Елена Черникова: Усилия государства по сохранности персональных данных разрушает человеческий фактор

Госорганы и бизнес, работающие с персональными данными, сталкиваются с целым перечнем рисков их сохранности. При этом ни те, ни другие зачастую не знают, как правильно осуществлять мониторинг активности собственных сотрудников, чтобы исключить неправомерные действия с их стороны. О том, как с этой ситуацией помогают справляться DLP-решения, в интервью CNews рассказала Елена Черникова, старший бизнес-аналитик компании «Ростелеком-Солар».

CNews: Почему, на ваш взгляд, ситуация с внутренней информационной безопасностью в российском госсекторе на сегодняшний день сложнее, чем в коммерческом?

Елена Черникова: Госорганы, в отличие от бизнеса, значительно аккуратнее в использовании новых технологий, если для этого нет прямого законодательного указания. Без однозначной нормативной поддержки и максимально конкретной регламентации (системы подзаконных актов) разбираться с вопросом на свой страх и риск готовы немногие.

Давайте, например, рассмотрим задачу защиты от утечек. В команду «Ростелеком-Солар» входит подразделение, которое занимается развитием систем защиты от утечек конфиденциальной информации — это DLP-решение Solar Dozor. Оно позволяет наблюдать за тем, как сотрудники обращаются с рабочей информацией, которая становится им известна. Система фиксирует действия людей в рамках рабочего процесса: с кем они общаются, какой информацией и с кем обмениваются, как используют служебную документацию. Анализируется любая активность, которая происходит с рабочего компьютера сотрудника. Как известно, использование систем защиты от утечек служебной информации в государственных органах пока напрямую не предписано ни одним из регуляторов, и при этом есть 25-я статья Конституции РФ о праве гражданина на тайну частной жизни. Поэтому госорганы с большой осторожность делают первые шаги по применению специализированных систем контроля рабочих коммуникаций своих сотрудников.

CNews: Как восполнять существующие пробелы?

Елена Черникова: «Просвещать» — рассказывать о потенциальных рисках, обосновывать дополнение и уточнение текущих положений нормативно-правовых актов, а также знакомить госструктуры с теми правами, которые они уже имеют по закону как работодатели. Контролировать с помощью автоматизированных систем, с кем и как коммуницируют служащие государственных организаций со своего рабочего оборудования — не только нужно, но и возможно! Ведь, подписывая трудовой договор или служебный контракт, сотрудник (госслужащий) берет на себя обязательство использовать свое рабочее время и рабочие устройства по назначению. Нормы, прямо ограничивающие работодателя в возможности контролировать использование рабочего времени и устройств сотрудниками, отсутствуют. При этом, мы, безусловно, считаем вторжением в частную жизнь человека наблюдение за ним на его личных устройствах во внерабочее время и без предварительного согласования работодателем таких действий с сотрудником.

Более того, в трудовом законодательстве есть и однозначная норма, которая позволяет работодателю мониторить рабочую активность сотрудников. Статья 312 Трудового кодекса закрепляет право устанавливать на рабочее оборудование специальные программные средства для контроля защищенности информации, которая на нем хранится, а также другого вида контроля рабочего процесса сотрудников, которые трудятся дистанционно. Наша прямая задача как разработчиков и экспертов (мы-то прекрасно понимаем масштаб возможных рисков, от которых защищаем работодателя!) — работать с ключевыми инициаторами возможных изменений в трудовом законодательстве — Госдумой и Минтрудом России. Мы помогаем им осознать, почему и какие именно изменения нужно вносить. Например, сейчас использование систем защиты от утечек конфиденциальной информации (DLP) каждая организация-пользователь регламентирует на свой вкус. Кто-то заключает дополнительное соглашение к трудовому договору (служебному контракту), кто-то выпускает кучу разнообразных инструкций и руководств для сотрудников. У отдельных работодателей использование DLP-систем вообще не формализовано и ведется, по факту, на полулегальных основаниях. В условиях неопределенности мы явно видим значительные риски трудовых и служебных споров, вплоть до судебных исков. Последние могут инициироваться сотрудниками в том случае, если им станет известно, что работодатель непрерывно наблюдает за их рабочей активностью. Опять же, наблюдать можно в разном режиме, и за пределами формального рабочего дня это нужно делать очень аккуратно.

А с другой стороны, нам приходится доносить до организаций информацию о том, что в трудовом законодательстве не существует явного запрета на установку программ, отслеживающих действия сотрудника. И, в большинстве случаев, это просто вопрос правильной регламентации этого процесса.

CNews: Что собой представляет цифровой ландшафт современных госструктур с точки зрения накопления данных? Как хранится и используется эта информация?

Елена Черникова: В стране создана колоссальная инфраструктура по сбору совершенно разнородных данных и их накоплению: государство постоянно ведет строительство ЦОД для различных ведомств, закупку серверного оборудования. Практически у каждого органа есть «курируемая» им государственная или федеральная информационная система: Госзакупки, Госуслуги, Единая система по управлению госслужбой и т.д. С одной стороны, для сбора и хранения данных созданы все условия. Защищенность этой информации от утечек на уровне инфраструктуры тоже хорошо проработана. А с другой стороны, есть проблема с защищенностью на уровне человеческого фактора. И это — как раз наша забота.

В трудовом законодательстве есть и однозначная норма, которая позволяет работодателю мониторить рабочую активность сотрудников

Сейчас на государственную службу приходит все больше молодых людей, которые выросли в цифровой культуре, нормы поведения и отношений в которой радикально отличатюся от тех, которые существовали в обществе еще десять лет назад. На практике приходится сталкиваться со случаями, когда начинающий госслужащий, например, одной рукой вносит данные в базу, другой рукой делает фотографии на телефон и отправляет их другу в мессенджер, думая, что снимки попадут к одному конкретному человеку. На самом деле они по цепочке могут попасть к кому угодно. То же самое касается неосторожных публикаций информации, которая становится известной государственному служащему в связи с его должностными обязанностями, в социальных сетях. Из-за драматического ускорения информационного обмена и жизни вообще даже у опытных сотрудников не всегда есть время оценить масштаб возможных последствий таких действий.

Органы государственной власти, впрочем, редко признают наличие в своих рядах злостных инсайдеров, людей, которые торгуют базами персональных данных и другой конфиденциальной информацией. Допустим, но ведь утечку может спровоцировать не только сотрудник министерства, но и, например, подрядчики по госконтрактам. Они не связаны трудовыми отношениями с госорганами-заказчиками, но фактически выполняют функции администраторов государственных информационных систем. Министр отвечает за информационную систему головой, а сотрудник call-центра, работающий в компании-исполнителе по договору подряда, может в любой момент уволиться и унести с собой важнейшие данные.

Круг ответственности постоянно размывается. Об этой части защищенности массивов информации, которая хранится в госсистемах, мало кто задумывается. Людям нужно объяснять проблему буквально на пальцах, на примерах вроде тех, о которых я говорила выше. Возможно, после этого сотрудникам станет понятна необходимость применения работодателем средств контроля коммуникаций.

При этом у собираемых госструктурами данных есть отличный потенциал с точки зрения их применения с пользой для общества и бизнеса. Несколько лет назад я работала над проектом «Открытое правительство», одним из направлений которого были «Открытые данные». Это была отличная попытка заставить собранную информацию работать на благо граждан. Суть проекта была следующая: обезличенные данные из ГИС должны выгружаться в машиночитаемые форматы и публиковаться на общедоступном ресурсе и на сайтах самих госорганов. Эти массивы данных бизнес может использовать для создания приложений: например, на сайте ФНС опубликованы в формате открытых данных адреса и платежные реквизиты инспекций, используя которые, разработчики создают интересные приложения вроде карт налоговых инспекций. Государство даже пыталось само стимулировать создание таких приложений, проводя конкурсы вроде «Budgetapps».

CNews: Какие риски актуальны для госсектора в эпоху цифровизации?

Елена Черникова: В общем, те же самые, которые актуальны и для бизнеса. Активная цифровизация экономики может порождать риски совершенно разного характера. Если говорить о сфере внутренних угроз, то, во-первых, это репутационные риски для организаций и людей: целенаправленное и случайное распространение «чувствительной» информации за периметр организации (госоргана). Одним из самых ярких примеров такой ситуации, на моей памяти, была история публикации главным финансовым органом нашего государства данных о зарплатах первых лиц федеральных органов власти. История произошла пару лет назад, а ее резонанс ощущался в обществе несколько месяцев.

Во-вторых, новые формы коррупционных рисков и конфликта интересов: например, связанные с возможностью продажи данных из государственных или корпоративных информационных систем или с тесными связями между государственными заказчиками и подрядчиками. С ними помогает бороться широко развитая функциональность систем защиты от утечек.

Третий блок рисков связан с продуктивностью и эффективностью работы офисных сотрудников, к которым, по сути, относится абсолютное большинство госслужащих. Сюда входит и охрана труда, в цифровом мире содержание этого понятия сильно меняется. Сейчас нужно в первую очередь думать не о физической безопасности сотрудника на рабочем месте, а о рисках переутомления, выгорания и снижения работоспособности и связанных с этим проблемах со здоровьем. Существенные риски создает и отсутствие системы нормирования и оценки эффективности работы госслужащих. По нашим экспертным оценкам, это направление имеет хорошие перспективы развития с точки зрения применения автоматизированных систем контроля рабочей активности «офисных» сотрудников.

Все эти риски появились, конечно же, не вчера, но активная цифровизация значительно увеличивает вероятность неблагоприятного развития событий и усугубления последствий.

CNews: Какие технологии защиты от цифровых рисков в госсекторе существуют? Насколько они эффективны, и можно ли привести конкретные примеры их успешной работы?

Елена Черникова: Для «цифровых» проблем существуют цифровые решения. Раньше нужно было физически проверять, чтобы никто не вынес из организации конфиденциальный документ на бумаге, буквально: визуально осматривать сотрудников. Сейчас попытки «слить» ценную информацию по электронным каналам коммуникаций отслеживаются цифровыми системами защиты. Наша система просто мониторит все, что происходит на рабочей станции сотрудника, и с помощью набора настраиваемых правил разрешает или запрещает работнику те или иные действия с конфиденциальными данными. Или же дает сигнал ответственным сотрудникам о возникающих инцидентах — попытках вывода «чувствительной» информации за периметр организации.

Специальный модуль анализирует поведение каждого сотрудника, строит профиль его нормального поведения и уведомляет специалистов по безопасности (а возможно и кадровые службы) об отклонениях в поведении. Скажем, сотрудник много времени проводит в соцсетях, потому что он работает в PR-отделе или представитель пресс-службы, и это его прямая обязанность? Тогда все в порядке. А вот если бухгалтер проводит половину рабочего времени в онлайн-сервисах для общения или работая с программами редактирования изображений, это вызывает большие вопросы. Также работодателя должно насторожить резкое изменение в поведении сотрудника: человек начинает неожиданно активно накапливать служебные материалы и вести переписку с внешними адресатами. Потому что у него изменилась должность и функциональные обязанности, или эти адресаты – рекрутинговые агентства, хорошие знакомые из других организаций (ведомств), и он ищет новую работу?

А если отдельные сотрудники начинают задерживаться по вечерам или работать по выходным, чего раньше за ними не наблюдалось? Система фиксирует такие индивидуальные аномалии в поведении, побуждая ответственных лиц уточнить причину. Возможно, активность связана с поручением руководства, а возможно, вызвана неправильным планированием собственной загрузки или, например, нерациональной организацией взаимодействия с исполнителями по контрактам.

Это примеры использования технологий анализа поведения пользователей (User Behavior Analytics, UBA) в наших продуктах. Их применение позволяет заметить ранние признаки ситуаций конфликта интересов, предпосылки к возникновению утечек информации. А также «подсветить» риски, связанные с производительностью труда сотрудников с офисным графиком: тенденции к систематическим переработкам, признаки возможной усталости и выгорания, негативный эмоциональный фон в рабочих коммуникациях между сотрудниками и подразделениями. Это дает возможность службам безопасности и кадровым службам (HR) минимизировать риски организации, используя автоматизированные инструменты.

CNews: Можете рассказать о самом значимом проекте вашей компании в области защиты от утечек в госсекторе?

Елена Черникова: Одним из наиболее значимых наших проектов в госсекторе стало внедрение системы защиты от утечек Solar Dozor в одном из государственных фондов. За 4 недели наши специалисты внедрили решение «под ключ» в 17 территориальных подразделениях фонда почти на 6,5 тысячах рабочих станциях. «Под ключ» — значит с нуля и включая разработку всех регламентов, процедур и сопроводительной документации. Обычно такой проект занимает порядка 3 месяцев работы.

За месяц в организации был развернут набор модулей системы, отвечающих за фильтрацию и хранение данных, поиск и управление инцидентами ИБ, контроль почтовой переписки и сетевого трафика, мониторинг всех действий сотрудников на рабочих станциях, анализ содержимого файловых хранилищ, контроль доступа сотрудников и приложений к веб-ресурсам. Кроме того, для заказчика была разработана политика безопасности, комплект технической документации, а также набор документов по легализации DLP-системы, проведено обучение подрядчиков, которые выполняли часть задач. Реализовать такой объем работ за месяц — это, можно сказать, подвиг.

CNews: Насколько российские технологии защиты от цифровых рисков конкурентоспособны по сравнению с зарубежными разработками? Готовы ли они полностью удовлетворить потребности отечественных госкомпаний?

Елена Черникова: Российские системы защиты от утечек по функциональности абсолютно сопоставимы с зарубежными аналогами, а по отдельным направлениям даже превосходят иностранные разработки. И это очень хорошая новость именно для государственных организаций, для которых импортозамещение — обязательное требование. В отличие от многих других ИТ-сегментов, где зарубежные разработки на голову опережают отечественные по набору возможностей, надежности, отказоустойчивости, российские DLP-системы эффективнее зарубежных. Потому что они изначально создавались для решения задач отечественных организаций, «знают» все их боли и узкие места и помогают достичь нужного результата оптимальным образом.

Александр Григорьев ЦСО "Крокус"