05 ноября 2013

Бесплатная почта - зло. Но зло контролируемое, причем легально!



Использование бесплатных почтовых сервисов для рабочей переписки – это не просто моветон, это серьезная угроза безопасности вашей компании. Поэтому использование таких сервисов в рабочее время и на рабочем месте нужно, как минимум, строго контролировать. Причем, не нарушая законодательства.
Трудно сказать, почему сотрудники так любят использовать бесплатную почту вместо корпоративной. Возможно, всё дело в привычке к интерфейсу Mail.ru, Yahoo и «Яндекса», возможно, всё дело в желании иметь доступ к почте отовсюду, а не только с рабочего места. Правда, с современными смартфона и планшетами это становится легким делом с любым почтовым ящиком. Сравнительно небольшой процент сотрудников пользуются бесплатными сервисами для распространения корпоративных секретов, принадлежащих целиком и полностью своему работодателю. Впрочем, вредят компании не только они, а все, кто пользуется бесплатными сервисами электронной почты для ведения деловой переписки.
Обычно главное, на что обращает внимание руководство, ‑ это «несолидность» использования адресов не на корпоративном домене. Что и говорить, если компания претендует на лидерство в том или ином сегменте рынка, и позиционирует себя как современная и продвинутая организация, адреса на визитках и буклетах, заканчивающиеся на “…@mail.ru” выглядят, скажем прямо, достаточно странно. Хотя многие производители тех же продуктов питания не стесняются даже печатать такие адреса на этикетках своих продуктов. Но имиджевые потери от использования бесплатных почтовых сервисов – ничто по сравнению с потерями информации, и особенно с её утечками.
За что отвечает бесплатный почтовый сервис? Ни за что. Если вы, может быть, читали пользовательское соглашение любого бесплатного почтового сервиса, которое «подписывали» при регистрации, то знаете, что в нем в обязательном порядке есть пункт «отказ от ответственности». Поэтому и за сохранность писем, которые вы передали, и за доступ вас к вашему аккаунту никто не отвечает. Вспомните, как часто появляются новости об утечках и взломах паролей к бесплатным почтовым серверам. В следующий раз среди десятков, а то и сотен тысяч скомпрометированных учетных записей может оказаться и ваша. И если вы сохраняли копии документов, которые пересылали своим клиентам, то последние окажутся под угрозой – теперь вашим ящиком могут распоряжаться мошенники, рассылая с него похожие как две капли воды на ваши коммерческие предложения, ссылки с которых ведут на мошеннические сайты. Вряд ли клиент, перешедший по такой ссылке и получивший «трояна», укравшего деньги с его банковской карты, будет и дальше оставаться лояльным вашей компании. А ведь это только одна из множества возможных схем действий злоумышленников после получения доступа к вашему почтовому ящику, и далеко не самая неблагоприятная для вас.
Вывод прост: на рабочем месте пользоваться бесплатными сервисами нельзя. С оговорками, конечно: если корпоративный почтовый сервер «лежит», а отправить важно письмо нужно архисрочно, то тут уж все средства хороши. Но знать, что использовать бесплатные почтовые сервисы – плохо, и совсем не использовать их – это две разные, очень разные вещи. Чтобы удостовериться, что персонал не использует «запрещенные приемы» (то есть, те самые бесплатные сервисы электронной почты) необходимо контролировать их использование.
Первая мысль, которая приходит в голову – это блокировать доступ к ним (хотя бы к самым популярным) с помощью настроек корпоративного файрволла. Но эта идея не слишком хороша. Во-первых, как уже было написано выше, бывают экстренные ситуации, когда нужна «палочка-выручалочка» в виде того же Mail.ru или Gmail. Во-вторых, всяких бесплатных почтовых сервисов в мире столько, что закрыть доступ к ним всем не представляется возможным. Значит, нужно придумать какой-то способ осуществлять неблокирующий контроль подобных сервисов.
Это очень удобно делать с помощью DLP-системы – программного продукта, созданного для контроля информационных потоков в компании и предотвращения утечек конфиденциальной информации из неё. DLP расшифровывается как Data Leak Prevention – предотвращение утечек данных. На самом деле, такая система является универсальным средством выявление неправомерных действий сотрудников.
Стоит отдельно остановиться на легальности использования DLP-систем. Некоторые сотрудники считают, что работодатель нарушает их конституционное право на конфиденциальность переписки, используя DLP-систему для анализа их почты, в том числе, и для выявления фактов пользования бесплатными почтовыми сервисами без явной необходимости подобных действий. На самом деле, в рабочее время сотрудники должны работать по правилам работодателя и вести не личную, а деловую переписку, которую работодатель имеет право контролировать. Это обстоятельство, а также использование системы ИБ указывается в трудовых договорах и дополнительных соглашениях, которые сотрудники подписывают при трудоустройстве. Т.е. сотрудников ставят в известность о наличии системы ИБ в организации. В таком случае имеет место уже не нарушение тайны переписки, которого и не происходит благодаря работе DLP-системы в автоматическом режиме, а контроль работодателем целевого использования одного из предоставляемых сотруднику ресурсов – подключения к интернету.
Отдельно стоит рассмотреть вопрос, что же делать с сотрудником, который был «пойман с поличным» на использовании бесплатной почты. Наиболее эффективно, конечно, будет дифференциальное наказание. Если дело было в неработающем сервере корпоративной почты, то наказывать следует системного администратора, а сотрудника за находчивость можно будет даже поощрить. Если выяснится, что сотрудник просто передал какой-то один файл по старой привычке, то достаточно будет провести с ним профилактическую беседу. А вот если налицо случай инсайдерской деятельности и распространение конфиденциальных данных за пределы компании, то здесь уже следует наказывать по всей строгости, обязательно донося информацию о наказании до остальных сотрудников.
Так что, как видите, контролировать использование сотрудниками бесплатной почты, оставаясь в рамках закона, совсем не сложно. Главное – пользоваться для этого правильными средствами.

Комментариев нет:

Отправить комментарий