3 Октября, 2013

Личная почта для деловой переписки

Игорь Агурьянов
Статистика показывает, что наибольшее число утечек конфиденциальной информации проходит через личную почту сотрудников. Впрочем, возможно дело в том, что примитивные, но действенные меры по защите от работы с usb-устройствами, облачными сервисами и соц.сетями в организации приняты... но факт остается фактом - хочешь быстро найти утечки - проверь каналы "корпоративная почта - личная почта".

Коллега из Jet Infosystems даже поделился, откуда можно вытащить эти самые списки личных адресов: при подаче резюме кандидаты на вакантные должности добровольно предоставляют оные hr'ам. У человека, конечно, на просторах интернета может быть неограниченное количество почтовых ящиков... но абсолютное большинство все-таки не плодят более одного "устоявшегося".

Хотя, среди этого большого числа утечек, большинство, все таки не критичны, т.к. подобные отправки конфиденциальной информации, как правило, вызваны благими намерениями - поработать дома.
И когда мы начинаем предъявлять, сотрудники делают круглые глаза: "никуда же не отправлял - только к себе домой". И, действительно, в соглашении между пользователем и сервисом как правило прописывается конфиденциальность информации, передаваемая пользователем на сервера сервиса. Например, в пользовательском соглашении mail.ru
12.2 В пределах функционирования Сервисов Mail.Ru обеспечивается тайна сообщений и соблюдается конфиденциальность информации о Пользователях Mail.Ru, за исключением случаев, предусмотренных законодательством Российской Федерации.
Хотя, в то же время
4.2.1 Mail.Ru не несет ответственности и не гарантирует безопасность электронного почтового ящика Пользователя в случаях: передачи третьим лицам (умышленно или по неосторожности) Пароля и информационных данных (секретного вопроса и ответа); доступа третьих лиц к электронному почтовому ящику Пользователя с использованием программных средств, позволяющих осуществить подбор и/или раскодирование Пароля; доступа третьих лиц к электронному почтовому ящику Пользователя путем простого подбора Пароля и информационных данных (секретного вопроса и ответа);
У гуглопочты ситуация примерно такая же... только содержание писем еще автоматически анализируется "для улучшения качества сервиса" (согласно информации отсюда ). Кстати, небольшой оффтоп - пока искал соглашение о конфиденциальности с пользователями google-сервисов, наткнулся на интересную статью про претензии Роскомнадзора к поисковику.

Но вернемся к нашему вопросу. Пользователь и сервис действительно заключают соглашение о конфиденциальности. (Насколько стороны выполняют соглашение - вопрос другой). Но, подобного соглашения нет между компанией - владельцем информации - и сервисом. Тем не менее информация, принадлежащая компании, размещается на серверах сервиса веб-почты.

Таким образом, можно считать, что пользователь, отправляя конфиденциальную информацию на свою личную веб-почту, также передает ее третьей стороне, что при правильном написании документов, регламентирующих процессы, связанные с ИБ, является нарушением политики информационной безопасности и, в ряде случаев, законодательства РФ. То же самое касается и облачных хранилищ, файлообменников, социальных сетей...

Кроме того, даже отправка информации действительно "только к себе домой" не так уж и безобидна. Нет никаких гарантий, что защита на домашнем компьютере сотрудника выстроена хоть сколь-нибудь адекватно современным угрозам.

Но, если смотреть правде в лицо, лишь немногие, действительно крупные компании (вернее компании, обладающие действительно важными секретами), должны учитывать риски утечек информации, которые не связаны с самостоятельной ее отправкой пользователями третьим организациям (помимо сервисов). 

Проблема в том, что если письмо, содержащее информацию ограниченного пользования, хотя бы малое время успело "повисеть" во "Входящих" или "Отправленных" у сервиса, к которому есть доступ с любой точки земного шара, то проследить дальнейшую судьбу данной информации практически невозможно. (Хотя, надо признать, есть интересные методы и в этом направлении.) А значит, стоит предполагать худшее.
или введите имя

CAPTCHA
1 Ноября, 2013
не понял из статьи смысла который преследовал автор! по мне так задача ИБ обеспечить защиту интересов организации правовыми (организационными) и техническими средствами. Какие там пользователь организации заключил соглашения о неразглашении информации с третьей стороной принадлежащей организации уже не имеет значения ибо информация уже ушла за границы организации. Трактовать политику конфиденциальности третьей стороны при расследовании инцидента не имеет никакого смысла.
0 |
  • Поделиться
  • Ссылка
7 Ноября, 2013
Николай, интерес коммерческой организации - это максимизация прибыли при минимизации издержек. Во многих случаях выход информации ограниченного доступа за периметр организации не ведет абсолютно ни к каким потерям (до тех пор пока не попадет "не в те руки"), а вот "домашняя работа" лояльного сотрудника почти наверняка прибыль увеличивает. Соответственно, если нет возможности преобразовать информацию в "безопасный" вид или иным обеспечить удаленную работу в том виде, который устроил бы нас, службу ИБ... то следует искать компромисс. А именно, оценить риски и предоставить их руководству Компании, чтобы они уже могли принять решение. В данном контексте при доверие к пользователю в отношении конкретной отправки, которая будет проконтролирована наличие пользовательского соглашения, гарантирующего конфиденциальность, имеет значение. Абсолютно согласен в том, что при расследовании инцидента трактовать политику третей стороны при расследовании инцидента не имеет никакого смысла. Зато это имеет смысл для предотвращения дальнейших инцидентов. Как я уже писал, пользователь: а) Может и правда верить, что он отправил письмо "к себе домой", абсолютно не задумываясь, что оно лежит на сервере "третьей стороны" - значит нужно просветить б) Пользователь после "процедуры просвещения" может "схватиться за соломинку", найдя user agreement, и сказать, что канал то надежный, а я хороший - у любого спросите. И насчет надежности канала я с ним в ряде случаев соглашусь. А если еще его начальство скажет, что он действительно хороший, после того как увидит, что он отправлял - то к негативным последствиям для сотрудника это и не приведет... Вот только в следующий раз он попытается избежать всей этой мороки с объяснениями и отчетами, которые приходят его руководителю и 3 раза подумает прежде чем отправить что-то "наружу". Снизив число утечек "по неосторожности" мы сможем сконцентрировать свое внимание на остальных... а заодно выполним свою функцию в части повышения осведомленности. Кроме того, в организации осознают наличие контроля, а значит мы, возможно, еще и снизим умышленный "слив" информации. Таким образом мы обеспечиваем защиту интересов ИБ еще одним видом мер - психологическими, которые на практике оказываются порой куда более эффективными.
0 |