Чтобы не было беды
Автор
Алексей Лукацкий
Общим должно стать правило: «думай, прежде чем что-то опубликовать или сделать в социальной сети»
Компания решает осуществить географическую экспансию, но не имеет для этого денег? Компания хочет быть «ближе к народу» и повысить лояльность своей целевой аудитории, но не желает приглашать всех к себе в офис? Компания намерена широко прорекламировать свои товары и услуги, но не располагает достаточным бюджетом? Компания стремится заявить о себе миру, не имеет ни штата, ни денег, ни помещений? Компания предполагает продемонстрировать свою квалификацию и экспертизу, но у нее нет доступа к отраслевым и специализированным изданиям? На все эти вопросы ответ один: используйте публичные социальные сети (блоги, Twitter, Facebook и т. п.).
Риски безопасности
Использование социальных сетей помимо явных преимуществ влечет за собой и риски, об управлении которых в контексте информационной безопасности я бы и хотел поговорить. Причем риски не только типичные для любого веб-сайта и уже неоднократно описанные, но и ряд новых, активно проявляющихся только в новом канале корпоративных коммуникаций — утечка информации, нарушение этических норм, нарушения прав на интеллектуальную собственность, разглашение сведений ограниченного доступа, снижение производительности, распространение вредоносных программ с скомпрометированного блога, потеря репутации, социальный инжиниринг и т. п.
Ситуация с безопасностью социальных сетей очень плачевна. По статистике компании Cisco:
• 21% пользователей принимают приглашения «дружбы» от незнакомых людей
• 64% пользователей не думая кликают по ссылкам, присылаемым «друзьями»
• 47% пользователей уже становились жертвами вредоносных программ
• 20% пользователей сталкивались с кражей идентификационных данных
• 55% пользователей были «подменены» с целью кражи персональных данных.
«Причем тут риски для рядовых пользователей социальных сетей и корпоративное их применение?» — спросите вы. Все просто. Очень часто пользователи применяют одни и те же пароли и для доступа к личным учетным записям в социальных сетях, и к корпоративным ресурсам. А это уже риск, которым надо управлять. Мало кто хочет, чтобы через взломанную учетную запись пользователя в Facebook произошло вторжение во внутреннюю сеть или от имени сотрудника компании в Twitter была опубликована новость о смене руководства компании или ее продаже.
Зачем и какая нужна формализация?
Раз у нас есть риски, то должна быть и политика управления ими. Причем речь идет не о самой простой из них, которая заключается в полном запрете социальных сетей. И даже не о той, которая хорошо иллюстрируется известной поговоркой «молчание — золото», то есть в социальных сетях ничего о компании и от имени компании писать нельзя, за исключением уполномоченных людей. Речь идет о полноценной политике применения социальных сетей в контексте информационной безопасности, которая определяет «правила игры» и четко отвечает на два вопроса: что можно и чего нельзя делать в социальных сетях. Кроме того, такая политика является неплохим инструментом повышения осведомленности пользователей в области современных веб-инструментов коммуникаций, которые так быстро ворвались в нашу жизнь, что мы просто не успели задуматься о том, что такое хорошо и что такое плохо.
С точки зрения числа документов, это может быть одна политика, две, три и даже четыре. Количество не так важно — фокус смещается на содержание, а не на форму. Описывая правила поведения в социальных сетях, следует акцентироваться не только на том, что нельзя, но и на том, что можно, чтобы для каждого из требований/положений провести четкую грань разрешенного и запрещенного поведения. Это как в области правил дорожного движения: есть знаки запрещающие, есть предупреждающие, есть предписывающие, а есть информационные.
Сколько бы ни не входило документов в политику безопасности при использовании социальных сетей, она должна состоять из трех блоков, построенных по принципу «от общего к частному»:
1. Общее отношение компании к социальным медиа. Что используется, а что нет? Для чего? Какие полномочия даны пользователям? Будет ли проводиться модерация контента и т. д.? Этот раздел не должен быть очень большим — достаточно по одному абзацу или предложению по каждому вопросу.
2. Что могут и что не могут сотрудники делать в онлайн-пространстве. При этом данный раздел должен включать не только требования, но и лучшие практики и советы, как вести себя в той или иной ситуации. Например, нелишним будет в очередной раз напомнить, что все, что опубликовано в Интернете, уже вряд ли может быть оттуда удалено. Поэтому надо взвешивать последствия любого своего действия в социальных сетях; и взвешивать ДО, а не ПОСЛЕ. В этот же раздел (или сослаться на отдельный документ) можно поместить рекомендации по настройке безопасности и приватности в популярных социальных сетях (Facebook, «Одноклассники», «ВКонтакте», Twitter, Blogger, «Живой Журнал», Instagram, YouTube и т. п.). При описании данного блога надо учитывать, что пользователь социальной сети может иметь как минимум две роли — частное лицо или сотрудник компании. Очевидно, что привилегии и рекомендации для них могут быть разными.
3. Что могут и что не могут на социальных ресурсах публиковать сотрудники, в которых им разрешено участвовать, от имени компании. Очевидно, что вряд ли работодатель будет рад, если его сотрудники на ресурсах, ассоциированных с компанией, будут поливать грязью действующую власть или выкладывать контент, нарушающий чью-то интеллектуальную собственность (да и от своего собственного имени это не очень-то приветствуется). В последнее время нередки стали инциденты, когда оплошность или неосторожность в публикации приводила к увольнению человека.
Обязательно в политике должен быть раздел о том, кто отвечает за ее реализацию и с какой частотой ее надо пересматривать. В отличие от парольной политики, не меняющейся годами, работа в социальной сети претерпевает изменения достаточно часто. Кто должен быть владельцем данной политики? Вопрос не простой, поскольку работа в социальной сети затрагивает интересы разных подразделений — PR, маркетинга, HR, юридического, ИТ, безопасности, работу с клиентами и т. д. Например, у нас в компании, это не единый документ, и поэтому за них отвечают разные департаменты — в первую очередь маркетинг (а точнее специальная группа по социальным сетям) и служба безопасности.
Что включить в политику?
Службе ИБ или ИТ не стоит брать на себя всю тяжесть ответственности за данное направление целиком, но свое слово она должна сказать и внести свою лепту в формируемый документ (а также отслеживать его изменения и предлагать их по необходимости). Какие разделы данной политики могут принадлежать перу безопасников?
Использование определенных платформ Social Media. Например, работникам разрешен доступ к Facebook, LinkedIn и Twitter, но запрещен к «Одноклассникам» и «ВКонтакте». Это может быть как глобальное правило «для всех», так и гибкая политика доступа для разных групп пользователей, затем реализуемая на межсетевом экране следующего поколения (Next Generation Firewall) или системе контроля доступа в Интернет (Web Security Appliance). Причем можно ограничивать доступ не только к сайту целиком, но и к отдельным его разделам или микроприложениям, которые в нем используются, а также применять иные гибкие настройки разграничения доступа.
Пароли и учетные записи. Хорошей практикой является включение в политику требования, чтобы пароли к учетным записям социальных сетей (кроме, быть может, корпоративных, если реализована единая система Identity Management) не совпадали с паролями, используемыми в корпоративной сети.
Время и цель доступа в социальные сети. Это вообще-то не функция ИБ, но уж слишком часто навешивают на безопасников контроль действий сотрудников в Интернете, контроль посещаемых сайтов, скачиваемых файлов и т. д. Если и у вас это так, тогда стоит зафиксировать соответствующие правила. Например, «использование социальных сетей в личных целях в рабочее время запрещено» или «использование социальных сетей в личных целях в рабочее время разрешено в течение 30 минут ежедневно с 9.30 до 10.00 утра и с 17.30 до 18.00 вечера». На межсетевом экране это правило также легко зафиксировать, если межсетевой экран оперирует в своих правилах не IP-адресами, а именами пользователей.
Контроль контента. Помимо ограничения на конкретные платформы или разделы социальной сети, политика компании может ограничивать доступ к материалам на определенную тему — от банальных порнографии, рекламы суицида и наркотиков до посещения социальных сетей для поиска работы (исключая сотрудников HR или службы безопасности) или страниц конкурентов на социальных сетях (кроме сотрудников отделов экономической безопасности или маркетинга). Реализовать такой запрет помогут упомянутые выше классы средств защиты. Поскольку социальная сеть подразумевает общение по принципу «один ко многим» или «многие к одному», то в отличие от переписки, где главенствует принцип «один к одному», контроль любого контента, размещаемого в социальных сетях от имени компании и с ресурсов, принадлежащих компании, никаких конституционных прав не нарушает (хотя и тут можно поспорить в отношении прав на невмешательство в личную жизнь). Поэтому в политике должно найти отражение правило, что любой контент может быть проверен сотрудниками с соответствующими привилегиями; обычно это служба безопасности, юристы и HR. Сюда же могут попасть правила, связанные с регистрацией действий и архивацией контента или с сотрудником, сидящим в социальных сетях. Правда, прописывая условие регистрации и архивации, будьте готовы реализовать его на практике, что не просто, поскольку требует немалых вычислительных ресурсов под данную задачу. Что же касается функции DLP для веб-контента, это также возможно сегодня в некоторых продуктах.
Вредоносный код и фишинг. Риски, связанные с открытием ссылок или запуском файлов от посторонних людей, достаточно высоки (цифры показаны выше). Понятно, что этого делать не надо, но лишний раз напомнить (желательно с примерами скриншотов) не помешает. Это для безопасников очевидно, а для рядовых пользователей ничего не стоит кликнуть на флеш-ролик с «котэ», который в скрытом режиме устанавливает трояна или крадет пароли доступа. Ну а дополнительную защиту обеспечат соответствующие средства нейтрализации вредоносного контента (банальные антивирусы, продвинутые средства класса Advanced Malware Protection или межсетевые экраны следующего поколения с соответствующим функционалом).
Интеллектуальная собственность. Запрет на нарушение прав на чужую интеллектуальную собственность очевиден, однако... его просто записать, но сложно контролировать на практике. По крайней мере по отношению к мультимедиаконтенту. Поэтому в некоторых случаях легче запретить выкладывание таких файлов или ввести их премодерацию. Технически данная задача может быть частично решена с помощью межсетевых экранов следующего поколения (NGFW) или систем контроля веб-контента.
Персональные данные. Также нелишне еще раз напомнить о правилах работы с персональными данными клиентов, партнеров и иных лиц, которые оставили свои ПДн в социальных сетях, контролируемых компанией. Это если говорить о сотрудниках. Если же у вас есть собственная социальная сеть, не забудьте опубликовать в ней политику работы с ПДн, выполнив тем самым требование ФЗ-152. Правда, не всегда понятно, как это сделать на чужих социальных ресурсах, на которых у вас всего лишь «страничка».
Спам. У нас на корпоративном блоге российского офиса Cisco нередко появляется спам в комментариях к заметкам. Бороться с ним можно разными методами, которые также должны найти отражение в политике работы с социальными сетями. Это и CAPTCHA, и запрет на публикацию комментариев анонимными пользователями, и использование специализированных движков для контроля спама и т. п., включая и ручной просмотр, если комментариев немного. В крупных компаниях выделены даже отдельные люди, следящие за активностью в социальных сетях.
Информационные войны. Это не редкость в интернет-пространстве, особенно в последнее время. Ждать от сотрудников, что они будут уметь «воевать», не следует. Но лишний раз напомнить им, чтобы они не ввязывались в такие войны (называемые «троллингом» в новое время или «флеймом» для адептов старой школы ФИДО) стоит. Также можно включить рекомендацию сообщать обо всех случаях публикации негатива о компании. Главное, четко определить границы между негативом и шуткой (что непросто). Этот тот случай, когда обычного требования недостаточно, необходимо чуть больше описания, примеров и т. д. Технически подобная задача тоже вполне реализуемая — либо с привлечением внешних сервисов, берущих на себя мониторинг репутационного фона вокруг компании или ее отдельных продуктов, либо с помощью специализированных инструментов мониторинга социальных сетей.
Ответственность пользователей за нарушения правил общей политики информационной безопасности. Не мешает лишний раз напомнить, что нет никакой разницы, как осуществлена кража и передача конфиденциальной информации — по e-mail, USB или через «Мой Круг» или Google+. Сюда же будет включен и перечень наказаний за нарушения, например, отлучение от Интернета или иные формы дисциплинарного воздействия, согласующиеся с Трудовым кодексом.
***
Не требует лишнего доказательства факт, что представленная выше политика должна быть не только написана, но и доведена до сведения всех сотрудников, для чего можно использовать разные способы — тренинги, в том числе и онлайн, хранители экрана, e-mail-рассылки и т. п. При этом положения политики должны найти отражение в конкретных технических и организационных мерах, реализация которых ляжет на ответственные подразделения, включая и службы ИТ и ИБ.
В заключение хочу отметить, что если бы меня спросили, как охарактеризовать политику безопасности в социальных сетях, то общим должно стать правило: «думай, прежде чем что-то опубликовать или сделать в социальной сети».
Опубликовано 21.03.2014
