Конфиденциальные документы рассылаются без защиты
На сегодняшний день порядка трети от общего количества сотрудников компаний рассылают документы, содержащие конфиденциальную информацию, без применения необходимых мер защиты
Михаил Демидов
На сегодняшний день порядка трети от общего количества сотрудников компаний рассылают документы, содержащие конфиденциальную информацию, без применения необходимых мер защиты. Такой вывод содержит исследование компании InvisiViewmedia.com. В России показатели примерно такие же.
Согласно данным проведенного компанией InvisiViewmedia.com опроса, 46% респондентов обеспокоены возможностью кражи данных, а 98% согласны с тем, что защита конфиденциальной информации является жизненно необходимым для ведения дел. Тем не менее, 30% сотрудников отправляют документы, содержащие секретные данные, просто прикрепляя их в виде вложений в сообщения электронной почты, 45% используют для этого незащищенные «бумажные» почтовые службы и 2% просто отправляют ее по факсу. 25% опрошенных компаний отметили, что считают риск угрозы безопасности таких отправлений крайне низким, 13% - готовы пойти на такой риск, а 16% никогда не задумывались об этом, полагая, что способы отправки, которые они использовали для рассылки корреспонденции, были защищенными и надежными. Ян Ганнер (Jan Gunner), директор InvisiViewmedia.com, комментируя результаты исследования, отметил тревожный факт наличия подобных позиций у компании в аспектах защиты конфиденциальных данных, а также то, что бизнес-пользователи убеждены, что альтернативных способов безопасной отправки подобных документов не существует.
Опрос российских вендоров СЭД, проведенный CNews, показал, что отмеченные в исследовании InvisiViewmedia.com актуальны и для отечественных компаний. «Можно с уверенностью сказать, что конфиденциальная информация большинства российских коммерческих организаций передается по незащищенным каналам. Риск кражи конфиденциальных документов серьезно воспринимается очень малым количеством компаний», - говорит Андрей Трещук, заместитель исполнительного директора компании Terralink. Он считает, что ECM-системы однозначно могут помочь в решении задачи ограничения распространения конфиденциальной информации, в первую очередь, за счет ограничения доступности конфиденциальных документов внутри организации. «Организация может запретить работать с конфиденциальными документами вне систем управления документами, а также отправлять копии таких документов по электронной почте (только ссылки)», - объясняет господин Трещук. «Рисками всегда пренебрегают и при этом всегда недооценивают их. Мы проводили оценки - экономия от снижения рисков в доле финансового эффекта от внедрения ECM-системы часто может сравниться с экономией от оптимизации процессов. Риск утечки информации документа и его доступности нежелательным лицам хоть и не самый существенный в нашем списке, но довольно ощутимый», - замечает Максим Галимов, директор по перспективным исследованиям компании Directum. Тем не менее, основные потери все-таки происходят, по его словам, не от использования незащищенных каналов связи при передаче документа на сторону, а из-за внутренних утечек и элементарной безалаберности: информация документа, находящегося вне периметра ECM-системы (выгруженного на локальные диски, распечатанного, а иногда и оставленного в лотке принтера, отправленного почтой коллеге), уже находится под угрозой. «ECM-система снижает риски за счет того, что, во-первых, обеспечивает защищенное хранение документа, во-вторых, предлагает проводить большую часть совместной работы над документом без вынесения его за пределы защищенной среды. Если культура согласования, обмена документами в электронном виде в рамках ECM-системы принимается организацией, то безопасность документооборота существенно повышается. Следующим шагом, очевидно, должен стать защищенный межкорпоративный обмен электронными документами», - отмечает специалист. По словам начальника отдела маркетинга компании ЭОС Елены Ивановой, в России исторически и делопроизводство было развито шире, и отношение к конфиденциальным документам сложилось по-другому, чем за рубежом. «В России и люди, и компании соответственно гораздо больше внимания уделяют сохранению и обеспечению конфиденциальности. Другое дело, что при этом понимании не хватает знаний и умений в использовании имеющихся технологических и программных средств, то есть люди понимают, что защищать (документы — прим. CNews) надо, а применять специальное ПО не могут или не хотят», - замечает она. Госпожа Иванова выражает надежду, что с распространением и более широким использованием СЭД культура обращения с такими документами изменится. «Люди, работая в СЭД научаться пользоваться и средствами защищенной пересылки электронных документов, поскольку это будет частью привычной системы, в которой они работают. Сейчас, поскольку СЭД внедрены в очень небольшом количестве предприятий, если брать масштабы всей России, то и культуры работы у людей с электронными документами нет или она неразвита. В большинстве СЭД реализована функциональность пересылки и работы с конфиденциальными документами, поэтому работать с ними в привычной рабочей среде СЭД людям будет легче и по-другому они уже не смогут отработать такие документы».
Однако существует и другая точка зрения на возможности защиты документооборота. Ее озвучил Владимир Горностаев, специалист по информационной безопасности «Интертраст». По его словам, переход в компаниях на электронный документооборот не изменит «культуру обращения с документами», поскольку если «культуры» не было при работе с бумажными документами, то изменение формы не изменит содержания. «В данном контексте основная задача - разработка необходимых регламентов и политик, определяющих работу с конфиденциальной информацией (документами)», - считает эксперт и выделяет два варианта рассмотрения этого исследования. В одном из случаев в организации нет подобных политик, поэтому работники их и не выполняют. С точки зрения информационной безопасности, по мнению господина Горностаева, такие организации имеют низкий уровень зрелости, так как руководство компании не предпринимает усилий по защите информации. В другом случае, если политики разработаны, значит работники нарушают политики безопасности. Такие организации имеет более высокий уровень зрелости, но недостаточный, так в них не проводится аудит и мониторинг выполнения политик безопасности; политики формально разработаны, но обучение работников не проводится, контроль за их выполнением не осуществляется. По словам Сергея Кузнецова, руководителя исследовательского отдела «Рексофта», ИТ-директор должен подходить к этой проблеме с двух сторон. Во-первых, необходимо воспитывать пользователя, обучать его работе с документами, потому, что например, что 90% сотрудников российских компаний при работе с внутренними документами пересылают друг другу файлы, вместо того, чтобы выложить их в общедоступные папки и пересылать ссылки. По его словам, точно также нужно прививать сотрудникам навыки работы с конфиденциальной информации. Директор по корпоративным проектам ABBYY Россия Юрий Корюкин считает, что если аналогичное исследование провести в России, то результат может оказаться еще более настораживающим. «В тех случаях, когда необходима абсолютная уверенность в информационной безопасности предприятия, могут помочь системы ECM с встроенными элементами систем управления правами доступа или системы IRM/DRM. С их помощью можно ограничить доступ к конфиденциальным документам, наложить запрет на ряд действий (например, копирование, пересылка или печать), ограничить возможность работы с документами вне системы управления контентом», - продолжает Сергей Кузнецов, прибавляя, что система защиты должна быть адекватна ценности информации. «Существует не так уж много предприятий, где утечка информации может привести к значительным проблемам. Поэтому руководители компаний, прежде чем устанавливать системы защиты, прежде всего, соразмеряют риски со стоимостью внедрения», - заключает он. С его точкой зрения согласен и Михаил Башлыков, руководитель направления информационной безопасности компании «Крок», считая, что система документооборота сама по себе может лишь снизить риск указанных проблем, но не решить их полностью — в рамках документооборота обрабатывается только часть информации, которую используют в организациях и на предприятиях, поэтому необходимо забывать о защите различных отчетов и выгрузках корпоративных систем, систем бизнес-аналитики. Надежную защиту конфиденциальной информации, по его словам, может обеспечить только комплексная система защиты информации на уровне контента и управления правами доступа к информации (Information Right Mangement), интегрированная с бизнес-системами, в том числе, системами электронного документооборота. «Конфиденциальный» - это не благое пожелание, а приказ строго следовать определенному регламенту. Но без возможностей контроля приказ останется благим пожеланием. Поведение сотрудников, в известном смысле, естественно – с конфиденциальными документами больше хлопот и, если никто не видит, можно упростить себе жизнь. Собственно, внедрение СЭД дает возможность, как минимизировать хлопоты (выигрыш сотрудников), так и восполнить недостаток контроля за соблюдением регламентов (выигрыш владельцев информации и администраторов). Другими словами, именно информационная система должна предотвращать отправку конфиденциальной информации по незащищенным каналам», - уверен Александр Родионов, директор департамента систем управления документами «Ланит».
В компании DocsVision CNews рассказали, что использование систем электронного документооборота безусловно изменяет культуру обращения с документами, в том числе и в части поддержки их конфиденциальности, но технические средства СЭДО еще больше способствуют поддержке конфиденциальности. «То, что невозможно забрать из системы на локальный компьютер, то невозможно и посылать по незащищенной коммуникации. Все это работало бы замечательно, если бы базовым подходом к управлению доступом во многих СЭД не была бы дискреционная модель управления доступом (требующая прямого или наследуемого указания прав доступа каждого пользователя по отношению к каждому документу)», - объясняет Сергей Курьянов, директор по развитию DocsVision. «Дискреционная модель унаследована СЭД из операционных систем, управляющих с ее помощью доступом к разделяемым папкам и файлам. Дискреционная безопасность недостаточно управляема, в ней очень трудно формулировать и поддерживать политики доступа, особенно контекстные. Поэтому очень часто ее просто не используют совсем, ссылаясь как раз на то, что риск кражи документа очень низкий», - продолжает он. В тоже время, как отмечает эксперт, MOREQ рекомендует подход на основе мандатной безопасности, в котором уровню конфиденциальности документа сопоставляется уровень допуска сотрудника. По мнению эксперта, мандатная модель гораздо лучше управляема, ее легче применять и использовать. «Еще больше возможностей открывает ролевая модель управления доступом, ориентированная на контекст, и позволяющая формулировать политики вида «сотрудник, которому поручена подготовка проекта документа, имеет к нему полный доступ». Сочетание мандатной и ролевой моделей управления доступом, а также журналирование действий пользователя позволяет строить и управлять политиками безопасности, которые не мешают людям работать с документами, но сильно сужают возможности несанкционированного доступа», - заключает он.
См. так же: Общий принтер и конфиденциальность документов
Источник: CNews
Комментарии 0