Наш блог дислоцируется
информационная безопасность, information security, searchinform
securityinform

Дорогие наши читатели, мы вас очень ценим! Потому в связи с «переездом» блога SearchInform на другую платформу, просим искать нас на securitylab.ru, anti-malware.ru и club.cnews.ru. Или же просто подпишитесь на нашу рассылку, и мы будем присылать вам самые интересные и актуальные новости из мира ИБ прямо на email.

И снова о правомерности контроля сотрудников
информационная безопасность, information security, searchinform
securityinform

13 января крупнейшие информационные агентства РФ опубликовали новость о том, что «Европейский суд по правам человека разрешил работодателям следить за личной перепиской подчиненных».

Громкие заголовки – конёк отечественных СМИ. На самом деле, Европейский суд по правам человека (ЕСПЧ) вынес решение по конкретному делу: по иску румынского инженера Богдана Махаи Барбулеску (Bogdan Mihai Barbulescu). Барбулеску был уволен в 2007 году из-за использования мессенджера во время работы. Сотрудник переписывался в Yahoo не только с коллегами, но и для общения с невестой и родственниками в рабочее время.

Инженер подал жалобу на компанию, заявив, что работодатель нарушил его право на неприкосновенность частной жизни. Суд принял сторону работодателя: «Нельзя назвать необоснованным желание нанимателя проконтролировать, чем занимаются сотрудники в рабочие часы», – говорится в решении.

Суд пояснил, что переписка в мессенджере была просмотрена не с целью проверить личную жизнь работника, а с целью выяснить как идёт рабочий процесс, поскольку сообщения должны были носить исключительно профессиональный характер. При этом Барбулеску получал предупреждения: прежде чем уволить, компания вынесла работнику предупреждение, предъявила ему 45-страничную распечатку чата и напомнила о политике, предписывающей использовать чаты только для бизнес-целей.

В целом судьи Малой палаты ЕСПЧ признали, что работодатель может читать почтовую переписку сотрудников и их мессенджеры, чтобы убедиться в том, что они заняты своими прямыми обязанностями. При этом в вердикте сказано, что «тотальная слежка» за сотрудниками на самом деле недопустима и поэтому требуется разработать комплекс правил, согласно которым можно было бы однозначно принимать решения по поводу того, что может делать сотрудник в интернете.

Дело румынского инженера особенно интересно в сравнении с делом «Копланд против Соединенного Королевства». Оно тоже разбиралось в Европейском суде (в 2007 году) по правам человека и тогда суд встал на сторону сотрудницы.
Если коротко: заявительница (Копланд) работала в одном из британских колледжей в качестве личного помощника директора. В учреждении был установлен контроль использования телефона, электронной почты и интернета. По утверждению работодателя, контроль осуществлялся, чтобы убедиться, что сотрудница не использует оборудование колледжа в личных целях. Мониторинг использования электронной почты заключался в анализе адресов, дат и времени отправки электронных сообщений.

Но правила контроля в колледже разработаны не были (в законодательстве эта ситуация тоже не была прописана), ЕСПЧ присудил выплатить заявительнице 3000 евро. Суд привёл такие аргументы:

«Отсутствуют данные о существовании в период событий каких-либо положений в общем законодательстве страны или локальных нормативных актах колледжа, устанавливавших обстоятельства, которые давали работодателю право осуществлять мониторинг использования работниками телефона, электронной почты и Интернета. Поэтому, оставив открытым вопрос о том, может ли мониторинг использования работником на рабочем месте телефона, электронной почты или Интернета при определенных обстоятельствах считаться "необходимым в демократическом обществе" для достижения законной цели, Европейский Суд заключает, что в отсутствие в законодательстве страны каких-либо положений, регулирующих такой мониторинг на момент событий, вмешательство не соответствовало закону».

Какой вывод можно сделать из рассмотренных дел? Согласно решению ЕСПЧ № 62617/00, право работодателя контролировать переписку работника не исключается полностью. Однако это право должно быть закреплено в нормативном правовом акте или хотя бы в локальном нормативном акте. Дело же Богдана Барбулеску показывает, что, в случае, когда возможность контроля сотрудников закреплена документально, компания может чувствовать себя в безопасности – суд примет это обстоятельство во внимание.

Чем это решение «грозит» россиянам?

Решения ЕСПЧ обязательны для исполнения в странах, которые подписали Европейскую конвенцию по правам человека. В части «в» пункта 4 постановления Пленума Верховного суда РФ от 19.12.03 № 23 «О судебном решении» говорится: «Суду также следует учитывать постановления Европейского Суда по правам человека, в которых дано толкование положений Конвенции о защите прав человека и основных свобод, подлежащих применению в данном деле».
Однако, отметим, что в декабре 2015 года Президент России Владимир Путин подписал закон, согласно которому Конституционный суд может признавать неисполнимыми решения международных судов, прежде всего ЕСПЧ, в случае если их решения противоречат российской Конституции.

Тем не менее «может» не значит «должен». Получается, решение ЕСПЧ дает работодателям (в том числе и российским) еще один аргумент, в пользу контроля недобросовестных сотрудников.

Обычно, противники контроля сотрудников приводят аргументы в виде статей: ст. 23 Конституции РФ, ст. 63 ФЗ 126 «О связи» и, как следствие, часть 2 статьи 138 УК РФ «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений».

До рассматриваемого решения ЕСПЧ, аргументами «за» контроль деятельности сотрудников в РФ были:

1. Часть 2 статьи 209 ГК РФ, которая гласит: «Собственник вправе по своему усмотрению совершать в отношении принадлежащего ему имущества любые действия, не противоречащие закону и иным правовым актам и не нарушающие права и охраняемые законом интересы других лиц, в том числе отчуждать свое имущество в собственность другим лицам, передавать им, оставаясь собственником, права владения, пользования и распоряжения имуществом, отдавать имущество в залог и обременять его другими способами, распоряжаться им иным образом».

Это значит, что работодатель вправе контролировать работников на предмет использования оборудования компании по целевому назначению. Другими словами, так как компьютеры, почтовый сервер, доступ в интернет, электроэнергия и т.д. принадлежат (оплачиваются) компанией, она вправе проследить, чтобы на всѐм этом сотрудник работал, а не занимался своими делами.

2. Статья 22 Трудового кодекса РФ, по которой работодатель обязан «обеспечивать работников оборудованием, инструментами, технической документацией и иными средствами, необходимыми для исполнения ими трудовых обязанностей», и статья 189, где «работодатель обязан в соответствии с трудовым законодательством и иными нормативными правовыми актами, содержащими нормы трудового права, коллективным договором, соглашениями, локальными нормативными актами, трудовым договором создавать условия, необходимые для соблюдения работниками дисциплины труда».

Работник же по статье 21 обязан «добросовестно исполнять свои трудовые обязанности, возложенные на него трудовым договором; соблюдать правила внутреннего трудового распорядка; соблюдать трудовую дисциплину; выполнять установленные нормы труда». При этом в 189 статье «Дисциплина труда» определяется как «обязательное для всех работников подчинение правилам поведения, определенным в соответствии с настоящим Кодексом, иными федеральными законами, коллективным договором, соглашениями, локальными нормативными актами, трудовым договором».

Теперь в пользу работодателя и контроля сотрудников будет говорить еще и решение, вынесенное ЕСПЧ.

Удаленные сотрудники: риски и способы их устранения на примере продуктов SearchInform
информационная безопасность, information security, searchinform
securityinform
Сегодня огромное количество компаний практикуют привлечение удаленного персонала. Благодаря развитию технологий в процессе взаимодействия с сотрудником на расстоянии, как правило, трудностей не возникает. Общение ведется с помощью обычной телефонной связи или IP-телефонии, в формате переписки, звонков и видео-конференций при помощи всевозможных мессенджеров, таких как Skype, Viber, MS Lync и других.

Результат выполнения задач принимается посредством электронной почты и иных Интернет-ресурсов. Для работы удаленно подходят практически все специальности, выполняющие свои функции с помощью компьютера, это программисты, аналитики, пиарщики, редакторы, верстальщики, дизайнеры, маркетологи, журналисты и многие другие специальности.
В то время как удаленная работа имеет свои несомненные преимущества для обеих сторон, работодатель при этом может столкнуться с некоторыми трудностями и рисками.
Например:
·         осуществление контроля и координации рабочего процесса на расстоянии;
·         контроль соблюдения сроков выполнения работы или, в зависимости от специфики работы, присутствие сотрудника в установленное время на своем рабочем месте;
·         учет количества трудозатрат на выполнение поставленных задач;
·         риски, связанные с нарушением информационной безопасности и многие другие.

Проблемы удаленной работы становятся актуальны и для офисных сотрудников, когда те уезжают в длительные командировки.
Для решения перечисленных задач и превращения сотрудничества удаленного формата в плодотворное, созданы специальные технические решения: системы постановки задач, инструменты для удаленной работы, программы для контроля времени и обеспечения информационной безопасности.
Разработки SearchInform – «Контур информационной безопасности» и «Worktime Monitor» – позволяют контролировать работников вне зависимости от физического расположения их рабочих мест.
КИБ SearchInform выполняет комплексный контроль и анализ всех потоков информации, а также производит мониторинг активности пользователей. Продукт SearchInform «WorkTime Monitor» специализируется на учете рабочего времени. По сути, используя эти или подобные им инструменты, сможет получать информацию обо всем, что происходит на ПК работников, находящихся в корпоративной сети или за ее пределами.
Работодателю необходимо видеть эффективность труда персонала и оградить компанию от рисков, связанных с утечкой конфиденциальной информации. Если сотрудников в офисе можно в некоторой степени контролировать лично – проводить разъяснительные беседы, налаживать личные доверительные отношения, с целью профилактики появления инсайдеров, то с удаленными сотрудниками такая работа не возможна. Здесь необходим жесткий контроль. К примеру, можно делать скриншоты с экрана ПК сотрудника, выполнять запись ведущихся разговоров или подключение к ним в режиме реального времени, отслеживать передачу информации и все используемые приложения и т.д. Важно, осуществлять контроль незаметно для пользователя, не отвлекая и не демотивируя его.
В продуктах SearchInform есть скрытый режим агента, который дает возможность осуществлять контроль, не отвлекая работника. При этом, все модули систем SearchInform способны работать удаленно без каких-либо потерь в функциональности. В таком случае агент используемой системы собирает информацию на ПК или ноутбуке и сохраняет ее на локальном диске. Собранные данные передаются на сервер с помощью защищенного соединения. Если же связь отсутствует, информация станет доступной, как только компьютер будет подключен к сети.
Для контроля работы удаленных сотрудников важна возможность гибких настроек выбранного ПО. К примеру, агентов перехвата SearchInform можно заранее настроить на определенные условия: запись только разговоров сотрудника или конкретных каналов обмена информацией, задать график контроля, выполнять мониторинг при работе в определенных приложениях или только при активности рабочей локальной записи пользователя и мн. др. Создание уникальных условий для каждого отдельно взятого сотрудника существенно повышает эффективность контроля.
Благодаря современным технологиям, удаленная работа на сегодняшний день может быть практически приравнена к офисной. Это позволяет работодателю полноценно использовать все плюсы данного формата сотрудничества, не переживать за информационную безопасность компании и своевременный положительный результат. Учитывая все вышеперечисленные факторы, можно предположить, что в будущем рассматриваемый формат трудовых отношений может превратиться из «опции» в основную их форму.

Госкомпании и отечественное ПО
информационная безопасность, information security, searchinform
securityinform
20 ноября в СМИ прошла новость о том, что Дмитрий Медведев подписал постановление об установлении запрета на допуск иностранного программного обеспечения при закупках для государственных и муниципальных нужд.
Однако уже 19 ноября в Сети появились новости, что некоторые иностранные компании нашли способ обойти постановление. Все просто: они создают совместный продукт с российскими разработчиками.


К каким позитивным или негативным последствиям может привести нововведение?

Плюсы:

Очевидно, что принятие постановления дает возможность российским компаниям-разработчикам ПО обрести преимущество на российском рынке. Сегодня на отечественном рынке 67%, а в аппаратной части – 90% зарубежных компаний. По мнению экспертов, принятие постановления, позволит сократить долю иностранного программного обеспечения в 1,5 раза. Если ранее государственный бюджет тратился в основном на иностранных разработчиков, а это порядка 50-60 млрд рублей, соответственно теперь часть этих средств будут получать отечественные производители.
Хотя в некоторых сферах российское ПО вполне конкурентоспособно и без господдержки. Например, на рынке DLP-систем российские разработчики традиционно сильны и достойно конкурируют с зарубежными аналогами.
Подчеркнем, что к замещению нужно подходить аккуратно и последовательно. У большинства потенциальных заказчиков нет информации об отечественных альтернативах. При этом по данным Ассоциации разработчиков программных продуктов сегодня в России насчитывается 200 отечественных производителей, разработавших 1000 программ. Все они соответствуют необходимым техническим требованиям и нормам. Чтобы получить полезный для всех эффект, в первую очередь важно провести PR-компанию для российских разработчиков софта.
Во-вторых, ни одна цель не достигается без планирования. Шутка на тему «Наш народ обычно не имеет плана действий, он страшен своей импровизацией» – не пройдет. Поэтому целесообразно ввести публичную статистку о доле закупаемого в государственном секторе иностранного и отечественного ПО. А также провести инвентаризацию уже используемых систем. Это поможет формированию поэтапных планов перехода на российские решения.

Сложности и риски:

Одно из требований для включения ПО в реестр – права на софт должны быть оформлены на гражданина РФ, компанию или госструктуру в объеме более 50%. Лицензионные отчисления за границу не должны превышать 30%. Получается, что под реестр не попадают те российские разработчики, которые получили иностранные инвестиции и оформили компанию в иностранной юрисдикции, а интеллектуальную собственность зарегистрировали как вклад в созданную компанию.
Также с отказом о включении в данный реестр могут столкнуться компании, привлекающие в производство ПО зарубежных разработчиков, в том числе и фрилансеров.

Еще одна проблема: вероятность ответных санкций и судебных исков против российских компаний. Помимо перечисленного, отсутствие иностранных предприятий на рынке может привести к снижению конкуренции. С одной стороны, это ведет к риску увеличения стоимости продуктов, а с другой – к снижению их качества и торможению развития компаний в целом.

Тонкости NDA и практическая польза от DLP
информационная безопасность, information security, searchinform
securityinform

Сегодня на глаза попался очень хороший материал, посвященный составлению соглашений о неразглашении. Думаю, что большинству читателей нашего блога эта тема близка, поэтому ответственно заявляю, что текст по ссылке выше - отличное пособие, которое подойдет компаниям и в России, и в Украине, и в Белоруссии, и в Казахстане. Потому что законодательство в области коммерческой тайны и реалии её защиты, на самом деле, мало отличаются.

Хотел бы отдельно обратить внимание на ключевой, как мне кажется, момент, лишь вскользь затронутый в упомянутой статье. Вот он:

Реальность взыскания такого штрафа зависит от того, насколько компания сможет доказать, что конкретный работник/контрагент разгласил коммерческую тайну.

Речь идет о штрафе, но вполне понятно, что речь идет о любом взыскании, которое накладывается на работника, допустившего утечку коммерческой тайны. И здесь, думаю, я не преувеличу, если скажу, что именно DLP-система - это тот единственный способ точно установить виновного, без которого нельзя быть уверенным в успехе дальнейшей борьбы с сотрудником-злоумышленником.

Почему я так уверен в этом? Потому что ни одна штатная система контроля трафика, которая обычно используется в компаниях, к примеру, для выявления неэффективно расходуемого рабочего времени, не дает такой информации. Даже если вы получите сведения о том, с какого компьютера сотрудник отправил конфиденциальные данные, вы никак не сможете доказать, что это не сделал кто-то другой в его отсутствие. DLP-система же сможет сказать, под чьей учетной записью было отправлено сообщение, поможет установить, был ли предварительный сговор с другими сотрудниками при получении доступа к информации и сделать тысячу других подобных вещей, становящихся очень важными, когда речь идет о наказании виновных.

Конечно, есть и более продвинутые системы (IDM, например), которые обеспечивают еще лучшую привязку цифровой истории действий к личности, но в реальности именно хорошей DLP'шки хватает для охвата 95% возможных ситуаций в средней организации.


Этика в инфобезе
информационная безопасность, information security, searchinform
securityinform

Один раз мы уже поднимали тему этики в сфере информационной безопасности, сейчас я хотел бы посмотреть на этот вопрос с другой стороны - глазами тех, чьи данные могут пострадать от недостаточного внимания к вопросам сферы ИБ.

Когда специалисты по информбезопасности говорят об их работе, обычно они акцентируют внимание на ее финансовой стороне, а если точнее – то на выгоде, которую компания получает от защиты информации. Однако есть и другая, этическая сторона, о ней многие часто попросту не задумываются. Тем не менее, данная сторона является столь же важной, как и финансовая. Потому мы сейчас остановимся именно на данной проблеме, дабы подробнее ее рассмотреть.
Можно подумать, что между этикой и обеспечением информбезопасности нет и не может быть никакой связи. И, тем не менее, связь есть, и чтобы лучшее ее понять, необходимо первоначально вспомнить определение этики бизнеса.
Согласно ему, деловая этика является сводом неформальных правил (таких, которые не установлены в законодательном порядке), которых организации придерживаются во время осуществления своей деятельности. В деловую этику включаются честность по отношению к сотрудникам, поставщикам, клиентам и даже конкурентам. Также сюда входят некоторые вопросы, которые касаются влияния работы организации на здоровье «обычных людей», на животный мир и на окружающую среду. Хорошая репутация обычно помогает успешному ведению дел и даже обеспечивает дополнительную выгоду. А вот этичное поведение иногда может приводить к уменьшению прибылей, хотя это так далеко не всегда. Наиболее трудные вопросы в области деловой этики появляются в связи с работой многонациональных компаний, когда такие действия, как подкуп сотрудников, без которого в некоторых государствах вообще невозможно вести дела, в других государствах считаются уголовно наказуемыми преступлениями.
Может казаться, кажется, что для многих организаций нет смысла поддерживать нормы и правила, которые в некоторых ситуациях могут вести к уменьшению прибыли. Но кроме максимума прибыли, который можно получить в данное время, у большинства фирм есть и некоторые стратегические цели, которые связаны с долгосрочным развитием организации. Именно этих целей позволяет добиваться этика ведения бизнеса.
Деловая этика начинается именно от уважения к партнерам, клиентам, а также к сотрудникам фирмы. Причем данное уважение ни в коем случае не должно быть показным, оно обязательно должно быть искренне, ощущаться людьми даже больше подсознательно, нежели вкладываться в их головы при помощи обычных рекламных инструментов. Однако каким образом компания, которая не обеспечивает безопасность данных организаций и клиентов, с которыми она работает, и сотрудников, работающих на нее, может уважать тех, кто обладает этими данными?..
Обеспечение информбезопасности в данном плане похоже на соблюдение разных экологических норм. Может показаться, что от этого компания получает исключительно неудобства. Но несоблюдение данных норм может вызывать в итоге довольно большой общественный резонанс. И этот резонанс может отрицательно влиять на репутацию, а, следовательно, и на доходы организации. Не следует думать, что такое касается исключительно крупных фирм: даже если ваша компания пока не выросла настолько, чтобы неэтичное ведение бизнеса могло привлекать к ней внимание серьезных СМИ, всегда могут найти блоггеры и местные СМИ, которые могут поднимать вопрос, вызывающий большие обсуждения. Некоторые факты из прошлого могут «всплывать» тогда, когда вы уже станете интересны для больших СМИ – ущерб от такого поведения в итоге будет довольно ощутимым.
Наиболее опасными для организации будут утечки персональных данных партнеров и клиентов компании. Большое количество новостей о таких инцидентах и последствиях  подобных инцидентов создают ассоциацию утечек данных с ущербом для людей и компаний, которых эти данные касаются. Потому абсолютно любое сообщение об утечках информации, которые происходят в вашей фирме, будет однозначным сигналом для компаний-конкурентов, которые могут в итоге напирать на то, что эти организации, в отличие от вашей компании, заботятся о сохранности информации тех, с кем они работают.


Риски сбоев vs. риски утечек
информационная безопасность, information security, searchinform
securityinform

В наше время информационные системы обладают очень большой важностью практически для любого бизнеса. Соответственно, риски этих систем также имеют большое значение почти для каждой компании.

Риски, которые сопряжены со сбоями
С такими рисками каждый день сталкиваются как организации, так и рядовые пользователи. Каждому хотя бы раз в жизни попадается «сбойный» носитель данных, каждый хотя бы раз страдает от потери важного документа, который просто можно не успеть сохранить до программного сбоя. И даже очень надежное оборудование и ПО не гарантируют защиты от разных ошибок. Однако когда подобные ошибки бывают систематическими, ваш бизнес может страдать особенно сильно.
И как раз систематическими такие ошибки могут стать в двух случаях: если информационная система не отвечает требованиям к уровню надежности, которые предъявлены к таким системам в этой организации, или если некоторые компоненты данной системы изначально были реализованы не так, как нужно. Иногда эти неприятности даже объединяются.
Понятно, что в первом случае проблему можно легко решить внедрением другой системы информации, что сопряжено с какими-то издержками. Но в долгосрочной перспективе те убытки, которые возникнут благодаря несоответствующей требованиям компании системе, будут гораздо выше затрат на внедрение полностью новой системы. Во втором случае потребуется искать возможности для замены или модификации составляющих компонентов при помощи разных сервис-паков, патчей и т.п.
Риски, которые сопряжены с утечками данных
Эта группа рисков будет хорошо известна исключительно корпоративным пользователям, ведь даже если домашний пользователь по какой-то случайности и обнародует какой-то из своих конфиденциальных документов, как правило, это не будет нести для него какого-либо существенного вреда. В корпоративном же мире всё будет совсем иначе: как гласят оценки экспертов, из десяти случаев в шести будет вполне достаточно утечки 20% конфиденциальных документов для банкротства организации.
Все утечки данных можно разделять на две основные группы: случайные и преднамеренные. Преднамеренные обычно организуются недобросовестными работниками самой компании, которые продают корпоративные секреты или просто распространяют их, руководствуясь, к примеру, мстительными побуждениями. Случайные утечки конфиденциальных данных являются итогом невнимательности, небрежности, неаккуратности сотрудников компании. Как правило, какого-либо большого ущерба случайные утечки не приносят.
Стратегия борьбы с утечками данных, с одной стороны, заключена в увеличении лояльности работников, с другой стороны, необходимо организовать контроль за их действиями над информацией, которые проводятся на работе. Сегодня золотым стандартом в борьбе с утечками информации являются DLP-системы, позволяющие хорошо контролировать как входящий, так и исходящий трафик компании и обнаруживать в данном трафике конфиденциальные данные. Качественная, а также грамотно внедренная DLP-система полностью закрывает потребности компании в технических средствах для борьбы с утечками данных».
Главной задачей риск-менеджмента является создание такой системы, которая сможет позволить создать комплексный контроль за состоянием информационных систем компании, производить аудит их функционирования, а также обеспечивать постоянную готовность информсистем исполнять задачи заказчика организации. Само собой, при этом требуется придерживаться разумных границ, а также помнить, основной принцип информационной безопасности: «не бизнес существует для безопасности, а безопасность создается для бизнеса». На практике это значит, что, к примеру, система, обладающая избыточной отказоустойчивостью, в итоге стать столь  дорогой, что компании будет выгоднее пойти на некоторые риски, нежели заниматься внедрением такой системы.

Даже если не внедрять абсолютно никаких спецсистем, ваша компания все равно может своими силами разработать политику информбезопасности, которая будет содержать требования для обеспечения резервного копирования важной информации и разграничения доступности этих данных. Разграничения доступа вы можете реализовать при помощи средств, которые встроены в сами IT-ресурсы (файл-серверы, базы данных и т.п.) компании. Само собой, для контроля доступа понадобится внедрить DLP-систему, однако это уже будет следующим шагом.
Все же самое основное – понимать, что управление рисками является непрерывным процессом, и потому нельзя ждать, что вы сможете только один раз минимизировать IT-риски, после чего забыть о них.


"Черные ящики" и крушение бизнеса
информационная безопасность, information security, searchinform
securityinform

К сожалению, данные "черных ящиков" обычно нужны именно тогда, когда возникшие неполадки не позволяют использовать штатные системы телеметрии для того, чтобы понять, что именно пошло не так. И они, кстати, совсем не черные, а оранжевые, но это уже, в общем-то, не так уж и важно.

Так вот, говоря о черных ящиках, стоит помнить, что крушения бывают не только лишь в небе, но и в бизнесе. Правда, конечно, даже в самых стремительно развивающихся его видах, например, в интернет-рекламе, крушение, на самом-то деле, может растянуться на целые годы. Причины таких крушений бывают самыми разными, об этом написана не одна книга. Я хочу сейчас остановиться не на причинах, а на средствах их выявления.

Обычно в качестве таковых используют бухгалтерскую документацию компании. Но она, в отличие от настоящих "черных ящиков", содержит только цифры, а не слова и действия конкретных людей, приведших к тем или иным последствиям. Восстановить эту информацию можно только с помощью анализа переписки и внутренних распоряжений в компании. Только тогда, к примеру, собственник сможет сказать наверняка, виноват ли в крахе Генеральный директор, или просто неудачно выбрано время для старта, или, скажем, всё дело в кознях кого-либо из его недоброжелателей.

Наверное, вы уже догадались, к чему я клоню. Да, DLP-система - это именно тот самый "черный ящик" бизнеса, который даст возможность его собственнику полностью проконтролировать менеджмент компании, что бы тот ни делал за его спиной. И узнать, кто виноват, если всё рухнуло. Я бы даже порекомендовал тем, кто нанимает директоров, а не сам руководит компанией, отдельным пунктом в контракте с топ-менеджментом указывал применение DLP-систем собственниками бизнеса. Уверен, это избавило бы последних от многих дорогостоящих иллюзий...


Универсалии утечек
информационная безопасность, information security, searchinform
securityinform

Если провести анализ того, какие каналы утечки конфиденциальных данных являются самыми популярными, то мы увидим, что мало чем отличаемся от остального мира: активно пользуются для «слива» данных электронной почтой, социальными сетями, внешними носителями информации. Последние особенно части используют для получения больших объемов данных, потому что интернет в региональных офисах еще не так хорош, чтобы быстро выкачивать целые терабайты данных. Ну, а вообще, наш инсайдер шагает в ногу со временем: пользуется и «облаками», и мессенджерами Viber и WhatsApp, так что все каналы потенциально опасны.
Утечки универсально вредны для бизнеса независимо от того, где они происходит. Вот, например, кейс из Белоруссии - страны, которую наши коллеги в шутку называют страной без утечек. Инцидент не позволил крупному белорусскому бизнесу выиграть интересный для него тендер в России, условия которого были написаны практически специально под него. Еще один пример – из-за утечки информации застройщик вынужден был иметь дело не с частными лицами, имевшими собственность на интересной ему территории, а с иностранной компанией, сумевшей раньше него выкупить эту собственность – естественно, это вылилось в серьезные дополнительные траты. Даже малый бизнес становится жертвой утечек: недавно пришлось узнать о компании, которая планировала расширить сферу деятельности, и из-за утечки данных потеряла «красивый» интернет-домен, за который пришлось заплатить большие деньги киберсквоттеру. Это тот пример, когда случайная утечка, которую сам директор совершил без злого умысла, оказалась весьма дорогостоящей.
Скажите, эти утечки могли бы произойти в Китае, США, Израиле? ЮАР, Камбодже, Алжире? Думаю, единственная страна, где их бы не было - это КНДР, потому что там нет интернета.
Универсалии утечек потому и универсальны, что проблема человеческого фактора существует повсеместно. Чтобы бизнесу понять это, прежде всего, нужно для себя принять решение, что информационная безопасность  -не расходы, а инвестиции в собственное устойчивое развитие. Ведь, на самом деле, что требуется для внедрения систем ИБ сегоня? В основном, воля руководства на это внедрение. Очень часто во время тестовой эксплуатации компании обнаруживают, что у них не все так хорошо с безопасностью, как они думали. Происходит это повсеместно, и самое время об этом задуматься.


Актуальна ли для России проблема информационной безопасности?
информационная безопасность, information security, searchinform
securityinform

Я очень часто слышу вопрос, вынесенный в заголовок поста. Я думаю, что в мире нет стран, где пользовались бы активно интернетом, смартфонами, электронными платежами, и этой проблемы не было бы. Вместе с легкостью обработки информации компьютеризация и информатизация принесли с собой и легкость её кражи или утраты, поэтому, уверен, проблема защиты информации уже не перестанет быть актуальной никогда.
Думаю, что не открою секрета, если скажу, что беда может случиться с каждым, и наша статистика это подтверждает. Просто в некоторых отраслях экономики сложилась такая ситуация, когда информация предприятий, как и они сами, фактически, никому не интересна из-за отсутствия рынка как такового. Как и везде, больше и чаще страдают крупные бизнесы – поскольку у них есть соответствующая информация, из-за которой они могут пострадать, у них есть текучка кадров, которые утечки и организуют. Но говорить о том, что, например, промышленность меньше подвержена утечкам данных, чем, например, торговля, нельзя. Проблема касается всех – банков, перевозчиков, ИТ-компаний, государственных органов…
Чаще всего подвергается атакам тот, у кого информация играет ключевую роль в бизнесе. То есть, это компании, которые не просто обрабатывают входящие звонки, а имеют какие-то планы развития на определенный период, которые работают плотно со своей сформированной в течение какого-то времени клиентской базой… То есть, те, у кого информация действительно стоит денег – и такие есть в любых отраслях. И рано или поздно находится кто-то из сотрудников, кто эту информацию кому-то «сливает». Если заранее не пресекать подобные вещи, то можно легко потерять заметную долю выручки, а если речь, к примеру, о высоко конкурентных услугах, то и весь бизнес.
Единого сценария, что характерно, нет. Иногда инициатива исходит от работника, иногда – от каких-то конкурирующих компаний, здесь часто сложно проследить, кто предложил «слить» данные. Бывает, что сама компания забывает что-то где-то закрыть. Очень много ошибок персонала, массово рассылающих какие-то документы для служебного пользования, а потом так же рассылающего просьбы их нигде не публиковать. Бывает, что работники в соцсетях выкладывают что-то, что им не понравилось, кое-что из этого потом попадает в СМИ и вызывает какие-то обсуждения.
Самые активные промышленные шпионы в мировом масштабе сегодня – это китайцы, но пока от них больше страдают промышленные компании. На тех рынках, где компания работает, ее закрытые данные и востребованы конкурентами, поэтому именно с них можно ожидать запросов на её данные. Хотя часто бывает, что атакуют корпоративную сеть люди, которые даже не знают, чем компания занимается, а источник атаки находится, например, в Аргентине. Но все-таки чаще атакующие знают, что и зачем они делают.

Поэтому проблема ИБ не потеряет своей актуальности, пожалуй, никогда. А вы как думаете?


?

Log in