Однажды мы проводили тестирование на знание правил информационной безопасности (ИБ) для сотрудников самых разных компаний. В нем был вопрос о том, можно ли делиться своим логином/паролем с коллегой на время отпуска. Только 6% ответило, что без проблем поделятся. Это обнадеживающие цифры, но то — тест, в котором всем хочется выглядеть чуточку лучше. А что в реальной жизни? В реальности люди готовы не просто делиться «явками/паролями»! Они их заранее оставляют на видном месте, лишь бы не дергали во время отпуска.

Обычно руководители в этом проблем не видят. Более того, считается, что сотрудник молодец, побеспокоился, чтобы в его отсутствие клиенты/партнеры не остались без внимания. Но проблемы есть. В практике сплошь и рядом встречаются ситуации, когда такая щедрость приводила к разглашению информации. Меньше, но не так уж редко, когда доступ к чужому аккаунту используется для настоящих «подстав».

Кстати

История первая

Несколько лет назад сотрудник отдела продаж одной из ведущих российских компаний — производителей удобрений был осужден за передачу коммерческой тайны конкурентам своего работодателя. Как утверждало следствие, получив доступ к электронной почте начальника отдела продаж холдинга, этот сотрудник изменил настройки в ней так, чтобы поступающие на почту сообщения дублировались на указанный им адрес. А уже с него информация, содержавшая данные об объемах производства, условиях продажи, ценах, взаимоотношениях с клиентами и т.д., направлялась на почтовые ящики конкурирующей фирмы. Ущерб, нанесенный компании, был оценен в $2 млн.



Чтобы избегать таких ситуаций, некоторые специалисты по безопасности предпочитают действовать радикально. С помощью специализированного программного обеспечения на время отпуска они блокируют все процессы на компьютере сотрудника, если в аккаунт заходит не его владелец. Этот способ в современных бизнес-реалиях все же слишком жесткий, поэтому контролировать лучше, чем блокировать.

Кстати

История вторая

Специалисты по информационной безопасности обнаружили активность на компьютере из-под учетной записи сотрудника, который в этот момент находился в отпуске и не должен был себя никак проявлять. Оказалось, перед отпуском он передал все явки-пароли коллеге «на всякий случай» — мол, если вдруг понадобится какая-то информация, ты меня не дергай, а поищи на моем компьютере сам. Внутренний распорядок компании подобное категорически запрещал. На компьютере работника хранилась конфиденциальная информация, которая в случае утечки привела бы к серьезным финансовым и репутационным потерям. Утечки вовремя удалось избежать, а с беспечным сотрудником провели разъяснительную беседу.



Так что сделать для безопасности, прежде чем отпустить человека в отпуск?

1

Убедиться, что система доступов налажена как надо

«Как надо» — это значит, что сотрудник видит только свою часть диска информации, базу CRM и задачи, линейный руководитель — собственные задачи плюс сотрудников отдела, генеральный директор — всех. В такой ситуации подчиненному не приходится оставлять коллегам данные своего аккаунта. Все, кому его наработки могут понадобиться и кто уполномочен с ними работать, имеют доступ.

Казалось бы, это очевидный совет, но часто в компаниях такая иерархия доступов не настроена. В результате и возникают экстренные звонки отпускнику с просьбой «срочно скинуть логин/пароль».

2

Убедиться, что перед уходом в отпуск сотрудник не «расшарил» информацию

Уходя в отпуск, многие трудоголики стараются обеспечить себя всеми необходимыми доступами и информацией, чтобы работать удаленно. Проблема в том, что публичное облако и бесплатная личная почта, равно как флешки, — небезопасный способ хранения. О «временном» хранилище быстро забывают, и конфиденциальная информация может годами «болтаться» в облаках. К тому же часто пользователи забывают закрыть к ним публичный доступ, не заботятся о шифровании информации. Все это красноречиво показала ситуация с массовой утечкой из Google.docs летом прошлого года, когда в Сети в открытом доступе оказались сотни тысяч телефонов, базы данных и документы крупных компаний. Например, как писали СМИ, отчет о работе сайта «Ашана», календарь футбольных мероприятий Bud или стратегия продвижения новой Pepsi Lime в России. А еще скандальная инструкция, по которой якобы отсеивают сотрудников Тинькофф банка.

Размещение корпоративной информации в публичных сервисах должно быть запрещено в компании, и информацию об этом нужно доносить до коллектива. Факты «слива» легко обнаруживают хорошие DLP-системы.

3

Обеспечить безопасность, если сотруднику придется обращаться к корпоративной информации через непроверенные Wi-Fi-точки

Части сотрудников приходится ехать в отпуск с корпоративным ноутбуком. Придется озадачиться тем, чтобы ему не пришлось беспокоиться о безопасности интернет-соединения. Для этих целей и придуман VPN. IТ-служба должна быть готова его наладить, тогда сотрудник сможет работать вне офиса, не подвергая данные опасности. 

4

Проконтролировать, чтобы из-под учетной записи сотрудника никто не входил в его аккаунт

Это можно сделать разными способами. Во-первых, IT-отдел на время отпуска может заблокировать учетную запись сотрудника в active directory. Проблема в том, что в таком раскладе даже санкционированный доступ будет закрыт. Говорят, есть компании, которые всем коллективом уходят в отпуск на время летнего затишья. Но это экзотическая история. Рядовой бизнес с трудом переживает остановку любого бизнес-процесса на такой длительный срок.

Другой более реальный вариант — настроить двухфакторную аутентификацию, когда помимо логина/пароля система запрашивает что-нибудь еще, например код из sms. Сейчас «двухфакторку» можно «прикрутить» практически на все современные сервисы, в том числе CRM. Таким образом можно быть более уверенным, что в аккаунт входит именно его владелец. Если же сотруднику был назначен заместитель, в CRM-систему на время вносится номер этого заместителя. Случись что, по логам можно будет установить, кто набедокурил.

Но это не 100%-ная гарантия, ведь сотрудник может быть весьма изобретательным. Помочь может более продвинутый программный продукт — DLP, которую можно настроить так, чтобы она делала снимки с веб-камеры при каждой авторизации в аккаунте. Тогда даже если сотрудник в обход правил оставил свой логин/пароль коллеге, этот факт будет зафиксирован с фотографической точностью.



В компании нашего клиента специалисты по информационной безопасности выявили, что у одного из сотрудников на диске хранились важные документы, доступ к которым ему не предоставлялся. Это серьезное нарушение внутреннего регламента, которое потребовало срочного разбирательства. Выяснилось, что на компьютере сотрудника часто использовалось программное обеспечение для удаленного доступа, которое в его работе просто не нужно. Расследование службы безопасности выявило, что подозреваемый в нарушениях работник даже не знал о хранящихся на его компьютере файлах. Виновником оказался технический специалист компании, который использовал компьютер нашего героя в качестве временного «хранилища» перед тем, как передавать конфиденциальные данные третьей стороне.

Налаживание всех этих процессов имеет смысл не только из соображений безопасности. Отпуск в современном мире сложно назвать отдыхом на 100%, так как половина сотрудников, согласно опросу OneTwoTrip, продолжают работать в это время — кто с грядки, кто из роуминга, кто с дивана. Они вынуждены делать это из-за частых вопросов, писем и звонков коллег. Как результат — компании имеют уставших и недовольных после отпуска сотрудников и серьезные проблемы с безопасностью. И последствия серьезнее, чем кажется. На днях ВОЗ признала синдром эмоционального выгорания на работе болезнью. Поэтому наладьте все процессы, чтобы не дергаться самим и дать сотрудникам отдохнуть. 

Другие материалы об информационной безопасности бизнеса читайте здесь.