Информационная безопасность vs тайна личной жизни.

Очень часто на протяжении всего времени, что я занимаюсь темой ИБ и участвую в различного рода дискуссиях, сталкиваюсь с вопросами, непониманием и даже войной между спорящими, когда дело касается защиты от внутренних угроз. Какое решение не возьми, будь то MDM(EMM), DLP, SOC (да-да), DAM, PUM и даже IdM, так или иначе появляется поле для рассуждений. Да, я умышленно смешал в одну кучу много видов продуктов, т.к. при обсуждении каждого из них всплывали так или иначе вопросы privacy. Обоснование и мотивацию отстаивать ту или иную точку зрения я бы классифицировал следующим образом:

ЗА

1. Лайт. Предполагает концепцию «посмотрим одним глазком», только за реально критичными для бизнеса системами. Возможно, вообще исключая мониторинг сотрудников или ограничиваясь несколькими группами.
2. Стандарт. Обычное внедрение, мониторинг всех корпоративных систем, основной фокус на недопущение/минимизацию ущерба от утечек, халатности, стандартных ошибок, неграмотного администрирования.
3. Полный комплект. Установка максимального количества сенсоров, в том числе и на мобильные устройства, контроль личных мессенджеров, почты, соцсетей, скриншоты и кейлоггеры. Реализация концепции «рабочие устройства могут быть использованы исключительно в производственных целях» в полный рост. Кстати, личных устройств это тоже нередко касается, если подробно описан режим и политики BYOD.
4. Тотальный контроль. Фокус на поведенческом анализе сотрудников, в том числе на базе их увлечений, связей вне организации, семейном и финансовом положении. При такой концепции могут быть использованы методы фальшивых вбросов, психологического давления, а так же полный и подробный профайлинг.

ПРОТИВ

1. Радикально нет. Полное доверие к коллективу, никогда в жизни не буду рассматривать внутреннего нарушителя с любой точки зрения и с любым уровнем доступа, т.к. если что – я всегда узнаю, кто и смогу наказать так, что мало не покажется. Враг снаружи и, как правило, на другом континенте. Вопросы реальности наказания сотрудников по закону (а не «по справедливости») я оставлю за скобками, это тема для целого поста. 
2. Бумажные и юридические трудности. Тема интересная, но я никогда не смогу грамотно обосновать и внедрить у себя подобного рода системы крайне затруднительно и бюрократично.
3. Технические трудности и окупаемость. Сложность или дороговизна внедрения не пропорциональны получаемому эффекту. Долго можно пенять либо на некомпетентность заказчика, либо на недостаточные скиллы вендора/интегратора, но указанный стоп-фактор часто имеет место быть.
4. Этика. Микроклимат и отношения между сотрудниками политически и процессно выстроены таким образом, что такого рода вмешательство в рабочий процесс и давление на работников (особенно, если речь идет о скрытном мониторинге) ни в каком виде не допустимы.

Стоит отметить, что некоторые виды приведенной мотивации сходу кажутся утопичными и утрированными, однако, каждый из описанных сценариев я наблюдал лично на практике.

            Цель поста – не дать оценку тому или оному подходу или выявить золотую середину, но порассуждать на тему: останется ли у нас хоть толика личного пространства. Казалось бы, незыблемым является принцип «мой дом – моя крепость», но с приходом нового жизненного уклада и современных технологий понятие периметра личной жизни размывается точно так же, как и в случае с сетевым периметром организации. Объективно и бесспорно то, что на работе невозможно (по крайней мере, пока мы не стали роботами) отключиться от личной жизни и удовлетворять лишь «производственную необходимость», при этом запрещая вообще все. А ведь правы психологи, которые говорят, что мы прикованы к телефонам и соцсетям, равно как к необходимости есть, спать и дышать, можно долго дискутировать насколько это хорошо, но сам факт оспорить сложно. Аналогична и обратная ситуация, когда рабочие вопросы решаются в нерабочее время и за пределами офиса, которого в ряде случаев вообще нет. Умение, не взирая на сценарии и личные интересы, находить компромисс и идти на уступки как со стороны сотрудника, так и работодателя, обернется итоговой победой для всех в вопросах одновременно как обеспечения безопасности компании, так и «допустимого уровня» контроля работников.

В современном мире мы и так находимся в плену «интересов национальной безопасности» и тотальной слежки, помноженных на отечественный менталитет и принцип «главное – найти человека, дело всегда найдется». С другой стороны, почетным у нас почему-то считается обмануть работодателя/государство, развести их на деньги, ведь «от них не убудет». Так и хочется закончить фразой Кота Леопольда, но его призыв, к сожалению, нечасто оказывается услышанным.

Оставайтесь на светлой стороне!