Contact us in messengers or by phone.

whatsapp telegram viber phone email
+79214188555

How to legally control the correspondence of employees through free mail

НСК-СБ

Staff member
Private access level
Full members of NP "MOD"
Joined
Jul 14, 2011
Messages
3,169
Reaction score
2,157
Points
613
Location
Новосибирск
Как легально контролировать переписку сотрудников через бесплатную почту

РОМАН ИДОВ,
аналитик компании SearchInform​
Использование бесплатных почтовыхсервисов для рабочей переписки – это не просто моветон, это серьезная угроза безопасности вашей компании. Поэтому использование таких сервисов в рабочее время и на рабочем месте нужно, как минимум, строго контролировать. Причем, не нарушая законодательства.

Трудно сказать, почему сотрудники так любят использовать бесплатную почту вместо корпоративной. Возможно, все дело в привычке к интерфейсу Mail.ru, Yahoo и «Яндекса» − все дело в желании иметь доступ к почте отовсюду, а не только с рабочего места. Правда, с современными смартфонами и планшетами это становится легким делом с любым почтовым ящиком. Сравнительно небольшой процент сотрудников пользуется бесплатными сервисами для распространения корпоративных секретов, принадлежащих целиком и полностью их работодателю. Впрочем, вредят компании не только они, а все, кто пользуется бесплатными сервисами электронной почты для ведения деловой переписки.

Обычно главное, на что обращает внимание руководство, это «несолидность» использования адресов не на корпоративном домене. Что и говорить: если компания претендует на лидерство в том или ином сегменте рынка и позиционирует себя как современная и продвинутая организация, адреса на визитках и буклетах, заканчивающиеся на «…@mail.ru» выглядят, скажем прямо, достаточно странно. Хотя многие производители продуктов питания не стесняются даже печатать такие адреса на этикетках своих продуктов. Но имиджевые потери от использования бесплатных почтовых сервисов – ничто по сравнению с потерями информации, и особенно с ее утечками.
Как контролировать почту сотрудников.jpg

За что отвечает бесплатный почтовый сервис? Ни за что. Если вы, может быть, читали пользовательское соглашение любого бесплатного почтового сервиса, которое «подписывали» при регистрации, то знаете, что в нем в обязательном порядке есть пункт «отказ от ответственности». Поэтому и за сохранность писем, которые вы передали, и за доступ вас к вашему аккаунту никто не отвечает. Вспомните, как часто появляются новости об утечках и взломах паролей к бесплатным почтовым серверам. В следующий раз среди десятков, а то и сотен тысяч скомпрометированных учетных записей может оказаться и ваша. И если вы сохраняли копии документов, которые пересылали своим клиентам, то последние окажутся под угрозойтеперь вашим ящиком могут распоряжаться мошенники, рассылая с него похожие как две капли воды на ваши коммерческие предложения, ссылки с которых ведут на мошеннические сайты. Вряд ли клиент, перешедший по такой ссылке и получивший «трояна», укравшего деньги с его банковской карты, будет и дальше оставаться лояльным вашей компании. А ведь это только одна из множества возможных схем действий злоумышленников после получения доступа к вашему почтовому ящику, и далеко не самая неблагоприятная для вас.

Вывод прост: на рабочем месте пользоваться бесплатными сервисами нельзя. С оговорками, конечно: если корпоративный почтовый сервер «лежит», а отправить важное письмо нужно архисрочно, то тут уж все средства хороши. Но знать, что использовать бесплатные почтовые сервисы – плохо, и совсем не использовать их – это две разные, очень разные вещи. Чтобы удостовериться, что персонал не использует «запрещенные приемы» (то есть те самые бесплатные сервисы электронной почты), необходимо контролировать их использование.

Первая мысль, которая приходит в голову, – это блокировать доступ к ним (хотя бы к самым популярным) с помощью настроек корпоративного файрволла. Но эта идея не слишком хороша. Во-первых, как уже было написано выше, бывают экстренные ситуации, когда нужна «палочка-выручалочка» в виде того же Mail.ru или Gmail. Вовторых, всяких бесплатных почтовых сервисов в мире столько, что закрыть доступ к ним всем не представляется возможным. Значит, нужно придумать какой-то способ осуществлять неблокирующий контроль подобных сервисов.

Это очень удобно делать с помощью DLP-системы – специального программного продукта, созданного для контроля информационных потоков в компании и предотвращения утечек конфиденциальной информации из нее. DLP расшифровывается как Data Leak Prevention – предотвращение утечек данных. На самом деле такая система является универсальным средством выявления неправомерных действий сотрудников.

Суть работы таких систем состоит в создании защищенного информационного «контура», на границах которого производится перехват и мониторинг всего исходящего трафика, а в наши дни еще и входящего. Под трафиком, надо сказать, здесь подразумевается не только интернет-трафик, а также и документы, которые передаются за пределы защищаемого «периметра безопасности» на внешних носителях, распечатываются на принтере, отправляются на мобильные носители через блютуз и т. д.

При этом определение уровня конфиденциальности документа, который система нашла в перехваченном трафике, может вестись двумя способами: с помощью анализа специальных маркеров документа (естественно, документ должен быть помечен таким маркером заранее), либо путем анализа содержимого документа. Способы могут комбинироваться, но все-таки второй вариант в настоящее время максимально распространен, потому что добавление специальных маркеров не решает проблем, связанных с переводом информации в другой формат, и т. п.

Стоит отдельно остановиться на легальности использования DLP-систем. Некоторые сотрудники считают, что работодатель нарушает их конституционное право на конфиденциальность переписки, используя DLP-систему для анализа их почты, в том числе и для выявления фактов пользования бесплатными почтовыми сервисами без явной необходимости подобных действий. На самом деле в рабочее время сотрудники должны работать по правилам работодателя и вести не личную, а деловую переписку, которую работодатель имеет право контролировать. Это обстоятельство, а также использование системы ИБ указывается в трудовых договорах и дополнительных соглашениях, которые сотрудники подписывают при трудоустройстве. Т. е. сотрудников ставят в известность о наличии системы ИБ в организации. В таком случае имеет место уже не нарушение тайны переписки, которого и не происходит благодаря работе DLP-системы в автоматическом режиме, а контроль работодателем целевого использования одного из предоставляемых сотруднику ресурсов подключения к Интернету.

Отдельно стоит рассмотреть вопрос, что же делать с сотрудником, который был «пойман с поличным» на использовании бесплатной почты. Наиболее эффективно, конечно, будет дифференциальное наказание. Если дело было в неработающем сервере корпоративной почты, то наказывать следует системного администратора, а сотрудника за находчивость можно будет даже поощрить. Если выяснится, что сотрудник просто передал какой-то один файл по старой привычке, то достаточно будет провести с ним профилактическую беседу. А вот если налицо случай инсайдерской деятельности и распространение конфиденциальных данных за пределы компании, то здесь уже следует наказывать по всей строгости, обязательно донося информацию о наказании до остальных сотрудников.

Так что, как видите, контролировать использование сотрудниками бесплатной почты, оставаясь в рамках закона, совсем не сложно. Главное – пользоваться для этого правильными средствами.
 
Original message
Как легально контролировать переписку сотрудников через бесплатную почту

РОМАН ИДОВ,
аналитик компании SearchInform​
Использование бесплатных почтовыхсервисов для рабочей переписки – это не просто моветон, это серьезная угроза безопасности вашей компании. Поэтому использование таких сервисов в рабочее время и на рабочем месте нужно, как минимум, строго контролировать. Причем, не нарушая законодательства.

Трудно сказать, почему сотрудники так любят использовать бесплатную почту вместо корпоративной. Возможно, все дело в привычке к интерфейсу Mail.ru, Yahoo и «Яндекса» − все дело в желании иметь доступ к почте отовсюду, а не только с рабочего места. Правда, с современными смартфонами и планшетами это становится легким делом с любым почтовым ящиком. Сравнительно небольшой процент сотрудников пользуется бесплатными сервисами для распространения корпоративных секретов, принадлежащих целиком и полностью их работодателю. Впрочем, вредят компании не только они, а все, кто пользуется бесплатными сервисами электронной почты для ведения деловой переписки.

Обычно главное, на что обращает внимание руководство, это «несолидность» использования адресов не на корпоративном домене. Что и говорить: если компания претендует на лидерство в том или ином сегменте рынка и позиционирует себя как современная и продвинутая организация, адреса на визитках и буклетах, заканчивающиеся на «…@mail.ru» выглядят, скажем прямо, достаточно странно. Хотя многие производители продуктов питания не стесняются даже печатать такие адреса на этикетках своих продуктов. Но имиджевые потери от использования бесплатных почтовых сервисов – ничто по сравнению с потерями информации, и особенно с ее утечками.
Как контролировать почту сотрудников.jpg

За что отвечает бесплатный почтовый сервис? Ни за что. Если вы, может быть, читали пользовательское соглашение любого бесплатного почтового сервиса, которое «подписывали» при регистрации, то знаете, что в нем в обязательном порядке есть пункт «отказ от ответственности». Поэтому и за сохранность писем, которые вы передали, и за доступ вас к вашему аккаунту никто не отвечает. Вспомните, как часто появляются новости об утечках и взломах паролей к бесплатным почтовым серверам. В следующий раз среди десятков, а то и сотен тысяч скомпрометированных учетных записей может оказаться и ваша. И если вы сохраняли копии документов, которые пересылали своим клиентам, то последние окажутся под угрозойтеперь вашим ящиком могут распоряжаться мошенники, рассылая с него похожие как две капли воды на ваши коммерческие предложения, ссылки с которых ведут на мошеннические сайты. Вряд ли клиент, перешедший по такой ссылке и получивший «трояна», укравшего деньги с его банковской карты, будет и дальше оставаться лояльным вашей компании. А ведь это только одна из множества возможных схем действий злоумышленников после получения доступа к вашему почтовому ящику, и далеко не самая неблагоприятная для вас.

Вывод прост: на рабочем месте пользоваться бесплатными сервисами нельзя. С оговорками, конечно: если корпоративный почтовый сервер «лежит», а отправить важное письмо нужно архисрочно, то тут уж все средства хороши. Но знать, что использовать бесплатные почтовые сервисы – плохо, и совсем не использовать их – это две разные, очень разные вещи. Чтобы удостовериться, что персонал не использует «запрещенные приемы» (то есть те самые бесплатные сервисы электронной почты), необходимо контролировать их использование.

Первая мысль, которая приходит в голову, – это блокировать доступ к ним (хотя бы к самым популярным) с помощью настроек корпоративного файрволла. Но эта идея не слишком хороша. Во-первых, как уже было написано выше, бывают экстренные ситуации, когда нужна «палочка-выручалочка» в виде того же Mail.ru или Gmail. Вовторых, всяких бесплатных почтовых сервисов в мире столько, что закрыть доступ к ним всем не представляется возможным. Значит, нужно придумать какой-то способ осуществлять неблокирующий контроль подобных сервисов.

Это очень удобно делать с помощью DLP-системы – специального программного продукта, созданного для контроля информационных потоков в компании и предотвращения утечек конфиденциальной информации из нее. DLP расшифровывается как Data Leak Prevention – предотвращение утечек данных. На самом деле такая система является универсальным средством выявления неправомерных действий сотрудников.

Суть работы таких систем состоит в создании защищенного информационного «контура», на границах которого производится перехват и мониторинг всего исходящего трафика, а в наши дни еще и входящего. Под трафиком, надо сказать, здесь подразумевается не только интернет-трафик, а также и документы, которые передаются за пределы защищаемого «периметра безопасности» на внешних носителях, распечатываются на принтере, отправляются на мобильные носители через блютуз и т. д.

При этом определение уровня конфиденциальности документа, который система нашла в перехваченном трафике, может вестись двумя способами: с помощью анализа специальных маркеров документа (естественно, документ должен быть помечен таким маркером заранее), либо путем анализа содержимого документа. Способы могут комбинироваться, но все-таки второй вариант в настоящее время максимально распространен, потому что добавление специальных маркеров не решает проблем, связанных с переводом информации в другой формат, и т. п.

Стоит отдельно остановиться на легальности использования DLP-систем. Некоторые сотрудники считают, что работодатель нарушает их конституционное право на конфиденциальность переписки, используя DLP-систему для анализа их почты, в том числе и для выявления фактов пользования бесплатными почтовыми сервисами без явной необходимости подобных действий. На самом деле в рабочее время сотрудники должны работать по правилам работодателя и вести не личную, а деловую переписку, которую работодатель имеет право контролировать. Это обстоятельство, а также использование системы ИБ указывается в трудовых договорах и дополнительных соглашениях, которые сотрудники подписывают при трудоустройстве. Т. е. сотрудников ставят в известность о наличии системы ИБ в организации. В таком случае имеет место уже не нарушение тайны переписки, которого и не происходит благодаря работе DLP-системы в автоматическом режиме, а контроль работодателем целевого использования одного из предоставляемых сотруднику ресурсов подключения к Интернету.

Отдельно стоит рассмотреть вопрос, что же делать с сотрудником, который был «пойман с поличным» на использовании бесплатной почты. Наиболее эффективно, конечно, будет дифференциальное наказание. Если дело было в неработающем сервере корпоративной почты, то наказывать следует системного администратора, а сотрудника за находчивость можно будет даже поощрить. Если выяснится, что сотрудник просто передал какой-то один файл по старой привычке, то достаточно будет провести с ним профилактическую беседу. А вот если налицо случай инсайдерской деятельности и распространение конфиденциальных данных за пределы компании, то здесь уже следует наказывать по всей строгости, обязательно донося информацию о наказании до остальных сотрудников.

Так что, как видите, контролировать использование сотрудниками бесплатной почты, оставаясь в рамках закона, совсем не сложно. Главное – пользоваться для этого правильными средствами.

farts5

Зарегистрированный
Joined
Apr 25, 2020
Messages
1
Reaction score
1
Points
3
Age
42
Location
russia
We simply chopped off the possibility of using other services, except for "clean" ones using a gateway. We used to have FortiGate, everything was fine. But after the introduction of the law banning the use of foreign software, I had to look for a domestic analogue. Bought Traffic Inspector Next Generation. It works like a clock. Once the SmartSoft specialist arrived, installed, configured and that's it, we did not touch the gateway anymore. Currently fully meets all the needs of the company.
 
Original message
Мы просто отрубили возможность использования других сервисов, кроме "чистых" с помощью шлюза. Раньше у нас стоял FortiGate, все устраивало. Но после ввода закона о запрете использования иностранного ПО пришлось искать отечественный аналог. Купили Traffic Inspector Next Generation. Работает как часы. Раз специалист SmartSoft приехал, установил, настроил и все, мы больше шлюза не касались. На данный момент полностью обеспечивает все потребности компании
  • Like
Reactions: НСК-СБ

Матушкин Андрей Николаевич

Президент IAPD
Staff member
Private access level
Full members of NP "MOD"
Joined
Jan 1, 1970
Messages
21,930
Reaction score
3,755
Points
113
Age
53
Location
Россия,
Website
o-d-b.ru
Мы просто отрубили возможность использования других сервисов, кроме "чистых" с помощью шлюза. Раньше у нас стоял FortiGate, все устраивало. Но после ввода закона о запрете использования иностранного ПО пришлось искать отечественный аналог. Купили Traffic Inspector Next Generation. Работает как часы. Раз специалист SmartSoft приехал, установил, настроил и все, мы больше шлюза не касались. На данный момент полностью обеспечивает все потребности компании
С днём рождения.
 
Original message
Мы просто отрубили возможность использования других сервисов, кроме "чистых" с помощью шлюза. Раньше у нас стоял FortiGate, все устраивало. Но после ввода закона о запрете использования иностранного ПО пришлось искать отечественный аналог. Купили Traffic Inspector Next Generation. Работает как часы. Раз специалист SmartSoft приехал, установил, настроил и все, мы больше шлюза не касались. На данный момент полностью обеспечивает все потребности компании
С днём рождения.