/

Игорь Бедеров. «Деятельность службы безопасности должна протекать строго в рамках законности»

Игорь Бедеров - Деятельность службы безопасности должна протекать строго в рамках законности

Игорь Бедеров

Основатель и владелец агентства деловой разведки «Интернет-розыск»

Игорь Бедеров. «Деятельность службы безопасности должна протекать строго в рамках законности»

download PDF
26 марта 2020, 19:20    377

Сегодня службы безопасности компаний имеют техническую возможность прослушивать не только рабочие, но и личные телефоны сотрудников, читать переписки мессенджеров, получать доступ к камере и местоположению. О том, как данная деятельность регулируется законодательством, какими способами и при каких обстоятельствах службы безопасности могут собирать данные о сотрудниках, специально для журнала RUБЕЖ рассказал основатель и владелец агентства деловой разведки «Интернет-розыск» Игорь Бедеров.  

RUБЕЖ: Какие телефоны может – на техническом уровне - прослушивать служба безопасности компании?    

Игорь Бедеров: Технически любые. Могут различаться методы и способы этого прослушивания для конкретных моделей, операционных систем и операторов связи. Современные технологии позволяют делать многое.

Другое дело, далеко не все службы безопасности умеют с ними работать. Тем более, не все компании хотят создавать инфраструктуру для такой работы, вкладываться в нее. 

Повторяется история 140-летней давности, когда Альфонс Бертильон годами не мог получить поддержку своей инновационной системы криминалистической идентификации. Она была очень нужна, но никто не хотел ничего делать.    

Статичность людей, которым нужны те или иные инновации, зашкаливает. Все можно слушать, читать, заходить в ПЗУ (постоянное запоминающее устройство) смартфона, включать удаленно камеру или микрофон, отслеживать перемещения, но для этого надо предварительно создать соответствующую инфраструктуру.  

Кто-то из философов сказал, что человечество – это самое большое противоречие между «есть» и «может быть». Пожалуй, этой фразой можно описать сегодняшнее положение дел.  

R: Какие мессенджеры и при каких обстоятельствах может читать служба безопасности? Только из браузера или с мобильного телефона тоже?  

И.Б.: Если мы говорим о деятельности службы безопасности, которая должна протекать строго в рамках законности, то получать данные переписки пользователей они могут несколькими путями.     Первый путь заключается в создании на предприятии своего собственного виртуального оператора связи. В этом случае вся инфраструктура и контроль над ней оказываются в руках собственника и его службы безопасности. Биллинг, детализация, прослушивание соединений, контроль трафика – все это будет доступно. В рамках закона, разумеется.

Второй путь заключается в создании корпоративного приложения. Когда пользователи установят себе на смартфон такое приложение, оно получит широкий доступ к устройству: к телефонной книжке, совершению звонков, фотокамере, микрофону, местоположению, ПЗУ и карте памяти. Широкие возможности для корпоративного шпионажа.    

Третий путь – это контроль интернет-трафика на территории предприятия. Делается он посредством установки в корпоративной сети средств контроля и расшифровки Интернет-соединений (DLP-систем).

Современные DLP умеют автоматически выявлять утечки конфиденциальной информации по заданным критериям внутри сети, а также отслеживать действия пользователей: прочитывать сообщения мессенджеров, электронной почты и соцсетей, которые проходят через корпоративную сеть.  

R: Какие гаджеты позволяют быстрее всего установить внешний контроль за пользователем – служебные телефоны или личные тоже?  

И.Б.: Уязвимы все гаджеты. Для того чтобы изготовить смартфон, который невозможно прослушать, придется постараться. Придется поставить на него альтернативную операционную систему и приложения, которые не отслеживают вашу активность. Также потребуется установить автоматическую смену IMEI, MAC и IP-адресов после каждого соединения. Придется поставить на смартфон специальное программное обеспечение, которое будет выявлять удаленное включение микрофона или камеры, подключение к фемтосоте, отключение шифрации в сети GSM, постороннего трафика. Наконец, все звонки нужно будет осуществлять посредством зашифрованной SIP-телефонии.  

R: Чем ограничено использование такой информации службой безопасности против сотрудника? Что на этот счет говорит законодательство?  

 И.Б.: Любое из этих действий, кроме использования DLP, может подразумевать под собой нарушение конституционных прав и свобод человека и гражданина. Наказание за это самое суровое. Впрочем, если не говорить о некоторых недокументированных возможностях вашего корпоративного приложения, то о нем и не узнают. Инструменты отслеживания такой активности за частным бизнесом в стране отсутствуют.  

 R: Как регламентированы действия служб безопасности по использованию информации, полученной путем прослушивания разговоров сотрудника по мобильному телефону, через скрытые микрофоны в офисе?  

И.Б.: Неприкосновенность частной жизни установлена в статье 150 ГК РФ.  

Любой пострадавший гражданин может обратиться в суд с требованием о признании факта нарушения его личного неимущественного права и опубликовании решения суда.

Право на неприкосновенность частной жизни можно защищать также путем пресечения или запрещения действий, нарушающих или создающих угрозу нарушения этого права. Помимо гражданско-правовой ответственности за вторжение в частную жизнь, существует еще и уголовная ответственность.

Согласно статье 137 УК РФ, незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия, либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ, карается штрафом в размере до 200 тыс. рублей либо обязательными, исправительными или принудительными работами, либо арестом (на срок до четырех месяцев) или лишением свободы (на срок до двух лет).  

Еще серьезнее наказание за те же деяния, совершенные с использованием служебного положения.  

Учитывая, что за одно деяние могут быть наложены меры ответственности различного характера, одно и то же нарушение может повлечь и возбуждение уголовного дела по ст. 137 УК РФ «Нарушение неприкосновенности частной жизни», и применение гражданско-правовой ответственности.  Служба безопасности каждой компании самостоятельно определяет степень своей ответственности перед законом.  

R: Отдельная тема для корпоративной паранойи – телефоны со служебными «симками». Какой уровень проникновения возможен в них – прослушивание голосовых звонков по телефону, по мессенджерам или только детализация звонков по выписке от мобильного оператора?  

И.Б.: Служебная SIM-карта дает работодателю только то, за что он заплатил. По умолчанию, это полная детализация всех сотовых соединений. Дополнительно можно заказать и получить отслеживание перемещений сотрудников с привязкой к базовым станциям.  

Легальный контроль мессенджинга при помощи служебной SIM-карты невозможен. Корпоративные SIM-карты, оформленные на юридическое лицо – это риск для компании со стороны киберпреступников.

Чтобы перевыпустить такую SIM-мкарту и, как следствие, завладеть подключением ко всем онлайн-сервисам (соцсети, мессенджеры, почты, банк) достаточно подделать доверенность от предприятия за подписью и печатью организации. Для опытного киберзлодея – раз плюнуть. Именно поэтому многие мессенджеры перестали выгружать архив сообщений при перевыпуске симкарты, а другие онлайн-сервисы рекомендуют перейти от двухфакторной идентификации через СМС к идентифкации, основанной на генерации индивидуального кода.

Вы должны авторизоваться, чтобы написать комментарий


    Yandex.Дзен

    Подписывайтесь на канал ru-bezh.ru
    в Яндекс.Дзен


    RUБЕЖ в facebook RUБЕЖ в vk RUБЕЖ в twitter RUБЕЖ на youtube RUБЕЖ в google+ RUБЕЖ в instagram RUБЕЖ-RSS

    Контакты

    Адрес: 121471, г. Москва, Фрунзенская набережная, д. 50, пом. IIIа, комн.1

    Тел./ф.: , +7 (495) 539-30-20

    Время работы:

    E-mail: info@ru-bezh.ru

    E-mail: help@ru-bezh.ru - по техническим вопросам

    Для рекламодателей

    E-mail: reklama@ru-bezh.ru

    тел.: +7 (495) 539-30-20 (доб. 105)

    total time: 1,0838 s
    queries: 214 (0,3749 s)
    memory: 8 192 kb
    source: database
    Выделите опечатку и нажмите Ctrl + Enter, чтобы отправить сообщение.