Код
#статьи

Как IT-компании могут предотвратить внутреннюю утечку персональных данных

Пока вы думаете, как сэкономить на информационной безопасности, кто-то из сотрудников, возможно, уже сливает данные ваших клиентов.

В феврале 2021 года Яндекс раскрыл внутреннее преступление: один из системных администраторов слил данные 4 887 почтовых ящиков. Это не первый случай внутренней утечки пользовательских данных в IT-корпорациях. В разное время похожие инциденты происходили в Facebook, Snapchat и Yahoo. Внутренняя утечка — потенциальная проблема всех IT-компаний, где есть работа с конфиденциальными данными.

Разбираемся, что можно сделать, чтобы обезопасить данные пользователей, и почему штатные психологи, регулярные тесты и инженерно-техническое усиление безопасности — не панацея.

Что случилось в Яндексе

В середине февраля 2021 года появилась новость о том, что сисадмин Яндекса предоставлял несанкционированный доступ к почтовым ящикам. Проверка службы безопасности выяснила, что сотрудник незаконно продавал данные аккаунтов пользователей IT-корпорации.

Компания не стала замалчивать инцидент, сразу обратилась в полицию и провела внутреннее расследование, чтобы пересмотреть процесс работы и улучшить безопасность. По словам представителей Яндекса, доступом к пользовательским данным в корпорации обладали всего три человека.

Решение 1


Нанять штатных психологов

IT-компании заботятся о здоровье сотрудников — в сфере разработки корпоративные фитнес-тренеры, терапевты и преподаватели йоги уже никого не удивляют. При этом большинство работодателей не торопится нанимать штатных психологов, которые могут проследить за эмоциональным и психическим состоянием работников. Хотя именно психологи снижают риск появления злоумышленников внутри организации — например, выявляют их с помощью тестов.

Передовые компании вроде Google практикуют тренинги с психологами. Их задача — увеличивать лояльность, мотивировать и настраивать людей на эффективную работу. Этот тренд особенно возрос в пик пандемии в 2020-м, когда сотрудники разных компаний начали массово выгорать и страдать депрессией.

Мировая практика. В Adobe сотрудники могут обратиться за психологической помощью по рабочим и личным вопросам. А Лаборатория Касперского предлагает работникам бесплатную линию психологической помощи 24/7, которой также можно воспользоваться для решения личных проблем. Помимо этого, компания ведёт программу Fit@Work, в рамках которой людей учат справляться со стрессом и заботиться о здоровье.

Подводные камни. Одна из немногих потенциальных проблем — насторожённое отношение к подобным «членам команды» со стороны самих специалистов компании. По данным опроса «АльфаСтрахования», около трети российских сотрудников испытывают постоянный стресс на рабочем месте, но при этом мало кто готов обращаться за помощью к корпоративному психологу. Люди не хотят, чтобы руководители и коллеги думали, что у них есть какие-то проблемы, которые могут восприниматься как потенциальные причины для увольнения.

На мой взгляд, разумно проводить регулярный мониторинг ситуации в компании. Обычно это делают с помощью опросников удовлетворённости работой и/или вовлечённости с замером динамики. Хотя очевидно, что мы не сможем таким образом выявить конкретных сотрудников, потому что опросы почти всегда проводят анонимно, а людям гарантируют, что их ответы не будут обращены против них.

Такие опросы помогают заметить, в каких подразделениях динамика лояльности падает. Обычно там возникают различные проблемы: снижение эффективности, внезапные увольнения или та же утечка данных. Почти все подобные опросники имеют шкалы, и мы видим, что влияет на ситуацию. Это помогает произвести необходимые управленческие действия, которые улучшат настроения и лояльность людей.

Дмитрий Котов

управлял HR-командами в Kia Motors Russia, Begun и Navicon Group, преподаватель курса «Профессия IT-рекрутер»

Что в итоге. Можно нанять штатного психолога для постоянного мониторинга ситуации в компании. Но нужно учитывать, что в организации должен быть здоровый рабочий климат, чтобы другие сотрудники чувствовали себя комфортно. Если идея окажется успешной, можно поэкспериментировать и создать целую систему психологической поддержки внутри компании.

Решение 2


Проводить тесты на этапе отбора

Раньше рекрутеры в IT-индустрии делали всю ставку на опыт и профессиональные навыки кандидата. В 2021-м soft skills стали важны так же, как умение решать специализированные задачи. Однако тесты по «софтам» не обнаруживают людей, которые склонны вредить компании изнутри. Нередко злоумышленники имеют отличные гибкие навыки: они легко втираются в доверие и способны манипулировать людьми. Теоретически проблема решается, если грамотно проработать отбор и предложить психологические тесты и опросники уже на входе.

Мировая практика. Apple, Microsoft, Amazon и многие другие мастодонты IT-рынка уже давно всерьёз практикуют поведенческие вопросы. Этот метод позволяет не только тщательно оценить профессионализм кандидатов, но и более детально изучить их личность. IT-корпорации часто уделяют особое внимание тому, насколько соискатель соответствует корпоративной культуре и заинтересован работать в конкретной компании. Конфликт ценностей — первый сигнал о том, что в будущем такой сотрудник может оказаться злоумышленником.

Подводные камни. Можно подготовиться к поведенческим вопросам заранее и уверенно соврать на собеседовании. Также существует мнение, что большинство других «бесплатных» тестов устарело, а недостаточно проработанные методики приводят к ложным или неполным выводам о кандидатах.

Предположим, корпоративная психологическая служба проводит тестирование кандидатов на входе и потом занимается их переаттестацией. Здесь возникает первая проблема: почти все ненавидят психологические тесты, и большую часть соискателей мы отпугнём одним упоминанием специализированных опросников.

Вторая проблема: не вполне понятно, что конкретно нужно оценивать. Нет опросников, которые напрямую обнаруживают склонность человека к сливу персональных данных. Вывод о том, что потенциальный сотрудник склонен к асоциальному поведению, можно сделать только косвенно — по ряду других шкал. И это будет лишь предположение, потому что опросники обычно проектируют с другой целью — например, чтобы посмотреть, как человек работает в команде или принимает решения.

Третья проблема: даже если на этапе тестов обнаружилось, что некий соискатель потенциально склонен разглашать персональные данные, это вряд ли повлияет на решение о найме. Я почти уверен, что сила этого фактора будет очень низкой. Максимум, что можно сделать, — поставить пометку, что кандидат склонен к асоциальным действиям. В результате такого отбора мы потеряем хороших соискателей, пытаясь отсеять людей с подобной склонностью.

Дмитрий Котов

управлял HR-командами в Kia Motors Russia, Begun и Navicon Group, преподаватель курса «Профессия IT-рекрутер»

Что в итоге. В целом учитывать и оценивать личностные навыки кандидата стоит, но выявить склонность к вредительству через них невозможно — таких тестов просто не существует. В этой области нет крупных научных исследований, поэтому любые опросники опираются на предположения.

Решение 3


Укреплять информационную безопасность инженерно-техническими мерами

Согласно исследованию банка «Открытие» и Московской школы управления «Сколково», российские представители малого и среднего бизнеса «по-прежнему уделяют недостаточно внимания вопросам информационной безопасности». И это при том, что данные из отчёта InfoWatch по первым девяти месяцам 2020 года показывают: число утечек в России выросло на 5,6%, более 79% утечек — внутренние.

Мировая практика. Авторы анализа Cisco «Security Outcomes Study» рекомендуют в первую очередь грамотно внедрять и чаще обновлять оборудование. Именно эти действия ощутимо улучшают общую информационную безопасность компаний. Другое исследование Cisco утверждает, что в среднем компании окупают затраты на инфобезопасность на 270%: организации возвращают каждый потраченный на этот сектор доллар и увеличивают прибыль за счёт сокращения расходов на устранение последствий хакерских атак и внутренних утечек.

Подводные камни. Эксперт RTM Group считает, что основной причиной возникновения утечек информации является социальный фактор. Проблему всё равно придётся решать комплексно: технические меры безопасности снизят риски утечки, но человеческий фактор всё ещё будет играть огромную роль.

Полностью ограничить доступ не получится, потому что те, кто ограничивает доступ внутри компании, — сисадмины, IT-директор, — в любом случае будут его иметь. На самом деле основную угрозу для безопасности данных представляют именно сотрудники IT-подразделений, так как они имеют нужную квалификацию и права доступа, а их самих контролировать обычно некому.

Ограничивать доступ нужно юридическими мерами: подпиской, формой секретности, подписанием соглашений о неразглашении. Ну и воспитательными мерами: разъяснениями, тренингами, рассказами о случаях наказания за утечку.

Конечно, должна работать внутренняя служба безопасности, но она должна либо полагаться на собственное IT-подразделение, что обычно очень сложно организовать и вызывает острый конфликт с общей IT-службой, либо опираться на ту же общую IT-службу в части инструментального контроля утечек и хранения данных, что создаёт конфликт интересов.

В общем, технически и административно можно делать что-то — писать регламенты и ставить следящий софт типа DLP, — но правильнее создавать осознание ответственности и риска у сотрудников.

Есть ещё возможность нанимать внешних аудиторов и сотрудников безопасности, но тогда возникает не менее сложный вопрос: «Кто сторожит этих внешних сторожей?»

Игорь Ашманов
генеральный директор компании «Ашманов и партнёры»

Что в итоге. Инженерно-технические меры существенно улучшают информационную безопасность в целом, но не решают проблему внутренней утечки. Следящий софт или ограничение каналов передачи информации усложнят задачу злоумышленнику, но в итоге вряд ли его остановят, особенно если это высококвалифицированный специалист. Более эффективно подкреплять это усиление юридически — прописывать в договорах строгие санкции.

Мнение автора: пора задуматься об IT‑этике

В России, по заявлению ТАСС, число киберпреступлений увеличилось в 11 раз за последние пять лет. Мы охотно интегрируем гаджеты в личную жизнь, не задумываясь о рисках, которым себя подвергаем.

Как следствие, всё чаще всплывает информация о продаже персональных данных. В середине 2020 года даже был небольшой международный скандал из-за вероятной продажи данных российских туристов. А если верить Cybercrime Magazine, то к 2025 году преступления, связанные с безопасностью данных, могут стоить миру 10,5 трлн долларов ежегодно.

Рост киберпреступности закономерен, потому что цифровое пространство пока недостаточно защищено на законодательном и техническом уровнях. С другой стороны, этому способствует и само отношение общества к проблеме: мы слишком просто относимся к личным данным, а ещё редко и мало говорим о компьютерной этике — области практической философии, которая исследует действия IT-профессионалов с точки зрения социальных норм.

Первый официальный код IT-этики — Кодекс справедливого использования информации — ввело Министерство здравоохранения и социальных служб США ещё в 1973 году.

Позднее IT-кодексы выдвигали Совет по архитектуре Интернета и (ISC)², а Институт компьютерной этики, некоммерческая организация, даже составил свод правил с претенциозным названием «10 заповедей компьютерной этики». Эти инициативы так и не продвинулись в массы, а во многих странах саму идею о важности информационной безопасности начали закреплять на законодательном уровне лишь в 2010-х.

Другая проблема заключается в том, что специалисты по безопасности мало общаются между собой, а сами взломы или утечки редко разбирают с учётом всех деталей. Например, в России две трети аналитиков не могут поделиться данными о киберугрозах из-за ограничений, установленных работодателями. Компании не хотят афишировать, что у них есть проблемы с информационной безопасностью, — это вредит репутации и отпугивает инвесторов. Иными словами, IT-бизнес предпочитает говорить о проблеме тихо или не говорить вообще.

Метод «если я закрою глаза, то оно исчезнет» хорош только как мем. Игнорировать или замалчивать проблему утечек и взломов не стоит — цифровой мир расширяется, и со временем это может превратиться в снежный ком, который будет очень сложно остановить.

Возможно, стоит пересмотреть принципы работы безопасников и дать им больше свободы в обмене опытом. Пригодятся и новые законы — или даже полноценный кодекс по цифровому праву. Например, в Великобритании с 2011 года существует Государственная цифровая служба, которая в 2018 году разработала руководство по дата-этике.

Но похоже, что без повсеместного внедрения IT-этики эти изменения так и останутся принудительными мерами, которые никак не повлияют на само восприятие цифровых данных. Для программистов они так и останутся всего лишь кодом, а остальные всё так же будут пожимать плечами: «ну, взломали и взломали».

Заключение

Внедрение тестов и опросов, повышение лояльности сотрудников, организация отлаженной рекрутерской работы, принятие технических и законодательных мер — всё это правильные и нужные шаги. Но чтобы они сработали, их следует выполнять комплексно и последовательно. И опираться на IT-этику.

* Решением суда запрещена «деятельность компании Meta Platforms Inc. по реализации продуктов — социальных сетей Facebook и Instagram на территории Российской Федерации по основаниям осуществления экстремистской деятельности.

Изучайте IT на практике — бесплатно

Курсы за 2990 0 р.

Я не знаю, с чего начать
Научитесь: Профессия Python-разработчик Узнать больше
Понравилась статья?
Да

Пользуясь нашим сайтом, вы соглашаетесь с тем, что мы используем cookies 🍪

Ссылка скопирована