Неправомерная необходимость

Видеонаблюдение за сотрудниками, прослушивание их телефонов, мониторинг серфинга по интернету и чтение электронной переписки - более чем распространенная практика IT-контроля сотрудников. Однако комментируют ее эксперты крайне неохотно: не хотят раскрывать методы работы, тем самым "обижая" персонал, и рисковать из-за сомнительной легитимности используемых подходов.

На одной из моих предыдущих работ директор читал рабочую и личную переписку своих сотрудников. Об этом знали лишь единицы. ICQ также не разрешалось пользоваться, а все сайты, посещаемые сотрудниками, мониторились. Если оказывалось, что посещенные веб-ресурсы не касаются работы, с зарплаты работников компании взимались определенные суммы", - рассказывает Наталья Толуб, руководитель PR-службы компании DiaWest.

Подобная практика уже давно не нова в украинских компаниях. Они следуют в русле мировых тенденций, которые ведут ко все более жесткому информационному контролю подчиненных. Причина явления - нежелание топ-менеджеров и владельцев крупных компаний терпеть убытки из-за возможной утечки конфиденциальной информации, разглашения коммерческой тайны сотрудниками, которые вместо работы занимаются частной перепиской или развлекаются.

Но, несмотря на широкое распространение практики информационного контроля, для компаний, работающих в Украине, эта тема является весьма щекотливой и закрытой. Прежде чем получить несколько комментариев для статьи, пришлось столкнуться с массовыми отказами отделов безопасности известных и крупных работодателей говорить о негласном, да и о гласном контроле. Они боятся, что впоследствии эта информация может быть использована против них.

Соблазны менеджеров среднего звена

"С развитием интернета, вхождением в обиход различных систем обмена мгновенных сообщений типа ICQ и бурным ростом социальных сетей odnoklassniki.ru, vkontakte.ru и других для сотрудников компаний появляется все больше соблазнов не работать, а развлекаться", - говорит Денис Никитчук, руководитель департамента по работе с партнерами супермаркета программного обеспечения "Софткей-Украина".

С оглядкой на такую тенденцию во многих компаниях доступ ко Всемирной паутине предоставляется не всем сотрудникам, а некоторым только в определенном объеме или направлении. "Доступ в интернет у нас предоставляется по служебной необходимости. Руководитель подразделения инициирует выделение имен и паролей своему сотруднику и устанавливает соответствующий лимит пользования", - рассказывает Виктор Михайленко, директор IT-направления компании МКС. В целом более половины сотрудников МКС имеют доступ ко Всемирной паутине, а среди продавцов в розничной сети и менеджеров среднего звена таких более 90%.

В центральном офисе компании DiaWest доступ к интернету имеют примерно 90% сотрудников. Причем, какой категории работников предоставлена возможность путешествовать по Сети, в офисе известного дистрибутора электроники предпочли не раскрывать. Тут также интернет предоставляется согласно должностным инструкциям сотрудников и в зависимости от производственной необходимости.

При этом чтобы ограничить спектр сайтов, разрешенных для просмотра, многие службы безопасности компаний устанавливают фильтры на часто посещаемые ссылки и ключевые слова, которые мешают выполнению производственных задач. Как правило, запрещают ссылки на чаты, службы знакомств, форумы, частную электронную почту, файлообменники. Помимо ограничений в Сети, во многих компаниях с целью избежания утечки информации службы безопасности новым сотрудникам отключают USB-порты (используются для подключения флешек), дисководы, CD и DVD-приводы. Как правило, эти устройства подключают только при "производственной необходимости" с подачи руководителя отдела.

Эпистолярное "чтиво"

Пожалуй, один из самых провокационных вопросов в контексте политики информационной безопасности касается чтения переписки сотрудников компании. Большинство собеседников "Инвестгазеты" предпочли на него не отвечать. Впрочем, по результатам анонимного опроса стало понятно, что в большинстве фирм действует негласное правило: "Если сотрудник подписал соглашение о конфиденциальности, компания оставляет за собой право проконтролировать, как это соглашение выполняется". Это означает, что служба безопасности более-менее серьезной компании имеет возможность как минимум читать переписку практически любого работника, а как максимум прослушивать его телефонные разговоры. "Раз есть определенные обязательства, значит, есть и контроль их выполнения, сотрудники компании сами это знают. Никакого подрыва доверия в этом нет, каждый должен выполнять свои должностные инструкции", - говорят в DiaWest.

Правда, в соглашении о конфиденциальности, которое новый сотрудник обычно подписывает одновременно с трудовым договором, часто открыто не говорится, что его могут прослушивать, читать переписку и т. д. Зачастую там указано, что компания вправе требовать выплаты установленных договором штрафных санкций за нарушение условий договора, а также компенсации всех убытков, причиненных в результате нарушения (в дополнение к штрафным санкциям).

Техническое решение

В условиях строгой информационной безопасности важно не подорвать доверие персонала чересчур жесткими методами контроля со стороны службы безопасности и IT-отдела. "Главное, чтобы они работали оперативно, но незаметно. Мы придерживаемся правила: сотрудник должен чувствовать контроль, но не должен испытывать из-за него неудобства", - говорят в компании МКС.

С расчетом на это и создаются программы по контролю интернет-трафика. Всемирная паутина является одним из основных каналов возможной утечки конфиденциальной информации, поэтому значительная доля внимания "безопасников" уделяется контролю работы в ней сотрудников.

Понимая это, разработчики создали целую нишу программ, ограничивающих доступ к интернету и контролирующих его использование. Среди них такие, как Esomo (369 грн.), TrafficQuota (747 грн.), Интернет Администратор (4127 грн.), Ideco Internet Control (243 грн.), Tmeter (208 грн.), прокси-сервер UserGate (425 грн.), Proxy Inspector (833 грн.) и т. д.

Большая часть этих решений позволяет ограничивать доступ к Сети по разным параметрам (к конкретным веб-сайтам, с конкретных IP-адресов, в определенное время и т. д.), получать информацию: кто, когда и какие сайты посещал, т. е. позволяет полностью контролировать доступ в интернет.

"По нашей статистике, наиболее продаваемой на сегодняшний день является программа Kerio Winroute Firewall (3,5 тыс. грн.) - комплексное решение для защиты компьютера (сети) и контроля трафика", - говорит Денис Никитчук. При этом спрос на подобные решения постоянно растет.

Два уровня защиты

Однако вышеупомянутыми решениями скорее могут пользоваться небольшие компании со штатом в несколько десятков человек. Крупным компаниям с многомиллионными оборотами одними программами для обеспечения информационной безопасности не обойтись. Для полной, всесторонней защиты информации, непрерывности и стабильности деятельности IT-систем сегодня критичным является также обеспечение защиты информации на физическом уровне. Такие факторы, как контроль доступа, обеспечение противопожарной безопасности, резервирование критичных для бизнеса данных, контроль утечки и доступности информации, как прямо, так и косвенно влияют на информационную безопасность компании в целом. Им необходимы комплексные решения, которые, соответственно, и стоят недешево.

Конкретную цену крупнейшие украинские системные интеграторы не называют. "Она определяется после оценки активов, выработки модели угроз и оценки рисков. В зависимости от видов собственности и категорий информации в Украине на систему защиты тратится от 10-40% стоимости активов", - говорит Владимир Гонцул, начальник отдела по информационной безопасности и планированию систем "Квазар-Микро".

В то же время по результатам первого всеукраинского исследования рынка корпоративной информационной безопасности, проведенного компанией "Инком", большинство отечественных компаний выделяют 5-15% бюджетных средств для обеспечения защищенности своих IT-систем. "Соответственно, бюджет обеспечения безопасности напрямую зависит от таких параметров, как размер компании, а также индивидуальных бизнес-потребностей, связанных со спецификой ее деятельности", - считает Николай Головин, консультант департамента IТ-консалтинга компании "Инком".

Просчитать до последнего цента

Внедрить систему информационной безопасности - полдела, ведь ее нужно еще и поддерживать в рабочем состоянии. Сейчас принято эту функцию в компаниях возлагать в худшем случае на одного-двух системных администраторов, в лучшем случае - на IT-отдел. Но, как отмечают эксперты, тут существенная проблема в том, что эти отдельные специалисты, как правило, не развивают систему информационной безопасности компании, т. е. со временем она все больше теряет свой потенциал перед новыми угрозами.

По мнению специалистов "Инкома", идеальной моделью организации ИБ всех IT-систем является вывод службы информационной безопасности в отдельное подразделение в виде полноценной независимой структуры, подчиняющейся непосредственно топ-менеджменту. "Для организации такой модели зачастую приглашаются внешние консалтинговые компании, которые проводят комплексный IT-аудит и аудит ИБ, демонстрируя непредвзятый взгляд со стороны. Как следствие, выявляются риски и вырабатываются рекомендации по организации безопасности, к которым вынуждены прислушаться как IT-директора, так и владельцы бизнеса", - говорит Николай Головин.

При этом иногда целесообразно вывести некоторые функции IT-отдела в аутсорсинг. Несмотря на то, что такая модель организации ИБ только зарождается, с каждым годом все больше крупных компаний интересуются такой возможностью. Основная привлекательность аутсорсинга заключается, по заверениям экспертов, в его экономичности.