Как IT-компании могут предотвратить внутреннюю утечку персональных данных

Решение 1

Нанять штатных психологов

IT-компании заботятся о здоровье сотрудников — в сфере разработки корпоративные фитнес-тренеры, терапевты и преподаватели йоги уже никого не удивляют. При этом большинство работодателей не торопится нанимать штатных психологов, которые могут проследить за эмоциональным и психическим состоянием работников. Хотя именно психологи снижают риск появления злоумышленников внутри организации — например, выявляют их с помощью тестов.

Передовые компании вроде Google практикуют тренинги с психологами. Их задача — увеличивать лояльность, мотивировать и настраивать людей на эффективную работу. Этот тренд особенно возрос в пик пандемии в 2020-м, когда сотрудники разных компаний начали массово выгорать и страдать депрессией.

Мировая практика. В Adobe сотрудники могут обратиться за психологической помощью по рабочим и личным вопросам. А Лаборатория Касперского предлагает работникам бесплатную линию психологической помощи 24/7, которой также можно воспользоваться для решения личных проблем. Помимо этого, компания ведёт программу Fit@Work, в рамках которой людей учат справляться со стрессом и заботиться о здоровье.

Подводные камни. Одна из немногих потенциальных проблем — насторожённое отношение к подобным «членам команды» со стороны самих специалистов компании. По данным опроса «АльфаСтрахования», около трети российских сотрудников испытывают постоянный стресс на рабочем месте, но при этом мало кто готов обращаться за помощью к корпоративному психологу. Люди не хотят, чтобы руководители и коллеги думали, что у них есть какие-то проблемы, которые могут восприниматься как потенциальные причины для увольнения.

На мой взгляд, разумно проводить регулярный мониторинг ситуации в компании. Обычно это делают с помощью опросников удовлетворённости работой и/или вовлечённости с замером динамики. Хотя очевидно, что мы не сможем таким образом выявить конкретных сотрудников, потому что опросы почти всегда проводят анонимно, а людям гарантируют, что их ответы не будут обращены против них.

Такие опросы помогают заметить, в каких подразделениях динамика лояльности падает. Обычно там возникают различные проблемы: снижение эффективности, внезапные увольнения или та же утечка данных. Почти все подобные опросники имеют шкалы, и мы видим, что влияет на ситуацию. Это помогает произвести необходимые управленческие действия, которые улучшат настроения и лояльность людей.

Дмитрий Котов

управлял HR-командами в Kia Motors Russia, Begun и Navicon Group, преподаватель курса «Профессия IT-рекрутер»

Решение 3

Укреплять информационную безопасность инженерно-техническими мерами

Согласно исследованию банка «Открытие» и Московской школы управления «Сколково», российские представители малого и среднего бизнеса «по-прежнему уделяют недостаточно внимания вопросам информационной безопасности». И это при том, что данные из отчёта InfoWatch по первым девяти месяцам 2020 года показывают: число утечек в России выросло на 5,6%, более 79% утечек — внутренние.

Мировая практика. Авторы анализа Cisco «Security Outcomes Study» рекомендуют в первую очередь грамотно внедрять и чаще обновлять оборудование. Именно эти действия ощутимо улучшают общую информационную безопасность компаний. Другое исследование Cisco утверждает, что в среднем компании окупают затраты на инфобезопасность на 270%: организации возвращают каждый потраченный на этот сектор доллар и увеличивают прибыль за счёт сокращения расходов на устранение последствий хакерских атак и внутренних утечек.

Подводные камни. Эксперт RTM Group считает, что основной причиной возникновения утечек информации является социальный фактор. Проблему всё равно придётся решать комплексно: технические меры безопасности снизят риски утечки, но человеческий фактор всё ещё будет играть огромную роль.

Полностью ограничить доступ не получится, потому что те, кто ограничивает доступ внутри компании, — сисадмины, IT-директор, — в любом случае будут его иметь. На самом деле основную угрозу для безопасности данных представляют именно сотрудники IT-подразделений, так как они имеют нужную квалификацию и права доступа, а их самих контролировать обычно некому.

Ограничивать доступ нужно юридическими мерами: подпиской, формой секретности, подписанием соглашений о неразглашении. Ну и воспитательными мерами: разъяснениями, тренингами, рассказами о случаях наказания за утечку.

Конечно, должна работать внутренняя служба безопасности, но она должна либо полагаться на собственное IT-подразделение, что обычно очень сложно организовать и вызывает острый конфликт с общей IT-службой, либо опираться на ту же общую IT-службу в части инструментального контроля утечек и хранения данных, что создаёт конфликт интересов.

В общем, технически и административно можно делать что-то — писать регламенты и ставить следящий софт типа DLP, — но правильнее создавать осознание ответственности и риска у сотрудников.

Есть ещё возможность нанимать внешних аудиторов и сотрудников безопасности, но тогда возникает не менее сложный вопрос: «Кто сторожит этих внешних сторожей?»

Игорь Ашманов
генеральный директор компании «Ашманов и партнёры»

Мнение автора: пора задуматься об IT‑этике

В России, по заявлению ТАСС, число киберпреступлений увеличилось в 11 раз за последние пять лет. Мы охотно интегрируем гаджеты в личную жизнь, не задумываясь о рисках, которым себя подвергаем.

Как следствие, всё чаще всплывает информация о продаже персональных данных. В середине 2020 года даже был небольшой международный скандал из-за вероятной продажи данных российских туристов. А если верить Cybercrime Magazine, то к 2025 году преступления, связанные с безопасностью данных, могут стоить миру 10,5 трлн долларов ежегодно.

Рост киберпреступности закономерен, потому что цифровое пространство пока недостаточно защищено на законодательном и техническом уровнях. С другой стороны, этому способствует и само отношение общества к проблеме: мы слишком просто относимся к личным данным, а ещё редко и мало говорим о компьютерной этике — области практической философии, которая исследует действия IT-профессионалов с точки зрения социальных норм.

Первый официальный код IT-этики — Кодекс справедливого использования информации — ввело Министерство здравоохранения и социальных служб США ещё в 1973 году.

Позднее IT-кодексы выдвигали Совет по архитектуре Интернета и (ISC)², а Институт компьютерной этики, некоммерческая организация, даже составил свод правил с претенциозным названием «10 заповедей компьютерной этики». Эти инициативы так и не продвинулись в массы, а во многих странах саму идею о важности информационной безопасности начали закреплять на законодательном уровне лишь в 2010-х.

Другая проблема заключается в том, что специалисты по безопасности мало общаются между собой, а сами взломы или утечки редко разбирают с учётом всех деталей. Например, в России две трети аналитиков не могут поделиться данными о киберугрозах из-за ограничений, установленных работодателями. Компании не хотят афишировать, что у них есть проблемы с информационной безопасностью, — это вредит репутации и отпугивает инвесторов. Иными словами, IT-бизнес предпочитает говорить о проблеме тихо или не говорить вообще.

Возможно, стоит пересмотреть принципы работы безопасников и дать им больше свободы в обмене опытом. Пригодятся и новые законы — или даже полноценный кодекс по цифровому праву. Например, в Великобритании с 2011 года существует Государственная цифровая служба, которая в 2018 году разработала руководство по дата-этике.

Но похоже, что без повсеместного внедрения IT-этики эти изменения так и останутся принудительными мерами, которые никак не повлияют на само восприятие цифровых данных. Для программистов они так и останутся всего лишь кодом, а остальные всё так же будут пожимать плечами: «ну, взломали и взломали».