Після того, як я перевела своїх співробітників на віддалену роботу під час коронавірусного карантину, буквально через тиждень, я помітила кілька позитивних аспектів в плані ведення бізнесу. Співробітники почали висипатися, тому що не потрібно було витрачати кілька додаткових годин на збори та дорогу в офіс, що позитивно позначилося на продуктивності та швидкості виконання завдань. Сучасні технології виявилися досить розвиненими для ефективної роботи з дому. Негативні сторони теж є. Комусь складно знайти мотивацію працювати без прямого контролю з боку керівника, а деякі відчувають труднощі у розв’язанні робочих питань, зав’язаних на колегах.
Не беруся судити, скільки компаній залишиться на віддаленні, коли карантинні заходи закінчаться, але застережу від відчуття, що офіс залишився в минулому, і число надомних співробітників буде експоненціально зростати. Виною всьому – загрози інформаційної безпеки, які лежать не тільки в технічній площині, а й у головах співробітників. І якщо налагодити корпоративні комунікації або вибудувати правильну систему мотивації можна в стислі терміни, то розв’язати проблеми з безпекою швидко не вийде.
Ці проблеми видно неозброєним оком. Кількість витоків інформації виросла відчутно. Навіть за повідомленнями в ЗМІ (а це лише сама вершина айсберга) ми спостерігаємо сплеск.
З більшою впевненістю ми можемо вказати причини витоків. Якщо говорити про ментальні загрози, часто вони пов’язані зі зниженням лояльності. Лояльність визначається безліччю факторів і в реальному житті швидко змінюється навіть через дрібниці, наприклад, після розмови з колегою на підвищених тонах. А вже якщо людину попросять взяти відпустку, заплановану на більш пізній час, реакція може бути непередбачуваною.
Додатковий фактор ризику – невпевненість у завтрашньому дні. Невідомість лякає всіх, і при нестачі інформації про перспективи компанії й власне становища в ній, людина може прийняти невірне рішення. У деяких включається режим перестраховки, «а скопіюю я ці файлики просто про всяк випадок». І вже не важливо, що у співробітника не було плану, як скористатися файлами – інформація, що зберігається на домашніх пристроях, непідконтрольна роботодавцю. Залишається лише сподіватися, що вона не буде використана всупереч інтересам компанії.
Цілеспрямованих витоків теж стає більше. У інсайдерів менше страху перед порушенням і нижче ризик невдачі. А навіть якщо попадеться на крадіжці – адже тут ніхто не схопить за руку і не запросить поговорити зі службою безпеки. Вдома достатньо часу, щоб скласти й спокійно викласти переконливу легенду.
Зловмисникам, на жаль, тепер простіше вербувати інсайдерів – в умовах економічної турбулентності співробітники більш схильні погодитися на вмовляння ззовні. Так само як і вразливість перед методами соціальної інженерії теж стала вище. А самі методи трохи витонченішими, ніж «мам, я встряв у халепу, переведи 100 гривень на телефон», – наприклад, співробітники на віддаленій роботі охоче відкривають фейкові листи від імені менеджменту компанії та роблять дії, визначені в них.
Хедхантери також стали одними з бенефіціарів весни-2020. Навіть не схильні до зміни роботи співробітники перестали відшивати рекрутерів. Не висловлюючи явної згоди, люди готові вислухати, а нерідко й обговорити пропозиції конкурентів. Працівник, який зібрався на вихід, становить підвищену загрозу витоку інформації та в більшості випадків потрапляє в групу ризику в термінах інформаційної безпеки.
Переманювання зазвичай відноситься до менеджерських позицій і фахівців високого рівня, але рядовому персоналу доводиться думати про виживання, тому прагнення компенсувати зниження власних доходів цілком природно. Важливо, що це зниження не обов’язково викликано ініціативою роботодавця. Наприклад, менеджери з продажу, у яких значна частка заробітку прив’язана до KPI, можуть істотно втратити при загальному зниженні продажів. Крім цілеспрямованої крадіжки даних з метою продажу, співробітники можуть шукати другу роботу. Часто на тому ж ринку. А інформація з нинішньої компанії може стати гарною підмогою для старту на новому місці.
Технічно здійснити витік стало простіше. Хоча б тому, що поруч немає колег. Цей фактор є стримуючим, не має значення, про яку крадіжку ми говоримо, конфіденційних даних або канцелярського приладдя. Далі, вдома немає камер відеоспостереження. На щастя і в офісі, вони є не скрізь, але навіть там, де висять, більшість працює абсолютно спокійно, розуміючи, що звернуться до них тільки в разі розслідування інцидентів.
Вдома також немає фізичної охорони з вибірковою перевіркою на вході. При цьому багато співробітників отримують прямий доступ до корпоративних даних – ось вони, на відстані витягнутого інтернет-кабелю, і отримати їх можна практично миттєво. У будь-який час дня чи ночі. Я не чула про діючі політиках обмеження доступу за часом доби. Можливо, це правильно. Зрушуючи свій робочий графік, люди користуються корпоративними ресурсами і в формально неробочий час, часто дійсно працюють довше. Але уявіть, що явна крадіжка сталася пізно ввечері. Співробітники служби безпеки, швидше за все, не дізнаються про неї до ранку, можливості швидко зреагувати будуть втрачені.
Коли інсайдер працює віддалено, він також має практично необмежений час на підготовку. Це в офісі всього 8-10 годин, і ще потрібно створити видимість корисної діяльності, а вдома людина надана сама собі. Хоч цілодобово готуйся вкрасти потрібну базу.
До речі, слив даних, навіть при високому рівні розвитку технологій – процес не миттєвий. Коли при переході в конкурентну компанію віцепрезидент AMD почав копіювати десятки тисяч конфіденційних документів, справа йшла так повільно, що інсайдеру довелося гуглити, як прискорити процес.
Контроль витоку інформації технічними засобами не можливий, адже бізнес-процеси і маршрути переміщення інформації змінюються, і налагоджені політики вже не працюють. За відсутності спеціалізованих DLP-систем інформація може витікати непомітно.
Нарешті, ще одна технічна проблема – використання співробітниками власних пристроїв. Одночасно спрощує доступ до інформації і несе додаткові ризики. Адже особисті пристрої в більшості випадків не перевіряються офіцерами безпеки й не захищаються належним чином. Подальше поширення інформації відбувається безконтрольно.
Всі хочуть вірити в кращі якості людей. Тим більше, коли мова йде про колег і підлеглих. Однак життя створює занадто багато спокус і можливостей вкрасти корпоративні дані. І якщо бізнес переріс маленьку сімейну компанію, однієї довіри вже недостатньо.