Каждая третья российская компания читает электронные письма работников, каждая пятая следит за тем, какие они посещают сайты, каждая десятая мониторит переписку в мессенджерах.
Инструменты, которые позволяют в реальном времени контролировать все, что происходит в компьютерах и мобильных устройствах сотрудников, доступны даже небогатым компаниям. Причем информацию можно считывать как со служебных, так и с личных гаджетов. Больше того – уже тестируются технологии, которые позволяют перехватывать разговоры по мобильному телефону, пишет «Секрет фирмы». О том, стоит ли следить за перепиской и разговорами сотрудников на рабочем месте, эксперты рассуждают давно. Этические вопросы сталкиваются с интересами компании, и в итоге каждый руководитель делает свой выбор. В случае слежки, кстати, необходимо оповестить об этом всех сотрудников.
Владимир Андриенков, независимый эксперт в области информационной безопасности, бывший исполнительный директор компании «Трафика» рассказал о том, как работают средства корпоративной слежки и все ли они законны.
Как следить
Программное обеспечение, которое следит за сотрудниками и контролирует их действия, делает информацию доступной работодателю сразу — ни в каком зашифрованном виде она не хранится. Такой софт действуют локально и никак не связан ни с операторами, ни с провайдерами.
Во-первых, это так называемые программы-агенты, которые устанавливаются на компьютеры, и считывают нажатия клавиш, делают скриншоты, фиксируют весь интернет-трафик. Таких программ на рынке сотни, так как они относительно легко пишутся. Приведу несколько примеров.
Во-вторых, есть DLP (Data Leak Prevention) — технологии предотвращения утечек конфиденциальной информации из информационной системы во внешний мир (и технические устройства для осуществления этой задачи). DLP-системы анализируют потоки данных, пересекающих периметр защищаемой информационной системы. Если в потоке обнаруживается конфиденциальная информация, срабатывает активная компонента системы — и передача сообщения (пакета, потока, сессии) блокируется.
Такие решения контролируют поток, который входит, выходит и циркулирует в периметре. Сейчас речь о пространстве офиса. Физически это обычный сервер (или группа серверов), который анализируют весь офисный трафик. DLP-системы с помощью технологий инспекции пакетов (DPI) читают не только заголовки сообщений, где написано, кому должно уйти письмо, но и вообще все передаваемые данные.
Такие системы обычно работают в двух режимах: мониторинг и блокирование. В первом случае система просто мониторит и скидывает подозрительные вещи сотруднику, отвечающему за безопасность, а он это читает и решает, хорошо это или плохо. Во втором случае система настроена так, чтобы блокировать определенные вещи. Например, все сообщения, в которых содержатся медицинские термины — для этого в систему загружаются медицинские словари. Или все сообщения, в которых содержатся паспортные данные, информация про кредитные карточки, любые иные условия.
Кроме того, есть специальные программы, которые предотвращают перемещение файлов на любой носитель — будь то флешка, жесткий диск или что угодно еще. Чаще всего такие программы являются частью большой системы безопасности и современных решений DLP. Обычно средства защиты комбинируют, потому что ни одно не защищает от всех угроз.
В случае установления такой слежки разумно запретить использование на работе домашних ноутбуков - их можно обнаружить с помощью программно-аппаратного комплекса класса Network Admisson Control (например, Cisco ISE). NAC — комплекс технических средств и мер, обеспечивающих контроль доступа к сети на основании информации о пользователе и состоянии компьютера, получающего доступ в сеть. Такие системы сразу видят и блокируют «чужой» компьютер. Даже если такой системы нет, с помощью системы DLP все равно можно отследить, что с любого компьютера в сети офиса ушло за периметр.
Если человек все время работает удаленно, на его личный компьютер ничего поставить невозможно. Другое дело — если работник что-то делает на своем домашнем компьютере, а затем подключается к корпоративной системе из дома. Для таких случаев есть решения по контролю привилегированных пользователей (CyberArk, Wallix). Они позволяют следить, что делает пользователь, работая из дома, записывая сессию на оборудовании в пределах контролируемой зоны. Речь, разумеется, только о компьютерах, которые удаленно взаимодействуют с сетью предприятия.
Слежку можно установить не только на компьютеры и ноутбуки. Если сотрудник сидит в интернете с телефона через рабочий Wi-Fi, система воспринимает его как обычный компьютер, еще один узел. Все, что человек посылает через WhatsApp или через любое самое защищенное приложение, может быть прочитано. Раньше DLP-решения плохо справлялись с шифрованным трафиком, но современные системы могут прочитать практически все.
Звонки пока не отслеживаются, но Наталья Касперская уже выступила инноватором и предлагает прослушивать разговоры работников в периметре компании. C появлением такой системы с любым телефоном, который попадает в периметр, можно будет сделать все, что угодно. Касперская говорит, что работодатели будут следить только за служебными телефонами.
Законные основания
Российское законодательство не дает никому права читать чужую переписку. Согласно статье №23 Конституции РФ, гражданин имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, а ограничение этого права допускается только на основании судебного решения. К тому же, существует 138 статья Уголовного кодекса РФ, которая вводит уголовную ответственность за нарушение этой тайны (штраф или исправительные работы).
Однако многие работодатели считают, что слежка за работникам законна и даже необходима. Они исходят из того, что корпоративная почта принадлежит компании и должна использоваться только для выполнения служебных обязанностей (выплачивая работнику зарплату, работодатель по сути арендует его время).
Компания оплачивает интернет-трафик, используемый работником в личных целях в рабочее время. То есть, даже если человек переписывается по личной почте или в мессенджерах с помощью рабочего ноутбука или через рабочий Wi-Fi, подобные действия рассматриваются как удовлетворение личных потребностей за счет организации.
Работодатель понесет убытки в случае утечки данных, поэтому, объясняя необходимость слежки, компании ссылаются на закон «О коммерческой тайне» и, в частности, статью 10, которая регулирует меры по охране конфиденциальной информации.
Регулировать слежку
Грубо говоря, вся переписка, осуществляемая при помощи средств, принадлежащих организации и по оплаченным ею каналам связи, является служебной — даже если она ведется в нерабочее время. Поэтому если сотрудник пользуется рабочим компьютером или рабочим Wi-Fi (даже через личный компьютер), уже есть необходимое условие для слежки.
По закону работник не может не знать, что за ним ведется слежка. Юристы считают, что использование программ контроля законно только при условии наличия соответствующего соглашения между работником и работодателем. Обычно при устройстве на работу подписывают трудовой договор, где написано, что служебная переписка будет контролироваться: юристы включают в договор пункт, согласно которому работодатель оставляет за собой право контроля деятельности работников в рабочее время. Есть отдельные соглашения NDA, где дается определение конфиденциальной информации.
В уставах организаций, как правило, указано, что компания является собственником всех материальных, технических, информационных и интеллектуальных ресурсов, в том числе и служебной переписки, которая осуществляется работниками организации с помощью всех этих средств. Кроме того, в организациях обычно действует режим коммерческой тайны. Если система безопасности вводится на уже существующем предприятии, всем работникам дают на подпись соответствующие документы.