Пять шагов к безопасному электронному документообороту
Павел Шалагинов
С переводом документооборота в цифру компании начинают беспокоиться о кибербезопасности. Документы — главный источник ценной информации; а её утечки могут не только приводить к кратковременным финансовым потерям, но и наносить серьёзный удар по репутации и становиться причиной потери клиентов. При этом, согласно исследованию Positive Technologies, в 84% организаций выявлены уязвимости, которые с высоким уровнем вероятности могут привести к потере данных. Какие шаги необходимо предпринять бизнесу, чтобы сделать электронный документооборот максимально безопасным?
Шаг №1. Проверить возможности системы
На тему защиты документов полезно задуматься ещё на этапе выбора СЭД. Разработчики предлагают разные возможности для укрепления безопасности, например: поддержку электронной подписи и шифрования файлов или интеграцию с системами аутентификации — скажем, AD или LDAP. Однако ключевая возможность, которую должен предоставлять поставщик, — жёсткое разграничение доступа сотрудников к документам. В идеальной ситуации сотрудник может видеть только файлы, связанные с его деятельностью: менеджер по продажам — скрипты телефонных разговоров; маркетолог — шаблоны презентаций для заказчиков. Система проводит проверку, имеет ли право сотрудник работать с выбранным документом, и разрешает взаимодействовать с ним только по её итогам. Такая функция называется поддержкой ролевого доступа. Именно поддержка ролевого доступа делает СЭД безопасной и гибкой.
В целом в большинство проверенных современных платформ уже встроены стандартные средства, которые обеспечивают хотя бы минимальную защиту документов. А в некоторые — даже продвинутые инструменты, которые могут, например, определять наличие формальных и неформальных связей между коллегами и партнёрами. Такие системы способны выявлять угрозы безопасности по простой переписке — слишком длинной истории сообщений между, скажем, менеджером по продажам и специалистом отдела закупок. Но это более высокий уровень защиты; пока такие решения используются редко.
Развитие инструментов в области информационной безопасности становится логичным ответом поставщиков услуг на запросы клиентов, которые всё больше беспокоятся об информационной безопасности. Согласно исследованию Eset, руководители более половины российских компаний озабочены угрозой утечек данных сотрудников и клиентов.
Шаг №2. Выбрать специальные инструменты
Компания может использовать дополнительные технические меры по защите данных. Например, службы управления правами (Active Directory Rights Management Services), которые позволяют контролировать использование файлов. С помощью такого решения можно запретить печатать, изменять и отправлять документы пользователям, не авторизованным в локальной сети. Даже если сотрудник каким-либо образом сможет открыть карточку документа, система ещё раз проверит его права. Но здесь есть важный нюанс: решение применимо, только если в компании применяется инфраструктура Active Directory.
Ещё один вариант — использование DLP-систем (Data Leak Prevention). Это целый класс решений, направленных на предотвращение утечек конфиденциальной информации. Они строятся на анализе потоков данных, пересекающих периметр компании, и помогают полностью контролировать её информационную инфраструктуру: от пересылки пакетов по сети до размещения документов в папках и их отправки на печать или по электронной почте. DLP-системы распознают утечки информации двумя способами: при помощи анализа формальных признаков или анализа контента. Формальные признаки могут быть самыми разными: шрифты, специальные «насечки» и водяные знаки. Такие технологии помогают определить, через какого сотрудника и какое устройство была потеряна информация.
Также компания может использовать несколько СЭД в открытом или закрытом сегменте сети. Такой вариант подходит для документов с самой ценной для бизнеса информацией.
Шаг №3. Провести работу с сотрудниками
Согласно результатам исследования Info Watch, 79% утечек информации в российских организациях происходят по вине сотрудников. Поэтому один из ключевых шагов для защиты документов и содержащихся в них данных — разработка корпоративных правил и политик в области безопасности, то есть активная работа с сотрудниками.
Правила, например, могут касаться использования сертификатов электронной подписи. По требованиям работодателей доступ к ключу ЭЦП должен находиться только у самого сотрудника. Если возникают сомнения, его следует поменять. Кроме того, правила могут быть связаны и с процессом обмена документами с контрагентами. Например, служба безопасности может требовать, чтобы сотрудники отправляли только необходимые другой стороне документы, без связанных с ними дополнительных материалов. Или чтобы сотрудники взаимодействовали исключительно с партнёрами, которые запросили файл — не добавляя «лишних» получателей в копию.
Однако никакие из этих мер не гарантируют полную безопасность; многое остаётся на совести сотрудника. Если он захочет навредить компании, он сможет сфотографировать, переписать или просто запомнить информацию. Поэтому о безопасности лучше задуматься заранее, ещё на этапе найма. В этот момент работодатель может заключить с сотрудником соглашение о конфиденциальности. Это серьёзный правовой документ, который подготавливается как дополнительное соглашение к трудовому договору и может стать основанием для привлечения сотрудника к ответственности. Договор имеет свободную форму, но строгое содержание: в нём работодатель перечисляет, какая информация окажется доступна сотруднику. Со своей стороны сотрудник подтверждает, что будет обязан соблюдать режим неразглашения этой информации за пределами компании.
Соглашение о конфиденциальности также можно заключить с контрагентами. Однако здесь более распространённый вариант — соглашение о взаимодействии. В нём подробно описывается, какие каналы и способы связи используются для обмена документами между двумя организациями в электронном виде.
Шаг №4. Соблюдать общие правила
Человеческий фактор — основная, но не единственная причина утечек информации. Важную роль играет также инфраструктура: весь комплекс организационных и технических мер, который применяется в компании. Здесь вопрос защиты уже выходит за рамки работы с СЭД: ответственность за него несёт ИТ-служба совместно со службой безопасности.
Однако так как электронный документооборот — важная составляющая инфраструктуры, на него распространяются все традиционные правила безопасности. Например, использование защищённых протоколов обмена данными — https вместо http; защищённых каналов связи или VPN, шифрования, антивирусного ПО, а также брандмауэров и файрволлов. Это особенно актуально во время удалённой работы, когда сотрудники компании пользуются СЭД за пределами внутреннего контура.
Если компании необходима особая защита, она может использовать сегмент сети DMZ, или демилитаризованной зоны, в качестве буфера. В этом сегменте могут находиться сервисы, которые обслуживают обмен данными с операторами ЭДО или другими системами.
В целом ИТ-служба отвечает за безопасность всех корпоративных устройств, через которые пользователь получает доступ к документам. Но защита необходима, даже если пользователь работает с личного компьютера или смартфона — сейчас эта проблема встала особенно остро. В таких ситуациях чаще всего применяется технология виртуализации рабочих столов. И у компании должна быть единая политика в области безопасности доступа со всех внешних и внутренних устройств, которая поможет снизить вероятность взлома или случайной утечки.
Однако документы могут быть не только похищены. Ещё один вариант — потери в результате сбоев. Чтобы после инцидента не создавать с нуля огромные массивы информации, нужно заранее разработать планы восстановления систем, регулярно пересматривать их и проводить тренировочные мероприятия для тестирования планов. Для этого подходят технологии резервного копирования данных.
Шаг №5. Создать отдел безопасности
Вопросы киберзащиты уже давно стоят перед бизнесом, однако переход на удалённую работу во время пандемии серьёзно усложнил ситуацию. Согласно опросу HeadHunter, 88% специалистов в области информационной безопасности уверены, что во время пандемии ИТ-инфраструктура их компании стала более уязвимой.
В результате всё больше компаний задумываются о защите данных. И одна из ключевых мер — найм специалистов или даже создание отдельного департамента, отвечающего за информационную безопасность. Эксперты HeadHunter отмечают, что 12% компаний во время пандемии решили создать специальный отдел для работы с информационной безопасностью. А до того более чем половина организаций работала без ответственных за этот вопрос специалистов.
В зону ответственности службы безопасности должна входить проверка кандидатов на должность перед наймом, разработка инструкций для контроля безопасности. Кроме того, специалисты именно этого подразделения будут выявлять виновных, в случае если утечка информации всё же произошла.
В целом информационная безопасность компании всегда связана с отдельным серьёзным пластом работ: любая информационная система, в том числе СЭД, уязвима перед утечками — причём как с точки зрения процессов, так и со стороны системной части. Защита цифровых документов должна быть встроена в общую политику информационной безопасности компании. А это возможно, только если СЭД удовлетворяет двум ключевым условиям: обеспечивает высокий уровень гибкости и соответствует современным технологическим требованиям к защите информации.