Как легально контролировать переписку сотрудников через бесплатную почту
РОМАН ИДОВ, аналитик компании SearchInform |
Использование бесплатных почтовыхсервисов для рабочей переписки – это не просто моветон, это серьезная угроза безопасности вашей компании. Поэтому использование таких сервисов в рабочее время и на рабочем месте нужно, как минимум, строго контролировать. Причем, не нарушая законодательства. Трудно сказать, почему сотрудники так любят использовать бесплатную почту вместо корпоративной. Возможно, все дело в привычке к интерфейсу Mail.ru, Yahoo и «Яндекса» − все дело в желании иметь доступ к почте отовсюду, а не только с рабочего места. Правда, с современными смартфонами и планшетами это становится легким делом с любым почтовым ящиком. Сравнительно небольшой процент сотрудников пользуется бесплатными сервисами для распространения корпоративных секретов, принадлежащих целиком и полностью их работодателю. Впрочем, вредят компании не только они, а все, кто пользуется бесплатными сервисами электронной почты для ведения деловой переписки. Обычно главное, на что обращает внимание руководство, это «несолидность» использования адресов не на корпоративном домене. Что и говорить: если компания претендует на лидерство в том или ином сегменте рынка и позиционирует себя как современная и продвинутая организация, адреса на визитках и буклетах, заканчивающиеся на «…@mail.ru» выглядят, скажем прямо, достаточно странно. Хотя многие производители продуктов питания не стесняются даже печатать такие адреса на этикетках своих продуктов. Но имиджевые потери от использования бесплатных почтовых сервисов – ничто по сравнению с потерями информации, и особенно с ее утечками. За что отвечает бесплатный почтовый сервис? Ни за что. Если вы, может быть, читали пользовательское соглашение любого бесплатного почтового сервиса, которое «подписывали» при регистрации, то знаете, что в нем в обязательном порядке есть пункт «отказ от ответственности». Поэтому и за сохранность писем, которые вы передали, и за доступ вас к вашему аккаунту никто не отвечает. Вспомните, как часто появляются новости об утечках и взломах паролей к бесплатным почтовым серверам. В следующий раз среди десятков, а то и сотен тысяч скомпрометированных учетных записей может оказаться и ваша. И если вы сохраняли копии документов, которые пересылали своим клиентам, то последние окажутся под угрозойтеперь вашим ящиком могут распоряжаться мошенники, рассылая с него похожие как две капли воды на ваши коммерческие предложения, ссылки с которых ведут на мошеннические сайты. Вряд ли клиент, перешедший по такой ссылке и получивший «трояна», укравшего деньги с его банковской карты, будет и дальше оставаться лояльным вашей компании. А ведь это только одна из множества возможных схем действий злоумышленников после получения доступа к вашему почтовому ящику, и далеко не самая неблагоприятная для вас. Вывод прост: на рабочем месте пользоваться бесплатными сервисами нельзя. С оговорками, конечно: если корпоративный почтовый сервер «лежит», а отправить важное письмо нужно архисрочно, то тут уж все средства хороши. Но знать, что использовать бесплатные почтовые сервисы – плохо, и совсем не использовать их – это две разные, очень разные вещи. Чтобы удостовериться, что персонал не использует «запрещенные приемы» (то есть те самые бесплатные сервисы электронной почты), необходимо контролировать их использование. Первая мысль, которая приходит в голову, – это блокировать доступ к ним (хотя бы к самым популярным) с помощью настроек корпоративного файрволла. Но эта идея не слишком хороша. Во-первых, как уже было написано выше, бывают экстренные ситуации, когда нужна «палочка-выручалочка» в виде того же Mail.ru или Gmail. Вовторых, всяких бесплатных почтовых сервисов в мире столько, что закрыть доступ к ним всем не представляется возможным. Значит, нужно придумать какой-то способ осуществлять неблокирующий контроль подобных сервисов. Это очень удобно делать с помощью DLP-системы – специального программного продукта, созданного для контроля информационных потоков в компании и предотвращения утечек конфиденциальной информации из нее. DLP расшифровывается как Data Leak Prevention – предотвращение утечек данных. На самом деле такая система является универсальным средством выявления неправомерных действий сотрудников. Суть работы таких систем состоит в создании защищенного информационного «контура», на границах которого производится перехват и мониторинг всего исходящего трафика, а в наши дни еще и входящего. Под трафиком, надо сказать, здесь подразумевается не только интернет-трафик, а также и документы, которые передаются за пределы защищаемого «периметра безопасности» на внешних носителях, распечатываются на принтере, отправляются на мобильные носители через блютуз и т. д. При этом определение уровня конфиденциальности документа, который система нашла в перехваченном трафике, может вестись двумя способами: с помощью анализа специальных маркеров документа (естественно, документ должен быть помечен таким маркером заранее), либо путем анализа содержимого документа. Способы могут комбинироваться, но все-таки второй вариант в настоящее время максимально распространен, потому что добавление специальных маркеров не решает проблем, связанных с переводом информации в другой формат, и т. п. Стоит отдельно остановиться на легальности использования DLP-систем. Некоторые сотрудники считают, что работодатель нарушает их конституционное право на конфиденциальность переписки, используя DLP-систему для анализа их почты, в том числе и для выявления фактов пользования бесплатными почтовыми сервисами без явной необходимости подобных действий. На самом деле в рабочее время сотрудники должны работать по правилам работодателя и вести не личную, а деловую переписку, которую работодатель имеет право контролировать. Это обстоятельство, а также использование системы ИБ указывается в трудовых договорах и дополнительных соглашениях, которые сотрудники подписывают при трудоустройстве. Т. е. сотрудников ставят в известность о наличии системы ИБ в организации. В таком случае имеет место уже не нарушение тайны переписки, которого и не происходит благодаря работе DLP-системы в автоматическом режиме, а контроль работодателем целевого использования одного из предоставляемых сотруднику ресурсов подключения к Интернету. Отдельно стоит рассмотреть вопрос, что же делать с сотрудником, который был «пойман с поличным» на использовании бесплатной почты. Наиболее эффективно, конечно, будет дифференциальное наказание. Если дело было в неработающем сервере корпоративной почты, то наказывать следует системного администратора, а сотрудника за находчивость можно будет даже поощрить. Если выяснится, что сотрудник просто передал какой-то один файл по старой привычке, то достаточно будет провести с ним профилактическую беседу. А вот если налицо случай инсайдерской деятельности и распространение конфиденциальных данных за пределы компании, то здесь уже следует наказывать по всей строгости, обязательно донося информацию о наказании до остальных сотрудников. Так что, как видите, контролировать использование сотрудниками бесплатной почты, оставаясь в рамках закона, совсем не сложно. Главное – пользоваться для этого правильными средствами. |
Original message
Как легально контролировать переписку сотрудников через бесплатную почту
РОМАН ИДОВ, аналитик компании SearchInform |
Использование бесплатных почтовыхсервисов для рабочей переписки – это не просто моветон, это серьезная угроза безопасности вашей компании. Поэтому использование таких сервисов в рабочее время и на рабочем месте нужно, как минимум, строго контролировать. Причем, не нарушая законодательства. Трудно сказать, почему сотрудники так любят использовать бесплатную почту вместо корпоративной. Возможно, все дело в привычке к интерфейсу Mail.ru, Yahoo и «Яндекса» − все дело в желании иметь доступ к почте отовсюду, а не только с рабочего места. Правда, с современными смартфонами и планшетами это становится легким делом с любым почтовым ящиком. Сравнительно небольшой процент сотрудников пользуется бесплатными сервисами для распространения корпоративных секретов, принадлежащих целиком и полностью их работодателю. Впрочем, вредят компании не только они, а все, кто пользуется бесплатными сервисами электронной почты для ведения деловой переписки. Обычно главное, на что обращает внимание руководство, это «несолидность» использования адресов не на корпоративном домене. Что и говорить: если компания претендует на лидерство в том или ином сегменте рынка и позиционирует себя как современная и продвинутая организация, адреса на визитках и буклетах, заканчивающиеся на «…@mail.ru» выглядят, скажем прямо, достаточно странно. Хотя многие производители продуктов питания не стесняются даже печатать такие адреса на этикетках своих продуктов. Но имиджевые потери от использования бесплатных почтовых сервисов – ничто по сравнению с потерями информации, и особенно с ее утечками. За что отвечает бесплатный почтовый сервис? Ни за что. Если вы, может быть, читали пользовательское соглашение любого бесплатного почтового сервиса, которое «подписывали» при регистрации, то знаете, что в нем в обязательном порядке есть пункт «отказ от ответственности». Поэтому и за сохранность писем, которые вы передали, и за доступ вас к вашему аккаунту никто не отвечает. Вспомните, как часто появляются новости об утечках и взломах паролей к бесплатным почтовым серверам. В следующий раз среди десятков, а то и сотен тысяч скомпрометированных учетных записей может оказаться и ваша. И если вы сохраняли копии документов, которые пересылали своим клиентам, то последние окажутся под угрозойтеперь вашим ящиком могут распоряжаться мошенники, рассылая с него похожие как две капли воды на ваши коммерческие предложения, ссылки с которых ведут на мошеннические сайты. Вряд ли клиент, перешедший по такой ссылке и получивший «трояна», укравшего деньги с его банковской карты, будет и дальше оставаться лояльным вашей компании. А ведь это только одна из множества возможных схем действий злоумышленников после получения доступа к вашему почтовому ящику, и далеко не самая неблагоприятная для вас. Вывод прост: на рабочем месте пользоваться бесплатными сервисами нельзя. С оговорками, конечно: если корпоративный почтовый сервер «лежит», а отправить важное письмо нужно архисрочно, то тут уж все средства хороши. Но знать, что использовать бесплатные почтовые сервисы – плохо, и совсем не использовать их – это две разные, очень разные вещи. Чтобы удостовериться, что персонал не использует «запрещенные приемы» (то есть те самые бесплатные сервисы электронной почты), необходимо контролировать их использование. Первая мысль, которая приходит в голову, – это блокировать доступ к ним (хотя бы к самым популярным) с помощью настроек корпоративного файрволла. Но эта идея не слишком хороша. Во-первых, как уже было написано выше, бывают экстренные ситуации, когда нужна «палочка-выручалочка» в виде того же Mail.ru или Gmail. Вовторых, всяких бесплатных почтовых сервисов в мире столько, что закрыть доступ к ним всем не представляется возможным. Значит, нужно придумать какой-то способ осуществлять неблокирующий контроль подобных сервисов. Это очень удобно делать с помощью DLP-системы – специального программного продукта, созданного для контроля информационных потоков в компании и предотвращения утечек конфиденциальной информации из нее. DLP расшифровывается как Data Leak Prevention – предотвращение утечек данных. На самом деле такая система является универсальным средством выявления неправомерных действий сотрудников. Суть работы таких систем состоит в создании защищенного информационного «контура», на границах которого производится перехват и мониторинг всего исходящего трафика, а в наши дни еще и входящего. Под трафиком, надо сказать, здесь подразумевается не только интернет-трафик, а также и документы, которые передаются за пределы защищаемого «периметра безопасности» на внешних носителях, распечатываются на принтере, отправляются на мобильные носители через блютуз и т. д. При этом определение уровня конфиденциальности документа, который система нашла в перехваченном трафике, может вестись двумя способами: с помощью анализа специальных маркеров документа (естественно, документ должен быть помечен таким маркером заранее), либо путем анализа содержимого документа. Способы могут комбинироваться, но все-таки второй вариант в настоящее время максимально распространен, потому что добавление специальных маркеров не решает проблем, связанных с переводом информации в другой формат, и т. п. Стоит отдельно остановиться на легальности использования DLP-систем. Некоторые сотрудники считают, что работодатель нарушает их конституционное право на конфиденциальность переписки, используя DLP-систему для анализа их почты, в том числе и для выявления фактов пользования бесплатными почтовыми сервисами без явной необходимости подобных действий. На самом деле в рабочее время сотрудники должны работать по правилам работодателя и вести не личную, а деловую переписку, которую работодатель имеет право контролировать. Это обстоятельство, а также использование системы ИБ указывается в трудовых договорах и дополнительных соглашениях, которые сотрудники подписывают при трудоустройстве. Т. е. сотрудников ставят в известность о наличии системы ИБ в организации. В таком случае имеет место уже не нарушение тайны переписки, которого и не происходит благодаря работе DLP-системы в автоматическом режиме, а контроль работодателем целевого использования одного из предоставляемых сотруднику ресурсов подключения к Интернету. Отдельно стоит рассмотреть вопрос, что же делать с сотрудником, который был «пойман с поличным» на использовании бесплатной почты. Наиболее эффективно, конечно, будет дифференциальное наказание. Если дело было в неработающем сервере корпоративной почты, то наказывать следует системного администратора, а сотрудника за находчивость можно будет даже поощрить. Если выяснится, что сотрудник просто передал какой-то один файл по старой привычке, то достаточно будет провести с ним профилактическую беседу. А вот если налицо случай инсайдерской деятельности и распространение конфиденциальных данных за пределы компании, то здесь уже следует наказывать по всей строгости, обязательно донося информацию о наказании до остальных сотрудников. Так что, как видите, контролировать использование сотрудниками бесплатной почты, оставаясь в рамках закона, совсем не сложно. Главное – пользоваться для этого правильными средствами. |