Опрос. Прослушка или контроль защиты от утечки информации?::БИТ 05.2016
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
август    2020
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

показать все 

Новости партнеров

04.08.2020

В Москве стартовал Акселератор сферы услуг

Читать далее 

03.08.2020

Поддерживаю.РФ приглашает разработчиков программного обеспечения

Читать далее 

03.08.2020

Сильные технологические компании, антикризисные бизнес-кейсы и эксклюзивная аналитика по технологиям в ритейле на Retail Hub 2020

Читать далее 

30.07.2020

В августе в Москве состоится обучающий интенсив «Мама-предприниматель»

Читать далее 

показать все 

Статьи

15.05.2020

Жить под водой, мечтая о солнце

Читать далее 

06.04.2020

Как продвигать и продавать в новой реальности?

Читать далее 

06.04.2020

Испытание или шанс?

Читать далее 

08.03.2020

Бэкап: облака или софт?

Читать далее 

08.03.2020

Считаем эффективность ИТ-проектов

Читать далее 

13.02.2020

Чат-бот CallShark не требует зарплаты, а работает круглосуточно

Читать далее 

24.12.2019

До встречи в «Пьяном Сомелье»!

Читать далее 

21.12.2019

Искусство как награда Как изготавливали статуэтки для премии IT Stars им. Георгия Генса в сфере инноваций

Читать далее 

04.12.2019

ЛАНИТ учредил премию IT Stars памяти основателя компании Георгия Генса

Читать далее 

04.06.2019

Маркетолог: привлекать, продавать, продвигать?

Читать далее 

показать все 

Опрос. Прослушка или контроль защиты от утечки информации?

Главная / Архив номеров / 2016 / Выпуск №05 (58) / Опрос. Прослушка или контроль защиты от утечки информации?

Рубрика: Безопасность


Прослушка или контроль защиты от утечки информации?

Компания InfoWatch разработала систему, способную перехватывать разговоры в офисах.

На вопросы «БИТа» отвечают эксперты ведущих компаний

  1. Законно ли, по вашему мнению, использование подобных систем в бизнесе?
  2. Внедрили бы вы в своей компании или организации эту систему? Или у вас уже есть некий ее аналог?
  3. Система наверняка недешевая. Насколько она может быть рентабельной?
  4. Есть ли иные, более эффективные способы борьбы с утечкой инсайдерской информации?
  5. Считаете ли вы, что InfoWatch просто назвала вещи своими именами. Ведь прослушка информации велась во все времена?

Никита Нецкин

«Что касается записи телефонных переговоров то такая практика уже давно внедрена и используется в колл-центрах крупных компаний»

Никита Нецкин, менеджер по работе с кредитно-финансовыми организациями компании «Актив»

1. Полагаю, в правовом поле использование таких систем вполне реализуемо. Согласно ТК РФ (Статья 189) Работодатель обязан в соответствии с трудовым законодательством ииными нормативными правовыми актами, содержащими нормы трудового права, коллективным договором, соглашениями, локальными нормативными актами, трудовым договором создавать условия, необходимые для соблюдения работниками дисциплины труда.

Что касается записи телефонных переговоров то такая практика уже давно внедрена и используется в колл-центрах крупных компаний. При этом обязательно должно быть предупреждение о том, что такая запись ведется.

Отмечу, что работодатель не имеет права запретить использовать личный мобильный телефон, если только это не мешает выполнению сотрудником своих прямых обязанностей. В ином случае это будет считаться вторжением в частную жизнь.

2. В работе с партнерами внедрение подобной системы создаст дополнительные неудобства. Как я отмечал раннее, потребуется предупреждать, что разговор записывается.

Это вызовет дополнительное недоверие и раздражение со стороны принимающей стороны. Я вижу риски в том, что меньшее количество вопросов партнеры согласятся решатьпо телефону.

4. Тяжело оценить эффективность данного решения в борьбе с утечкой, ведь сотрудник легко может переместиться за пределы диапазона действия системы и позвонить оттуда, либо воспользоваться личной сим-картой. Обмануть систему гораздо проще, если сотрудник знает о ней.

5. Согласен, что такой метод мало чем отличается от классической прослушки. А в случае, если во время разговора зафиксированы ключевые слова, решение о прекращении разговора, скорее всего, будет принимать специалист службы информационной безопасности.

 

Олеся Генне

«Если все будут знать, что идет запись разговоров, разве они будут передавать инсайдерскую информацию?»

Олеся Генне, специалист, частное образовательное учреждение дополнительного профессионального образования «Центр предпринимательских рисков»

Согласно ст. 23 п.2 Конституции РФ, ст. 32 закона «О связи» и положений закона «Об оперативно-розыскной деятельности» ограничение права на тайну телефонных переговоров допускается только на основании судебного решения. То есть никакие ведомства не могут нарушать гражданские права, кроме как на основании судебного решения. Поэтому пока несовсем ясно, как решение компании InfoWatch будет согласовываться с указанными положениями Конституции РФ, закона «О связи» и закона «Об оперативно-розыскной деятельности».

Тем не менее работодатель может ограничивать использование принадлежащих компании ресурсов, предназначенных для исполнения должностных обязанностей. Это касается икорпоративных мобильных телефонов и номеров. Но при установке системы прослушивания работник должен быть уведомлен (в письменной форме под роспись) о наличии такой системы и записи разговоров. Это должно быть отражено в трудовом договоре, соглашениях к нему или иных документах. Но, повторюсь, касается это только корпоративных номеров. Если же системой отслеживается мобильный номер, который принадлежит частному лицу, то это уже нарушение законодательства.

Но не только держатель прослушиваемого мобильного номера должен знать о системе контроля: при входящем звонке человек, звонящий на данный номер, также должен быть предупрежден, что производится запись разговора. Иначе нарушаются положения законодательства РФ.

Тогда возникает вопрос целесообразности установки системы: если все будут знать, что идет запись разговоров, разве они будут передавать инсайдерскую информацию?

С другой стороны, система, предлагаемая InfoWatch, будет далеко не дешевой. И позволить ее смогут лишь крупные предприятия с серьезными контурами безопасности исерьезными бюджетами.

Для средних и мелких организаций такая система скорее всего будет непозволительной роскошью. Не стоит забывать, что система защиты не должна стоить дороже защищаемой информации.

Поэтому надо рассматривать не только технические средства защиты, но и организационные, такие как система повышения лояльности, корпоративной культуры и мотивации, сочетающей материальную и моральную составляющие.

 

Илья Коношевский

«На мой взгляд, невозможно сделать мир и даже отдельный его участок в лице корпорации абсолютно безопасным, даже при условии тотального контроля»

Илья Коношевский, ИТ-эксперт, менеджер по развитию бизнеса Microsoft в компании «Системный Софт»

1. Вопрос законности использования подобных систем никогда не будет до конца решен ввиду существования социального конфликта личного и корпоративного.

Как правило, чтобы компания могла использовать материалы, полученные подобным образом, каждый сотрудник должен быть предупрежден о том, что все его разговоры записываются. Также должен быть обязательно прописан регламент допустимого и наказуемого (не говоря уже о структурировании информации в части коммерческой тайны).

Но даже при наличии всех необходимых подписанных документов будут существовать лазейки и системы двойных стандартов.

2. Да, внедрил бы, как минимум для того, чтобы сотрудники в рабочее время минимизировали офисные «кулуарные игры» и личное общение. К тому же вероятность утечки информации при наличии такой системы также минимизируется, поскольку сотрудники, зная, что их слушают, будут выбирать для передачи информации другие каналы, время, помещения.

3. На мой взгляд, для коммерческой компании внедрение такой системы вряд ли может быть рентабельным это инвестиции в безопасность, возврат которых трудно просчитывается. Важнее, чтобы перед внедрением подобной системы топ-менеджмент компании имел ясное понимание целей и задач, которых нужно достигнуть внедрением системы. Если такое понимание есть, то можно попытаться просчитать рентабельность, по крайней мере, посчитать стоимость рисков, которые минимизируются.

4. Если у сотрудника компании есть цель, подкрепленная выгодой, его никакие системы не остановят. К сожалению, действенного способа защиты от таких утечек до сих пор непридумали, поэтому компаниям остается только верить в лояльность сотрудников и работать в направлении макро- и микроменеджмента.

5. В последнее время элементы «умного города» становятся реальностью слежение на улицах, прослушка телефонов для нас уже стала нормой. При этом создаются специальные инфоповоды, оправдывающие вмешательство в личное пространство, чтобы минимизировать законное недовольство граждан. На мой взгляд, невозможно сделать мир и даже отдельный его участок в лице корпорации абсолютно безопасным, даже при условии тотального контроля.

А вот вызвать подобными мерами сильнейшую демотивацию сотрудников, которая может привести к нарушению микроклимата в компании и, как следствие, к финансовым потерям, выраженным в снижении работоспособности и потери лояльности, можно. Поэтому в стремлении к тотальному контролю все-таки важно не перестараться.

 

Евгений Цветков

«Автоматический поиск нарушений в телефонных разговорах напоминает стрельбу из пушки по воробьям»

Евгений Цветков, директор по маркетингу компании «Телфин»

Решение конечно рабочее. Теперь сотрудник десять раз подумает, прежде чем сказать лишнее по телефону. Никто не хочет рисковать. Похоже на парковку в Финляндии физических ограничений нет: пожалуйста, паркуйся. Но если тебя зафиксирует камера наружного наблюдения, придется заплатить внушительный штраф.

С другой стороны, автоматический поиск нарушений в телефонных разговорах напоминает стрельбу из пушки по воробьям. А при «ручном» анализе руководству и службе безопасности придется обрабатывать многочасовые записи разговоров десятков сотрудников. Чтобы выявить в этом потоке фол, требуются время, люди, технологии.

Стоит ли оно того? Куда лучше, как мне кажется, вложить дополнительную минуту: в развитие или в ужесточение контроля?

Мы выбираем первое, поскольку знаем, что собственника бизнеса заботит вопрос эффективности. И прослушивание звонков для него это не тотальный надзор, а инструмент управления продажами.

 

Алексей Рязановский

«Если система будет направлена на слежение за персоналом, то это может нарушить микроклимат в компании, может даже провоцироваться утечка кадров, что нанесет большой вред»

Алексей Рязановский, генеральный директор ООО «Алгориус Софтвер»

1. Я считаю, что использование таких систем незаконно. Пункт 23 Конституции гласит: «Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения».

2. Нет, не внедрил бы.

3. Эта система может стать рентабельной, если будет использоваться, например, для получения конфиденциальной информации в пользу конкурентов.

Если система будет направлена на слежение за персоналом, то это может нарушить микроклимат в компании, следствием чего может даже провоцироваться утечка кадров, чтонанесет большой вред компании. Это особенно критично в ИТ-сфере, где существует недостаток специалистов.

4. Данная проблема действительно стоит очень остро. На этот вопрос нужно смотреть с разных точек зрения.

Человек может стать источником такой информации даже неосознанно. А если человек захочет вывести информацию сознательно, то он всегда сможет это сделать. Надо всегда учитывать данный человеческий фактор.

Эффективнее повышать доверие внутри компании, проводить разъяснительные работы, а также минимизировать информацию, утечка которой может нанести вред компании,или минимизировать круг лиц, которые имеют к ней необходимый доступ.

5. На каждое действие найдется противодействие.

 

Александр Поздняков

«Если стоимость риска утечки информации превышает стоимость системы она, безусловно, будет рентабельной»

Александр Поздняков, гендиректор компании First Line Software

1. Сложно оценить юридическую сторону данного вопроса, но думаю, что без серьезной юридической проработки средства в разработку подобного продукта компания невложила бы.

2. Особого смысла в такой системе в офисах нашей компании я не вижу. Да, мы конечно же работаем с информацией, которая является конфиденциальной или коммерческой тайной, но, как правило, объем такой информации не предполагает «утечки» по телефону.

3. Если стоимость риска утечки информации превышает стоимость системы она, безусловно, будет рентабельной, но если искать не общие слова, а конкретные расчеты надо задавать вопрос тем, кто собирается внедрять систему.

4. Сложно сравнить систему, которую обсуждаем, например, с системами разграничения доступа по помещениям или сегментам корпоративной сети цели разные, но и те, идругие служат для предотвращения разного рода проникновений и утечек.

5. Запись телефонных разговоров рутинный процесс, например в call-центрах, но назвать это прослушкой нельзя, так как она ведется гласно, с разрешения, с понятной целью, которую объявляют.

Но могу говорить только о том, что установлено в нашей компании, ни запись, ни прослушка телефонных разговоров никогда не велась, и причин начинать не вижу. Это обусловлено характером работы, которую мы выполняем и требованиями клиентов к мерам безопасности.

 

Александр Санин

«Когда система внедрена и настроена правильно, а также эксплуатируется специалистами, она имеет право на жизнь. С ее помощью можно предотвратить огромное количество рисков»

Александр Санин, коммерческий директор компании «Аванпост»

1. Этот вопрос уже много лет обсуждают сторонники и противники систем класса DLP, ведь, по сути, разницы нет, будь то чтение электронной почты сотрудников илипрослушивания их разговоров по телефону.

Законно ли вмешиваться в тайну личной переписки и т.п.? Есть масса доводов как «за», так и «против». На мой взгляд, если система внедрена и настроена правильно, а также эксплуатируется грамотными специалистами, то она имеет право на жизнь. С ее помощью можно предотвратить огромное количество рисков. А уж вмешиваться в личную жизнь сотрудников путем прослушек или чтения личной переписки это удел непрофессионалов.

2. В нашей компании нет систем подобного класса, и мы не собираемся в ближайшее время ими обзаводиться.

3. Система DLP вполне может быть рентабельной. Особенно в компаниях, где большую ценность имеет информация, циркулирующая в информационных системах. Один предотвращенный слив «базы» конкурентам, и DLP окупилась это вполне реальный сценарий.

4. Безусловно, безопасники придумали массу вещей для защиты от таких утечек. Применяются как технические средства, так и организационные. Но, на мой взгляд, одно изсамых эффективных средств борьбы с такого рода утечками работа с персоналом, обучение, повышение их уровня осознания важности информации, с которой они работают.В конце концов улучшение внутреннего климата в коллективе и повышение корпоративной ответственности.

5. Мое мнение по данному вопросу и конкретно по данному кейсу InfoWatch может идти вразрез с официальными комментариями. Я считаю, что тему раздули просто изнечаянно оброненной фразы. По-моему, 99,9% высказывающихся по данному вопросу людей продукт этот в глаза не видели. Да и существует ли заявленная функциональностьу этого решения? Никто не разбирался. В одном из постов на Facebook один из учредителей компании, входящей в группу InfoWatch, вообще сказал во всеуслышание, что это было их спланированной PR-кампанией, и теперь они пожинают плоды столь успешного пиара, получив заказов на полгода вперед. Это вполне может быть правдой.

 

Болаж Шейдлер

«Привилегированные пользователи, которые имеют административный доступ в корпоративную сеть, как правило, могут изменить или украсть конфиденциальную информацию»

Болаж Шейдлер, соучредитель и технический директор компании Balabit

1. Запись и аналитика ежедневных разговоров может быть законной (хотя это зависит от юрисдикции), но, на мой взгляд, это, безусловно, неэтично по отношению к сотрудникам компании. Хоть я и сторонник мониторинга и сопутствующего ему анализа в целях безопасности, я считаю, что надо понимать, что это за мониторинг (или в нашем случае запись голоса), который нам следует производить во имя безопасности.

Так как треть нашей жизни проходит в офисах, мы формируем социальные связи в дополнение к строгим рабочим отношениям. Исследования показывают, что организации, вкоторых личные и рабочие отношения связаны между собой, имеют более высокий уровень доверия, и работают они более эффективно.

Масштабный перехват речевой коммуникации, даже если это происходит на рабочем месте, может дать доступ к информации об этих социальных отношениях, а это, в свою очередь, личные данные.

2. У нас есть много способов усиления всех потенциальных источников информации, которые уже присутствуют в наших ИТ-системах. Но, пока они не исчерпают себя, мы недолжны начинать масштабную слежку во имя безопасности. Такие действия могут пагубно сказаться на доверии сотрудников компании, что точно не будет способствовать обеспечению эффективности работы с ними.

3. Нам следует рассматривать этот вид мониторинга, учитывая все возможные риски и используя информацию, которая уже доступна, особенно если она связана с высоким риском бизнес-процессов. Если этого не будет достаточно, следует внедрить мониторинг деятельности высокого риска. Кроме этого, часто забывают о необходимости мониторинга привилегированных пользователей. Привилегированные пользователи, которые имеют административный доступ в корпоративную сеть, как правило, могут изменить или украсть конфиденциальную информацию.

Особый доступ аккаунтов к корпоративным данным делает их ценным объектом для атаки хакеров. Привилегированные учетные записи по своему определению используются только для рабочих целей, и эти решения по мониторингу их деятельности существуют, чтобы предложить высококачественные записи их активности.

После того как данные становятся доступными с помощью уже имеющейся информации или путем введения новых методов мониторинга, например таких, какпривилегированный контроль доступа, мы можем начать автоматический анализ, используя такие инструменты, как аналитика поведения пользователей. Они должны выявлять случаи, когда инсайдеры становятся вредоносными или когда злоумышленник перехватывает корпоративный аккаунт и начинает вредоносную деятельность.

 

Михаил Иванов

«Контроль очень важен для успеха любого бизнеса, иначе наступит хаос»

Михаил Иванов, директор ИТ-компании «Новые Решения»

1. Да, я считаю их законными. Контроль очень важен для успеха любого бизнеса, иначе наступит хаос.

2. Да. Пока не внедрили, но планируем в ближайшее время. Ее аналога у нас нет, меня и моих коллег эта программа вполне устраивает.

3. Верно, она достаточно недешевая, но стоит того, чтобы на нее потратиться. Она рентабельна. Я люблю быть в курсе дел моих сотрудников, знать, в чем их сильные и слабые места, чтобы учить их чему-то новому и совершенствоваться самому.

4. Скорее всего нет. По крайней мере я не встречал.

5. Нет, не считаю. Потому что данная система – не прослушка, а контроль защиты от утечки информации. Прошу заметить, это разные вещи.

 

В начало⇑

 

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи

Выпуск №05 (98) 2020г.
Выпуск №05 (98) 2020г. Выпуск №04 (97) 2020г. Выпуск №03 (96) 2020г. Выпуск №02 (95) 2020г. Выпуск №01 (94) 2020г.
Вакансии на сайте Jooble

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика