Очень часто на протяжении всего времени, что я занимаюсь темой ИБ и участвую в различного рода дискуссиях, сталкиваюсь с вопросами, непониманием и даже войной между спорящими, когда дело касается защиты от внутренних угроз. Какое решение не возьми, будь то MDM(EMM), DLP, SOC(да-да), DAM, PUM и даже IdM, так или иначе появляется поле для рассуждений. Да, я умышленно смешал в одну кучу много видов продуктов, т.к. при обсуждении каждого из них всплывали так или иначе вопросы privacy. Обоснование и мотивацию отстаивать ту или иную точку зрения я бы классифицировал следующим образом:
ЗА
- Лайт. Предполагает концепцию «посмотрим одним глазком», только за реально критичными для бизнеса системами. Возможно, вообще исключая мониторинг сотрудников или ограничиваясь несколькими группами.
- Стандарт. Обычное внедрение, мониторинг всех корпоративных систем, основной фокус на недопущение/минимизацию ущерба от утечек, халатности, стандартных ошибок, неграмотного администрирования.
- Полный комплект. Установка максимального количества сенсоров, в том числе и на мобильные устройства, контроль личных мессенджеров, почты, соцсетей, скриншоты и кейлоггеры. Реализация концепции «рабочие устройства могут быть использованы исключительно в производственных целях» в полный рост. Кстати, личных устройств это тоже нередко касается, если подробно описан режим и политики BYOD.
- Тотальный контроль. Фокус на поведенческом анализе сотрудников, в том числе на базе их увлечений, связей вне организации, семейном и финансовом положении. При такой концепции могут быть использованы методы фальшивых вбросов, психологического давления, а так же полный и подробный профайлинг.
ПРОТИВ
- Радикально нет. Полное доверие к коллективу, никогда в жизни не буду рассматривать внутреннего нарушителя с любой точки зрения и с любым уровнем доступа, т.к. если что – я всегда узнаю, кто и смогу наказать так, что мало не покажется. Враг снаружи и, как правило, на другом континенте. Вопросы реальности наказания сотрудников по закону (а не «по справедливости») я оставлю за скобками, это тема для целого поста.
- Бумажные и юридические трудности. Тема интересная, но я никогда не смогу грамотно обосновать и внедрить у себя подобного рода системы крайне затруднительно и бюрократично.
- Технические трудности и окупаемость. Сложность или дороговизна внедрения не пропорциональны получаемому эффекту. Долго можно пенять либо на некомпетентность заказчика, либо на недостаточные скиллы вендора/интегратора, но указанный стоп-фактор часто имеет место быть.
- Этика. Микроклимат и отношения между сотрудниками политически и процессно выстроены таким образом, что такого рода вмешательство в рабочий процесс и давление на работников (особенно, если речь идет о скрытном мониторинге) ни в каком виде не допустимы.
Стоит отметить, что некоторые виды приведенной мотивации сходу кажутся утопичными и утрированными, однако, каждый из описанных сценариев я наблюдал лично на практике.
Цель поста – не дать оценку тому или оному подходу или выявить золотую середину, но порассуждать на тему: останется ли у нас хоть толика личного пространства. Казалось бы, незыблемым является принцип «мой дом – моя крепость», но с приходом нового жизненного уклада и современных технологий понятие периметра личной жизни размывается точно так же, как и в случае с сетевым периметром организации. Объективно и бесспорно то, что на работе невозможно (по крайней мере, пока мы не стали роботами) отключиться от личной жизни и удовлетворять лишь «производственную необходимость», при этом запрещая вообще все. А ведь правы психологи, которые говорят, что мы прикованы к телефонам и соцсетям, равно как к необходимости есть, спать и дышать, можно долго дискутировать насколько это хорошо, но сам факт оспорить сложно. Аналогична и обратная ситуация, когда рабочие вопросы решаются в нерабочее время и за пределами офиса, которого в ряде случаев вообще нет. Умение, не взирая на сценарии и личные интересы, находить компромисс и идти на уступки как со стороны сотрудника, так и работодателя, обернется итоговой победой для всех в вопросах одновременно как обеспечения безопасности компании, так и «допустимого уровня» контроля работников.
В современном мире мы и так находимся в плену «интересов национальной безопасности» и тотальной слежки, помноженных на отечественный менталитет и принцип «главное – найти человека, дело всегда найдется». С другой стороны, почетным у нас почему-то считается обмануть работодателя/государство, развести их на деньги, ведь «от них не убудет». Так и хочется закончить фразой Кота Леопольда, но его призыв, к сожалению, нечасто оказывается услышанным.
Оставайтесь на светлой стороне!
