Вот, например, «Стахановец» новую систему скреативил. Отслеживает просмотр сотрудниками стороннего контента «вроде сериалов или порно» на рабочих местах. «Стахановец-Аналитика» – это программа, которая устанавливается на корпоративных компьютерах и может анализировать поведение сотрудника в течение рабочего дня по разным параметрам. Так, «сервис может мониторить рабочую активность в почте и в корпоративной сети, а также моменты отвлечения сотрудников на сторонние активности» – говорится в пресс-релизе компании.
Видимо, где-то есть компании, в которых люди на рабочих компах в рабочее время смотрят сериальчики и все прочее. И до сего дня у IT-подразделений этих компаний не было никаких иных инструментов
Хотя тут, наверное, однобоко нельзя. Нужно определить, кому польза, кому вред. Построить графики, доложить куда следует. А то, может, у кого-то наоборот производительность на тестостероне только взлетает. А руководство-то не знает. Так что есть еще куда подобным системам контроля «сотрудников» развиваться.
Но не тратой рабочего времени и трафика, к сожалению, ограничивается деструктивная деятельность отдельных граждан на рабочем месте. Несут с работы. Кто что может. А в цифровую эпоху могут, в основном, данные. То там, то тут «осужден бывший сотрудник оператора связи, который в период с … по … осуществлял копирование персональных данных абонентов и отправлял их третьим лицам за денежное вознаграждение». Хорошо, конечно, что злодея нашли и наказали по заслугам… Но вот если сравнить степень вреда обществу и клиентам от «мобильного пробива» в исполнении условного низового менеджера регионального офиса какого-то оператора и вреда от утечки гигов персданных из одного из крупнейших доставщиков еды или федеральной около-медицинской компании, понимаешь, что наверно тут тоже кто-то должен ответить. Причем не только штрафом в 60 000 рублей.
Видимо, похожее мнение было и у тех, кто разрабатывал и принимал поправки в ФЗ-152. И с 1 сентября 2022 ситуация с утечками вроде как уже не должна оставаться «внутренним делом» допустившей утечку компании. Напомним, что теперь «В случае установления факта неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных».
Причем все это должно произойти достаточно быстро – в течение 24 часов. К этому моменту, то есть за сутки, которые могут выпасть и на нерабочий день, компании нужно уже понять предполагаемые причины утечки и размер вреда от нее, а также пояснить, какие меры приняла компания для устранения и кто за эти меры отвечает.
А спустя еще двое суток (итого 72 часа от инцидента) нужно уже доложить в Роскомнадзор (а то и еще куда) «о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии)».
Получается, что у любого оператора персданных должна быть работающая 24/7 команда из IT-специалистов по реагированию-расследованию. Или хотя бы номер телефона компании, оказывающей такие услуги. И если у ваших коллег, которые про IT-криминалистику пока не знают, пока нет ни того, ни другого - порекомендуйте им наш канал. Скорее всего пригодится.
Следите за новыми постами в telegram, а также на нашем сайте, где мы рассказываем об арбитражной форензике и компьютерной экспертизе.