Безопасность документов в СЭД. Угрозы снаружи или внутри?
Для некоторых из угроз уже нашли техническое противоядие, для устранения других требуется много работать, воспитывая и обучая сотрудников правильно обращаться с информацией.
Необходимость систем электронного документооборота уже давно стала общепризнанным фактом. Они позволяют экономить время при работе с документами, а также упорядочивают доступ к корпоративным данным.
Тем не менее, нужно понимать, что даже самые современные системы электронного документооборота все еще уязвимы в части защиты, особенно перед внутренними злоумышленниками. Для некоторых из угроз уже нашли техническое противоядие, для устранения других требуется много работать, воспитывая и обучая сотрудников правильно обращаться с информацией. О чем не стоит забывать, защищая корпоративные системы электронного документооборота, рассказывает Антон Самойлов, генеральный директор компании «ЭвриТег».
Я тут кое-что нашел
Первая проблема – это несанкционированный доступ к документу. Кто-либо из сотрудников – специально или нет – может открыть не предназначенный для него файл. В одних случаях последствий может и не быть: открыл, ничего не понял или не заинтересовался и закрыл. В других полученная информация может, например, спровоцировать недопонимание или даже конфликты в коллективе, снижение мотивации и эффективности у персонала. К примеру, кто-либо в компании узнает о размере премии своего коллеги или руководителя. Не понимая картины в целом, он может счесть увиденное несправедливостью и затаить обиду или просто будет демотивирован и перестанет работать. Может начать шантажировать руководителя своим уходом и требовать «прибавки», тем самым не оставляя никакого выхода, кроме увольнения. А может и другим рассказать о своем открытии. Эти проблемы реально решить с помощью, во-первых, более качественного ограничения доступа к информации, а во-вторых, хорошей работы HR-специалистов. Но не так просто будет урегулировать ситуацию, когда коммерческая тайна, раскрытая сотрудником, попадет в СМИ или к конкурентам.
Игра в прятки
Намеренная утрата документа тоже может существенно осложнить жизнь компании. Случается такое, что недобросовестные сотрудники желают скрыть важную информацию от коллег или руководства, из-за страха или амбиций, или, что ещё хуже, из корыстных побуждений. К счастью, сделать это не так просто, если в системе электронного документооборота налажены механизмы резервного копирования и другие элементы резервирования (высокая доступность, отказоустойчивость). От платформы, на которой построена СЭД компании, зависит сложность удаления документа, а также, разумеется, простота и скорость восстановления после инцидента. Можно, например, запретить удалять уже утвержденные документы, либо ввести скрытые разделы резервирования, куда будут попадать уже не актуальные для пользователей файлы. Таким образом ни один документ не потеряется безвозвратно, но и одновременно не будет «засорять» рабочее поле сотрудников.
Похожая ситуация связана с умышленной подменой документа. Сотрудник по каким-то причинам может решиться на подтасовку какой-либо значимой информации в документе. От подобных махинаций спасает несколько решений. Самый простое из них – запретить изменение документа после согласования, на уровне прав доступа. А самое надежное – ввести электронную цифровую подпись.
Конкуренты знают все
На мой взгляд, единственная проблема, которая пока не закрыта полностью с помощью технических средств, – это несанкционированная передача образов конфиденциальных документов.
Если от утечек только цифровой информации спасают системы класса DLP и IRM, то решений, которые бы контролировали безопасность копий внутренних документов, в том числе электронных версий бумажных документов, пока не так много. Отслеживать такие утечки непросто по нескольким причинам. Во-первых, распечатанный из СЭД документ без труда можно сканировать, вынести из офиса и передать в СМИ или конкурентам. Во-вторых, злоумышленник его может даже не печатать, а просто сфотографировать на смартфон дисплей с открытым файлом. Организовывать тотальный досмотр всех сотрудников, размещать над каждым рабочим местом камеры видеонаблюдения, очевидно, не представляется ни возможным, ни целесообразным. Поэтому сотрудникам службы безопасности приходится изыскивать способы надежной защиты конфиденциальных документов, не прибегая при этом к слишком затратным и заведомо карательным мерам.
Работа систем, призванных решить эту проблему, основывается на механизмах аффинных преобразований. Такие программы встраиваются в СЭД и определенным образом изменяют документы, с которыми ведется работа. При этом каждый сотрудник получает его индивидуальную копию с незаметными для человеческого глаза преобразованиями. Система запоминает дату и время выдачи образа документа, а также идентификационную информацию о том, кто ее получил. При утечке сотрудники службы безопасности, используя эти данные, могут безошибочно вычислить виновника произошедшего «слива».
* * *
К сожалению, даже самая мощная защита документов не гарантирует их полную безопасность в СЭД. Можно создавать и подписывать специальные регламенты, внедрять инновационные системы, но они становятся почти бессильны, когда в игру вступают человеческие невнимательность и халатность. Выходит, что нет доступа к информации – нет проблем. Но тогда не будет смысла говорить об эффективности работы с документами, и вся концепция СЭД один момент сведется к нулю.
Самое удачное решение – добавить функциональности к системам защиты документов таким образом, чтобы пользователи даже не заметили нововведений или каких-либо ограничений. Это потребует немалых усилий, но и результат непременно их оправдает.
Источник: ЭвриТег
Комментарии 0