Журнал "Системы Безопасности" № 1‘2023
Ц И Ф Р О В А Я Т Р А Н С Ф О Р М А Ц И Я , A I , I o T 120 В отличие от угроз 1 информационной без- опасности, реализуемых внешним зло- умышленником, угрозы утечки информации, исходящие от сотрудников организации, менее прогнозируемы. С другой же стороны, риски утечки значительно труднее поддаются митиги- рованию. Предлагаю подробнее разобраться в проблеме, а также поразмышлять о путях ее решения. Виды утечек информации Фактически утечка – неправомерное разглаше- ние конфиденциальной информации, пред- ставляющее собой: l устное разглашение (намеренное или случай- ное); l копирование конфиденциальной информа- ции на внешние носители; l публикацию конфиденциальной информации в Интернете (намеренную или случайную); l утерю/кражу носителей информации (фле- шек, бумаг, ноутбуков и т.п.) и др. Система контроля должна быть построена исхо- дя из того факта, что угрозы утечки конфиден- циальной информации реализуются внутренни- ми нарушителями, имеющими непосредствен- ный доступ к такому виду информации. Таким образом, для минимизации угроз утечек необходимо, очевидно, установить контроль над действиями сотрудников. Кому это необхо- димо? С точки зрения информационной без- опасности наблюдение за сотрудниками необходимо всем компаниям, и более того, оно почти во всех присутствует в том или ином виде. Особенно остро вопрос контроля встает в компаниях со стремительно растущей числен- ностью сотрудников, а также с усложняющими- ся производственными операциями. Ошибки и злонамеренные действия сотрудников Итак, мы определились с видом угроз, наруши- телей и направлением для построения системы контроля. Далее нам необходимо проанализи- ровать работу нашей компании и определить те действия, при совершении сотрудником кото- рых в результате ошибки или же в результате его злонамеренных действий мы теоретически можем понести несравнимо бóльшие убытки. Перечень таких действий может быть следующим: 1. Воровство материальных и интеллектуальных ценностей. 2. Нецелесообразное использование ресурсов (например, рабочего времени). 3. Вандализм в отношении производственных процессов. 4. Непреднамеренные ошибки (в том числе утечки данных, компрометация защищаемой информации и т.п.). А теперь задумаемся: как же отнесутся сотруд- ники компании к тому, что их действия контро- лируют? Контроль сотрудников: взгляд с обратной стороны Очевидно, что самой распространенной реак- цией на контроль будет резкое непринятие, негатив (не всегда, о чем мы поговорим ниже), ведь мы не любим, когда нам очерчивают рамки и следят за каждым шагом. Поэтому после установления контроля мы, как правило, встречаем противодействие. Поэтому одним из ключевых моментов при орга- низации контроля, позволяющих избежать нега- тивной реакции, является доведение мысли о необходимости этого контроля до самих сотруд- ников. Возникает вопрос: как это сделать? Вари- антов множество. Например, можно объяснить сотрудникам, что контроль за выносом матери- альных ценностей поможет выполнить про- изводственный план и получить премиальные. Чуть сложнее донести мысль о необходимости контроля до сотрудников, работающих в информационной сфере. Информацию необя- зательно выносить в кармане через проходную, а ущерб от некоторых утечек может на годы превысить ущерб от воровства материальных ресурсов. Для человека может быть неочевидна мысль о неправильности поступка при краже или утере информации, поскольку информация нематериальна. А раз нематериальна – значит, ничего не украл и не потерял. Где же найти решение проблемы? Оно очевид- ное, однако, к сожалению, не всегда реализуе- мое: сотрудники положительно или, по крайней мере, равнодушно реагируют на контроль в тех компаниях, в которых их устраивают график работы, уровень заработной платы, способ поощрений и т.д. Таким образом, можно сделать следующий вывод: довольный сотрудник согла- сен с установлением контроля над его действия- ми. Однако работодателю необходимо четко соблюдать границы дозволенного контроля, ува- жать своих подчиненных, иначе даже довольный работой сотрудник может стать нарушителем. Информировать сотрудников о слежке обязывает законодательство Итак, контроль за действиями сотрудников установлен. Возникает вопрос: сообщать ли сотрудникам о слежке или нет? Ответ один: сообщать. При выборе второго варианта мы рискуем узнать подробности ст. 137 Уголовного кодекса РФ "Нарушение неприкосновенности частной жизни" и ст. 138 этого же кодекса "Нарушение тайны переписки, телефонных переговоров, почтовых, телеграф- ных или иных сообщений". Данные статьи – это дамоклов меч любого безопасника. Практика их применения большая и всегда не в пользу рабо- тодателя. февраль – март 2023 www.secuteck.ru Дмитрий Дудко Руководитель центра комплексной безопасности департамента информационной безопасности ЛАНИТ https://assets.siemens-energy.com/ Защита информации от утечек в ИТ-сети предприятия В статье определяются виды угроз, исходящих от внутренних нарушителей, и пред- лагаются меры для выстраивания защиты, а также – что очень важно – рассматри- ваются правовые и морально-этические коллизии, которые могут возникнуть при организации контроля, и пути их разрешения 1 Подробнее в статье: Д. Дудко. Как прервать цепочку событий от угрозы до происшествия и обеспечить безопасность 24/7 // Системы безопасности. 2021. № 2.
Made with FlippingBook
RkJQdWJsaXNoZXIy Mzk4NzYw