Разделы

Интернет Веб-сервисы

Электронную почту сотрудников читают 50% российских руководителей

Актуальность проблемы внутренних угроз для корпораций подтверждает статистика: по различным оценкам, от 70 до 80% потерь от преступлений в сфере ИТ приходится на атаки изнутри. При этом руководители компаний, уделяющих серьезное внимание обеспечению сетевой безопасности своих систем, очень часто недооценивают тот ущерб, который может быть нанесен бизнесу их собственными сотрудниками.
Независимый консультант по вопросам развития интеллектуального капитала Валерий Оськин в беседе с CNews отметил, что сегодня позиции не просматривать содержание переписки сотрудников придерживается более половины российских работодателей. «Существует еще 10–15% работодателей, которые считают слежку аморальной даже в том случае, если у них имеется возможность следить за подчиненными», — отмечает он. По мнению г-на Оськина, структуры, возглавляемые этой категорией менеджеров, будут наиболее успешны в бизнесе, где возрастающую роль сегодня играют такие неэкономические факторы, как взаимопонимание и доверие между работником и работодателем. Эти факторы влияют на стоимость имиджевого капитала, ценность компании как работодателя. И львиная доля фирм, подвергающих своих сотрудников тотальному контролю, уже несет все большие потери в интеллектуальном капитале. Во-первых, сотрудники, чувствуя недоверие работодателя, придерживают «для себя» часть информации, которая могла бы пополнить интеллектуальный капитал организации. Во-вторых, работники снижают стремление творить для компании, ограничиваясь выполнением задания. При этом часть творческой энергии, которая могла быть направлена на работу, переключается на области деятельности, лежащие вне интересов работодателя. В-третьих, такие организации начинают покидать таланты, которые являются наиболее ценной составляющей человеческого капитала компаний. И, наконец, такие сотрудники, покидая недоверчивую компанию, чаще сего уходят к конкурентам. Моральное право на это им также дает проявленное недоверие. «Мир демократизируется, и это — очевидная общемировая тенденция: успешные и способные хорошо зарабатывать менеджеры все больше ценят свою свободу, и все меньше готовы продавать ее за деньги, — отмечает он. — Да, они готовы честно трудиться, тратить свое время, но без унижения, частью которого и является слежка, о которой чаще всего руководители не предупреждают подчиненных».

При этом, по мнению г-на Оськина, надо признать право компаний, в особенности — крупных финансовых структур — на определенную перлюстрацию информации. Но и каждая из фирм выбирает, реализовать это право или нет. «Думаю, что в дальнейшем компании будут все чаще отказываться от перлюстрации почты сотрудников, создавая корпоративную культуру, для которой разглашение закрытой информации будет неприемлемо, — считает он. — С другой стороны, если в компании работает „засланный казачок“ или сотрудник, имеющий против нее злой умысел, то перлюстрация не станет препятствием для его реализации».

Мнение г-на Оськина отчасти разделил партнер компании Addforce Дмитрий Маришкин: «Не следует пытаться перлюстрировать почту сотрудников: если они захотят что-то скрыть, то смогут технически организовать это так, что письмо невозможно будет прочесть». В то же время, по его мнению, с точки зрения морали такие методы абсолютно приемлемы: «За редким исключением, все, чем сотрудники занимаются на работе, не подлежит сокрытию от руководителя». Но г-н Маришкин отмечает, что результатом слежки за сотрудниками в компаниях является усиление скрытности подчиненных, репрессии, рост текучести, уход инициативных работников (в то время как довольно «слабые» сотрудники остаются лояльными компании). По его мнению, опытному руководителю нет смысла в такого рода действиях: он способен обнаружить странности в поведении сотрудников гораздо раньше, чем те начинают что-то обсуждать за его спиной. Ну а если начальник не доверяет подчиненному — то зачем с ним работать?

Большая часть опрошенных CNews респондентов — менеджеров крупных и средних компаний, — считают, что развивающаяся паранойя у руководителей — не самый удачный вариант обезопасить компанию. А переписка сотрудника касается только его лично и тех людей, кому он адресовал в том или ином виде свои послания, и это — обычная бизнес-этика. В то же время, в этом вопросе все зависит от корпоративных правил и политики информационной безопасности той или иной компании. «Клиенты и контрагенты по служебной переписке все-таки являются контрагентами компании, а не сотрудника, — отметил один из наших собеседников. — Просмотр переписки во многих фирмах является официально заявленной нормой и преследует сугубо служебные цели контроля экстренной информации и выполнения обязательств, а также может являться формой целевого дисциплинарного воздействия по использованию ресурсов компании». «Перлюстрацию сообщений можно по-разному организовать, к примеру — сохранять все письма на сервере, независимо от того, удалили ее из личных ящиков или нет, и в случае чего — проверять, — рассказывает CNews менеджер одной из ИТ-компаний. — Но сидеть и читать всю почту всех сотрудников — это никому не нужно». «Думаю, что для контроля сэйлзов, аккаунтов перлюстрация оправдана с точки зрения бизнеса, хотя и неприятна, — считает очередной наш собеседник. — А для контроля использования ресурсов — совсем не оправдана: если человеку плевать на работу — его ничто не остановит от лазания на левые сайты и торчания в форумах».

«Читать чужие письма безнравственно. Даже электронные, — уверен еще один респондент CNews. — Но для того чтобы придать процессу перлюстрации видимость приличия, нужно, чтобы сотрудники были оповещены о ней заранее; необходимо также, чтобы личная переписка в теме письма была помечена как личная». По его мнению, еще один вариант — документально зафиксировать пользование ИТ-ресурсами компании (оговорить запрет использования е-mail в личных целях, обозначив при этом, какие именно цели являются личными). Ну, а если проверка осуществляется в целях предотвращения утечки коммерческой тайны — то в компании должен быть полностью оформлен и подписан сотрудниками соответствующий пакет нормативных документов. «В противном случае — зачем читать, если сам факт знания нельзя использовать для юридических санкций против сотрудника, — отмечает он. — Ну, сделаете вы ему замечание, а дальше что?»

Опубликованное на днях исследование компании InfoWatch Внутренние ИТ-угрозы в России 2004» выявило ряд фактов, представляющих интерес для специалистов в области информационной безопасности, маркетинга и продаж. Респондентами выступили руководители ИТ-отделов и отделов информационной безопасности 387 государственных и коммерческих организаций России. По мнению аналитиков InfoWatch, в России только начинает формироваться культура профессионального отношения к информационной безопасности: лишь 16% респондентов имеют соответствующие отделы. Почти все опрошенные специалисты (98%) считают, что самая большая внутренняя ИТ-угроза — это нарушение конфиденциальности информации. А самый распространенный путь утечки конфиденциальной информации — это электронная почта, уверены 89% респондентов. При этом 67% не осведомлены о наличии в своей сети инцидентов, связанных с утечкой данных, но 99,4% допускают их возможность.

Любопытно, что 87% опрошенных считают технические средства эффективным способом защиты, однако использует их лишь 1% респондентов. 58% опрошенных не осведомлены о существующих технологических решениях, однако 76% ИТ-специалистов уже в ближайшие два года собираются заняться внедрением систем защиты от нарушения конфиденциальности информации. Поэтому, по мнению аналитиков InfoWatch, отечественный рынок систем защиты от утечки данных (Anti-Leakage Software) только начинает формироваться и имеет большой потенциал. А наиболее активные игроки имеют возможность не только увеличить доходы, но и принять участие в формировании международного рынка специализированных решений.

Александр Осипов, МегаФон: Эффективность киберзащиты вырастет, если снизится рутинная нагрузка на специалистов
безопасность

Респонденты ранжировали наиболее серьезные угрозы и, как оказалось, наибольшую озабоченность вызывают действия инсайдеров (62%). Именно это, по мнению опрошенных, может представлять самое большое препятствие для нормальной работы организации. При ответе на вопрос о наиболее популярных технических путях утечки конфиденциальной информации респонденты были единодушны: электронная почта, интернет, сетевые пейджеры и мобильные накопители получили практически одинаковую оценку (80–90%). А если говорить о программных средствах обеспечения защиты от утечки конфиденциальной информации, планируемых к внедрению в течение ближайших двух лет, то и здесь предпочтения ИТ-специалистов лежат в области системы мониторинга электронной почты (34%) и интернет-трафика (18%). Более крупные организации предпочли внедрение комплексных систем мониторинга сетевых ресурсов, которые также включают контроль над файловыми операциями на уровне рабочих станций. И только 24% опрошенных заявили об отсутствии планов по внедрению специализированных систем защиты, да и то, в основном из-за бюджетных ограничений, а не по моральным причинам.

Коммерческие компании во всем мире серьезно обеспокоены растущим количеством киберпреступлений. Чтобы защитить себя от подобных нападений, они всерьез подумывают о том, чтобы внедрить систему мониторинга действий собственных сотрудников. А на днях в США было объявлено о создании программного обеспечения, позволяющего компаниям следить за каждым нажатием клавиши на клавиатурах компьютеров своих сотрудников. Данные программы можно будет использовать в качестве доказательства компьютерных преступлений в суде. Система, разработанная компаниями 3ami и BridgeHead Software, позволяет контролировать, записывать и сохранять все действия компьютера, не допуская при этом вмешательства извне в уже сохраненный файл. Разработчики уверены, что новая программа позволит компаниям отслеживать украденные файлы, устанавливать факт их отправки, копирования, записи на другие носители, распечатки или удаления.

Тем временем, многие американские правозащитники недовольны перспективой поголовного мониторинга действий сотрудников. Авторы программного обеспечения, отстаивая право на жизнь своего продукта, отмечают: «Люди должны уяснить, что они используют компьютер в качестве представителя компании, на которую они работают, а их работодатель имеет право хранить данные о действиях этого компьютера».

В европейских странах правовые аспекты этой проблемы также вызывают наибольшую обеспокоенность. Защита от утечки информации в любом случае связана с необходимостью сканирования данных пользователей (электронные письма, веб-трафик, файловые операции). Это обстоятельство может вступить в противоречие с действующим законодательством (тайна переписки), если внедрение не будет сопровождаться такими организационными мерами, как принятие политики обращения с электронной конфиденциальной информацией. Учитывая слабую информированность российских ИТ-специалистов о возможных технических путях решения проблемы утечки конфиденциальной информации, для борьбы с этим явлением многие компании пока выбирают старый и популярный метод — тем или иным способом просматривают электронную переписку сотрудников. У этого способа борьбы с внутренними врагами имеются как сторонники, так и противники.