Security Lab

Личная почта для деловой переписки

Личная почта для деловой переписки
Статистика показывает, что наибольшее число утечек конфиденциальной информации проходит через личную почту сотрудников. Впрочем, возможно дело в том, что примитивные, но действенные меры по защите от работы с usb-устройствами, облачными сервисами и соц.сетями в организации приняты... но факт остается фактом - хочешь быстро найти утечки - проверь каналы "корпоративная почта - личная почта".

Коллега из Jet Infosystems даже поделился, откуда можно вытащить эти самые списки личных адресов: при подаче резюме кандидаты на вакантные должности добровольно предоставляют оные hr'ам. У человека, конечно, на просторах интернета может быть неограниченное количество почтовых ящиков... но абсолютное большинство все-таки не плодят более одного "устоявшегося".

Хотя, среди этого большого числа утечек, большинство, все таки не критичны, т.к. подобные отправки конфиденциальной информации, как правило, вызваны благими намерениями - поработать дома.
И когда мы начинаем предъявлять, сотрудники делают круглые глаза: "никуда же не отправлял - только к себе домой". И, действительно, в соглашении между пользователем и сервисом как правило прописывается конфиденциальность информации, передаваемая пользователем на сервера сервиса. Например, в пользовательском соглашении mail.ru
12.2 В пределах функционирования Сервисов Mail.Ru обеспечивается тайна сообщений и соблюдается конфиденциальность информации о Пользователях Mail.Ru, за исключением случаев, предусмотренных законодательством Российской Федерации.
Хотя, в то же время
4.2.1 Mail.Ru не несет ответственности и не гарантирует безопасность электронного почтового ящика Пользователя в случаях: передачи третьим лицам (умышленно или по неосторожности) Пароля и информационных данных (секретного вопроса и ответа); доступа третьих лиц к электронному почтовому ящику Пользователя с использованием программных средств, позволяющих осуществить подбор и/или раскодирование Пароля; доступа третьих лиц к электронному почтовому ящику Пользователя путем простого подбора Пароля и информационных данных (секретного вопроса и ответа);
У гуглопочты ситуация примерно такая же... только содержание писем еще автоматически анализируется "для улучшения качества сервиса" (согласно информации отсюда ). Кстати, небольшой оффтоп - пока искал соглашение о конфиденциальности с пользователями google-сервисов, наткнулся на интересную статью про претензии Роскомнадзора к поисковику.

Но вернемся к нашему вопросу. Пользователь и сервис действительно заключают соглашение о конфиденциальности. (Насколько стороны выполняют соглашение - вопрос другой). Но, подобного соглашения нет между компанией - владельцем информации - и сервисом. Тем не менее информация, принадлежащая компании, размещается на серверах сервиса веб-почты.

Таким образом, можно считать, что пользователь, отправляя конфиденциальную информацию на свою личную веб-почту, также передает ее третьей стороне, что при правильном написании документов, регламентирующих процессы, связанные с ИБ, является нарушением политики информационной безопасности и, в ряде случаев, законодательства РФ. То же самое касается и облачных хранилищ, файлообменников, социальных сетей...

Кроме того, даже отправка информации действительно "только к себе домой" не так уж и безобидна. Нет никаких гарантий, что защита на домашнем компьютере сотрудника выстроена хоть сколь-нибудь адекватно современным угрозам.

Но, если смотреть правде в лицо, лишь немногие, действительно крупные компании (вернее компании, обладающие действительно важными секретами), должны учитывать риски утечек информации, которые не связаны с самостоятельной ее отправкой пользователями третьим организациям (помимо сервисов). 

Проблема в том, что если письмо, содержащее информацию ограниченного пользования, хотя бы малое время успело "повисеть" во "Входящих" или "Отправленных" у сервиса, к которому есть доступ с любой точки земного шара, то проследить дальнейшую судьбу данной информации практически невозможно. (Хотя, надо признать, есть интересные методы и в этом направлении.) А значит, стоит предполагать худшее.
Служба информационной безопасности Арсенал нарушителя Законодательные средства защиты информации
Alt text

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться