По данным отчета Verizon DBIR, в 2019 году количество инцидентов, связанных с утечкой информации по вине внутренних нарушителей, достигло 34% от общего числа инцидентов. При этом, по разным оценкам, в 2018-209 годах от 10% до 40% нелегально заимствованной информации было опубликовано в виде фотографий экрана компьютера, сделанных на мобильный телефон. Исследователь в области ситуационной безопасности Дмитрий Борощук рассказал журналу RUБЕЖ о том, как могут службы безопасности компаний контролировать пользователей мобильных устройств.
— Возможно ли чтение мессенджеров мобильных устройств службой безопасности службой безопасности? И как это может быть реализовано технически?
— Да, возможно. В зависимости от мессенджера и используемого ПО компании, такая возможность реализуется несколькими способами. Первый. Через используемые в компании SIEM-системы (Security Information and Event Management – прим. ред.), предназначенные за контролем сотрудников в корпоративной сети.
Когда на каждой машине устанавливается программа-агент собирающая данные о действиях пользователей.
Второй способ – через сам корпоративный мессенджер, который может быть защищен от атак «из вне» но предоставлять полную информацию о переписках руководству или сотрудникам собственной службы безопасности.
Еще один способ мониторинга — через специально модифицируемые смартфоны, выданные компанией своим сотрудникам.
Это вполне легальные способы, направленные на контроль работы сотрудников. Обычно, такие методы упоминаются в трудовом договоре. Ну и конечно есть условные «хакерские» методы разного типа.
— Есть примеры таких хакерских методов?
— Ну, например скрытая установка RAT (Remote Administration Tools- средство для удаленного управления) в виде письма или вложения, обращение к услугам информационных продавцов в DarkNet, продающих информацию от операторов связи и тп.
- Какие мессенджеры могут быть прочитаны? Это касается браузерных версий на корпоративных компьютерах, телефонов с корпоративными SIM-картами? Или личных телефонов тоже?
- При установке на корпоративные компьютеры и смартфоны агентов SIEM-систем может быть прочитан практически любой из распространённых (WhatsApp/Telegram/Slack).
Браузерная версия тут просто открывает еще один канал наблюдения, помимо мобильной. Корпоративная «симка» дает лишь понимание того кому/когда звонил сотрудник или получал/отправлял sms. Местоположение абонента по базовым станциям (с погрешностью от 3 до 50 метров), история посещения сайтов (кстати, не особенно часто используется сейчас службами безопасности). Делается это при помощи корпоративных сервисов мобильных операторов.
— Если у сотрудника его личный гаджет, в котором вставлена корпоративная SIM-карта. В этом случае возможно чтение переписке в мессенджерах с его мобильного устройства?
— Если аккаунт сделан на эту SIM-карту, то новый владелец (а SIM-карта как идентификатор, принадлежит всё-таки компании-работодателю), может потом восстановить весь архив сообщений. Оперативно отслеживать сообщения в мессенджерах на номере со служебной SIM-карты также можно, в зависимости от мессенджера и его возможностей.
— С помощью каких софтверных продуктов возможно такое отслеживание мессенджеров сотрудника?
— Вариантов на рынке достаточно много: от корпоративных интеграционных решений до небольших сервисов контроля за мобильными телефонами.
Из корпоративных решений можно выделить следующие.
STUFFCOP – отечественное очень недорогое, но функциональное решение контроля за сотрудниками.
MaxPatrol — тоже российский продукт с достаточно гибкими настройками.
Splunk – один из популярнейших глобальных игроков на этом рынке, используемый, например, в Яндексе. Ну и решения-киты типа IBM Qradar, RSA NetWitness, ArcSight и тп. Из бесплатных и опенсорсных решений можно вспомнить AlienVault.
— Как сотрудник может проверить, находится ли его мобильный гаджет под контролем корпоративной службы безопасности?
— По наличию определенных служб, сервисов и работающих программ на компьютере или смартфоне.
— Есть ли у сотрудника способы противодействия такому скрытому чтению его мессенджеров?
- Тут надо понять для чего противодействовать. Если это корпоративное оборудование и корпоративные контакты, то компания имеет полное право контролировать подобные процессы. И как я уже говорил, такая возможность прописывается в трудовом договоре.
Для тех, кто четко разделяет частную жизнь и работу совет простой: пользоваться собственным оборудованием и смартфонами (и SIM-картами) и не пользоваться корпоративными сетями.
Тогда юридически к сотруднику не будет никаких претензий.
— Чем сотруднику грозит доступ службы безопасности к переписке сотрудников в мессенджерах — юридически, фактически? И чем ограничены компании в отношении применимости таких инструментов?
— Фактически угроза такая же, как при любой утечке информации. И соответственно, зависит от контекста передаваемой/перехваченной информации. Угроза юридического характера для сотрудника – доказательство его действий в случае чего-то противоправного.
Угрозы юридической для компании нет никакой, если она делает все в правовом поле – то есть контролирует свое оборудование, программное обеспечение, каналы связи и не пытается контролировать личные телефоны, ноутбуки сотрудников.
Хотя известны прецеденты, когда компания просит установить свое ПО в случае если работник использует собственное оборудование – обычно такие моменты прописываются в дополнительном соглашении к трудовому договору и соглашении о соблюдении корпоративных правил компании относительно информационной безопасности, где сотрудник должен фактически подтвердить, что согласен на отслеживание своих действий.
По поводу ограничений для служб безопасности – пока все происходит на базе собственности компании и с письменного разрешения наблюдаемого сотрудника, юридически никаких проблем. Как только служба безопасности начинает следить за сотрудником вне компании или ее информационных систем, сразу же эти действия подпадают под определение ОРМ (оперативно- розыскных мероприятий), которыми, как правило, они не имеют права заниматься. В таком случае им можно вменить весь набор из частей 138-й статьи УК РФ.
Как резюме: все что делается на оборудовании компании и в ее сетях, может контролировать сама компания, согласия на это от сотрудника не надо, необходимо только уведомление. Если сотрудник использует свое оборудование – то необходимо его согласие и уведомление о возможном контроле рабочих процессов. Также и сотрудникам важно помнить, что если они используют корпоративную SIM-карту, то de uro не могут использовать ее для личных целей.