"Видеонаблюдение в туалете ведется для Вашей безопасности", -- это шуточное объявление все еще висит на дверях соответствующей комнаты в одной компании, известной весьма либеральной атмосферой. Компания успешна, жизнь в офисе -- прекрасна, сотрудников -- всего несколько десятков, но некоторые из них слегка вздрагивают, когда им напоминают об одном из прежних мест работы. Потому что там прослушивались не только рабочие кабинеты, но и курительная комната. Конечно, тамошнего главу службы безопасности любой квалифицированный психолог назвал бы параноиком, однако система тотального контроля офисных коммуникаций у него находилась в образцовом порядке, а по своим техническим возможностям могла вызвать зависть и у спецов из СБУ. Электронная почта, Интернет и стационарные телефоны -- детский лепет по сравнению со слухами о том, что в распоряжении маниакально подозрительного "особиста" имелась даже станция для контроля переговоров по мобильным телефонам.
Чем мониторят
Последние разработки в сфере информационной безопасности поражают воображение. Специальное программное обеспечение, установленное на офисные компьютеры, позволяет отслеживать даже личную переписку через бесплатные почтовые серверы вроде Ukr.net, Yahoo!, Hotmail и даже контролировать онлайновое общение посредством ICQ или MSN. Помимо почтового контроля, "секретные" программы фиксируют посещаемые сайты. Не так давно были придуманы специальные устройства, которые контролируют доступ к портам USB, через которые чаще всего и "утекают" данные.
На российском рынке успешно продается комплекс записи "Спрут". Он позволяет не только читать, но и перехватывать входящую и исходящую электронную почту, локализовать источники утечки информации, выявлять нелояльных сотрудников с помощью контент-анализа, документировать заключаемые по телефону сделки и соглашения, контролировать качество обслуживания клиентов персоналом фирмы при общении с ними по телефону, выявлять неэффективное использование телефонных линий, особенно при междугородных и международных переговорах.
Но большинство украинских компаний, к счастью их сотрудников, не могут позволить себе такое оборудование -- оно стоит от нескольких сотен тысяч до нескольких миллионов долларов. Поэтому, как правило, дело ограничивается "ручным" мониторингом посещения сайтов, офисной почты и телефонных переговоров -- контроль осуществляет человек, а не автоматизированная система.
Кого мониторят
По оценкам независимого фонда Privacy Foundation (США), корпоративные фильтры анализируют переписку примерно 100 млн. человек (почти 27% всех офисных служащих мира). В какой мере это справедливо для Украины -- трудно оценить. Но компаний, озабоченных предотвращением утечки коммерческой информации, в отечестве хватает. К примеру, в одном крупном киевском полиграфическом холдинге у службы внутреннего контроля и безопасности штат больше, чем у бухгалтерии или юридического отдела. Основная цель той службы -- пресечь разглашение коммерческой тайны и предотвратить совершение сотрудниками сделок, способных нанести ущерб холдингу. Не меньше беспокоятся об информационной безопасности и финансовые учреждения, прежде всего -- банки.
В большинстве компаний сотрудники даже не подозревают, что их электронная почта просматривается, а телефон прослушивается. Хотя им стоит вести себя осторожно: случайно оброненная фраза о предстоящих переговорах с новым партнером может обернуться обвинением в раскрытии корпоративных тайн и, как следствие, увольнением.
Много шума из ничего
"Спросите у людей на улице, что они подразумевают под словосочетанием "промышленный шпионаж". Наверняка, под влиянием голливудских фильмов, вам расскажут об агентах, внедренных в компанию-конкурента, о службе экономической безопасности, которая охотится за коммерческими секретами соперников, подкупая и запугивая сотрудников интересующего предприятия. Все это имеет место быть, но в некоторых исключительных случаях", -- рассказывает Павел, специалист по информационной безопасности.
А правило состоит в том, что коммерческие секреты просто выбалтываются. И цель специалиста по информационной безопасности -- выявить и пресечь подобный умышленный или неосознанный "слив" важной информации. Мотивом для расследования может стать не только "внутренний" сигнал (услышали подозрительный разговор), но и "внешний" (конкурент запустил продуктовую линию под маркой, которая очень похожа на разработанную компанией).
Но еще чаще службы безопасности оправдывают свои бюджеты поиском и обнаружением нелояльных сотрудников. В тех же электронных письмах или телефонных разговорах человек может проявить свою неудовлетворенность работой в компании. Принято считать, что такой сотрудник работает плохо, без отдачи. И является "слабым звеном" в информационной броне компании: постоянно выражая недовольство, он может рассказать собеседникам много лишнего. Да и конкуренту легче всего склонить к сотрудничеству именно такого человека.
У службы безопасности есть и третья функция: пресекать нецелевое использование каналов связи или Интернета. Информация о нецелевом использовании ресурсов может быть передана в бухгалтерию. А та, в свою очередь, может списать с сотрудника часть зарплаты для возмещения материального ущерба. "Размер причиненного вреда определяется фактическими потерями компании, подтвержденными данными бухгалтерского учета: счета за телефонные переговоры, калькуляция стоимости материалов и ресурсов, которые использованы работником в личных целях", -- объясняет юрист ЮБ "Бондарь и Бондарь" Алексей Бондарь.
Полученная таким образом сумма высчитывается из зарплаты. При этом компания обязана проинформировать сотрудника о предстоящем штрафе не меньше чем за неделю до высчитывания денег. В противном случае она просто не имеет права этого сделать. Обычно подобные штрафы не превышают среднемесячной зарплаты. Но если ущерб нанесен не при исполнении трудовых обязанностей -- например, частные разговоры по служебному телефону, компания вполне может (и имеет право) потребовать возместить его в полном размере.
Правда, возмещения ущерба, превышающего среднемесячный заработок, работодатель может добиться только через суд. Компании, знающие об этом, частенько хитрят. Они "размазывают" сумму на несколько месяцев, что, по мнению юристов, незаконно. Алексей Бондарь также отмечает, что компания обязана предупредить персонал о материальной ответственности за использование технической базы компании в личных целях. Если этого не сделано, с сотрудника взятки гладки. А еще компания должна доказать, что работник воспользовался чем-либо в личных целях. Сделать это не так-то просто.
Как обнаружить
Обычно опытные специалисты по безопасности пытаются сохранить атмосферу беспечности в коллективе. Они ограничиваются тем, что рекомендуют руководству фирмы попросить сотрудников вести себя осторожно в беседах с контрагентами или малознакомыми людьми (иначе провинившегося нельзя будет уволить -- см. комментарий юриста). А факт слежки афишировать строго-настрого запрещается.
Как же в таком случае понять, что каналы связи проверяют? Увы, только косвенным путем. Потому что технические способы контроля и защиты данных не дают о себе знать -- на то они и средства безопасности.
Нужно обращать внимание на соответствующие пункты в трудовом договоре, правилах внутреннего трудового распорядка или должностной инструкции. Невзначай вывешенная выдержка из Закона "Об информации" о конфиденциальной информации тоже о чем-то говорит. Сигналом может быть и внезапное увольнение говорливого сотрудника.
Недавно автор заметил в Интернете вакансию директора департамента безопасности. Среди его обязанностей назывались "выявление возможных каналов утечки информации, защита коммерческой тайны предприятия, работа по изучению лояльности персонала и социальной надежности, выявление мошеннических действий сотрудников компании, выявление персонала, который вынашивает намерения использовать доступную ему по роду деятельности информацию в личных или корыстных целях". Электронный адрес был до боли знакомым -- это оказалась одна из недавно появившихся на рынке страховых компаний с европейскими инвестициями.
Автор связался со знакомой ему сотрудницей компании. Та очень удивилась: она даже не подозревала о том, что компания так озабочена безопасностью коммуникаций. А через 10 минут перезвонила: "Я вспомнила пару подозрительных случаев… ". И вела этот разговор она отнюдь не из офиса.
Береженого бог бережет
Почтой и телефоном в офисе стоит пользоваться по сугубо рабочим вопросам -- от греха подальше. Если очень хочется рассказать знакомым о своей работе, связанной с новыми разработками и проектами, лучше сделать это на нейтральной территории. Бумаги и черновики -- рвать на мелкие кусочки, а не комкать.
"Если у сотрудника не было никакого злого умысла, а его в чем-то заподозрили, лучше ничего не скрывать. Нужно объяснить, с кем и почему он поделился той или иной информацией. Дать координаты собеседника, -- советует Олег, специалист по информационной безопасности. -- Я не припомню случаев, чтобы из-за утечки информации кого-то уволили. Хотя сами примеры утечки в моей практике были".
По словам юриста Евгения Шмарова, увольнение грозит излишне словоохотливому сотруднику в самом крайнем случае. Оштрафовать или "повесить" на него материальный ущерб за вред, нанесенный компании, работодатель не может.
И последнее: не стоит забывать о возможном мониторинге коммуникаций. Но не более того. Гораздо больше шансов потерять работу у человека, который в офисе превращается в параноидальную ищейку, после каждого вопроса шефа вопрошающую "А что?" и разламывающую телефоны в поисках "жучков".
Что говорит закон
Евгений Шмаров, директор юридической компании "Шмаров и партнеры":
-- За прослушивание телефона и просмотр электронной почты сотрудников компании нельзя привлечь к ответственности. У нас нет закона, регулирующего этот вопрос.
Разглашение конфиденциальной информации, умышленное или неосознанное, не может быть причиной возложения на сотрудника материальной ответственности за ущерб, понесенный компанией по причине утечки информации. Максимум, что может сделать работодатель -- уволить сотрудника. Но в таком случае в трудовом соглашении, правилах внутреннего трудового распорядка и должностных инструкциях должно быть четко оговорено, какую информацию сотрудники не могут разглашать.
Что чаще всего мониторят:
1. стационарный телефон,
2. электронную почту,
3. Интернет,
4. принтер,
5. мобильный телефон, оплачиваемый компанией(распечатка номеров исходящих и входящих звонков, SMS),
6. ксерокс,
7. факс,
8. мусорную корзину.
Где еще почитать:
http://www.domarev.kiev.ua
http://www.security.ukrnet.net
http://imperia.net.ua
Загрузка...
