Проект видавничого дому «МЕДІА-ПРО»
Опознать и обезвредить | director.com.ua

Опознать и обезвредить

Автор статьи: 

Роман ИДОВ,
ведущий аналитик компании SearchInform

Промышленный шпионаж — это не выдумки производителей систем обеспечения информационной безопасности, а реальная угроза, с которой сталкиваются различные компании. Сегодня в большинстве организаций для его предотвращения используются различные меры для контроля сотрудников. Однако на некоторых предприятиях контроль организован не хуже, чем на каких-нибудь сверхсекретных объектах, тогда как в других он сведен к контролю тех результатов деятельности, которые демонстрируют работники. В данной публикации попробуем разобраться, насколько важен контроль для защиты организации от промышленного шпионажа, а также выясним, можно ли обеспечить контроль сотрудников, не нарушая при этом их права?

Средства борьбы с промышленным шпионажем

Контроль сотрудников в организации имеет много различных задач. Самой важной можно назвать мотивацию сотрудников на выполнение своих основных рабочих обязанностей. По словам психологов, наиболее высоких результатов можно достичь, если используется достаточно широкий набор разных способов мотивации — в народе это называют методом кнута и пряника. Роль кнута в данном случае как раз и отведена контролю сотрудников. Однако, акцентируя внимание именно на данной функции контроля, работодатели все же упускают другую, не менее важную — обеспечение информбезопасности организации.

Сегодня именно данная функция вышла на первый план. Часто даже компании, умеющие мотивировать сотрудников и добиваться высококачественных показателей благодаря слаженному труду персонала, становятся в результате жертвами неправомерных поступков своих же сотрудников. По мнению экспертов из Ponemon Institute, нынче роль информации настолько велика, что в 6 случаях из 10 для банкротства компании хватает утечки лишь 20 % коммерческих секретов фирмы.

Так что нет совершенно ничего странного в том, что компании по мере своих возможностей стараются бороться с утечками данных: и с теми, что случаются благодаря халатности и невнимательности работников, и с теми, которые можно назвать результатом преднамеренного умысла и намеренной продажи корпоративных тайн. Соответственно, данный процесс совмещается и с контролем выполнения работниками своих обязанностей.

Отрицательные стороны контроля

Контроль персонала позволит руководству отслеживать происходящие в коллективе «события», а также предотвращать многие довольно неприятные моменты. Этот контроль имеет и некоторые отрицательные стороны, о которых также следует помнить во время организации оного.

Первый из таковых коротко можно описать следующим образом: чем строже контроль, тем негативнее он влияет на командный дух. При тщательном контроле наверняка не получится избежать пресловутого человеческого фактора: например, наличие личной неприязни сотрудника, производящего контроль, к тому, кого ему нужно контролировать. Средства контроля могут применяться также сотрудниками, испытывающими неприязнь друг к другу, для ведения так называемой закулисной борьбы.

Еще одной отрицательной стороной можно назвать и то, что некоторые из тех ценных сотрудников, кто привык к отсутствию контроля своей деятельности, могут в итоге отказаться от работы, объясняя это отсутствием доверия со стороны руководства. Решить данную проблему возможно с помощью подробных разъяснений относительно важности контроля работы всех сотрудников и отсутствия связи между контролем и недоверием руководства к сотрудникам.

Кроме того, обязательно стоит помнить, что контроль за сотрудниками обязательно сопровождается некоторыми финансовыми издержками, обусловленными организацией труда соответствующих специалистов, закупкой оборудования или ПО. К этой же статье расходов относят и косвенные траты, вызванные отвлечением сотрудников от рабочих обязанностей, составлением отчетов и расследованием инцидентов, связанных с информбезопасностью.

Методы борьбы

В наше время пользователям доступен довольно широкий спектр возможностей для обеспечения безопасности и защиты от промышленных шпионов посредством контроля работников; при этом может возникнуть закономерный вопрос: какую из них стоит предпочесть? Понятно, что если речь идет о производстве, то здесь не обойтись без специально рассчитанной на это системы видеонаблюдения. А если сотрудники работают за ПК, в этом случае можно обойтись и программными решениями, не столь затратными в использовании. Сегодня именно сотрудники, которые занимаются умственной деятельностью, на рынке труда начинают выходить на первый план — соответственно, уделим наибольшее внимание именно программным средствам контроля.

Такие средства сегодня условно подразделяются на две основные группы. Первая группа включает средства, которые специально создавались для контроля выполнения сотрудниками их обязанностей. В частности, такие средства обеспечивают руководителю или же специально назначенному на данную должность работнику возможность отслеживать активность каждого отдельно взятого сотрудника. Один из наиболее известных программных продуктов такого типа — довольно популярная программа StaffCop. Ко второй группе приложений принадлежат средства, ориентированные на создание гарантий информационной безопасности и на предотвращение утечек информации. Их именуют DLP-системами (Data Leak Prevention). Данные приложения обеспечивают контроль информации, которая выходит за пределы пользовательских рабочих ПК, и устанавливают, есть ли в этих данных конфиденциальные корпоративные документы. В качестве хорошего примера такой системы защиты можно привести «Контур информационной безопасности SearchInform».

Наверняка у представителей многих организаций может возникнуть вопрос: какое из данных средств защиты стоит предпочесть в итоге? Однако этот вопрос можно назвать не совсем точным. В действительности организации стоит использовать оба способа защиты, потому что задачи, которые решает каждый из них, почти не пересекаются. Тот же StaffCop позволяет делать снимки рабочего стола, а также определять сотрудников, сидящих в рабочее время в соцсетях, играющих в игры или же какими-либо другими способами развлекающихся на работе. С другой стороны, чтобы обнаружить при помощи данной программы утечку данных, потребуется вручную «просмотреть» достаточно много «логов», в которых содержится переписка пользователя. А это будет удобно лишь для малых компаний, чей штат не превышает десяти сотрудников. Однако «Контур информационной безопасности» предоставит возможность проконтролировать данные, которые передаются пользователями при помощи HTTP, Skype, ICQ и электронной почты, а также записываются на внешние носители данных. Однако с помощью данного приложения не получится контролировать виды занятости кого-либо из сотрудников.

Стоит заметить, что производители ПО давно смогли определить, что компании желают получить в свое распоряжение как DLP-систему, так и средство для контроля действий сотрудников. Именно поэтому рынок сегодня предлагает комбинированные решения, объединяющие в себе возможности обоих видов контроля действий сотрудников. Тем не менее, несмотря на достаточно привлекательную цену для подобных предложений, качество работы большей части из них все же не поставишь в один ряд с эффективностью, которую демонстрирует комбинация из двух отдельных специализированных приложений.

Правовые аспекты

Когда работодатель осуществляет контроль сотрудников, крайне важно соблюдать правовые нормы, связанные с правами оных. Обычно работодатели опасаются, что слежка за работой сотрудников в итоге способна вызвать претензии контролирующих органов или повлечь за собой судебное преследование со стороны самих сотрудников. Однако при внимательном изучении законодательства становится ясно, что подобные опасения практически безосновательны.

В Конституции РФ в ст. 23 говорится следующее:
«1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения».

В первой части имеется в виду частная жизнь, а трудовая деятельность к ней не относится. Что же касается второй части статьи, то эксперты по безопасности полагают, что право на тайну переписки не будет нарушено, если переписку отслеживает и анализирует не человек, а компьютер.

Трудовой кодекс РФ дает обоснование для контроля действий работника во время рабочего времени. Статья 91 упомянутого кодекса гласит, что рабочим временем обычно признается время, в течение которого сотрудник должен исполнять трудовые обязанности. Так что далее возможности работодателя уже определяются именно Правилами внутреннего трудового распорядка. В них, в частности, полагается закрепить обязанность работника задействовать рабочее оборудование только в служебных (рабочих) целях, также в них нужно закрепить и право работодателя контролировать то, как используется рабочее оборудование.

К примеру, скриншоты, снятые с экрана ПК работника, которые сделаны StaffCop, не будут нарушать прав гражданина уже по той причине, что в рабочее время он просто обязан использовать рабочее оборудование (в данном случае компьютер) исключительно для работы, и работодатель обладает правом контролировать работу сотрудников за такими ПК.

Что же касается DLP-систем, то здесь ситуация несколько сложнее. Напомним, эти системы как раз ведут работу с перепиской сотрудников. К счастью, большинство таких приложений обеспечивает работу в автоматическом режиме, при котором анализ информации происходит на основе специальных алгоритмов, и при этом нет необходимости в непосредственном участии специалистов, ответственных за информбезопасность организации. Так что, выбирая для себя систему защиты от утечек информации, важно особое внимание уделять поддерживаемым данной системой алгоритмам определения конфиденциальных данных в корпоративном трафике. Фактически это алгоритмы поиска, потому что чем более серьезными поисковыми возможностями обладает DLP-система, тем более надежной будет защита от утечки конфиденциальной информации, которую такая сис­тема в состоянии обеспечить.

Правильный эффект

Подведем итоги. Прежде всего, контроль сотрудников в организациях необходимо рассматривать как некое «неизбежное зло» (так к нему следует относиться не только сотрудникам, но и работодателю). Именно это «зло» необходимо, чтобы защитить компанию от промышленного шпионажа.

Качественно и эффективно обеспечить контроль сотрудников офиса можно, задействуя специально созданное ПО, которое предназначается для того, чтобы работодатель мог наблюдать за исполнением сотрудниками их рабочих обязанностей и при необходимости смог эффективно противодействовать утечкам данных. Для выполнения означенных задач лучше покупать отдельные решения, и каждое должно ориентироваться на выполнение определенной задачи. При этом следует помнить, что система защиты от утечек данных обязана поддерживать анализ информации в автоматическом режиме и предлагать своему пользователю наиболее широкие возможности для поиска информации.

 

 

 

© 2017 ООО «МЕДИА-ПРО». Все права защищены. Украина, 02660, г. Киев, ул. М.Расковой 11, корпус А, 6 этаж