Ассоциация российских банков (АРБ) и Ассоциация банков России (АБР) предложили запретить банковским служащим пользоваться мобильными телефонами с камерами на рабочем месте.
В ассоциациях уверены, что запрет поможет в борьбе с утечками персональных данных. В перспективе объединения намерены обратиться в Центробанк с просьбой закрепить новую норму в банковских стандартах.
Банки отнеслись к идее настороженно, хотя некоторые уже практикуют запрет на личную технику в офисе.
Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ», оценил инициативу с технической точки зрения:
– Запретительная практика является нормой для режимных предприятий, объектов с доступом к особой информации, технологиям или материалам. Изредка к ней прибегает и частный бизнес. Столь радикальные меры работодателей можно понять. Кроме защиты собственной коммерческой информации они обязаны соблюдать и федеральные законы (в частности, ФЗ-152, о защите персональных данных) и международные нормы (например, регламент GDPR, предполагающий гигантские штрафы). Не забудем и о репутационных рисках, которые неминуемо следуют за крупными утечками из финансовых учреждений.
Поэтому ничего экстраординарного в таких мерах я не вижу. Но только со сноской, что их применение будет осознанным – без вреда для бизнес-процессов и морального климата в коллективе. Некоторые сотрудники негативно воспримут инициативу, ведь на рабочем месте нельзя будет прерваться на беседу с приятелем в мессенджере, полистать ленту соцсети. С другой стороны – есть рабочий регламент, четко очерченный круг задач, за который сотрудник получает зарплату, и в него не входят подобные активности. У современного работодателя достаточно корпоративных средств коммуникаций, и личный смартфон для решения бизнес-задач не нужен.
То есть концептуально все понятно и, в общем-то, вопросов не вызывает. Но что касается автоматизированного контроля исполнения этого запрета, все гораздо сложнее.
Если организовывать надзор, как звучали предложения, через камеры ноутбуков, то возникает ряд проблем. DLP-системы по настроенным политикам безопасности позволяют делать снимки пользователя за компьютером (с помощью камеры монитора). Но обрабатывать этот массив фотографий ИБ-службе пока приходится вручную – существующие алгоритмы детектирования объектов на изображении (в данном случае поднесения смартфона к монитору) являются вероятностными, а значит, лишь в какой-то мере позволяют отслеживать инцидент. Потому в больших компаниях, где тысячи, а то и десятки тысяч сотрудников, это может обернуться тысячами ложно-положительных сработок.
Вторая проблема даже более очевидна: как контролировать сотрудников, на ПК которых нет веб-камер? А если камера повреждена, заклеена чем-то, отвернута, закрыта шторкой?
Многие отечественные ИБ-вендоры, в том числе и мы, ведут разработки подобных технологий. Но им еще предстоит пройти немалый путь адаптации.
Поэтому если Центробанк и закрепит запрет в стандартах, его соблюдение станет вопросом административным, а не техническим.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных