Павел Жаворонков
Журнал Компания - деловой еженедельник
Читать чужие письма неприлично, к тому же можно угодить под статью Уголовного кодекса. Но если речь идет об электронной корреспонденции, отправленной сотрудником компании со своего рабочего места? Имеет ли право руководство фирмы просматривать такие письма? В большинстве компаний на этот вопрос дают положительный ответ. Иначе как объяснить, что объем мирового рынка программ для перлюстрации e-mail уже подбирается к $1 млрд?
Весной 2000 года в Красноярске разгорелся необычный скандал. Руководители фирмы MaxSoft Максим Стефин и Алексей Бабий разошлись во мнениях со своим московским партнером и поставщиком программных пакетов Игорем Карауловым, директором АО «Русская промышленная компания» (РПК). Стефин и Бабий были против того, чтобы наращивать в регионе продажи систем автоматизированного проектирования (САПР). Караулов рисковал остаться без красноярского рынка и предложил организовать и возглавить местный филиал РПК Владимиру Демочко, ведущему специалисту MaxSoft. Демочко, фактически оставаясь сотрудником MaxSoft, начал работать на РПК, продавая ее продукцию: с московским офисом этой фирмы он контактировал через почтовый ящик на портале yahoo.com.
В апреле руководство MaxSoft узнало о том, что их сотрудник ведет двойную игру. Демочко был немедленно уволен, а вскоре после этого в открытом доступе на сайте, принадлежащем MaxSoft, были вывешены документы, якобы являвшиеся содержимым его почтового ящика. К распечаткам прилагался убийственный комментарий за подписью Алексея Бабия. В опубликованных письмах обсуждались размеры «откатов», оговаривалась стратегия ценовой дискриминации MaxSoft, а также фигурировали ее бухгалтерские данные и сведения о клиентах. «Говорить о том, что все приведенные там письма фальшивые, я не буду, – заявил в интервью «Ко» Владимир Демочко (ныне генеральный директор РПК-Красноярск). – Однако доказать, что вот это письмо писал я, а это за меня придумали, я не могу».
E-mail как орудие мести
В скандал вскоре оказались втянуты местные силовые органы, суды двух инстанций и средства массовой информации. Владимир Демочко подал жалобы в ФСБ и в прокуратуру о нарушении права на неприкосновенность частной жизни, охраняемого 23-й статьей Конституции и 137-й, 138-й статьями Уголовного кодекса, а также подал гражданский иск о защите чести и достоинства. MaxSoft ответила иском в адрес редактора Интернет-портала, который опубликовал комментарий Игоря Караулова.
Однако за три года дело Демочко так и не сдвинулось с мертвой точки: в разрешении подобного рода конфликтов нет судебной практики. Суду даже не удалось восстановить цепь событий. По версии Стефина и Бабия, Демочко заключил за их спиной сговор с РПК, используя рабочий компьютер, а доступ к его почтовому ящику на yahoo.com был получен путем автоматической подстановки пароля, сохраненного в памяти машины. Вся переписка, осуществляемая сотрудниками MaxSoft в том числе и через сетевые почтовые сервисы, согласно устной инструкции считается служебной. Владимир Демочко утверждает, что переписку с руководством РПК он вел не с рабочего компьютера, а из городского Интернет-кафе, а доступ к его личному ящику Бабий и Стефин получили, взломав защиту.
Не для распространения
История MaxSoft – тот редкий случай, когда корпоративные дрязги, поводом для которых стало содержимое электронных писем сотрудника, выплеснулись за стены офиса. Обычно служащие, подозревающие, что их письма просматриваются, не обсуждают эту тему даже в анонимных чатах, где их могут отследить системы анализа Web-трафика. Те же, кто был уволен по причине перехвата руководством письма, содержащего нелестные отзывы о начальнике или коммерческие секреты компании, не спешат отстаивать свои конституционные права в суде. Публичный скандал равнозначен признанию собственных грехов и ставит крест на дальнейшей карьере. «Я участвовал во внутренних расследованиях, после которых нечистые на руку менеджеры, чтобы покрыть нанесенный компании ущерб и уволиться без скандала, были вынуждены продавать свои дома и автомобили», – рассказывает один из собеседников «Ко», глава российской IT-фирмы, пожелавший сохранить анонимность.Компании в подобных ситуациях также заинтересованы в том, чтобы разрешить конфликт без привлечения внимания общественности. Удовольствие с шумом выставить за дверь сотрудника-шпиона может обойтись еще дороже, чем компенсация ущерба, причиненного в результате утечки информации. Например, если в чужие руки «уплыла» корпоративная база данных, содержащая конфиденциальные сведения о клиентах.
Но в неофициальных беседах сотрудники компаний часто высказывают подозрения, что их письма, отправленные с рабочего компьютера, прочитываются начальством. Ведь техническими возможностями для этого располагает руководитель любой российской фирмы: если в компании построена внутренняя сеть, корреспонденция архивируется в компьютерах или на сервере.
Некоторые начальники не заглядывают в письма сотрудников по принципиальным соображениям. «Мониторинг переписки противоречит внутреннему корпоративному духу компании. Мы уверены, что слежка за сотрудниками приводит к созданию в коллективе нервозной обстановки, что в итоге отражается на лояльности персонала к компании, – говорит Андрей Назаров, глава службы персонала компании «Комус» (торговля канцелярскими товарами). – При приеме на работу с каждым сотрудником заключается договор о неразглашении коммерческой тайны, и до тех пор пока в отношении этого работника не возникнут обоснованные подозрения, руководство будет ему доверять».
В большинстве же компаний систематическая перлюстрация корреспонденции не ведется по той причине, что это довольно затратное занятие, которое к тому же далеко не всегда окупается. Чтобы просмотреть и проанализировать недельный объем почтового трафика даже в небольшой организации, требуется несколько новых штатных единиц. Да и с точки зрения обеспечения информационной безопасности компании такие проверки бессмысленны: они позволяют обнаружить утечку информации или письмо, несущее в себе потенциальную угрозу, только post factum.
Практическую пользу такие проверки приносят лишь в тех случаях, когда в организации проводится профилактическая оценка уровня лояльности и благонадежности персонала. Руководство хочет знать, кто из подчиненных подошел к границе, за которой следует нарушение правил (использование ресурсов компании в личных целях, кражи, другие проступки и преступления). В ряде структур перлюстрация электронной почты и прослушивание телефонных переговоров применяются для оценки преданности коллектива интересам компании. Чаще всего причины, вынуждающие руководство идти на такие меры, – это усиление конкуренции на рынке и стремительный рост организации.
Вырванные из контекста
Определенные гарантии защиты от утечек конфиденциальной информации дают системы автоматического мониторинга почтового и Web-трафика, получившие широкое распространение как на Западе, так и в России. Такие программы, как, например, MAILsweeper, позволяют заблокировать прием и отправку сообщений, которые содержат «опасные» словосочетания или изображения. По оценкам независимого фонда Privacy Foundation, в 2002 году компании во всем мире потратили $140 млн на программное обеспечение для контроля и фильтрации электронной переписки сотрудников. В 2004 году, по прогнозам, емкость этого рынка достигнет $0,9 млрд – $1 млрд.
Корпоративные фильтры анализируют переписку примерно 100 млн человек, или около 27% всех офисных служащих мира. В России, по оценкам сотрудников научно-инженерного предприятия «Информзащита», за прошлый год продажи такого ПО составили всего $500 000 при стартовой цене программного пакета в $3000 (для фирмы с персоналом 50 человек). В основном их покупали банковские структуры и нефтяные компании.
Системы анализа содержимого электронных сообщений помещают подозрительные послания в «карантин» или автоматически удаляют из них вложения. Подобные программы также осуществляют контекстный поиск в письмах и приложениях. Руководитель определяет список ключевых слов и фраз, которые могут содержаться в сообщениях, представляющих потенциальную угрозу информационной безопасности компании. Например, названия и технические термины текущих проектов, имена партнеров, некоторые цифры, слова «откат», «взятка» и т.п.
«На днях мы устанавливали MAILsweeper в офисе одного из наших клиентов, – рассказывает Михаил Савельев, ведущий специалист научно-инженерного предприятия «Информзащита», которое поставляет на российский рынок системы мониторинга почтового и Web-трафика. – Компания готовилась к тендеру и просто, чтобы продемонстрировать возможности системы, мы ввели слово «тендер» в базу поиска. Через полчаса программа заблокировала письмо главного инженера, в котором тот «сливал» техническую документацию по проекту конкурирующей структуре».
Безусловно, подобные программы могут обезопасить бизнес компании, но правомерность их использования пока остается открытой темой для дискуссий. «138-ю статью УК («Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений граждан») никто не отменял, – говорит Савельев. – Внедряя наши системы, мы, безусловно, идем на нарушение этой статьи... если, конечно, не получено согласие лиц, в отношении которых будет осуществляться этот контроль».
Тем не менее многие руководители российских компаний не сомневаются в своем праве просматривать корреспонденцию подчиненных. Стандартная аргументация: вся информация, которую сотрудник передает в рабочее время, пользуясь рабочим компьютером или средствами связи, является служебной и принадлежит компании.
Например, в офисе корпорации «Галактика», одного из ведущих разработчиков систем управления, для перлюстрации переписки и анализа Web-трафика используется собственная программа «Галактика-Зум», а также практикуется выборочное прослушивание телефонных разговоров, в случае если возникают подозрения в недобросовестности того или иного сотрудника. «Электронная переписка, так же как все содержимое рабочего компьютера, считается собственностью корпорации, – говорит президент компании Николай Красилов. – На мой взгляд, это соответствует международной практике. Вмешательство в личную жизнь я считаю недопустимым, но анализ профессиональной деятельности в рабочее время – это принципиальный для любой компании вопрос. Важным аспектом здесь является то, что сотрудники информированы о выборочном прослушивании».
В представительствах западных компаний также применяется практика перлюстрации писем. «В соответствии с российским законодательством фирма имеет право защищать сведения, составляющие ее коммерческую тайну, – объясняет Анна Рабушка, PR-менеджер табачной компании BAT Russia. – В связи с этим BAT оставляет за собой право периодически контролировать переписку служащих с лицами, не являющимися сотрудниками компании».
Под колпаком
Но так ли все просто? По мнению адвоката Александра Глушенкова, специализирующегося на решении правовых споров, касающихся Интернета, ситуация с правом на перлюстрацию переписки сотрудников очень неоднозначна. «Не существует правовых норм, которые позволяли бы считать собственником электронного письма кого-либо, кроме его автора, – уверен Глушенков. – Владелец компьютера, на котором создается корреспонденция, имеет право определять правила эксплуатации техники: например, полностью запретить ее использование для ведения личной переписки, но такая политика должна быть четко выражена и согласована с пользователями».Что касается международной практики, то, несмотря на очень широкое распространение систем слежки и анализа переписки сотрудников, власти ряда стран уже признали ее полностью или частично противозаконной. Верховный суд Великобритании в ходе разбирательства по иску сотрудника к компании Nikon установил запрет на перлюстрацию работодателями частной корреспонденции служащих. Национальная комиссия Франции по информатике признала практику контроля переписки сотрудников и запретов на использование служебного e-mail в личных целях противоречащей Европейской конвенции прав человека. В Аргентине распоряжение о мониторинге переписки может стоить руководителю шести месяцев тюремного заключения. Довольно жесткое законодательство, охраняющее частную жизнь сотрудников, принято и в США.
Чтобы избежать возможных проблем с законом, юристы и продавцы специального ПО рекомендуют российским заказчикам первым делом составить перечень сведений, которые составляют коммерческую тайну, и ознакомить с ним сотрудников, а также поставить их в известность, что в компьютерной системе теперь действуют средства контроля содержимого писем. Кроме того, в российских компаниях сотрудникам предлагают подписывать документы, обязывающие их не использовать рабочее место в личных целях. Работодатель же получает право контроля, в том числе с помощью технических средств.
Персонал должен быть ознакомлен и с процедурами обжалования (в случае несогласия с ними) действий контролирующих подразделений компании. Но обычно работодатели ограничиваются тем, что заставляют сотрудников подписывать отказ от права на тайну личной корреспонденции.
Почтовые переводы
Что же заставляет компании идти на значительные материальные расходы и юридические риски, связанные с перлюстрацией переписки сотрудников? Вряд ли это можно объяснить обычным интересом к личной жизни подчиненных и поиском свежих тем для офисных сплетен (хотя и такое, безусловно, случается).
В американских компаниях, которые выступали пионерами внедрения систем мониторинга переписки, подобные действия рассматривались в первую очередь как способ избежать судебного преследования по обвинениям в половой и расовой дискриминации. В середине 1990-х большинство компаний начали строить внутренние информационные сети, а офисные служащие увлеклись рассылками по спискам корпоративных адресов шуточных посланий.
Чувство юмора сотрудников сыграло со многими фирмами злую шутку. Некоторые получатели таких сообщений воспринимали их как оскорбление и подавали иски против собственников технических средств. Осенью 1994 года служащий компании Chevron разослал по внутренней сети позже ставшие знаменитыми «25 тезисов о том, почему пиво лучше женщины». Группа сотрудниц обратились в суд с иском к работодателю, который, по их словам разрешал использовать внутреннюю информационную сеть для рассылки сексуально оскорбительных материалов. Chevron пришлось выплатить компенсацию $2,2 млн.
В 2002 году аналогичные иски были предъявлены 27% компаний из списка Fortune 500, их общие судебные издержки (без учета компенсаций) превысили $6,5 млн. А в ходе исследования E-mail 2003, которое проводила американская ассоциация менеджеров, выяснилось, что из-за нецелевого использования сотрудниками электронной почты 14% всех компаний США в текущем году были втянуты в судебные и административные разбирательства.
В конце сентября 2001 года в прессу попали карикатуры на Джорджа Буша и Усаму бен Ладена, которыми обменивались по e-mail служащие шведского концерна Volvo. Руководству концерна пришлось публично извиниться и выступить с заявлением, в котором утверждалось, что в Volvo не считают трагедию в США поводом для шуток.
Угрожает корпоративным интересам не только хлещущее через край остроумие сотрудников. По оценкам исследовательского агентства Gartner Group, ежегодные финансовые потери вследствие утечки конфиденциальной информации через электронную почту составляют $24 млрд. Электронная переписка, которая осуществляется с рабочего компьютера через онлайновые почтовые ящики, – один из основных каналов распространения коммерческих секретов компаний: от оперативной информации о поведении на рынке до клиентских баз данных. Нашумевший случай начала 1990-х: вице-президент Borland в течение нескольких лет продавал секреты компании ее прямому конкуренту – Symantec, после чего перешел туда на работу.
Электронные письма довольно часто дают повод для подозрений в недобросовестной конкуренции. Британской страховой компании Norwich Union пришлось выплатить компенсацию в размере 450 000 фунтов стерлингов своему конкуренту – Western Provident Association. Суд признал клеветническими сведения, разосланные по e-mail одним из служащих Norwich. Случались также прецеденты, когда пользователи корпоративных сетей проводили с рабочих компьютеров хакерские атаки. В случае если не удавалось обнаружить виновника, ответственность ложилась на компанию.
Далеко не всегда причиной утечки бывает злой умысел. Основная масса коммерческих тайн становится доступной из-за банальной небрежности. Пользователи обычно относятся к электронной переписке и Интернет-пейджерам – вроде ICQ – как к средствам неформального общения. Тем не менее электронные документы практически во всех странах мира суды считают корпоративной информацией и признают в качестве доказательств. Кроме того, копии посланного сообщения остаются на всех серверах, через которые оно проходит.
Менеджеры, имеющие доступ к конфиденциальным сведениям, часто не отдают себе отчета в том, что не стоит слишком уж откровенничать даже в сугубо деловой переписке. Siemens Solar Industries приобрела подразделение корпорации Atlantic Richfield Co. (ARCO), которое занималось вопросами использования солнечной энергии. Вскоре выяснилось, что технологии ARCO не представляют коммерческой ценности, и в компании в момент сделки об этом знали. Siemens представила суду обнаруженный на резервном носителе фрагмент переписки между менеджерами ARCO, где прямо утверждалось: «Мы попытаемся скрыть от Siemens тот факт, что у нас возникли серьезные трудности при передаче новой технологии из лаборатории на производство. Технология ничего не стоит, так пусть хоть Siemens нам заплатит».
В антитрестовском преследовании Microsoft роль ключевых доказательств сыграли резервные копии писем Билла Гейтса и других высокопоставленных менеджеров компании, в которых обсуждались «экстремальные» способы борьбы с конкурентами и допускались оскорбительные выражения в их адрес.
Летом 2002 года сотрудник службы протокола принца Уэльского, пересылая программу европейского турне принца Чарльза, случайно ввел неверный адрес, в результате чего конфиденциальные сведения попали в почтовый ящик постороннего лица и немедленно были проданы нескольким желтым изданиям. Отделы протокола и безопасности вынуждены были в сжатые сроки выработать новую программу поездки, а также выплатить неустойку отелям и транспортным компаниям, с которыми были заключены контракты.
Еще одна проблема, вынуждающая работодателей прибегать к контролю Web-трафика и перлюстрации переписки – это снижение производительности труда персонала в результате нецелевого использования электронной почты и Интернета. По данным исследования Harris Interactive, в 2002 году сотрудники американских компаний проводили в Интернете 21 час в неделю, из которых 8 уходило на посещение не относящихся к работе сайтов и личную переписку. В обзоре «Компьютерные преступления и безопасность» за 2002 год приводятся следующие данные: 70% порнографического трафика фиксируется с 9.00 до 17.00, то есть в рабочее время; 70% всех личных онлайновых сделок осуществляется с места работы; 9% сотрудников с низкой зарплатой и 11% с высокой используют технические средства компании для поиска новой работы и рассылки резюме.
Уход от слежки
Распространение практики мониторинга переписки сотрудников вводит служащих в состояние, которое можно назвать офисной паранойей. В марте 2003 года компания Yahoo! провела анкетирование среди 18 000 служащих Великобритании. Выяснилось следующее: 60% опрошенных полагают, что IT-служба постоянно просматривает корреспонденцию. Только 15% респондентов уверенно ответили, что в их компании такой практики не существует.
Как реакция на увольнения сотрудников, обвиненных в нецелевом использовании служебных адресов, растет число исков против нарушителей privacy. По данным американской ассоциации менеджеров, более четверти компаний США практикуют увольнение сотрудников, нарушающих стандарты пользования e-mail, с различными формулировками. В США уже были предприняты попытки требовать от компаний компенсации за нарушение личной тайны, но суды пока не удовлетворили эти иски. Впрочем, американские юристы умеют и любят прошибать крепко запертые двери, так что не исключено, что компаниям рано или поздно придется соблюдать Билль о правах.
Судебные разбирательства и жалобы в органы власти – удел уволенных активистов, которым некуда девать свободное время. Действующие сотрудники обычно практикуют тактику тихого саботажа, которая в последние годы очень активно влияла на развитие Интернета. Ситуация чем-то напоминала гонку вооружений, появление принципиально новых методик контроля стимулировало появление новых способов контроль обойти.
После введения первых систем мониторинга корпоративной почты бурно начали развиваться бесплатные почтовые сервисы. При этом оказалось, что так называемые онлайновые адреса, которые регистрируют служащие с рабочих компьютеров, представляют собой еще большую угрозу, чем нецелевое использование корпоративного адреса. Через них совершается более половины хакерских атак на корпоративные сети, засылаются «черви», «троянцы» и прочая компьютерная нечисть.
Борцы за неприкосновенность частной жизни также пытаются защитить личные тайны с помощью скачиваемых из Интернета программ шифрования. Обычно используются либо стенографические шифраторы (которые позволяют спрятать сообщение внутри «контейнерного» файла – цифровой картинки, аудио- или видеоклипа), либо криптографическое ПО, превращающее содержимое письма для всех, кроме владельцев электронного ключа, в набор бессмысленных символов. Несколько лет назад известный борец за демократические свободы Интернет-сообщества Фил Циммерманн создал и вывесил в свободном доступе криптошифратор PGP, который скачали уже миллионы пользователей. Это позволяет судить о масштабах сетевой паранойи.
Нет почты – нет проблемы
Некоторые специалисты по корпоративной компьютерной безопасности считают, что дальнейшие попытки решить проблему «Читать или не читать почту сотрудников?» ведут в тупик.
«Защититься от утечек информации можно только путем разработки политики доступа к ресурсам, – считает служащий IT-отдела международной аудиторской компании, пожелавший остаться неназванным. – Слежка за поведением сотрудников в Сети практикуется лишь в конторах, где начальство неспособно организовать работу. А лучший сетевой экран, дающий 100-процентную гарантию защиты от внешних проникновений – это метр кондиционированного воздуха».
Последний тезис уже принят на вооружение в ряде российских компаний, особо обеспокоенных проблемами информационной безопасности. В некоторых банках, например, компьютеры, подключенные к внутренней сети, не имеют выхода в Интернет. Для связи с внешним миром сотрудникам выдаются персональные лэптопы.
Известно, что в офисе одного из федеральных сотовых операторов к каждому рабочему месту выведены три компьютерных слота: первый позволяет подключиться к Интернету, второй – к внутренней информационной сети, третий – к межкорпоративной финансово-расчетной системе.
«Я глубоко убежден в том, что во многих случаях перлюстрация электронной почты сотрудников и прослушивание телефонных переговоров является демонстрацией неэффективной организации системы управления, – считает исполнительный директор Ассоциации менеджеров Сергей Литовченко. – С другой стороны, в целом ряде компаний такие методы контроля просто необходимы. Например, в современных розничных и инвестиционных банках обслуживание клиентов осуществляется по телефону и контроль работы персонала, в том числе через запись всех телефонных разговоров, важен для качества работы и соблюдения конфиденциальности клиентской информации».
«Можно лицемерно отметить, что компании, заботящиеся о своей безопасности,
действительно нарушают права личности. Закон не должен ущемлять права участников
трудовых отношений. Но пока этот закон несовершенен, компании будут на свой
страх и риск проводить работы по профилактике нарушений и утечки информации,
– уверен Константин Харский, директор петербургской компании «Эксперт», которая
предоставляет услуги по оценке лояльности и благонадежности персонала. – Когда
в нашей стране закон противоречит здравому смыслу, то каждый раз побеждает здравый
смысл». Остается только добавить: главное, чтобы здравого смысла не теряли ни
работодатели, ни сотрудники.
Спасибо
за ссылку пылесосу
Начать дискуссию