Здравствуйте! Меня зовут Анна Попова, я являюсь руководителем блока DLP ГК Infosecurity. Сегодня мне хочется поговорить про мониторинг сотрудников и зачем он вообще нужен. Этот материал мне хотелось бы адресовать не сотрудникам служб безопасности, которым в большинстве адресованы такие статьи, а простым пользователям – сотрудникам компании, которые становятся объектами контроля в компании.
В современной реальности мания преследования наверно достигла своего апогея. Все и каждый обсуждают меры, предпринимаемые государством и препятствующие свободе слова, переписки и пр. Одни только истории с блокировкой Телеграма чего стоят. Самые ленивые не поленились высказаться на эту тему.
В итоге мы получаем общество, которое живет в постоянном страхе, что кто-то плохой вскроет его переписку, фотографии, видео и узнает о нем все подноготную. И получился взрывной коктейль, где все намешали в кучу, и люди бросились всеми правдами и неправдами защищать свои личные данные и права человека заодно.
Легко ли в таких условиях обосновывать внедрение DLP, UBA и пр. инструментов контроля и мониторинга в компании? Думаю, нет.
Даже несколько раз приходилось слышать от сотрудников служб ИБ цитаты от бизнеса в духе: а зачем нам DLP – нам нечего скрывать. Или: мы доверяем своим сотрудникам.
Слушая такие истории регулярно, захотелось посмотреть на мониторинг с другой стороны.
Начнем с того, что одним из главных пунктов в обосновании закупки системы мониторинга, было и остается соблюдение требований закона: о персональных данных, о коммерческой тайне, о банковской тайне и пр. Это конечно справедливо. Но соблюдение требований закона в нашей стране всегда равно запрету на что-либо. Нельзя делать так, надо делать так. А к запретам наш свободолюбивый народ исторически относится негативно.
Получаем предвзятое отношение и бизнеса и сотрудников компании еще на старте процесса внедрения системы мониторинга. Такая реакция неизбежна в начале. Но важно потом все-таки поменять мнение людей о системе и ее ценности для компании. В первую очередь, для сотрудников компании.
Расскажу на примере своего опыта и опыта наших заказчиков, как и всегда.
В одном из наших заказчиков была принята концепция функционирования системы в режиме: наблюдаем, но не блокируем. Для избежания проблем с бизнесом такая тема подходит все-таки лучше всего. Особенно в начале пути. Соответственно, мы уведомляли бизнес о потенциальных нарушениях со стороны сотрудников. Решение вопроса о применении / неприменении наказания оставляли бизнесу: ТОП-менеджменту или линейным руководителям.
Не смогу передать вам, сколько раз мы получали в отчет негатив в духе: да вы что, изверги, это же наш лучший сотрудник, он работает исключительно на благо компании. Подумаешь, на внешнюю почту себе отправил – дома хотел человек поработать, не жалеет себя, вот работает сверхурочно! Или: его действия абсолютно легитимны, это же нормальный бизнес-процесс! И прочее. Такие разборки заканчивались по-разному, часто конечно бизнес уходил весь обиженный на нас и СБ.
Но что здесь главное. Проходило какое-то время, и те руководители, которые проклинали нас, возвращались с просьбами взять на контроль какого-то из них сотрудников. Неожиданно, правда? А как же доверие к сотрудникам и забота о них, о которых так много было слов? Да все просто. Доверие – понятие относительное. Особенно в работе. Со временем, руководители стали демонстрировать совершенно противоположное, а именно, перестали брать на себя ответственность за действия своих нерадивых сотрудников. Есть Положение о Коммерческой тайне, Политика использования корпоративных ресурсов, в них заложены определенные требования. Не выполняешь – извини, защищать тебя никто не будет.
Мы пришли к тому, что руководители стали выступать с инициативой применения к сотрудникам наказаний и даже увольнений в случае вопиющих нарушений.
Вот так. А вы говорите.
С руководителями произошла двойная трансформация. Во-первых, они поняли, что не хотят отвечать за нарушения других людей (что в принципе верно), во-вторых, осознали, что можно же и не наказывать, а просто наблюдать за действиями сотрудников. Особенно тех, которые вызывают у них подозрения по разным причинам.
Как думаете, есть ли польза от такого мониторинга? А как же. Мы же не только закрываем галочками требования закона или регулятора, но и выявляем неблагонадежных, нелояльных сотрудников, работающих в ущерб интересам компании и т.д.
И другой пример. Он характерен и для нашей компании и для заказчиков.
А почему думая о системе мониторинга, мы думаем только об утечках информации и прочем негативе? Есть другая сторона. Например, многие DLP-системы (в большинстве, отечественного производства) позволяют собирать весь архив данных, передающихся по каналам связи. И хранить такие данные столько, сколько вам надо или на сколько хватит мощностей.
Рассмотрим такую ситуацию. У сотрудника компании возник спорный вопрос с контрагентом или клиентом. Учитывая, что все каналы коммуникации в наше время электронные, возникает необходимость подтвердить позицию сотрудника перепиской по почте (необязательно, возможны любые варианты: печать документов, переписка в мессенджерах, запись файла на внешний носитель и пр.).
Скрывать не буду, но чем давность спорного события больше, тем меньше на эту тему воспоминаний у сотрудника. Как правило, он помнит кому и примерно когда (хотя часто ошибается даже в годе).
Вы спросите, а как же данные в почтовом клиенте или архив почты на компьютере сотрудника? Такие данные невечны. Даже самый объемный почтовый ящик не может хранить все, да и создавать безразмерный ящик всем сотрудникам мало кто готов. Обязательную архивацию данных тоже мало кто использует. Да и возвращаясь к тому, что человек не всегда может точно вспомнить, где искать и что искать, даже наличие у него архива не спасет.
Учитывая подобное, а также объемы данных у наших клиентов, мы быстро пришли к тому, что услуга архивации почты должна выражаться не только в технической поддержке системы, но и в возможности оперативно найти иголку в стоге сена.
Со временем о такой возможности узнало максимальное количество сотрудников клиентов, и они начали приходить со своими проблемами. Кому восстановить архив за определенное время, кому найти буквально одно письмо или один файл. Либо более сложные задачи, когда надо расписать, кто что и кому направлял, куда ушло дальше и чем закончилось. Это в основном для работы с возражениями, как говорится.
Вы скажете, а при чем здесь мониторинг? Вы не поверите (или поверите), если я вам скажу, что мониторинг сотрудников чрезвычайно помогает в быстром поиске информации в бездонном архиве данных!
Мы дошли до такого уровня, что сотрудники СБ заказчика или наши же сотрудники в разговорах упоминают: я ж ему писал, ну ты видела, а он…; я же им говорил, а они, ну ты знаешь…. (конечно же я ничего не знаю, но я в силу своей работы где-то об этом читала). Поэтому просьб: найти мое письмо, я писал тому-то, но не помню кому и когда — множество. Или я точно помню, что печатал в сентябре 1905 года, посмотри…
Таким образом, люди не просто привыкли к процессу мониторинга их коммуникаций, но и используют его для защиты своих личных и профессиональных интересов.
Вот вам и еще одна ценность.
Поверьте, не все внедряют системы мониторинга с целью наказаний сотрудников и повышения количества выявленных инцидентов. Тем более, что современный функционал систем мониторинга уже далеко вышел за рамки DLP и сугубо предотвращения утечек.
Вот кстати отсюда, дорогие вендоры, и берутся пожелания клиентов к функционалу систем, чтобы они еще и кофе варили. Тут я кстати точно не настаиваю на наличии полного фарша в одной системе. Тем более, что современные тенденции – это интеграция систем либо их мирное сосуществование на одном компьютере.
Так что здесь мы не рассматриваем вопрос, насколько коррективно собирать архив данных или анализировать поведение пользователей средствами DLP, потому что вопрос именно в мониторинге как процессе, а не вовсе не в определенной системе.
Еще одна тема, не менее важная: насколько корректно вы настраиваете систему и выстраиваете процесс выявления и реагирования. Тут адресую и к сотрудникам служб ИБ и СБ. Но для простых пользователей это тоже важно понять, потому что процессы могут выстроены по-разному у всех.
Мы, например, часто отталкиваемся от Перечня сведений, отнесенных к конфиденциальным, принятому в компании заказчика.
Мониторинг всего трафика позволяет нам довольно быстро собрать первый замес, где будут сопоставлены Перечень и конкретные документы. Можно прийти к тому же самому другим путем: собрать образцы документов от бизнес-подразделений. Не суть. У нас получается пакет шаблонов, цифровых отпечатков, словарей и чего еще хотите для того, чтобы превратить это в правила системы, по которым информация будет детектироваться.
Однако, можно ли исключить при этом кучу фальшпозитива? Конечно нет. Систему надо обучить, как стало модно говорить. Если мы будем оформлять как инцидент любое событие или срабатывание, долго мы протянем, и бизнес не сильно будет доволен. И здесь возвращаемся к задачам мониторинга. Чем больше мы читаем, изучаем документооборот компании, коммуникации ее сотрудников, тем нам проще отделить критичные срабатывания от некритичных или фальшпозититива.
Мы сами обучаемся вместе с системой. И в этом, пожалуй, моя главная мысль.
Поэтому сухой остаток обнаруженного события в виде оформленной служебной записки мы должны сопроводить своими комментариями для СБ или ИБ или бизнеса, обратить их внимание на частоту таких коммуникаций или инцидентов, подсветить данные по личности нарушителя, его прошлые нарушения, выявленный негатив и пр.
Ну и никто не отменял белые списки для учета согласованной или легальной активности.
Тогда будет толк и от нас, и от СБ, которой мы помогаем в части мониторинга сотрудников.
Здесь резюме очень простое. Подход к каждому нарушителю должен быть индивидуальный. В одном и том же, казалось бы, случае мы можем создать инцидент, а можем не создать, потому что таковым он не будет являться.
Если подходить именно так, то конфликтов не будет или будет минимально. И скорее всего они будут только с теми, кто хотел нарушить осознанно и понимал, чего хочет добиться. Такого сотрудника защищать точно никто не будет.
Мое мнение таково, что сначала надо наблюдать и изучать, о чем шла речь выше, а затем вводить режим запретов и технически препятствовать каким-либо действиям сотрудников.
Крайне сложно реализовать схему prevention в момент внедрения системы DLP. Для этого нужно знать досконально, какие документы мы защищаете, и как они выглядят.
Если вы защищаете определенный тип документов, будет проще. Или, допустим, передачу их по определенному каналу связи.
К prevention в России надо прийти.
Есть еще один животрепещущий вопрос – легализация систем мониторинга или предотвращения в компании. Сразу скажу, что как человек, много работавший с инцидентами сотрудников и видевший разные пути развития событий, связанных с нарушителями, немного удивляюсь, как много уделяется внимания теме юридического обоснования функционирования системы.
Но тема спорная, мнений и видений достаточно. Свой субъективный, но подтвержденный практикой взгляд на эту проблему, изложу в следующей статье.
Анна Попова, руководитель блока DLP ГК Infosecurity
Немного о проблемах
В современной реальности мания преследования наверно достигла своего апогея. Все и каждый обсуждают меры, предпринимаемые государством и препятствующие свободе слова, переписки и пр. Одни только истории с блокировкой Телеграма чего стоят. Самые ленивые не поленились высказаться на эту тему.
В итоге мы получаем общество, которое живет в постоянном страхе, что кто-то плохой вскроет его переписку, фотографии, видео и узнает о нем все подноготную. И получился взрывной коктейль, где все намешали в кучу, и люди бросились всеми правдами и неправдами защищать свои личные данные и права человека заодно.
Легко ли в таких условиях обосновывать внедрение DLP, UBA и пр. инструментов контроля и мониторинга в компании? Думаю, нет.
Даже несколько раз приходилось слышать от сотрудников служб ИБ цитаты от бизнеса в духе: а зачем нам DLP – нам нечего скрывать. Или: мы доверяем своим сотрудникам.
Слушая такие истории регулярно, захотелось посмотреть на мониторинг с другой стороны.
Начнем с того, что одним из главных пунктов в обосновании закупки системы мониторинга, было и остается соблюдение требований закона: о персональных данных, о коммерческой тайне, о банковской тайне и пр. Это конечно справедливо. Но соблюдение требований закона в нашей стране всегда равно запрету на что-либо. Нельзя делать так, надо делать так. А к запретам наш свободолюбивый народ исторически относится негативно.
Получаем предвзятое отношение и бизнеса и сотрудников компании еще на старте процесса внедрения системы мониторинга. Такая реакция неизбежна в начале. Но важно потом все-таки поменять мнение людей о системе и ее ценности для компании. В первую очередь, для сотрудников компании.
Немного лайф-хаков
Расскажу на примере своего опыта и опыта наших заказчиков, как и всегда.
В одном из наших заказчиков была принята концепция функционирования системы в режиме: наблюдаем, но не блокируем. Для избежания проблем с бизнесом такая тема подходит все-таки лучше всего. Особенно в начале пути. Соответственно, мы уведомляли бизнес о потенциальных нарушениях со стороны сотрудников. Решение вопроса о применении / неприменении наказания оставляли бизнесу: ТОП-менеджменту или линейным руководителям.
Не смогу передать вам, сколько раз мы получали в отчет негатив в духе: да вы что, изверги, это же наш лучший сотрудник, он работает исключительно на благо компании. Подумаешь, на внешнюю почту себе отправил – дома хотел человек поработать, не жалеет себя, вот работает сверхурочно! Или: его действия абсолютно легитимны, это же нормальный бизнес-процесс! И прочее. Такие разборки заканчивались по-разному, часто конечно бизнес уходил весь обиженный на нас и СБ.
Но что здесь главное. Проходило какое-то время, и те руководители, которые проклинали нас, возвращались с просьбами взять на контроль какого-то из них сотрудников. Неожиданно, правда? А как же доверие к сотрудникам и забота о них, о которых так много было слов? Да все просто. Доверие – понятие относительное. Особенно в работе. Со временем, руководители стали демонстрировать совершенно противоположное, а именно, перестали брать на себя ответственность за действия своих нерадивых сотрудников. Есть Положение о Коммерческой тайне, Политика использования корпоративных ресурсов, в них заложены определенные требования. Не выполняешь – извини, защищать тебя никто не будет.
Мы пришли к тому, что руководители стали выступать с инициативой применения к сотрудникам наказаний и даже увольнений в случае вопиющих нарушений.
Вот так. А вы говорите.
С руководителями произошла двойная трансформация. Во-первых, они поняли, что не хотят отвечать за нарушения других людей (что в принципе верно), во-вторых, осознали, что можно же и не наказывать, а просто наблюдать за действиями сотрудников. Особенно тех, которые вызывают у них подозрения по разным причинам.
Как думаете, есть ли польза от такого мониторинга? А как же. Мы же не только закрываем галочками требования закона или регулятора, но и выявляем неблагонадежных, нелояльных сотрудников, работающих в ущерб интересам компании и т.д.
И другой пример. Он характерен и для нашей компании и для заказчиков.
А почему думая о системе мониторинга, мы думаем только об утечках информации и прочем негативе? Есть другая сторона. Например, многие DLP-системы (в большинстве, отечественного производства) позволяют собирать весь архив данных, передающихся по каналам связи. И хранить такие данные столько, сколько вам надо или на сколько хватит мощностей.
Рассмотрим такую ситуацию. У сотрудника компании возник спорный вопрос с контрагентом или клиентом. Учитывая, что все каналы коммуникации в наше время электронные, возникает необходимость подтвердить позицию сотрудника перепиской по почте (необязательно, возможны любые варианты: печать документов, переписка в мессенджерах, запись файла на внешний носитель и пр.).
Скрывать не буду, но чем давность спорного события больше, тем меньше на эту тему воспоминаний у сотрудника. Как правило, он помнит кому и примерно когда (хотя часто ошибается даже в годе).
Вы спросите, а как же данные в почтовом клиенте или архив почты на компьютере сотрудника? Такие данные невечны. Даже самый объемный почтовый ящик не может хранить все, да и создавать безразмерный ящик всем сотрудникам мало кто готов. Обязательную архивацию данных тоже мало кто использует. Да и возвращаясь к тому, что человек не всегда может точно вспомнить, где искать и что искать, даже наличие у него архива не спасет.
Учитывая подобное, а также объемы данных у наших клиентов, мы быстро пришли к тому, что услуга архивации почты должна выражаться не только в технической поддержке системы, но и в возможности оперативно найти иголку в стоге сена.
Со временем о такой возможности узнало максимальное количество сотрудников клиентов, и они начали приходить со своими проблемами. Кому восстановить архив за определенное время, кому найти буквально одно письмо или один файл. Либо более сложные задачи, когда надо расписать, кто что и кому направлял, куда ушло дальше и чем закончилось. Это в основном для работы с возражениями, как говорится.
Вы скажете, а при чем здесь мониторинг? Вы не поверите (или поверите), если я вам скажу, что мониторинг сотрудников чрезвычайно помогает в быстром поиске информации в бездонном архиве данных!
Мы дошли до такого уровня, что сотрудники СБ заказчика или наши же сотрудники в разговорах упоминают: я ж ему писал, ну ты видела, а он…; я же им говорил, а они, ну ты знаешь…. (конечно же я ничего не знаю, но я в силу своей работы где-то об этом читала). Поэтому просьб: найти мое письмо, я писал тому-то, но не помню кому и когда — множество. Или я точно помню, что печатал в сентябре 1905 года, посмотри…
Таким образом, люди не просто привыкли к процессу мониторинга их коммуникаций, но и используют его для защиты своих личных и профессиональных интересов.
Вот вам и еще одна ценность.
Поверьте, не все внедряют системы мониторинга с целью наказаний сотрудников и повышения количества выявленных инцидентов. Тем более, что современный функционал систем мониторинга уже далеко вышел за рамки DLP и сугубо предотвращения утечек.
Вот кстати отсюда, дорогие вендоры, и берутся пожелания клиентов к функционалу систем, чтобы они еще и кофе варили. Тут я кстати точно не настаиваю на наличии полного фарша в одной системе. Тем более, что современные тенденции – это интеграция систем либо их мирное сосуществование на одном компьютере.
Так что здесь мы не рассматриваем вопрос, насколько коррективно собирать архив данных или анализировать поведение пользователей средствами DLP, потому что вопрос именно в мониторинге как процессе, а не вовсе не в определенной системе.
О других аспектах мониторинга
Еще одна тема, не менее важная: насколько корректно вы настраиваете систему и выстраиваете процесс выявления и реагирования. Тут адресую и к сотрудникам служб ИБ и СБ. Но для простых пользователей это тоже важно понять, потому что процессы могут выстроены по-разному у всех.
Мы, например, часто отталкиваемся от Перечня сведений, отнесенных к конфиденциальным, принятому в компании заказчика.
Мониторинг всего трафика позволяет нам довольно быстро собрать первый замес, где будут сопоставлены Перечень и конкретные документы. Можно прийти к тому же самому другим путем: собрать образцы документов от бизнес-подразделений. Не суть. У нас получается пакет шаблонов, цифровых отпечатков, словарей и чего еще хотите для того, чтобы превратить это в правила системы, по которым информация будет детектироваться.
Однако, можно ли исключить при этом кучу фальшпозитива? Конечно нет. Систему надо обучить, как стало модно говорить. Если мы будем оформлять как инцидент любое событие или срабатывание, долго мы протянем, и бизнес не сильно будет доволен. И здесь возвращаемся к задачам мониторинга. Чем больше мы читаем, изучаем документооборот компании, коммуникации ее сотрудников, тем нам проще отделить критичные срабатывания от некритичных или фальшпозититива.
Мы сами обучаемся вместе с системой. И в этом, пожалуй, моя главная мысль.
Поэтому сухой остаток обнаруженного события в виде оформленной служебной записки мы должны сопроводить своими комментариями для СБ или ИБ или бизнеса, обратить их внимание на частоту таких коммуникаций или инцидентов, подсветить данные по личности нарушителя, его прошлые нарушения, выявленный негатив и пр.
Ну и никто не отменял белые списки для учета согласованной или легальной активности.
Тогда будет толк и от нас, и от СБ, которой мы помогаем в части мониторинга сотрудников.
Здесь резюме очень простое. Подход к каждому нарушителю должен быть индивидуальный. В одном и том же, казалось бы, случае мы можем создать инцидент, а можем не создать, потому что таковым он не будет являться.
Если подходить именно так, то конфликтов не будет или будет минимально. И скорее всего они будут только с теми, кто хотел нарушить осознанно и понимал, чего хочет добиться. Такого сотрудника защищать точно никто не будет.
Еще немного слов о предотвращении как методе реагирования на инциденты
Мое мнение таково, что сначала надо наблюдать и изучать, о чем шла речь выше, а затем вводить режим запретов и технически препятствовать каким-либо действиям сотрудников.
Крайне сложно реализовать схему prevention в момент внедрения системы DLP. Для этого нужно знать досконально, какие документы мы защищаете, и как они выглядят.
Если вы защищаете определенный тип документов, будет проще. Или, допустим, передачу их по определенному каналу связи.
К prevention в России надо прийти.
Есть еще один животрепещущий вопрос – легализация систем мониторинга или предотвращения в компании. Сразу скажу, что как человек, много работавший с инцидентами сотрудников и видевший разные пути развития событий, связанных с нарушителями, немного удивляюсь, как много уделяется внимания теме юридического обоснования функционирования системы.
Но тема спорная, мнений и видений достаточно. Свой субъективный, но подтвержденный практикой взгляд на эту проблему, изложу в следующей статье.
Анна Попова, руководитель блока DLP ГК Infosecurity
Комментарии (5)
saipr
10.10.2018 16:23Например, многие DLP-системы (в большинстве, отечественного производства) позволяют собирать весь архив данных, передающихся по каналам связи. И хранить такие данные столько, сколько вам надо или на сколько хватит мощностей.
Вот и решение проблемы закона Яровой (мощностей только добавить)
InOdinWeTrust
Тяжело спорить с тем, что информационная безопасность — это крайне важно.
Но вот это дичь:
Нет ничего хуже в бизнесе, чем руководитель, который не хочет отвечать за подчиненного и брать на себя ответственность за его действия. Это совок в его худшем проявлении.
В цивилизованном мире менеджмент давно ориентируются на просто принцип «нет плохих солдат — есть плохие командиры». Руководитель отвечает перед вышестоящим начальством за ЛЮБОЙ провтык своих подчиненных. Если команда «подвела», значит виноват руководитель, потому что не выстроил процессы, не подготовил подчиненных к решению задач, не учел риски.
Logrann
Согласен. Но есть некоторая разница, между позициями «я — не я, корова не моя, он сам дурак, делайте что хотите» (обычно это не безразличие и халатность, обычно это переваливание своих прямых косяков, кстати), отмазыванием не разбираясь в сути проблемы и выполнением прямых обязанностей по контролю за работой подчиненных. В описанном в статье случае, руководитель проявляет инициативу. Подчиненных перестают отмазывать и начинают разбираться в ситуации.
VBKesha
А если ещё можно и денег не доплачивать до это же золотая жила, а не система.
Zeitung
Я абсолютно согласен с тем что «руководитель который ни за что не отвечает — плохой руководитель». Но тут я бы вставил 2 ремарки. 1) Возможно не правильно сделан вывод, и «руководители» на местах приняли НАВЯЗАННУЮ систему кем-то сверху как такую, которая снимает с них часть обязанностей («слежка» за сотрудниками). Тем-более, что по-сути, система сама к ним применяется. Так что либо сотрудник следует корпоративным правилам как все, либо плохие корпоративные правила. 2) В любой стране к-во адекватных и не адекватных менеджеров примерно одинаково ;)
Тут недавно была статья от HR о том как их «хакали» собеседующиеся. Автору той статьи в комментариях явно указали что все современные практики не могут предостеречь от подобных (или даже намного более простых) хаков. То же самое и в сфере СБ. Конечно иметь какую-то формальность нужно, возможно защиту от дурака. Но современные менеджеры очень грешат подходом «интеграция ради интеграции» (с реальной целью добавить новый пуктик в резюме).