Слежка за сотрудниками: где разумные границы?

3 октября 2019

«Внешние атаки стали причиной 35,5% утечек данных. В 64,5% случаев утечка данных произошла под воздействием внутреннего нарушителя», – бесстрастно сообщает InfoWatch в очередном аналитическом отчете. В зарубежных исследованиях фигурируют примерно такие же данные – 60% атак приходится на инсайдеров (IBM X-Force Research: 2016 Cyber Security Intelligence Index). Год можно и не указывать – цифра будет примерно та же или больше. Вот возьмем хоть далекий 1997 год – 87% атак на системы Министерства обороны США были произведены инсайдерами – «что охраняешь, то и имеешь», как говорил Жванецкий.
Поэтому логично, что рынок ИБ примерно наполовину состоит из средств противодействия внешним атакам и наполовину из разнообразных средств – будем называть вещи своими именами – слежки за сотрудниками.
Разумеется, меры контроля нужны, иначе наступит полный бардак. Но должна быть и граница, за которой разумный контроль превращается в тотальную слежку, имеющую весьма сомнительную эффективность. И прежде всего это вопрос этики. К сожалению, этика часто оказывается последним, о чем думают разработчики таких систем. Скорее даже наоборот: они нахваливают свои изделия с задором начинающего вуайериста, забывая тот факт, что нарушителей в коллективе единицы, а нормальных законобоязненных сотрудников большинство.

Давайте в качестве примера возьмем камеры на дорогах. До их появления ПДД игнорировали почти все. Когда «письма счастья» ощутимо ударили по карману, основная масса водителей вмиг вспомнила, чему их учили в автошколе. Да, в целом ездить стали «приличнее», но как это влияет на реальную безопасность на дорогах? Цифры не дают такой уверенности. Ведь все равно остались конченные отморозки, нарушающие правила чисто из удовольствия и/или по пьянке, на которых эта мера не действует – они-то и остаются причиной аварий.

К сожалению, 2018 год показал, что количество аварий и пострадавших в них по вине водителей ТС (из-за нарушения ПДД последними) возросло на 3.3%. При этом основная часть происшествий – более 119 тыс. – была совершена водителями легковых автомобилей, из которых находились в состоянии опьянения 12.483 человек, что, увы, также превышает аналогичный показатель за 2017 год на 1.4%. Причем число камер на дорогах за минувший год выросло на 20%.
– Вы видите эффект от камер? Я – нет.

Знание того, что за ним наблюдают, удерживает от мелких проступков обычного человека, но отнюдь не злостного нарушителя. Так водителю средней пугливости достаточно лишь строгого голоса навигатора «на пути камера», чтобы соблюдать скоростной режим, сами камеры можно и не ставить.
Это аналогично варианту открытого применения ИБ-системы – все знают о ее существовании и правилах контроля. Сразу после внедрения число инцидентов высоко, потом люди привыкают не нарушать правила – и количество срабатываний системы уменьшается. Как и на дороге: свежеустановленная камера активно выписывает штрафы, а потом водители начинают притормаживать заранее – ее экономическая эффективность падает. Повышается ли при этом безопасность или пользователи просто научаются обманывать систему – вопрос открытый.

С другой стороны, система слежки, используемая скрытно, позволяет ловить больше нарушителей – это хорошо знают инспекторы ДПС. Но такие фокусы вызывают особое негодование автолюбителей и профессионалов. Против скрытного контроля выступил даже наш президент – «камеры не должны прятаться в кустах» –сказал он. ГИБДД не могла игнорировать столь явный сигнал сверху и в июле провела «рассекречивание», опубликовав карту расположения всех камер.
Использование ИБ-системы для скрытного наблюдения за пользователями воспринимается ими столь же негативно, когда это становится известно. И более того: полезность рассекреченой системы падает.

Вот здесь-то и проходит этический Рубикон. С одной стороны, чтобы повысить эффективность выявления инцидентов, а лучше даже их предупреждения, ИБ нужно увеличивать объем слежки за сотрудниками, причем желательно, чтобы эта слежка была негласной.
С другой стороны, это вторжение в личное пространство человека, полное лишение его приватности – мера, в отношении 99% лояльных сотрудников явно избыточная. Рассуждения о том, что на работе никакой приватности нет и быть не может – чистая демагогия. Человек не перестает быть личностью, когда он входит в офис.
Знание, что за ними постоянно наблюдают становится для людей источником стресса и в итоге ведет к снижению продуктивности. То есть, тотальное наблюдение может дать обратный эффект, как с теми же камерами на дорогах.

Исследования, проведенные в городе Тампа во Флориде показали, что поле установки камер на перекрестках, фиксирующих проезд на красный свет, число аварий наоборот выросло в среднем на 40%.
Эксперты находят этому сразу несколько объяснений. Во-первых, камеры заставляют водителей нервничать, что не очень уместно на сложных перекрестках. Во-вторых, – и это более весомая причина аварий – водители, как и обычно, стремятся «проскочить» перекресток в последний момент. И лишь при виде камеры резко останавливаются.

Итак, давайте обсудим следующие вопросы:
•    Считаете ли вы, что было бы этично информировать сотрудников о правилах работы DLP и других систем наблюдения?
•    Если скрытая слежка за сотрудниками в принципе законна, но по сути неэтична – все равно будете применять?
•    Насколько «рассекречивание» системы скрытного наблюдения действительно снижает ее эффективность?
•    Имеет ли сотрудник право на приватность на рабочем месте или это все либеральные выдумки?
•    Стоит ли обращать внимание на уровень стресса сотрудников из-за усиленного наблюдения или можно этот фактор игнорировать?
•    Можно ли добиться высокого уровня безопасности иными методами, кроме тотальной слежки?

361