Игорь Черненко (МВД) отвечает на вопросы об информационной безопасности предприятий
Дата: 12.05.2007Источник: It.Tut.By
Автор: Беседовала Оксана Яновская
Даже самый скромный офис уже невозможно представить без компьютера. Другое дело, насколько эффективно электронный помощник используется сотрудниками. Ведь не секрет: если один каждую минуту отдает служебным целям, то другой активно ведет личную переписку, а третий бродит в рабочее время по развлекательным сайтам.Но в любом случае контакт с умной машиной не должен навредить ни личным, ни корпоративным интересам. И тут уже, как свидетельствует редакционная почта, связанная с вопросами информационной безопасности, без профессионального комментария не обойтись.
Начальник управления по раскрытию преступлений в сфере высоких технологий МВД Беларуси полковник милиции Игорь ЧЕРНЕНКО любезно согласился ответить нашим читателям и дать практические советы руководителям предприятий.
У нашей фирмы нет своего сайта в Интернете, поэтому всю деловую переписку мы ведем с личных почтовых ящиков. То есть утром открываем почту и лишь к исходу дня сворачиваем окно. Можно ли в это время заглянуть в мою «записную книжку» с другого компьютера? Так, в письме подруге я пожаловалась, что нам не дали премию по итогам года. И с той поры начальник высказывает мне претензии: разгласила, мол, коммерческую тайну, даже обещает подать в суд. А могу ли я подать встречное заявление на том основании, что без моего ведома посмотрели личную переписку?
Татьяна Ф., менеджер по продажам
— Доступ к вашей переписке с другого компьютера в данном случае открыт. А вот можно ли за это привлечь к ответственности руководителя — большой вопрос. Все документы, находящиеся в служебном компьютере, работодатель имеет право контролировать. Грамотные наниматели под роспись предупреждают своих работников. Поэтому личные почтовые ящики не следует использовать в служебных целях. Если уж фирма не имеет корпоративной почты, то надо хотя бы на бесплатном почтовом сервисе завести ящик для служебной переписки. В этом случае коллеги должны знать пароль, чтобы в любом случае обеспечить доступ к почте.
Что касается коммерческой тайны, то руководство каждой фирмы самостоятельно определяет ее содержание. Это очень индивидуально: в одной фирме самый большой секрет — ее деловые партнеры. В другой — наоборот, рекламные буклеты гордо сообщают о сотрудничестве с известными предприятиями. Поэтому работники, опять же под роспись, должны быть ознакомлены с перечнем вопросов, составляющих коммерческую тайну.
На моей прежней работе каждый специалист по сбыту отвечал за свой регион и бессмысленно было «красть» клиентов. В новой фирме другие принципы формирования клиентской базы, поэтому на компьютерах у коллег есть пароль. Системный администратор утверждает, что он должен знать этот пароль. Какой тогда смысл в защите информации, если он — муж одной работницы, брат второй и в любую минуту может узнать содержимое моего компьютера?
Сергей А., г. Молодечно
— Системный администратор обязан знать пароли всех пользователей для организации надежной работы компьютерной системы. И тут, конечно, нельзя исключать родственные отношения, которые могут перевесить профессиональную порядочность. Сергею можно порекомендовать написать заявление на имя руководителя фирмы с просьбой установить на свои документы программу шифрования. Она не повлияет на работу компьютерной системы, но устанавливать ее можно только с разрешения руководителя.
Кстати, работник должен понимать: при увольнении он обязан расшифровать всю клиентскую базу данных и передать ее нанимателю, поскольку она является собственностью фирмы. В нашей же практике чаще бывают случаи, когда работник, поссорившись с нанимателем или при увольнении, удаляет базу данных и другие корпоративные документы. За это Уголовным кодексом предусмотрено наказание в виде штрафа, исправительных работ и лишения права занимать должности, связанные с определенной деятельностью.
Игорь Товиевич, а если представить иную ситуацию: работник приходит на фирму со своей базой данных, а у него требуют передать ее в общее пользование. Как быть?
— Допустим, базу данных создал индивидуальный предприниматель. Если он решил наняться на работу в какую-то организацию, то все нюансы ее использования он должен оговорить в контракте с нанимателем.
Однако чаще всего базу данных копируют на старом месте работы и потом выдают за личное достижение. Если прежний работодатель предъявит претензии, то Уголовный кодекс квалифицирует такие действия ловкача как неправомерное завладение компьютерной информацией.
Как могло случиться, что при уточнении счета за пользование Интернетом выяснилось, что им пользовались и в выходные дни? Это исключено — офис не снимался с охраны.
Адам С., директор ОДО
— Вовсе не исключено. Если линия выделенная, то достаточно не выключить в офисе один компьютер, чтобы ушлый работник со своей домашней машины подключился к корпоративной системе через удаленный доступ. Если же выход в Интернет осуществляется через модем, то вороватому работнику достаточно знать корпоративный пароль, чтобы «на халяву» бродить в виртуальном мире. К слову, это довольно распространенное преступление и раскрывается на 100%, если, конечно, руководители заявляют в милицию.
Есть ли простой способ контроля времени использования Интернета — по делу и для себя? Для дела я бы выделил работникам лимит, иначе опасаюсь, что полдня будут тратить впустую.
Валентин Ф., г. Гродно
— Современному руководителю необходимо изучить хотя бы азы компьютерной грамотности и нанять на работу системного администратора. Роль сисадминов у нас недооценивают, считая, что это человек, который должен лишь помочь «чайнику» перезагрузить компьютер. На самом деле сисадмин является хозяином компьютерной системы, хранителем всей информации, а посему и правой рукой руководителя. Проверить, какие сайты посещал пользователь, что читал, скачивал, — не проблема для специалиста. Можно запретить доступ на развлекательные сайты, просмотр фильмов и даже удалить стандартные игры. А есть фирмы, в которых с 13 до 14 работникам позволено использовать компьютер для отдыха либо виртуального шопинга, зато в остальное время даже прогноз погоды не увидишь.
Игорь Товиевич, что бы вы хотели добавить к вопросам читателей?
— Меня беспокоит состояние информационной безопасности на многих предприятиях, где она сведена к нулю. Речь, конечно, не о сплетнях в чатах, а об экономической информации. Ее воруют, а руководители не спешат обращаться в милицию. Они, понятно, бояться огласки, ущерба для деловой репутации. Такие опасения напрасны, потому что мы никогда не называем предприятия, на которых, скажем, взломали сайты. Многих останавливает наличие «черной бухгалтерии». Но задача нашего управления — поиск компьютерных разбойников. А с двойным учетом раньше или позже разберутся коллеги из других управлений и без нашей подсказки.
Руководители жалеют денег на обеспечение безопасности и оплату работы системных администраторов. А чаще всего приглашают их со стороны для оказания разовых услуг. Так им кажется дешевле. Но лишь до той поры, пока человек не начинает использовать доступ к коммерческим секретам фирмы в своих корыстных целях.
Экономия на лицензионных программах в ближайшее время дорого обойдется: уже начались проверки использования контрафактного компьютерного обеспечения. И потом, надо помнить, что десятки вирусов на диске, купленном на рынке за пять тысяч рублей, могут запросто вывести из строя всю компьютерную систему.
Сегодня каждая уважающая себя фирма имеет собственный сайт. Его надо размещать исключительно на белорусском хостере. Почему? Если физически сайт находится в Африке, а взломал его минский хакер, то преступление все равно считается совершенным в Африке. Вероятнее всего, мы найдем этого хакера, но не сможем привлечь его к ответственности, потому что в Африке его «шалости» не считаются преступлением. Поэтому копеечная экономия на оплате хостинга может обернуться большими убытками.
И напоследок еще раз повторю: если компьютерную систему атаковали хакеры или недобросовестные работники похитили информацию — немедленно обращайтесь в милицию. Не пытайтесь восстановить систему самостоятельно либо с помощью народных умельцев. Киберпреступления, как и любые другие, легче раскрывать по горячим следам и пока не «натоптали» посторонние.
| Добавить комментарий |
| 2007-06-22 03:37:06 - Администратор НЕ обязан знать все пароли... Кавун Сергей |
| Всего 1 комментариев |
