, созданную специально для Китая. Данная версия позволяет местным спецслужбам проводить цензуру сообщений, передаваемых через Skype. Разработчики «Скайпа» стараются не сильно распространяться о таком сотрудничестве, однако и очевидного они также отрицать не собираются.

Для чтения сообщений в Skype и прослушивания информации, передаваемой при помощи данного приложения сегодня задействуются способы, которые доказали свою эффективность за много лет их использования. Данные способы прекрасно работают и со Skype, и с другими VoIP-решениями. Они подразумевают перехват звука прямо со звуковой карточки, а также перехват нажатий пользователя на кнопки клавиатуры. Есть и более «продуманные» средства, позволяющие осуществлять мониторинг Skype, они представляют собой своеобразные плагины для собственно Skype-клиента. Такие плагины позволят перехватывать как голосовой и текстовый трафик, так и файлы, которые отправляются через сервис Skype. Именно решения, которые среди прочего позволяют «отлов» файлов, являются сегодня наиболее популярными.

Опишем наиболее простой вариант для мониторинга скайпа. Для проведения мониторинга Sound Recorder'е потребуется выбрать как входной канал Stereo Mixer (называться он может, в зависимости от звуковой карты, несколько иначе – к примеру «What you hear»). Можно также подобрать и бесплатный кейлоггер, его можно за пять минут отыскать в интернете при помощи Google. В результате вы получаете готовую систему, позволяющую отслеживать действия сотрудников. Есть у данной системы и недостатки – к примеру, вместе с разговорами по скайп система запишет и музыку, которую пользователь слушает в перерывах, когда не занят общением. О клавиатурном вводе можно сказать то же самое, пользователям потребуется вручную отделять сообщения, переданные через Skype от информации, набранной в  Word. В целом, решение подойдет в том случае, если нужно проследить, насколько грамотно работник распоряжается своим временем в офисе.  А вот именно в качестве защиты работодателя от возможных утечек данных этот вариант будет не очень удобным.

Отметим, что Skype интересен большинству работодателей именно в таком ракурсе. Они не хотят запрещать сервис Skype вообще (для предотвращения бесцельной болтовни работников – она работодателей не пугает). Работодателям интереснее отслеживать, что говорят и пишут сотрудники через данный сервис. Это должно позволить защититься от утечек данных, а также от распространения негативной информации о компании. А простые кейлоггеры, также как и другие подобные им средства для перехвата данных все же не обладают штатными средствами для анализа собираемой информации, и  чтобы иметь возможность эффективного контроля Skype, нужно обратиться к решениям, которые могут похвастаться именно анализом как свое наиболее сильной стороной. Прежде всего, это DLP-системы.

Большинство современных производителей таких систем утверждают, что их продукты поддерживают контроль Skype. Тем не менее, всем кто хочет получить настоящий контроль Skype в их офисе, мы рекомендуем обязательно уточнять, что разработчик системы понимает под «поддержкой». Просто потому, что большинство таких систем отлично работают с перехватом текстовых сообщений, но не могут производить перехват голоса и передаваемых файлов. Отметим также, что системы, которые контролируют Skype, обладают архитектурой, основанной на агентских модулях. Такие модули подразумевают установку на рабочие станции сотрудников, это надо учитывать, планируя их внедрение.

Прослушивание Skype: правда и мифы, часть 1, часть 2

Как легально контролировать переписку сотрудников

В наследство с советских времен нам осталось много всего. В том числе и «народная мудрость», которая стала чуть ли не девизом «бизнесменов» 90-х: все, что не запрещено – разрешено. Вот только с течением времени появилась новая проблема – большое количество законов, которые порой противоречили друг другу. В итоге, некоторые действия оказывались в «подвешенном» состоянии: вроде бы разрешены, а вроде бы и нет. История повторилась примерно в 2009 г., когда на рынке информационной безопасности большую популярность обрели DLP-системы – от англ. Data Leak Prevention – системы для предотвращения утечек информации. Системы этого класса позволяли осуществлять перехват информации, передающейся по различным каналам, таким как: электронная почта, Skype, IM-мессенджеры и другие. Но вместе с новыми возможностями пришли и новые проблемы: законность перехвата информации.

Примечательно, что проблема однозначно не решена до сих пор. Тем не менее, с каждым годом появляется все больше ясности в этом вопросе. Эту статью мы разделим на две части: теоретическую и практическую. В первой разберем юридические вопросы контроля переписки сотрудников в фокусе современного украинского законодательства. Вторая же будет посвящена инструментам, с помощью которых этот самый контроль можно организовать. К слову, особого значения для закона не имеет то, что мы будем контролировать: переписку в почте, «аське», Facebook или еще где. В нашем случае закон, как говорится, един для всех (каналов информации). Приступим.

Учим матчасть

Желание работодателя контролировать деятельность своих сотрудников вполне понятно. Особенно другим работодателям. Учитывая, что сегодня двумя главными ресурсами любой компании считаются люди и информация, логично, что бизнес желает знать, чем заняты первые и куда передается вторая. Вот только законность контроля – весьма спорная тема. Противники часто любят приводить в качестве аргументов отдельные статьи из Конституции и УК Украины.

В частности, в статье 31 Конституции Украины определяется, что «Каждому гарантируется тайна переписки, телефонных разговоров, телеграфной и другой корреспонденции. Исключения могут быть установлены только судом в случаях, предусмотренных законом, с целью предотвратить преступление или установить истину при расследовании уголовного дела, если иными способами получить информацию невозможно».

Оригинал: Кожному гарантується таємниця листування, телефонних розмов, телеграфної та іншої кореспонденції. Винятки можуть бути встановлені лише судом у випадках, передбачених законом, з метою запобігти злочинові чи з'ясувати істину під час розслідування кримінальної справи, якщо іншими способами одержати інформацію неможливо.

В статье 32 уточняется, что: «Никто не может подвергаться вмешательству в его личную и семейную жизнь, кроме случаев, предусмотренных Конституцией Украины.

{Официальное толкование положения части первой статьи 32 см. в Решении Конституционного Суда № 2-рп/2012 от 20.01.2012}

Не допускается сбор, хранение, использование и распространение конфиденциальной информации о лице без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека.

{Официальное толкование положения части второй статьи 32 см. в Решении Конституционного Суда № 2-рп/2012 от 20.01.2012}».

Оригинал: Ніхто не може зазнавати втручання в його особисте і сімейне життя, крім випадків, передбачених Конституцією України.

{Офіційне тлумачення положення частини першої статті 32 див. в Рішенні Конституційного Суду № 2-рп/2012 від 20.01.2012}

Не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

{Офіційне тлумачення положення частини другої статті 32 див. в Рішенні Конституційного Суду № 2-рп/2012 від 20.01.2012}.

Также приведем пояснения к статье 32: «В аспекте конституционного представления положения частей первой, второй статьи 32, частей второй, третьей статьи 34 Конституции Украины следует понимать так:

– Информацией о личной и семейной жизни лица являются любые сведения и / или данные об отношениях неимущественного и имущественного характера, обстоятельства, события, отношения и т.д., связанные с лицом и членами его семьи, за исключением предусмотренной законами информации, касающейся осуществления лицом, занимающим должность, связанную с выполнением функций государства или органов местного самоуправления, должностных или служебных полномочий. Такая информация о лице является конфиденциальной;

– Сбор, хранение, использование и распространение конфиденциальной информации о лице без его согласия государством, органами местного самоуправления, юридическими или физическими лицами является вмешательством в его личную и семейную жизнь. Такое вмешательство допускается исключительно в случаях, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека».

Оригинал: В аспекті конституційного подання положення частин першої, другої статті 32, частин другої, третьої статті 34 Конституції України слід розуміти так:

– інформацією про особисте та сімейне життя особи є будь-які відомості та/або дані про відносини немайнового та майнового характеру, обставини, події, стосунки тощо, пов’язані з особою та членами її сім’ї, за винятком передбаченої законами інформації, що стосується здійснення особою, яка займає посаду, пов’язану з виконанням функцій держави або органів місцевого самоврядування, посадових або службових повноважень. Така інформація про особу є конфіденційною;

– збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди державою, органами місцевого самоврядування, юридичними або фізичними особами є втручанням в її особисте та сімейне життя. Таке втручання допускається винятково у випадках, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

Уголовный Кодекс на этот счет даже имеет соответствующую статью 163 «Нарушение тайны переписки, телефонных разговоров, телеграфной или другой корреспонденции, которые передаются средствами связи или через компьютер», в которой прописаны «наказания»:

«1. Нарушение тайны переписки, телефонных разговоров, телеграфной или другой корреспонденции, которые передаются средствами связи или через компьютер, – наказываются штрафом от пятидесяти до ста необлагаемых минимумов доходов граждан или исправительными работами на срок до двух лет, или ограничением свободы до трех лет.

2. Те же действия, совершенные в отношении государственных или общественных деятелей или совершенные должностным лицом, или с использованием специальных средств, предназначенных для негласного снятия информации, – наказываются лишением свободы на срок от трех до семи лет».

Оригинал: Стаття 163. Порушення таємниці листування, телефонних розмов, телеграфної чи іншої кореспонденції, що передаються засобами зв'язку або через комп'ютер

1. Порушення таємниці листування, телефонних розмов, телеграфної чи іншої кореспонденції, що передаються засобами зв'язку або через комп'ютер, – караються штрафом від п'ятдесяти до ста неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років, або обмеженням волі до трьох років.

2. Ті самі дії, вчинені щодо державних чи громадських діячів або вчинені службовою особою, або з використанням спеціальних засобів, призначених для негласного зняття інформації, – караються позбавленням волі на строк від трьох до семи років.

Казалось бы, все однозначно и против контроля. Как бы ни так.

Аргументы за контроль

Кодекс Законов о Труде Украины. Точнее, статьи 139, 140 и 142. Приведем их по порядку.

Статья 139. Обязанности работников

Работники обязаны работать честно и добросовестно, своевременно и точно выполнять распоряжения собственника или уполномоченного им органа, соблюдать трудовую и технологическую дисциплину, требования нормативных актов об охране труда, бережно относиться к имуществу собственника, с которым заключен трудовой договор.

Оригинал: Стаття 139. Обов'язки працівників

Працівники зобов'язані працювати чесно і сумлінно, своєчасно і точно виконувати розпорядження власника або уповноваженого ним органу, додержувати трудової і технологічної дисципліни, вимог нормативних актів про охорону праці, дбайливо ставитися до майна власника, з яким укладено трудовий договір.

Статья 140. Обеспечение трудовой дисциплины

Трудовая дисциплина на предприятиях, в учреждениях, организациях обеспечивается созданием необходимых организационных и экономических условий для нормальной высокопроизводительной работы, сознательным отношением к труду, методами убеждения, воспитания, а также поощрением за добросовестный труд.

В трудовых коллективах создается обстановка нетерпимости к нарушениям трудовой дисциплины, строгой товарищеской требовательности к работникам, недобросовестно выполняющим трудовые обязанности. К нарушителям трудовой дисциплины применяются меры дисциплинарного и общественного воздействия.

Оригинал: Стаття 140. Забезпечення трудової дисципліни

Трудова дисципліна на підприємствах, в установах, організаціях забезпечується створенням необхідних організаційних та економічних умов для нормальної високопродуктивної роботи, свідомим ставленням до праці, методами переконання, виховання, а також заохоченням за сумлінну працю.

У трудових колективах створюється обстановка нетерпимості до порушень трудової дисципліни, суворої товариської вимогливості до працівників, які несумлінно виконують трудові обов'язки. Щодо окремих несумлінних працівників застосовуються в необхідних випадках заходи дисциплінарного і громадського впливу.

Статья 142. Правила внутреннего трудового распорядка. Уставы и положения о дисциплине

Трудовой распорядок на предприятиях, в учреждениях, организациях определяется правилами внутреннего трудового распорядка, которые утверждаются трудовыми коллективами по представлению собственника или уполномоченного им органа и выборным органом первичной профсоюзной организации (профсоюзным представителем) на основе типовых правил.

Оригинал: Стаття 142. Правила внутрішнього трудового розпорядку. Статути і положення про дисципліну

Трудовий розпорядок на підприємствах, в установах, організаціях визначається правилами внутрішнього трудового розпорядку, які затверджуються трудовими колективами за поданням власника або уповноваженого ним органу і виборним органом первинної профспілкової організації (профспілковим представником) на основі типових правил.

Таким образом, при решении вопроса о правомерности контроля за корпоративной перепиской сотрудников самое важное – это понять, где проходит граница между частной жизнью работника и его рабочими обязанностями, если речь идет о сообщениях, которыми он обменивается.

Вносим ясность

Внести оную поможет дело 2007 г., которое разбиралось в Европейском суде по правам человека (ЕСПЧ). Но сначала поясним, почему оно может быть важным для украинской судебной системы. Дело в том, что в постановлениях Пленума Верховного Суда Украины упоминается, что судопроизводство должно осуществляться в соответствии с Законом «О выполнении решений и применении практики Европейского суда по правам человека» (Закон от 23 февраля 2006 № 3477-IV).

Но вернемся к делу «Копланд против Соединенного Королевства» (Copland v. United Kingdom) и вынесенному постановлению 03.04.07 № 62617/00.

Было установлено, что заявительница (Копланд) работала в одном из британских колледжей в качестве личного помощника директора. По требованию заместителя директора был установлен контроль использования ею телефона, электронной почты и интернета. По утверждению работодателя, это было сделано для того, чтобы убедиться в том, что она не использует оборудование колледжа в личных целях. Мониторинг использования электронной почты заключался в анализе адресов, дат и времени отправки электронных сообщений.

Однако из-за того, что правила подобного контроля в колледже разработаны не были (в законодательстве эта ситуация тоже не была прописана), ЕСПЧ присудил выплатить заявительнице 3000 евро. Суд привел такие аргументы:

«Довод государства-ответчика о том, что колледж в соответствии с его статутными правами был уполномочен предпринимать «все необходимое или целесообразное» для осуществления образовательной деятельности в области высшего и последующего образования, является неубедительным. Кроме того, отсутствуют данные о существовании в период событий каких-либо положений в общем законодательстве страны или локальных нормативных актах колледжа, устанавливавших обстоятельства, которые давали работодателю право осуществлять мониторинг использования работниками телефона, электронной почты и Интернета. Поэтому, оставив открытым вопрос о том, может ли мониторинг использования работником на рабочем месте телефона, электронной почты или Интернета при определенных обстоятельствах считаться «необходимым в демократическом обществе» для достижения законной цели, Европейский Суд заключает, что в отсутствие в законодательстве страны каких-либо положений, регулирующих такой мониторинг на момент событий, вмешательство не соответствовало закону».

Какой вывод можно сделать из этого дела? Согласно решению ЕСПЧ №62617/00, право работодателя контролировать переписку работника не исключается полностью. Однако это право должно быть закреплено в нормативном правовом акте или хотя бы в локальном нормативном акте. Поэтому, так как от государства никаких пояснений по проблеме нет и в ближайшее время не предвидится, необходимо самостоятельно вносить ясность во внутренних Уставных документах предприятия.

Право работодателя на контроль почты, Skype, «аськи» и т.д. (равно как и обязанность сотрудника использовать почту, Skype, «аську» и т.д. только в рабочих целях) должно быть прописано в правилах внутреннего трудового распорядка организации, так как именно на него ссылается статья 142 КЗоТ Украины:

«Трудовой распорядок на предприятиях, в учреждениях, организациях определяется правилами внутреннего трудового распорядка, которые утверждаются трудовыми коллективами по представлению собственника или уполномоченного им органа и выборным органом первичной профсоюзной организации (профсоюзным представителем) на основе типовых правил».

Оригинал: Трудовий розпорядок на підприємствах, в установах, організаціях визначається правилами внутрішнього трудового розпорядку, які затверджуються трудовими колективами за поданням власника або уповноваженого ним органу і виборним органом первинної профспілкової організації (профспілковим представником) на основі типових правил.

Также следует выполнить еще одно условие, из-за несоблюдения которого Соединенное Королевство и проиграло дело. В рассуждениях ЕСПЧ было отмечено, что «сбор и хранение без ведома заявительницы персональной информации, относящейся к использованию телефона, электронной почты и интернета, представляли собой вмешательство в ее право на уважение личной жизни и корреспонденции». Как видите, суд обратил особое внимание на то, что работодатель не известил сотрудницу о ведущемся мониторинге ее деятельности.

Таким образом, в тех случаях, когда сотрудник знает, что работодатель имеет доступ к содержанию отправленных и полученных сообщений (и тем более выразил согласие на совершение подобных действий), они не должны квалифицироваться как нарушение конституционного права работника.

Поэтому лучше всего заручиться письменным согласием работника, прописав несколько дополнительных пунктов в трудовом договоре. Например, такие:

  1. Работодатель может контролировать использование сотрудниками оборудования (компьютеров) и ПО, принадлежащих работодателю, при помощи «системы»;
  2. Работники извещены о том, что они не должны использовать оборудование работодателя (в рабочее и нерабочее время) для целей, не связанных с исполнением их производственных функций, указанных в Должностных инструкциях;
  3. Работники извещены о том, что в случае использования ими оборудования работодателя в личных целях – посещение личной почты, социальных сетей, общение в интернет-мессенджерах и т.п. – в силу специфики работы системы, работодатель может непреднамеренно получать доступ к этим сведениям, при этом работник дает согласие на подобный доступ.

Или в более «жесткой» форме:

  1. Работники признают, что выделенные им работодателем для осуществления трудовых обязанностей персональные компьютеры (стационарные и ноутбуки), планшетные устройства, мобильные телефоны, иные технические устройства с возможностью выхода в сеть интернет, а также созданные работодателем для работников персональные адреса электронной корпоративной почты должны использоваться исключительно для получения и передачи информации рабочего характера. Использование перечисленных средств в личных целях не допускается.
  2. Работодатель имеет право на получение доступа к информации о просмотренных работниками веб-страницах в сети интернет, а также к содержанию отправленных и полученных по каналу корпоративной электронной почты сообщениях (электронных письмах). Реализация такого права возможна с целью контроля: за обоснованностью использования сети интернет, соответствием данных действий производственной необходимости; за соблюдением работником при общении с контрагентами принятых в компании этических норм; за отсутствием в отправляемых сообщениях сведений конфиденциального характера и т.д.

Также можно внести соответствующее дополнение в «Положение о документообороте (делопроизводстве) компании»:

Вся электронная переписка (далее перечисляем по пунктам остальные «интересы»), сгенерированная (созданная, полученная и т.п.) сотрудником компании, является собственностью компании.

Чем контролировать?

Итого, ответ на вопрос о легитимности контроля активности сотрудника работодателем вкратце можно сформулировать следующим образом «можно, но при определенных условиях». А раз «можно», то рассмотрим инструменты, которые в этом могут помочь.

Принципиально способы контроля можно разделить на «косвенные» и «прямые». Первый способ заключается в сборе различной информации, не относящейся к личной переписке сотрудника. Например, с помощью сетевого экрана фиксировать адреса посещенных страниц из-под той или иной учетной записи. Такой способ в контексте нашей статьи представляется простым и «не интересным».

Поэтому перейдем к инструменту прямого контроля. В качестве примера можно взять DLP-системы – программные комплексы, главной задачей которых является предотвращение утечек информации посредствам перехвата и анализа информационных потоков, передаваемых в организации. Другими словами, DLP-система умеет:

  • перехватывать почту, Skype, отправленные на печать документы и т.д.;
  • анализировать перехваченную информацию по заранее заданным специалистом по информационной безопасности правилам;
  • на основе правил выносить решение о нарушении и либо останавливать информацию, либо создавать уведомление для специалиста ИБ.

Перечисленные пункты – лишь небольшая часть того, что должна уметь хорошая DLP-система. Подробный разбор возможностей и решаемых задач – тема отдельной публикации. А это, уже как говорится, совсем другая история.

ИБ: случаи из Киева

Сегодня я хотел бы поделиться с читателями блога несколькими случаями из жизни нашего киевского офиса. По понятным причинам имена, пароли, явки не разглашаются. Но посмотрите, как много интересного осталось бы скрыто завесой тайны, если бы не DLP-система!

  • Заместитель начальника отдела снабжения киевской сети магазинов бытовой техники отказалась от получения 4% скидки у поставщика, из-за романтических отношений с представителем этой компании, что было выявлено в процессе анализа личной переписки Skype. Потеря этой скидки в месяц обходилась работодателю в 140-150 тыс. долл.
  • Директор московского филиала украинского трубного завода был уличен в отправке информации по проводимому тендеру на поставку труб для российской нефтяной компании. Сумма тендера, который могла проиграть компания, если бы директора не уволили, составляла 11 млн долл. Потеря прибыли около 1,7 млн долл.
  • На киевском предприятии производителе хлеба было выявлено, что недавно устроившийся на работу менеджер по работе с торговыми сетями является «засланным казачком», который устроился на работу для доступа в 1С для получения информации о сотрудничестве с контрагентами.
  • Бухгалтер кондитерской фабрики после отказа в повышении по должности приняла решение скрытно навредить компании-работодателю. Поскольку ситуация об отказе была известна службе безопасности, то сотрудники легко вычислили, что данный «обиженный» сотрудник откорректировала финансовые документы, которые хранились на файловом сервере. Документы можно было бы восстановить, но своевременное вмешательство сэкономило компании время и деньги, ушедшие бы на штраф при подаче отчетности в налоговую службу.
  • Работа двух сотрудников компании в неурочное время не только не принесла видимых результатов, что показал модуль контроля эффективности использования рабочего времени, но и привела к нарушению режима секретности одного объекта. Эти сотрудники проникли на объект, сделали фотографии на фоне и выложили их в социальную сеть «Вконтакте», используя служебные компьютеры.

Это, на самом деле, капля в море, поэтому если вы расскажете свои интересные случаи в комментариях, думаю, это будет интересно и полезно для всех.

Всем хороших выходных!

ИБ: кейсы из Киева

DLP и неформальное лидерство в рабочем коллективе

Современные DLP-системы имеют, как правило, в своем составе модули, позволяющие анализировать социальные связи в организации и находить сотрудников, к которым наиболее часто обращаются другие сотрудники. Многие из этих сотрудников, безусловно, окажутся просто работниками, которые по роду своей занятости много общаются (секретари, офис-менеджеры, кадровики и т.п.). Другая часть подобных работников – это формальные лидеры, руководители различных подразделений организации. Чтобы выявить неформальных лидеров, достаточно определить тех участников данного списка, кто не является «общительным по должности».

Хотя, безусловно, один только частотный анализ обращений к тому или иному сотруднику не может наверняка говорить о его неформальном лидерстве в коллективе, и поэтому от специалиста по информационной безопасности потребуется вникать в саму переписку сотрудников, чтобы понять, насколько тот или иной сотрудник соответствует званию неформального лидера.

Необходимо также отметить, что современные DLP-системы, обладающие мощным аналитическим модулем, позволяют автоматизировать анализ данных переписки для выявления неформальных лидеров. Для этого необходимо составить словарь различных слов, которые покажут характер переписки, свойственный общению с неформальным лидером: в таких письмах и сообщениях будут слова «советую», «рекомендую», «желательно» и т.п. Словарь этот может получиться достаточно длинным, поэтому имеет смысл выделить на его составление адекватный интервал рабочего времени.

Следует также сказать и о том, что для выявления неформальных лидеров не стоит ограничиваться только данными DLP-системы или только опросом руководителей тех отделов, где ищутся неформальные лидеры. Более полные данные из различных источников позволят более адекватно оценить роль тех или иных сотрудников в коллективе.

Впрочем, не менее важно, чем просто выявить неформальных лидеров, понять, что делать с ними дальше. На первый взгляд, кажется, что самый лучший вариант для компании – совместить неформального лидера с формальным, назначив его на руководящую должность. На самом деле, возможно это далеко не всегда. Особенно в случаях, когда неформальный лидер начинает действовать не в интересах компании, а в прямо противоположном направлении. В таких ситуациях правильным решением и вовсе может стать немедленное увольнение такого лидера, поскольку позволит остановить его разлагающее действие на трудовой коллектив. В большинстве же случаев будет более чем достаточно взять неформального лидера на заметку, чтобы в случае возникновения каких-либо эксцессов можно было быстро найти источник проблемы.

DLP и неформальное лидерство в рабочем коллективе

 

Slack подает жалобу на Microsoft и требует антимонопольного расследования от ЕС

 
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT