Мобильный контроль за сотрудником - границы дозволенного

По данным отчета Verizon DBIR, в 2019 году  количество инцидентов, связанных с утечкой информации по вине внутренних нарушителей, достигло 34% от общего числа инцидентов. При этом, по разным оценкам, в 2018-209 годах от 10% до 40%  нелегально заимствованной информации было опубликовано в виде фотографий экрана компьютера, сделанных на мобильный телефон. Исследователь в области ситуационной безопасности Дмитрий Борощук рассказал журналу RUБЕЖ о том, как могут службы безопасности компаний контролировать пользователей мобильных устройств.

— Возможно ли чтение мессенджеров мобильных устройств службой безопасности службой безопасности? И как это может быть реализовано технически?

— Да, возможно. В зависимости от мессенджера и используемого ПО компании, такая возможность реализуется несколькими способами. Первый. Через используемые в компании SIEM-системы (Security Information and Event Management – прим. ред.), предназначенные за контролем сотрудников в корпоративной сети.

Когда на каждой машине устанавливается программа-агент собирающая данные о действиях пользователей.

Второй способ – через сам корпоративный мессенджер, который может быть защищен от атак «из вне» но предоставлять полную информацию о переписках руководству или сотрудникам собственной службы безопасности.

Еще один способ мониторинга — через специально модифицируемые смартфоны, выданные компанией своим сотрудникам.

Это вполне легальные способы, направленные на контроль работы сотрудников. Обычно, такие методы упоминаются в трудовом договоре. Ну и конечно есть условные «хакерские» методы разного типа.

— Есть примеры таких хакерских методов?  

— Ну, например скрытая установка RAT (Remote Administration Tools- средство для удаленного управления) в виде письма или вложения, обращение к услугам информационных продавцов в DarkNet, продающих информацию от операторов связи и тп.

 - Какие мессенджеры могут быть прочитаны? Это касается браузерных версий на корпоративных компьютерах, телефонов с корпоративными SIM-картами? Или личных телефонов тоже?

 - При установке на корпоративные компьютеры и смартфоны агентов SIEM-систем может быть прочитан практически любой из распространённых (WhatsApp/Telegram/Slack).

Браузерная версия тут просто открывает еще один канал наблюдения, помимо мобильной. Корпоративная «симка» дает лишь понимание того кому/когда звонил сотрудник или получал/отправлял  sms. Местоположение абонента по базовым станциям (с погрешностью от 3 до 50 метров), история посещения сайтов (кстати, не особенно часто используется сейчас службами безопасности).  Делается это при помощи корпоративных сервисов мобильных операторов.

— Если у сотрудника его личный гаджет, в котором вставлена корпоративная SIM-карта. В этом случае возможно чтение переписке в мессенджерах с его мобильного устройства?

— Если аккаунт сделан на эту SIM-карту, то новый владелец (а SIM-карта как идентификатор, принадлежит всё-таки компании-работодателю), может потом восстановить весь архив сообщений. Оперативно отслеживать сообщения в мессенджерах на номере со служебной SIM-карты также можно, в зависимости от мессенджера и его возможностей.

— С помощью каких софтверных продуктов возможно такое отслеживание мессенджеров сотрудника?

— Вариантов на рынке достаточно много: от корпоративных интеграционных решений до небольших сервисов контроля за мобильными телефонами.

Из корпоративных решений можно выделить следующие.

STUFFCOP – отечественное очень недорогое, но функциональное решение контроля за сотрудниками.

 MaxPatrol — тоже российский продукт с достаточно гибкими настройками.

Splunk – один из популярнейших глобальных игроков на этом рынке, используемый, например, в Яндексе. Ну и решения-киты типа IBM Qradar, RSA NetWitness, ArcSight и тп. Из бесплатных и опенсорсных решений можно вспомнить AlienVault.

— Как сотрудник может проверить, находится ли его мобильный гаджет под контролем корпоративной службы безопасности?

— По наличию определенных служб, сервисов и работающих программ на компьютере или смартфоне.

— Есть ли у сотрудника способы противодействия такому скрытому чтению его мессенджеров?

 - Тут надо понять для чего противодействовать. Если это корпоративное оборудование и корпоративные контакты, то компания имеет полное право контролировать подобные процессы. И как я уже говорил, такая возможность прописывается в трудовом договоре.

Для тех, кто четко разделяет частную жизнь и работу совет простой: пользоваться собственным оборудованием и смартфонами (и SIM-картами) и не пользоваться корпоративными сетями.

Тогда юридически к сотруднику не будет никаких претензий.

— Чем сотруднику грозит доступ службы безопасности к переписке сотрудников в мессенджерах — юридически, фактически?  И чем ограничены компании в отношении применимости таких инструментов?

—  Фактически угроза такая же, как при любой утечке информации. И соответственно, зависит от контекста передаваемой/перехваченной информации. Угроза юридического характера для сотрудника – доказательство его действий в случае чего-то противоправного.

Угрозы юридической для компании нет никакой, если она делает все в правовом поле – то есть контролирует свое оборудование, программное обеспечение, каналы связи и не пытается контролировать личные телефоны, ноутбуки сотрудников.

Хотя известны прецеденты, когда компания просит установить свое ПО в случае если работник использует собственное оборудование – обычно такие моменты прописываются в дополнительном соглашении к трудовому договору и соглашении о соблюдении корпоративных правил компании относительно информационной безопасности, где сотрудник должен фактически подтвердить, что согласен на отслеживание своих действий.

По поводу ограничений для служб безопасности – пока все происходит на базе собственности компании и с письменного разрешения наблюдаемого сотрудника, юридически никаких проблем. Как только служба безопасности начинает следить за сотрудником вне компании или ее информационных систем, сразу же эти действия подпадают под определение ОРМ (оперативно- розыскных мероприятий), которыми, как правило, они не имеют права заниматься. В таком случае им можно вменить весь набор из  частей 138-й статьи УК РФ.

Как резюме: все что делается на оборудовании компании и в ее сетях, может контролировать сама компания, согласия на это от сотрудника не надо, необходимо только уведомление. Если сотрудник использует свое оборудование – то необходимо его согласие и уведомление о возможном контроле рабочих процессов. Также и сотрудникам важно помнить, что если они используют корпоративную SIM-карту, то de uro не могут использовать ее для личных целей.