18+
Министерство развития Дальнего Востока и Арктики объявило конкурс на поставку специализированной системы для предотвращения утечек информации из офисов ведомства. Отслеживать планируется всю цифровую активность сотрудников, следует из техзадания госзакупки. У руководства министерства будет доступ к мессенджерам Telegram, Viber, телефонным разговорам всех сотрудников и даже к данным о том, кто и какие документы печатает на принтере. Но самое интересное: техника должна уметь записывать разговоры сотрудников как внутри офиса, так и за его пределами. Такое «всевидящее око» в министерстве хотят получить за 16 миллионов рублей.
В документации на сайте госзакупок сказано, что система должна контролировать разные протоколы электронной почты и иметь возможность запрещать передачу данных по имейлу. Также под колпаком окажутся мессенджеры: ICQ, QIP, Mail.ru Agent, Yahoo Messenger, Jabber, десктопные клиенты Viber, WhatsApp, Telegram и чаты соцсетей. Само собой, заказчики не обошли стороной и контроль за интернет-трафиком, запросами форумов, блогов, чатов, служб веб-почты, браузерных IM-клиентов. Без внимания не останутся и съемные устройства (например, флешки), отправленные на печать документы, события на мониторах и текстовые данные, вводимые с клавиатуры. Действия сотрудников офисов планируется отслеживать с помощью веб-камер. Кроме того, система должна анализировать файловую систему на жестких дисках компьютеров и облачные хранилища данных, такие как Google Drive, OneDrive, Office 365, Dropbox, Evernote, «Яндекс.Диск», «Облако» от Mail.ru и так далее.
Трафик с защищенными файлами система должна уметь блокировать. Выявлять такие файлы она будет по определенным атрибутам. Можно установить, что кто-то пытается отправить секретный документ на сторону и заблокировать эту передачу.
Самым интересным пунктом технического задания стало требование обеспечить контроль за переговорами сотрудников как в офисе, так и за его пределами. Речь идет не только о телефонных звонках, но и как минимум о беседах через мессенджеры и все программы для IP-телефонии. Но и это не все. Судя по материалам госзакупки, планируется отслеживать общение людей в офисе и вне его, даже когда они не пользуются техникой.
«Модуль должен обеспечивать аудиозапись происходящих событий как внутри офиса, так и за его пределами, с помощью любого подключенного микрофона (в гарнитуре, ноутбуке, веб-камере и пр.)», — отмечается в техзадании.
«Контроль сотрудников должен вестись не только внутри офиса, но и когда те находятся в командировках с корпоративными ноутбуками», — поясняется в другом пункте документа.
Победителю конкурса нужно предоставить 415 модулей оборудования и программное обеспечение к нему. Помимо московского офиса Минвостокразвития технику отправят в Хабаровск, Владивосток и Петропавловск-Камчатский.
Эксперт по интернет-безопасности, руководитель фирмы «Интернет-Розыск» Игорь Бедеров пояснил Daily Storm, что речь в закупке идет о DLP-системе, которая автоматически анализирует трафик и выявляет утечки информации. В основе DLP-системы лежат устройства, поддерживающие непрерывную работу и имеющие полный доступ к данным в памяти компьютеров, телефонов и другой офисной техники. Их в том числе для слежки используют спецслужбы.
«Основными производителями этих модулей является IBM, они практически на 99% совместимы с любым железом в мире. Антивирусом этот модуль не обнаружить. Что делает DLP? Он стучится во все эти резидентные модули, доступ к которым по лицензии стоит достаточно недорого, и начинает взаимодействовать», — рассказал Бедеров.
Эти модули открывают для DLP-системы возможности для мониторинга и контроля за устройствами. С помощью DLP можно удаленно смотреть, что содержится на устройстве, изучать трафик, список звонков, доступ к контактам, какие файлы и каким образом передавались.
Для защиты секретной информации берут образцы текстов, картинок, файлов, защищенные данные вносят в реестр, и система начинает отслеживать трафик на предмет передачи таких файлов. «Если система выявляет передачу защищаемой информации или ее фрагментов через почту, мессенджеры, флешку или как-то еще по сети, то она приостанавливает эту передачу и уведомляет офицера безопасности», — сказал Бедеров.
DLP-системы потенциально могут быть использованы для слежки за сотрудниками.
«Оператор системы может включать камеры, анализируя его поведение (может, он фотографирует секретные документы), отслеживать действия и переговоры по камерам — это очень большой объем для анализа, тем более нужно интерпретировать речь», — уточнил эксперт.
Бедеров отметил, что некоторые из пунктов госзадания могут считаться вмешательством в частную жизнь и, таким образом, быть незаконными. Лицензированные продукты, как правило, о таких возможностях открыто не могут заявлять.
По мнению ведущего юриста «РосКомСвободы» Екатерины Абашиной, запрос Министерства развития Дальнего Востока и Арктики на контроль за сотрудниками «явно выходит за пределы» борьбы с возможными утечками информации. Например, контроль данных, вводимых с клавиатуры, и разговоров сотрудников в офисе и вне его — явный перегиб.
«Согласно позиции ЕСПЧ, профессиональная деятельность человека тоже относится к частной жизни, поэтому должна защищаться, — пояснила Абашина. — Если подобная система контроля будет в одинаковом объеме применяться ко всем сотрудникам министерства или подведомственных организаций без учета уровня «тайности» информации, с которой они работают, то это можно будет расценивать как нарушение права на тайну частной жизни».
Борьба с утечками информации в федеральном министерстве — цель, очевидно, благая, но готовы ли рядовые сотрудники сделать подотчетным каждый свой шаг, каждый интернет-запрос и звонок с мобильного телефона? Вряд ли кто-то из них захочет, чтобы начальник знал, что тот гуглит перед сном и о чем говорит с мамой по телефону. Впрочем, по сложившейся практике, все юридические вопросы к Минвостокразвития снимет согласие сотрудников на сбор информации, которое им, скорее всего, придется подписать.
Daily Storm направил запрос в Минвостокразвития, чтобы выяснить, чем обусловлена необходимость скорейшего внедрения настолько жесткого контроля за общением сотрудников.
