Как стать автором
Обновить

Комментарии 82

НЛО прилетело и опубликовало эту надпись здесь
Спасибо, исправили.
Во всех случаях — раздолбайство в организациях.
1. контроль за текущими действиями сотрудников отсутствует.
2. ура!!! хоть комп может сопоставить дату отсутствия человека и дату документа
3. отсутствие контроля заявок на закупки и их исполнения
4. то — же только с по на локальных рабочих местах
5. акт выполненных работ с фото до и фото после устраняет данные проблемы.
Во всех случаях либо отсутствует контроль, либо халатность при контроле с контролирующей стороны
НЛО прилетело и опубликовало эту надпись здесь
Человек сам заказал, сам «поставил» оборудование, отчитался что работа сделана, а по факту двойное воровство.
1. украдено оборудование
2. украдено время на заказ, ремонт оборудования
налицо отсутствие контроля за работой человека
НЛО прилетело и опубликовало эту надпись здесь
Дело №1
А использовать в су де записи с камер скрытого видеонаблюдения незаконно: они устанавливаются для пожарной безопасности, а не для контроля сотрудников.

Причем тут суд? По ТК РФ сотрудник не имеет права с закрытыми глазами на рабочем месте находиться, что ли? Или даже спать?
Интересно, знают ли про скрытое видеонаблюдение? Если знают, то оно уже не скрытое, а красиво спрятанное.
А если не знают, и это не ОРМ правоохранительных органов, то это уголовка.
А обязательно раскрывать положение всех камер?
Можно ведь предупреждать, что ведется наблюдение, поставить пару камер на самом виду, а вот самые интересные замаскировать и спрятать, так чтобы о них кроме службы безопасности никто не знал.
Будет ли это нарушением?
Любая скрытая/закамуфлированная камера/микрофон подводит вас под ст. 138.1 УК РФ, даже если она выключена. До 4 лет лишения свободы.
Людей давно массово судят просто за покупку на Алиэкспресс авторучки с видеокамерой за 500 рублей.
Обычные камеры не должны попадать, а их маскировка на месте — это не оборот, а использование.
Обычные камеры, спрятанные, о которых не знают сотрудники и в отсутствии табличек о видеонаблюдении незаконны. ТК Статья 21. Основные права и обязанности работника: Работник имеет право на: полную достоверную информацию об условиях труда и требованиях охраны труда на рабочем месте, включая реализацию прав, предоставленных законодательством о специальной оценке условий труда;
А если сотрудники предупреждены: «у нас везде (кроме явно запрещенных законом мест, если ест такие типа туалетных кабинок) видеонаблюдение. Если вы не видите камеры, то это не значит, что её нет!»?
Да уж, несколько блоков данных на картинках не замазали и Заказчика (МЗП) тоже… :(

Просто поражает, как можно всякую дурь делать, да еще и с рабочего ПК...

Я даже не знаю, что сказать. Конечно хорошо спасти компаниюю от опасных нарушений, но это устойчивое ощущение что антиутопия уже _слишком_ здесь.
Дело №6: Компрометирование (не нарочное, скорее всего?) данных Заказчика и его персонала.
Хорошо, что исправили картинки!
Вопрос автору статьи, по делу №2.
Вы можете озвучить законные основания чтения вами личной переписки сотрудника со своей женой?
возможно при трудоустройстве сотрудник подписал бумагу, что он согласен что вся его дейтельность на рабочем компьютере будет контролироваться

я так понял что он переписывался с рабочей машины, иначе как бы логи в систему попали
Хочется услышать от самого автора правовые основания их действий

Статья 23 Конституции РФ:

Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.

Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.
Я не автор, так что извините, что вклиниваюсь — но ЕСПЧ уже давно разъяснил, что лоботрясничать на работе, прикрываясь Тайной Личной Переписки — не вариант.
¯\_(ツ)_/¯

Странно, что у нас по этому поводу никак поправки не внесут. Пора бы уже, я считаю.
А причем тут ЕСПЧ? В российском законодательстве эти понятия тоже разделены, и тут их никто не путал.
За лоботрясничание — дисциплинарное и увольнение
За нарушение тайны личной переписки — уголовка.
Ну вы дело посмотрите. Там тоже товарищ возмутился, что его ткнули носом в его же собственную переписку с женой.
И ничего — повозмущался и будет) Суд подтвердил, что работодатель имел законное право переписку читать (с учётом того, что были соблюдены все юридические формальности).

ЕСПЧ здесь при том, что он является судом, решения которого должны выполняться и на территории РФ. Соответственно на мой взгляд, если работодателю пришьют уголовку — то это решение можно будет оспорить в ЕСПЧ с неплохим шансом на успех. Ибо ну бред же. Давайте ещё рабочий кабинет или бытовку жилищем объявим и будем неприкосновенности требовать.
Причём переписку-то прочитала компания-заказчик решения. И зачем-то передала её компании-разработчику решения, чтобы те могли её вывесить на Хабре. Очень интересно.
Та переписка, что на Хабре на картинке — переписка админа и секретаря. Рабочая переписка.
Но по тексту — да, есть факт чтения переписки сотрудника компании и его жены. Но это другой случай.
Перед внедрением DLP-подобных систем с сотрудником заключает дополнительное соглашение к трудовому договору, в котором указывают перечень целей, в рамках которых сотрудник может использовать корпоративное оборудование. Так, дается определение термину «коммуникации» и описывается право компании на контроль некоторых «коммуникаций» в определенных ситуациях. Более подробно о правилах внедрения DLP мы рассказывали вот в этой статье.
Как я понимаю, для легального внедрения DLP систем должны быть выполнены условия:
— работникам запрещено использовать корпоративные коммуникации для личных целей
— всех работников предупреждают, что все их действия на компьютерах записываются

Закрытое оборонное предприятие еще ладно, а какая нормальная контора держит сотрудников на таких условиях?
Запрещать работникам использовать корпоративные коммуникации для личных целей — не надо. Наоборот — пусть используют, но под роспись о том, что все данные, хранящиеся/передающиеся по имуществу компании, принадлежат компании и м.б. использованы компанией.

Сейчас тренд такой -в сторону слежки.
А ты не воруй. И вообще — веди себя так, как будто за тобой точно следят. Очень помогает на нарушать законы и нормы приличия.
Ни один юрист не разрешит такой документ выпустить. И не один нормальный суд его законным не признает. Это же нарушение всего что только можно себе представить.

Вы со своей любовью к тоталитаризму не заигрывайтесь. Сейчас это не пройдет ни водной нормальной стране.
Закон Яровой же уже принят.
Государству можно за всеми гражданами следить, а бизнесу за своими сотрудниками, в рабочее время — нет?
Тренд явно идет в сторону тотальной слежки, законы доработают.
Если при трудоустройстве работник подписывает документ, в котором чётко указано, что использование рабочего ПК допустимо только для рабочих целей и что вся передаваемая информация может быть просмотрена службой безопасности — то какие могут быть претензии к компании?

Это ни разу не тоталитаризм, а вполне нормальная практика.
Вот, кстати, и суд ЕСПЧ так считает.
Передача прав на все переданное через корпоративную сеть и чтение всего до чего они могут дотянуться это разные вещи. Совсем разные.
Не понял мысль, поясните. Лучше с примерами, а то вообще непонятно)

Я историю вижу так: товарищ прямо с рабочего ПК по какому-то каналу связи (почта / ICQ и т. п.) бодро обсуждал с женой, как лучше обмануть своего работодателя. Естественно, эти сообщения передавались через корпоративную сеть — иначе как бы оно в DLP попало?
Тезис изначального оратора «Человек подписывает документ что права на все переданное через корпоративные каналы связи или с помощью корпоративных компьютеров принадлежат корпорации»

Ситуация: Корпоративный почтовик глючит. Или обычную табличку во вложении блокирует или просто письмо не доходит непонятно почему. Суперзащищенные корпоративные почтовики любят так делать. Работник из лучших побуждений использует для переписки личный gmail. А там в соседнем письме лежит черновик Марсианина. Работник автор. Мисклик, открываем письмо с черновиком. И все. Права на Марсианина принадлежат рогам и копытам.
Теперь понял, спасибо.
Насчёт передачи прав — да, это как-то слишком сильно. Правильнее всё же будет говорить не о передаче прав, а о праве просмотра всей передаваемой информации (как в первом сообщении в этой ветке от автора поста).

Работник из лучших побуждений использует для переписки личный gmail
Ну это не «лучшие побуждения», а грубое нарушение должностной инструкции.
Пожалуйста, не надо на работе действовать «из лучших побуждений». А уж если действовать — то всегда отдавать себе отчёт, что вы сейчас творите какую-то дичь, и если что-то пойдёт не так — то крайними будете вот лично именно вы.
Это сколько угодно. Надо всегда исходить из того что кто угодно постарается сунуть свой нос во все до чего дотянется. Я именно про тезис о передаче прав.

Про итальянскую забастовку слышали? Работать строго по инструкции. Работа встает намертво.
Про передачу прав согласен, это перебор.

Встанет или не встанет — это вопрос. Но если человек явно нарушил должностную инструкцию — то он виноват, и это сомнению не подлежит. В суде аргумент «ну я же за общее дело радел, потому так и сделал» вряд ли прокатит.
Мотивом для внедрения DLP служит все-таки не желание «прижать» сотрудников и почитать их переписку, а стремление обезопасить данные, которыми компания оперирует.
Например, большинство банков внедряет DLP, потому они хранят и обрабатывают огромные объемы персональных данных клиентов. Утечка, о которой стало известно, — это и репутационные риски, и уход разгневанных клиентов к конкурентам, и проверки Роскомнадзора.
А так DLP — система не дешевая и во внедрении не самая простая. Едва ли кто-то станет так заморачиваться только чтобы читать, о чем сотрудники с женами разговаривают.
Мотивом для внедрения DLP служит все-таки не желание «прижать» сотрудников и почитать их переписку, а стремление обезопасить данные, которыми компания оперирует.

Это понятно. Понятно также, что DLP системы имеют право на жизнь.
Интересует правомерность действий.
Даже если сотрудник подписал обязательство не использовать корпоративные сети для личного пользования, а затем зашел на свой gmail, у меня сомнения, что читать этот его трафик вы имеете право.
Я не утверждаю, просто есть сомнения в правильной трактовке закона. Вопрос сложный. Он совершает дисциплинарный проступок, вы возможно нарушаете его конституционные права.
В данном случае сотрудник сознательно, о чём есть расписка, сам раскрывает свои личные тайны работодателю. Конституция не охраняет личные тайны от самостоятельного их раскрытия третьим лицам.
НЛО прилетело и опубликовало эту надпись здесь
Так бывает когда автора кусает маркетолог.

Какие молодцы — заморочились с дорогущей DLP-системой, наняли высокооплачиваемого спеца, абонку разработчикам платят, наверное… чтобы сотрудника за липовую справку прижучить!)) Ну увольте его теперь, наймите эйчара, чтобы замену найти — имитация бурной деятельности в большой компании)

вообще говоря сотрудник которому проще подделать документ нежели договориться об отгуле (в счет отпуска, либо под отработку, либо за свой счет) вызывает определенные опасения
А мне кажется, что организация, которая следит за своими сотрудниками — как минимум погрязла в бюрократии, как максимум — гнилая какашка. Там об отгулах и речи не идёт, поэтому он и решился на такой шаг.
Вообще, он мог бы все-таки и просто сдать кровь. Делов на 20 минут, а справка была бы настоящая. Не говоря уже о плюсе в карму.
Кровь не у всех берут, и кроме того, если у вас не бычье здоровье, то это не совсем как прогулка в парке. Я однажды сдавал, чуть в обморок не упал от упавшего давления.
Ну тогда мог бы с начальником договориться. Для этого бычье здоровье не нужно.

P.S. Себя обладателем бычьего здоровья не считаю, но мои две донации в целом прошли вполне нормально)
Ну, меня тоже три раза заворачивали по разным причинам прежде чем согласились взять мою кровь (то им не нравились места отпусков, то гемоглобин был ниже нормы), но сама процедура прошла спокойно. Может, кушали перед этим плохо? Меня заставили перечислить все, что в тот день было съедено, им показалось мало и мне скормили еще три вафли для уверенности :)
Вообще не ел. Было сказано прийти утром на тощак. Сдавали кровь коллеге на лекарство для ребенка.
Странно. Обычно запрещают натощак. Обязательно нужно сладкий чай и сушки какие-нибудь.
Ну офигеть кейсы.
1. У человека есть непосредственный руководитель. Если он не в курсе что человек в его подчинении ничего не делает, то это исправить с помощью DLP невозможно. Надо весь отдел/подразделение менять. По крайней мере все руководство. Они бесполезны.
2. Простите, а справку в момент предоставления глазами посмотреть не пробовали? Даты они сразу видны.
3. У вас человек ворует оборудование. Физическое. Он его берет и выносит. Наверняка в фирме есть пачка бездельников, которые должны смотреть чтобы сотрудники не воровали. Их заставить поработать не пробовали?
4. Админ может много чего сделать с компьютерами сотрудников. По сути он может что угодно. Или вы его действиям доверяете или нет. Другого выхода нет. Если у секретаря полностью зарезанная учетка без прав на что угодно опасное, то в чем проблема снести антивирус? Он не сильно нужен. А вот мешать реально может.
5. Отдел контроля работ что у вас делает? Или он тоже коррумпирован? Тогда всю систему менять надо.

В итоге получаем дорогую систему, которая делает то что и так должно быть сделано при нормальной организации работ. Автоматизируем бардак и получаем автоматизированный бардак.
НЛО прилетело и опубликовало эту надпись здесь
Вы не поверите, но теперь спать будет тот, кто заказал установку этой системы.
Тот кто заказал получит откат поедет на Мальдивы отдыхать. Такие системы ставятся только за откаты. В частных конторах тоже.

В нормальных конторах, где нет откатов от поставщиков и где сотрудники честно работают такая система просто не нужна.
Подскажите, есть ли данные по экономической эффективности вашей системы?

Например, были у компании — X млн. руб. и 3 плохих сотрудника.
Компания купила вашу систему за Y млн. руб., после чего уволила 3-х плохих и наняла 3-х хороших, работников.

Вопрос покроет ли стоимость DLP в Y млн. руб. выгоды от замены 3-х плохих на 3-х хороших?
Поправка: после чего уволила 3-х сотрудников и наняла 3-х таких же только других.
Интересно, руководители какого процента бюджетных организаций кормятся с откатов с покупки бесполезных айтишных систем?
руководители какого процента бюджетных организаций

А почему только бюджетных? Вы думаете в коммерческих организациях откатов не бывает?
Цели разделить людей на «плохих» и «хороших» не стоит, человек может скомпрометировать конфиденциальные данные и по ошибке. Задача DLP – защитить информацию либо помочь в проведении расследования.

Перед внедрением почти любого средства защиты по предотвращению утечки информации, происходит оценка стоимости цифровых активов и прогнозируется потенциальный ущерб в случае их компрометации. Эта информация, в сравнении со стоимостью внедрения и эксплуатации средства защиты ( в нашем случае DLP) и ложится в основу экономической оценки или эффективности проекта (ТЭО/ФЭО). Данную процедуру проводит большинство наших заказчиков самостоятельно, либо нанимают соответствующие организации.
НЛО прилетело и опубликовало эту надпись здесь
Если вы хотели сделать рекламу — у вас не получилось (получилось с точностью до наоборот)
По делу 3 есть сомнения что Авито не вырещает служебные заголодки exif по которым фото сравнивали
Системы для слежки за сотрудниками — вообще вешь неоднозначная. Такие надо пиарить на узкую аудиторию хозяев бизнеса.
Да, реакция читателей, безусловно, понятна. Есть такая шутка в среде безопасников, что ДЛП расшифровывается «Для Любителей Подглядывать».
Но, во-первых, сотрудник должен быть информирован под роспись об использовании такого ПО в организации. Речь никогда не идет о тайной «прослушке».
Во-вторых, представление о безопаснике как о человеке, который весь свой рабочий день тратит на чтение чужой переписки, — это миф. Организации менее 300 сотрудников вообще редко внедряют DLP, а представьте, сколько трафика они ежедневно генерируют.
Офицер безопасности реагирует исключительно на алерты, которые присылает ему система (и то не на все, потому что, как и другие системы защиты, DLP часто фолсят). Собственно, с реакции на уведомление от DLP начинается каждый из приведенных кейсов. Алерты же генерируются в результате нарушений политик безопасности.
Наконец, DLP защищает от внутренних нарушителей не только компании, но и их клиентов, доверяющих этим компаниям персональные данные. Этим клиентом может оказаться любой из нас. Да, как и многие вещи в мире, DLP может быть использована не по назначению, но не стоит лишь на этом основании демонизировать ее как класс.
Наконец, DLP защищает от внутренних нарушителей не только компании, но и их клиентов, доверяющих этим компаниям персональные данные. Этим клиентом может оказаться любой из нас.

Защищает? Каким же образом?
Намекаю: отчет о том, какой именно пользователь и когда слил на сторону персональные данные клиентов — это не защита.
И каким же образом DLP, встроенная «в разрыв», защитит от слива персональных данных? Не даст послать письмо с приаттаченным XLS-документом? А с приаттаченным архивом — пропустит? А если архив запароленный?
Да, письмо блокируется до проверки администратором системы. DLP проверяет и вложения, в том числе архивы, в том числе запароленные. О том, как это устроено технически, мы как раз планируем написать статью.
Да, письмо блокируется до проверки администратором системы.

Звучит красиво, но на самом деле такая система неработоспособна. В достаточно крупном офисе по почте летают сотни вложений в день. Если хотя бы половину этих вложений должен будет проверять администратор системы — он сопьется через месяц от такой работенки. :)

Помню, в одном весьма уважаемом зарубежном банке просто запретили пересылать любые вложения, кроме запароленных архивов. Точнее, у них DLP заворачивала все письма с вложениями, кроме запароленных архивов. :)

DLP проверяет и вложения, в том числе архивы, в том числе запароленные.

Насчет запароленных — это вы пошутили, наверное. Если пароль не присутствует в тексте письма, то на подбор пароля никаких серверных мощностей не хватит.

Звучит красиво, но на самом деле такая система неработоспособна. В достаточно крупном офисе по почте летают сотни вложений в день. Если хотя бы половину этих вложений должен будет проверять администратор системы — он сопьется через месяц от такой работенки. :)
На самом деле, это сильно зависит от того, насколько адекватны политики безопасности и насколько тщательно классифицированы защищаемые документы. У нас есть достаточно много заказчиков, у которых DLP стоит «в разрыв». Но Вы правы в том, что большинство все-таки предпочитает режим мониторинга — и ровно по тем причинам, которые Вы описали.

При этом и мониторинг работает на безопасность, хотя и не так прямо, как блокировка, например:

  1. Есть функция уведомления пользователей о нарушении политики безопасности. Система сообщает человеку, что некое его действие выглядит как нарушение, и просит подтвердить, что оно легитимно и должно быть продолжено. Это снижает число случайных утечек (например, человек поставил в копию письма лишнего адресата).
  2. Есть функция, позволяющая модифицировать письмо, исключая из него лишних получателей или даже изменяя вложение (пример использования мы описали вот тут)
  3. Если DLP не просто внедрена «для галочки», а реально используется безопасником, который оперативно просматривает алерты, то даже уведомление о том, что сотрудник только что скопировал коммерческую тайну на флешку, позволяет предотвратить утечку.
    Собственно, большинство технологий, которыми дополнялись DLP в последние годы, направлены на то, чтобы сделать мониторинг более полезным для человека, работающего с системой. Очевидно, можно ранжировать инциденты по критичности (так-то и посещение развлекательных ресурсов можно завести как инцидент, но понятно, что пересылка комтайны за периметр гораздо важнее).
    Критичность может зависеть от типа информации, которая находится под угрозой, (и здесь все относительно просто), а может — от конкретного человека и его действий. Например, сравните: один сотрудник копирует часть клиентской базы, а другой, уже написавший заявление на увольнение, — всю.
    В попытке научить систему понимать, что второй инцидент важнее, большинство вендоров пришло к тому, что у нас называется «группы особого контроля», у конкурентов, если не ошибаюсь, «группы под подозрением». Это группы людей, которых система в результате их действий автоматически считает более вероятными нарушителями (о наших алгоритамх мы писали вот здесь).
    Сейчас вендоры ищут разные подходы, которые позволят системе с адекватной степенью достоверности определять высококритичный инцидент, чтобы безопасник мог моментально принять меры.
  4. И еще, конечно, человеческая психология такова, что часто уже само знание о том, что в компании установлена DLP, удерживает людей от некоторых поступков.

Насчет запароленных — это вы пошутили, наверное. Если пароль не присутствует в тексте письма, то на подбор пароля никаких серверных мощностей не хватит.
Напишем об этом.
С точки зрения юристов защита какого-то права состоит из комплекса мер по профилактике и предотвращению, нарушения прав, а также выявлению и привлечению виновных (а иногда и невиновных) в нарушении, если предотвратить не удалось. Подобные системы помогают осуществлять весь этот комплекс.
Все примеры какие-то бытовые. Один спал, другой воровал, третий пилил/получал откаты. DLP система для проверки даты на справках — вообще смешно.

Можете привести пример, когда DLP система действительно помогла предотвратить или выявить утечку ценных данных, которые компания пыталась охранять, именно когда сотрудник пытался это сделать намеренно?
Ну т.е. то, почему DLP системы вообще так называются в первую очередь.

А вас не смущает, что в статье рассказывают про необычные кейсы, где DLP чуть ли не случайно раскрыла «дело»? Про обычные, серьезные преступления, уверен, вы найдёте статьи самостоятельно.

Именно это и смущает, что для рекламы DLP системы на профильном IT ресурсе, был выбран именно такой способ подачи.
Собственно, в начале статьи и была оговорка о том, что это редкие и необычные кейсы, на которые система не заточена. Это не обучающий материал, а скорее развлекательный (ну, должен был быть развлекательным, но, признаем это, вышел скорее холиварным).
Можем в следующий раз рассказать о более классических инцидентах, с которыми наши инженеры внедрения сталкивались на проектах.
Шпионские романы — это популярный жанр. Я бы с удовольствием почитал рассказы о том, как вы поймали шпиёна или предотвратили слив ценных данных врагам.

А пока у вас какой-то советский трудовой сериал о буднях колхоза «Сорок лет без урожая»: Вася спал, Петя крал, Константин коров **ал…
Тогда, конечно, напишем. О некоторых мы уже рассказывали, кстати.
Почему мы рассказываем и о таких историях, как в этой статье: дело в том, что сейчас функционал DLP позволяет выявить не только утечки, но и различного рода мошенничества/откаты у заказчиков. Конкретно здесь собраны забавные кейсы, где компании очень уж сильно не страдают, но вообще прямое воровство денег на откатах часто наносит компании ущерб не меньший, чем воровство информации.
Сейчас как раз DLP-решения выходят на новый и довольно любопытный виток развития — появляются технологии User Behavior Analytics, идут исследования в области применения нейросети в DLP и много чего еще. Хотя при этом до сих пор идет борьба с ложными срабатываниями (мы тоже писали о том, как мы с этим работаем — 1,2).
User Behavior Analytics
А потом DLP выдаёт отчёт: «То, как Вася двигает мышь, отчётливо говорит о подготовке к терракту. Доказать не могу, но поверьте, лучше уволить его как можно быстрее».
когда то пришлось читать мемуары особиста, который работал над контролем контактов деятелей науки с иностранцами
помню, что меня поразила никчемность и мелочность его заданий

вот с этой системой — те же ощущения
никому ненужные «вахтеры» идут в ИТ
У меня впечатления, что все упомянутые случаи были «раскрыты» не сколько системой, сколько живым человеком.
Просто не верится, что система сама мониторит вотсап (или где там переписка была), сама находит в справке дату и анализирует её (кто-то же когда-то должен был дать понять системе, что дата в подобном документе не может быть «из будущего»). Что система сопоставляет exif-метки, вникая в контекст внутреннего ПО для отчётности… Про скрытые камеры, ИМХО, вы вообще наврали.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий