Современные системы слежения, установленные во многих корпорациях, позволяют узнать о ваших действиях на рабочем месте буквально все -- вплоть до того, какую кнопку на клавиатуре вы сейчас нажимаете. 

Такая слежка абсолютно незаконна, однако более половины крупных российских компаний признаются в электронном контроле действий сотрудников.

Око за оком

В 2006 году в США компания Hewlett-Packard оказалась втянутой в неприятную историю. Председателя совета директоров HP Патрицию Данн обвиняли в том, что она использовала незаконные методы выявления утечки конфиденциальной информации и организовала слежку за другими руководителями компании и журналистами известных информационных агентств. К расследованию были подключены министерство юстиции Калифорнии, Комиссия по ценным бумагам США и ФБР.

Чтобы замять шпионский скандал и избежать массы гражданских исков, НР была вынуждена заплатить $14,5 млн отступных. Львиная доля этой суммы -- $13,5 млн -- была направлена на формирование специального фонда, из средств которого должны были финансироваться расследования в сфере нарушений прав граждан на неприкосновенность частной жизни.

И это неудивительно. Только официальная статистика по перлюстрации уже может стать причиной для нервного срыва. Дальше всех продвинулись американцы: в том же году, когда НР расплачивалась за нездоровый интерес своего топ-менеджера, в США были приняты поправки в федеральное законодательство, в соответствии с которыми все компании обязали хранить архивы электронных писем, журналы переписки систем мгновенных сообщений, веб-чатов и прочую документацию своих сотрудников. Еще раньше, в 2003 году, компании большинства штатов обязали оповещать контролирующие органы о случаях утечки инсайдерской информации.

Европа в вопросе контроля эпистолярной деятельности офисных работников тоже старается не отставать. На рассмотрении Европейской комиссии сейчас находится новый закон (предполагается, что он будет принят к 2011 году), обязывающий все коммерческие компании, агентства и организации сообщать потребителям о фактах утечки или утери конфиденциальных данных клиентов. Логично предположить, что для того, чтобы знать об утечке, ее нужно сначала как минимум зафиксировать. Простейший способ добиться этого -- все та же перлюстрация. В Финляндии в этом году уже был принят закон, позволяющий работодателям отслеживать идентификационные данные электронной переписки своих сотрудников.

Интересно, что противники финского законопроекта, прозванного Lex Nokia за то, что в его разработке участвовали представители известного производителя мобильных телефонов, напирали в парламенте на неприкосновенность частной жизни финских граждан, но ничего поделать не смогли. Аргументация Nokia оказалась сильнее: поговаривали, что компания, постоянно страдавшая от утечек инсайда конкурентам, попросту пригрозила властям вывести свою штаб-квартиру из Финляндии, спровоцировав тем самым потерю 16 тыс. рабочих мест.

России пока далеко до таких ужасов: узаконивать внутрикорпоративный шпионаж пока никто не решается. Хотя неофициально мы неплохо успели продвинуться в этом вопросе. Согласно опросу рекрутингового портала superjob.ru, на фирмах, где трудится свыше 5 тыс. человек, в 52% случаев работодатели подтверждают существование IT-контроля за подчиненными. В секторе малого и среднего бизнеса на каждом третьем предприятии из тех, чей штат не превышает 50 человек, вся электронная корреспонденция сотрудников, включая почту, мессенджеры и Skype, сегодня отслеживается.

"Однажды на работе, когда я писала e-mail клиенту, мне позвонил начальник и стал отчитывать по поводу неправильно расставленных приоритетов в письме,-- возмущается менеджер небольшой фирмы, торгующей стройматериалами, Елена Молчанова.-- При этом видеть мой монитор начальник никак не мог и давал мне указания, сидя у себя в кабинете. То, что меня так цинично контролируют, стало для меня настоящим открытием. Если бы я знала об этом, никогда бы не стала пользоваться рабочим ящиком в личных целях, что до того случая было для меня абсолютно естественным".

Отметим, что поведение начальника Елены -- довольно редкий случай. Мало кто из работодателей так откровенно демонстрирует сотрудникам, что за ними следят. Однако это вовсе не значит, что слежки не существует. Системы анализа трудового веб-трафика, выпускаемые крупнейшими мировыми поставщиками решений по безопасности, либо уже содержат возможность создания внутренней системы всеобъемлющего контроля, незаметного для объекта, либо требуют минимальной модернизации. Например, покупка простейшего keylogger -- шпиона, которым и пользовался начальник Елены,-- не ударит по карману даже малого предпринимателя: всего-то $400. Для более крупных предприятий и более сложных систем контроля расценки выше, но тоже отнюдь не заоблачные. "Системы защиты предприятий от утечек данных (DLP-системы -- Data Leakage Prevention) для крупных компаний -- от 500 пользователей -- стоят от $100 тыс. в зависимости от количества рабочих станций (компьютеров) и прочих факторов",-- говорит PR-директор компании InfoWatch Игорь Царев. За что же предприятия платят эти деньги?

На черном российском рынке по-прежнему можно купить практически любую базу данных — ни законы, ни новейшие IT-разработки у нас пока не защищают ни частную жизнь, ни бизнес Контрольная работа

Еще в 2005 году в США компании 3ami и BridgeHead Software разрекламировали свою разработку -- систему MAS (Monitoring, Auditing & Security), которая позволяла следить за каждым нажатием клавиши на компьютерах сотрудников. MAS могла контролировать, записывать и сохранять все действия компьютера, не допуская при этом внешнего вмешательства в уже сохраненный файл. Система отслеживала все действия с файлами -- устанавливала факт их отправки, копирования, записи на другие носители, распечатки или удаления. Полученные с помощью MAS данные официально могли быть использованы в качестве доказательств преступлений в судах США.

Сегодня такое решение совершенно стандартно. Локальная сеть компании программируется на индексацию и сохранение на сервере всех входящих и исходящих e-mail независимо от того, удалялись они или нет. В случае необходимости активируется заданная система поиска, которая, в частности, может быть ограничена перепиской двух конкретных сотрудников за определенный период времени или названием проекта, который держится фирмой в секрете от широкой общественности. Известна история, которую любят рассказывать потенциальным заказчикам IT-продавцы решений по безопасности, когда через час после установки в сети крупной компании программы MAILsweeper, позволяющей блокировать прием и отправку сообщений с "опасными" словами, поиск выдал письмо сотрудника, в котором тот передавал конкурентам секретную документацию, подготовленную фирмой к грядущему тендеру.

Бывает, систему настраивают на ограничение доступа сотрудников на различные форумы и блог-сообщества, где логично предполагается и непреднамеренный слив. К примеру, согласно результатам исследования фирмы Proofpoint, опубликованным британским интернет-таблоидом The Register, 18% американских корпораций в этом году понесли ущерб от сообщений своих сотрудников в блогах, 17% поймали работников на сливе информации через социальные сети. Впрочем, e-mail в этом смысле лидирует: по данным Proofpoint, в 2009 году утечка информации через электронную почту была зафиксирована в 43% компаний. Размер убытков, понесенных от кражи конфиденциальных данных корпорациями по всему миру, по разным оценкам, в прошлом году составил $550-600 млрд.

"Сумма потерь поражает воображение,-- замечает генеральный директор компании "Информзащита" Владимир Гайкович.-- Но, если честно, я еще не слышал ни об одном банкротстве компании из-за какой-либо утечки. Это, на мой взгляд, говорит о том, что большинство цифр, называемых в прессе, отражают не реальный, а потенциальный ущерб при самом плохом стечении обстоятельств. То есть все эти цифры -- сублимация страха перед утечками информации. Ни подтвердить, ни опровергнуть их невозможно. Реальные же потери компаний, на мой взгляд, на несколько порядков меньше".

Тем не менее такая статистика заставляет компании тратить немалые деньги на организацию программных систем "обороны". К примеру, в России, согласно оценкам компании "Информзащита", в 2008 году бизнес раскошелился примерно на $220 млн. "В последнее время увеличился спрос на все, что связано с системами управления безопасностью, что легко объяснимо. Качественное управление -- это единственный способ повысить эффективность построенной системы безопасности",-- отмечает Владимир Гайкович.