Страсти по прослушке: информационная безопасность или нарушение личной тайны

Наталья Касперская
Фото Артёма Голощапова для Forbes

В середине мая в российских СМИ развернулась горячая дискуссия о находящемся в процессе разработки продукте компании InfoWatch для мониторинга устройств корпоративной мобильной связи. Журналисты, юристы, эксперты и, конечно, правозащитники рассуждали, как правило, о том, чем грозит обществу внедрение подобного решения, и каково соответствие проекта требованиям национального законодательства. Реально существующие проблемы бизнеса в сфере защиты корпоративной информации, его интересы и нужды, которыми собственно и вызвана наша технологическая инициатива, участников дискуссии не интересовали и в основном остались за ее пределами. В этой связи я решила поделиться на страницах Forbes своими мыслями по наиболее принципиальным моментам, оказавшимся в центре полемики или оставшимся за ее пределами.

Прослушка или мониторинг?

В общих чертах попробую объяснить, как будет работать обсуждаемое решение, разработка которого, кстати, еще не завершена. Мы пока выпустили прототип, впереди — этапы интеграции технологий анализа текста и речи, апробация на «железе» и тестирование. Решение является аппаратно-программным комплексом. Аппаратная часть решения представляет собой виртуальную соту GSM связи, способную перехватывать голосовой трафик с мобильных телефонов в зоне ее действия. Предполагается, что заказчик получит возможность мониторить голосовой трафик с тех корпоративных SIM-карт, которые сотрудник службы безопасности компании внесет в созданный в устройстве контролируемый список. Далее обезличенная голосовая информация поступит на сервер, где технология  распознавания речи трансформирует ее в текст, который уже будет подвернут анализу стандартными DLP-технологиями InfoWatch на предмет содержания терминов и словосочетаний из принятого в компании перечня признаков конфиденциальной информации. В случае выявления таких признаков, фрагмент будет направляться для индивидуального анализа уполномоченному специалисту, который уже примет решение о статусе самого текста как возможной угрозы информационной безопасности (ИБ) и, при необходимости, об идентификации автора. В отличие от цифрового DLP, данный комплекс не сможет блокировать нежелательную беседу на лету, но позволит делать довольно быстрый анализ постфактум.

Замечу, что устройство не предполагается к использованию для анализа частных коммуникаций. Для этого давно существуют устройства, которые позволяют спокойно прослушивать граждан. Правда, они находятся либо в ведении спецслужб, либо преступников.

Корпорации до сегодняшнего момента не имеют легитимной возможности анализировать голосовой трафик своего предприятия.

Настолько ли зол «злой» бизнес?

Много разного было сказано в СМИ и в Интернете по вопросу законности и этичности мониторинга работодателем переговоров сотрудников по корпоративным мобильным сетям. Нашлось ожидаемо много экспертов в данном вопросе, с повышенным радикализмом отстаивающих священную тайну переписки и телефонных переговоров граждан от покушений со стороны злых работодателей. Голосов в защиту другой стороны, того самого «злого бизнеса», как было отмечено выше, практически не было слышно. А напрасно.

Развитие информационно-коммуникационных технологий идет стремительно, заметно опережая развитие средств информзащиты, а потому риски в сфере ИБ растут для компаний также в геометрической прогрессии. Собственно, мы и занялись этим проектом по просьбе наших клиентов, которые упрекали нас в том, что в нашем флагманском продукте — DLP системе IW Traffic Monitor — вне рамок корпоративного контроля остаются GSM-каналы, по которым могут и наверняка идут утечки конфиденциальной информации. Хотим мы того или нет, но сама жизнь заставляет компании строить мощную плотину на пути возможных утечек. Я имею в виду, конечно, большой бизнес, где «утекшие» конфиденциальные сведения, клиентские базы, стратегические планы, информация по сделкам и новым продуктам, могут нанести гигантский ущерб и даже привести к банкротству организации.

Я уверена, что забота о защите корпоративной информации — не истерия, а проявление настоящей ответственности работодателя, в том числе, социальной.

У каждого из нас на слуху случаи, когда организованная чьей-то злой волей утечка сведений о вполне рутинных, не критичных проблемах в том или ином банке, приводила к паническому бегству вкладчиков и, зачастую, крушению банка, то есть страданиям тысяч людей.    

Так что мы намерены предлагать корпоративному клиенту нормальный инструмент информационной самозащиты. А малым и средним предприятиям подобное защитное устройство просто не нужно, как, например, не нужен космический скафандр для защиты глаз при резке лука.     

Понимая это, и сам бизнес, и государство поворачиваются лицом к проблемам комплексной защиты информации. Более того, уже приняты документы, например, рекомендации Центробанка по организации информационной безопасности банковской системы России, вступившие в силу 1 мая 2016 года, предлагающие банкам контролировать передачу информации по всем каналам. Речь там идет как об электронной почте, если она отсылается на внешние адреса, так и об аппаратах АТС и сотовой связи (включая телефоны, смартфоны и планшеты), копировании информации на внешние носители и так далее. Как видим, лед тронулся и обратно его точно не загнать.

Да и все мы, когда звоним в крупное банковское учреждение или другую большую компанию, уже не возмущаемся, когда привычно слышим предупреждение о записи разговора.

В Казахстане, нашем партнере по ЕАЭС, пошли по еще более жесткому пути – с апреля этого года госслужащим там вообще запрещено использование смартфонов и планшетов в рабочих помещениях.

Нарушение ли это прав человека в госмундире? В каком-то смысле – да. Но и служащий, в данном случае государственный, не просто человек, а еще и носитель функции, полномочия и ограничение личных прав которого определяет само государство как раз во имя защиты интересов всего общества.   

А может, мы зря беспокоимся и трафик по GSM-каналам настолько мал, что системы и службы ИБ могли бы им пренебречь? 

Это не так. Согласно свежему исследованию Cisco к 2020 году годовой объем мирового мобильного трафика с 44 экзабайт в 2015 году возрастет в 8 раз до 367 экзабайт. Чтобы понять, какая эта гора информации, напомню, что в 2006 году вся цифровая информация на нашей планете суммарно составляла около 160 экзабайт. При этом в России мобильный трафик данных в ближайшие пять лет будет расти в 2 раза быстрее, чем фиксированный трафик, и превысит по стране к 2020 году 20% от общего объема трафика. Понятно, что большая часть этого трафика – частные разговоры, но и корпоративные разговоры там тоже присутствуют. Так, что GSM-канал возможных утечек есть, он достаточно велик, востребован и поток передаваемых по нему сведений непрерывно растет.  

Право на тайну

Как же с конституционным правом на тайну переговоров? Вне сомнения прослушивание чьих-то переговоров – прерогатива спецслужб и может осуществляться только по решению суда. Хотя, как мы уже знаем, в банковских и многих других крупных учреждениях и компаниях запись разговоров на корпоративных телефонных устройствах – общепринятая практика, этим институтам не предъявляют официальные обвинения в нарушении основного закона.

В этом смысле новый продукт InfoWatch не является средством прослушки в его традиционном понимании, поскольку мониторинг осуществляется автоматически, машиной, а не человеком. Кроме того, по советам юристов, полученные в результате тексты будут обезличены и привязаны не к человеку, а к некоей комбинации символов. И только если система выявит признаки наличия конфиденциальной информации в текстовых расшифровках телефонных переговоров, о событии будет извещен офицер информационной безопасности компании. Далее компания-клиент может применить стандартные процедуры расследования инцидента информационной безопасности и, в случае подтверждения этого факта, перейти к идентификации подозреваемого в нарушении.

При этом пользователи нашей системой должны будут заручиться письменным согласием сотрудников на мониторинг разговоров по корпоративному мобильному устройству. Конечно, до вывода конечного продукта на рынок InfoWatch планирует получить все необходимые сертификаты и лицензии соответствующих органов, в том числе о том, что разрабатываемое решение не является спецсредством, то есть может использоваться не только спецслужбами, но и частными компаниями.

Резюмируя, хотела бы отметить, что возникшее поначалу довольно эмоциональное обсуждение темы оказалось вполне благотворным. Обществу в этом дискуссионном вопросе стоит взвесить все существенные аргументы и договориться, как защищать законные интересы одной своей части при уважении подлинных прав другой.  Не сомневаюсь, что мы к этому обязательно придем.  

Побочный эффект

И еще один аспект, который нам стал очевиден совсем недавно. Самого конечного продукта, собственно, еще нет, а со стороны наших клиентов и партнеров уже идет поток запросов о том, нельзя ли применить технологию виртуальной соты и для решения других задач, не связанных с информационными утечками. Например, фиксировать  появление в контуре мониторинга аппаратов с SIM-картами из заранее определенного клиентом «черного списка», или включенных GSM-устройств, спрятанных в труднодоступных местах пассажирского либо грузового транспорта.

Образовательные учреждения интересуются возможностью применить систему для выявления спрятанных смартфонов при сдаче ЕГЭ и других экзаменов.

Думаю, это только начало. Скорее всего, мы еще многое узнаем о неизвестных возможностях создающейся системы информационной безопасности, которая имеет главной целью обеспечить полноценную защиту предприятия, а не охоту на человека и его частную жизнь.  

forbes.ru