Уход на удаленку размыл корпоративные границы. Сотрудники часто вынужденно использовали личные устройства для работы и принесли эти привычки назад в офисы. Запреты на использование сотрудниками мобильных телефонов и раньше провоцировали споры и дискуссии. Сейчас у компаний еще меньше аргументов для введения решительных мер. Хотя проблемы остались те же: каждая третья компания страдает от утечки данных из-за мобильных устройств. Какие у бизнеса есть варианты? Рассуждает Лев Матвеев, председатель совета директоров «СёрчИнформ».
– Мобильный телефон – лучшее оружие того, кто хочет украсть информацию. Гаджет быстро передает данные, делает качественные фотографии и видео, имеет емкие карты памяти – список можно продолжать. Идеальных вариантов, чтобы победить эту беду, можно сказать и нет. Многие применяемые методы просто неэффективны, а часть лежит в «серой» зоне и скорее незаконны. Но главное, контроль за использованием личных устройств всегда касается приватного пространства сотрудника. Поэтому перед руководством встает вопрос: как контролировать так, чтобы и цели достичь, и коллектив против себя не настроить. Выбор подхода зависит от типа бизнеса, уровня конкуренции в отрасли, угроз, с которыми он сталкивается на рынке. Посмотрим на основные варианты снижения риска утечки данных через мобильные устройства, их преимущества и недостатки.
Это самый радикальный способ защиты и может быть очень эффективным, но только в случае по-настоящему строгого контроля. Мы то и дело слышим, что компании запрещают использовать мобильные гаджеты на работе. За скобками остается то, насколько хорошо у них получается реализовывать запрет. Один из заводов после публикации сотрудником видео пожара на YouTube запретил проносить смартфоны на территорию. Уже через пару месяцев работники рассказывали, что проходная не обращает внимания на нарушение.
Есть и другой аспект. В эпоху «интернета вещей» любой бытовой предмет становится гаджетом: очки, кольца, часы. Все они могут использоваться для приема и передачи информации. И уж если компания идет на строгий запрет, нужно готовиться к вечной гонке за технологиями.
Использование подавителей сотового сигнала – еще одна мера из разряда «радикальных». В России использовать такие устройства разрешено, но необходимо регистрировать их в Госкомиссии по радиочастотам. «Глушилки» создают плотные помехи для мобильного интернета, и человек не может пользоваться сотовой сетью для передачи и приема данных.
Недостатки очевидны – есть риск полностью заблокировать связь, что вызовет недовольство и подозрения, а также навредит бизнес-процессам компании. Поэтому разумно точечно применять «глушилки» в комнатах для деловых и секретных переговоров, на режимных и спец- объектах, а также в местах, где мобильные просто мешают, например, в больницах, так как могут оказывать влияние на работу медоборудования.
Но глушилки не помогут, если телефон используется как флешка, диктофон, фото- или видеокамера. Передать эту информацию нарушитель сможет, когда выйдет из зоны подавления сигнала.
Этот подход имеет несколько вариаций. На телефон может быть установлена специальная программа контроля. Или работа сотрудников может быть организована в специальной среде программ и приложений, откуда невозможно слить информацию вовне.
Такой подход применяют в компаниях, где разрешается использовать собственные устройства для работы. Сотрудники здесь, как правило, готовы к тому, что границы личного и корпоративного размыты. А вот в других случаях сложно представить, чтобы коллектив был готов отдать свои гаджеты под контроль работодателя.
Подход не находит большого применения в России, одна из причин в том, что ПО для контроля не универсально. Например, для устройств на разных операционках нужны разные программы контроля. Закупить на всех сотрудников корпоративные мобильники – похоже на выход из ситуации. Но тут возникают те же административные трудности, что и в ситуации, когда гаджеты совсем запрещены, ведь нужно контролировать, чтобы на территорию компании не попадали личные смартфоны.
При грамотном комбинировании перечисленных мер можно добиться высокого уровня защиты. Комплексный подход предполагает, что компания не создает препятствий пользователям, разрешает использовать мобильные устройства на работе.
Во-первых, для контроля используются компоненты программы для защиты данных (DLP), благодаря которым действия сотрудников со служебной информацией оказываются видны.
Во-вторых, настраиваются доступы, чтобы сотрудник по ошибке или намеренно не «влез» куда не стоит. Мобильным устройствам закрывают возможность подключения к компьютерам. Ноутбукам запрещают подключаться к Wi-Fi-сетям, которые сотрудник «раздает» с телефона или планшета. Часто этого бывает достаточно, чтобы серьезно снизить число инцидентов.
Комплексность также и в том, чтобы подключать физический контроль. Многие эксперты уверены, что видеонаблюдение будет сильно «умнеть» и сможет распознавать случаи использования мобильных гаджетов там, где это запрещено или может быть опасно. Например, будет уведомлять о том, что сотрудник фотографирует экран или использует гаджет в цеху. А пока технологии набирают обороты, лучший вариант – это совместное использование программ контроля утечек информации с размещением камер в цехах и рабочих кабинетах. Такая комбинация создает у вероятных нарушителей ощущение неотвратимости наказания. То есть предполагается, что человек не станет фотографировать экран, если знает, что на него наведена камера.
Пока контроль за использованием личных гаджетов на работе – это вопрос не полного избавления, а максимального снижения вероятного ущерба. Хотя описанные выше методы не дают 100% гарантии защиты, они в разной комбинации оказываются достаточно эффективными. Но главное, они помогают собрать информацию, увидеть признаки нарушения и предотвратить инцидент.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных