test adv
,

Страх и ненависть в Кремниевой долине: как IT-гиганты защищают свои секреты, не жалея людей

Apple, Google и Facebook в борьбе с утечками информации устанавливают тотальный контроль над сотрудниками

Иногда компании сами провоцируют утечки, которые полезны для продвижения продуктов. Но обычно они с ними борются — такими методами, которые вполне можно назвать репрессивными или как минимум крайне спорными с точки зрения прав человека.

Однако у корпораций есть реальные причины для беспокойства. В марте 2019 года компания Egress, которая занимается обеспечением конфиденциальности бизнес-информации, опубликовала результаты опроса более 500 руководителей и 4000 сотрудников IT-компаний из США и Великобритании. Ключевые показатели:

  • 79% опрошенных руководителей считают, что их сотрудники подвергли риску конфиденциальные данные компании в течение последних 12 месяцев.
  • 29% опрошенных сотрудников считают, что они имеют исключительное право на информацию и продукты, над которыми они работали.
  • 24% сотрудников при переходе на новое место работы взяли с собой конфиденциальную информацию из прежней компании.

Ниже — несколько историй о том, какими методами пользуются компании для предотвращения утечек и на какие сделки с совестью они вынуждают идти сотрудников.

Технологии борьбы с утечками: соглашение о неразглашении и системы контроля

Самый распространённый способ борьбы с утечками — подписание сотрудниками соглашения о конфиденциальности и неразглашении (NDA). В документе закрепляется ответственность работников за утечку информации, которую компания считает важной. Крупные штрафы и увольнение могут последовать даже за случайный слив данных.

Ещё одна популярная технология — DLP (Data Leaks Prevention). Она помогает защищать данные внутри корпоративной сети. Это распространённый способ борьбы с электронной передачей информации: копированием на флешки, отправкой по электронной почте или через мессенджеры, загрузкой на «облачное хранилище» или FTP-сервер и т.д.

DLP-сервисы анализируют всю информацию, которая проходит через корпоративную сеть. Для обнаружения утечек настраиваются шаблоны: ключевые слова, символы, метки на документах, которые обозначают уровень секретности. При обнаружении нарушения сервис блокирует передачу и оповещает службу безопасности о попытке слива информации.

Страх и ненависть в Кремниевой долине: как IT-гиганты защищают свои секреты, не жалея людей
Так иллюстрирует работу своей DLP-системы компания Devicelock. Фото: devicelock.com

DLP-системы достаточно надёжно защищают данные внутри корпоративной сети. Однако они бессильны против передачи распечатанных документов или их фотографий, а также фотографий экранов компьютеров. Подобные способы не подходят для кражи большого количества данных, однако часто этот недостаток компенсируется качеством материалов — например, ценность утечек может увеличиваться благодаря печати или подписи руководства компании. До недавнего времени службы безопасности ничего не могли поделать с такой кражей информацией — разве что строго регламентировать доступ в различные помещения и методично уничтожать все документы. Однако внедрение систем ILD (Information Leaks Detection) изменило ситуацию.

Технология ILD обеспечивает создание уникальной копии при каждом открытии файла или после отправки документа на печать. Визуально обнаружить изменения невозможно, при этом комбинация позволяет точно определить источник происхождения — например, из какой учётной записи документ был распечатан. Даже если это не указывает на конкретного сотрудника, который передал информацию, то значительно сужает круг поиска.

Крупные компании также могут себе позволить собственные группы следователей и агентов. Часть сотрудников занимается обеспечением конфиденциальности данных, но есть и те, кто в буквальном смысле внедряется в команды разработчиков и даже провоцирует коллег нарушать корпоративные правила.

Сотрудники спецслужб на страже секретов Apple

В Apple крайне серьёзно относятся к проблемам утечек. В компании есть сразу несколько групп, которые занимаются контролем сотрудников и сохранением конфиденциальности. Главную роль играет подразделение глобальной безопасности. Apple нанимает сотрудников из разных стран мира с опытом службы в армии и работы в спецслужбах (АНБ, ФБР, ЦРУ и другие пугающие аббревиатуры).

Частью подразделения глобальной безопасности является группа New Product Security. Она специализируется на утечках на производстве и в цепочке поставок. Судя по всему, группа работает превосходно: в 2016 году из калифорнийского кампуса Apple было зафиксировано больше утечек, чем из цепочки поставок.

У службы безопасности Apple очень много забот. На 40 фабриках в Китае работает более 2,5 миллионов человек. При увеличении объёма производства численность рабочих вырастает до 3 миллионов. Потенциально каждый из них может вынести корпус или другие значимые детали устройства. Представители чёрного рынка постоянно пытаются перекупить сотрудников, предлагая им за один слив информации 3-4 месячных оклада.

Страх и ненависть в Кремниевой долине: как IT-гиганты защищают свои секреты, не жалея людей
 Трамп после посещения фабрики Apple не стал публиковать инсайды в Twitter. Фото: voanews.com

У секретного отдела управления глобальной безопасности есть ещё более секретное подразделение, сотрудники которого регулярно внедряются в разные команды разработчиков, чтобы помочь им хранить секреты. Если утечка всё же случается, то в дело вступают профессиональные следователи. Расследование может длиться несколько лет, пока не будут обнаружены виновники.

Забавно, что о методах работы Apple в сфере безопасности стало известно из утечки — в распоряжении журналистов оказалось видео брифинга. Неизвестно, удалось ли следователям найти виновника на этот раз.

Тотальный контроль и доносительство в Google

У Google есть команда остановки утечек, которая не имеет официального статуса внутри компании. Её сотрудники следят за сохранностью информации и поощряют работников корпорации, которые сообщают им о возможных утечках. Фактически компания проводит политику тотальной слежки друг за другом.

Google также перестала транслировать на все офисы и расшифровывать встречи TGIF. Такие собрания — часть корпоративной культуры. На них сотрудники рассказывают о новых продуктах и услугах, после чего следует сессия прямого общения работников с высшим руководством компании. Теперь же участники собираются в определённой локации, а не попавшие на встречу сотрудники узнают о результатах уже после завершения мероприятия.

«Корпорация добра» так сильно беспокоится о безопасности, что в 2016 году против неё было подано исковое заявление о нарушении гражданских прав. Бывшие сотрудники пожаловались, что в соглашении о неразглашении, которое их заставляли подписать при приёме на работу, было положение о том, что им нельзя обсуждать корпоративные процессы даже с адвокатами, которые, в свою очередь, не могут распространять полученную в ходе работы информацию из-за требований к сохранению адвокатской тайны.

Профессиональные провокаторы из Facebook*

Глобальная следственная группа есть и у самой популярной соцсети в мире. Главная задача — выявление и устранение утечек данных. После избрания президентом США Дональда Трампа у группы появилась ещё одна большая проблема — совет директоров потребовал регулярно предоставлять информацию по поводу «российского вмешательства» в избирательную кампанию с помощью политической рекламы и фейковых аккаунтов.

Служба безопасности Facebook* также занимается контролем сторонних разработчиков приложений для соцсети. Это ответ корпорации на инцидент с британской компанией Cambridge Analytica, использующей технологии глубинного анализа данных. В 2015 году профессор психологии Кембриджского университета Александр Коган создал приложение, которое собирало огромный объем данных пользователей. Информация была отправлена в Cambridge Analytica, которая могла использовать её для влияния на политические предпочтения пользователей с помощью рекламы.

По информации журналистов The Guardian, отдел безопасности Facebook* может провоцировать сотрудников, проверяя их лояльность. Для этого они оставляют в разных местах офиса флешки, при подключении которых к компьютеру служба безопасности получает сигнал тревоги.

Как компании защищаются от недобросовестных тестировщиков. Опыт Microsoft, Nokia и Electronic Arts

Microsoft столкнулась с проблемой разглашения информации во время закрытого тестирования Xbox 360. Ещё в 2010 году в компании придумали способ маркировки консоли, позволяющий обнаружить источник утечки. Серийный номер устройства зашифровывался в кольцах в меню. В шифре использовалась и толщина колец, и расстояние между ними. Плюс такого подхода в том, что считать информацию можно было даже с фотографий экрана телевизора. При этом сотрудники не использовали специальные алгоритмы, а раскрывали шифр вручную.

Страх и ненависть в Кремниевой долине: как IT-гиганты защищают свои секреты, не жалея людей
Компании прячут метки, чтобы тестировщики не догадывались об их наличии. Фото: dtf.ru

В 2013 году Nokia, согласно сведениям СМИ, разработала систему идентификации прототипов телефонов по небольшим изменениям в интерфейсе. Например, на устройствах незначительно различались иконки, менялось направление стрелки компаса. Это позволяло определить, какой именно прототип стал общедоступным и кто имел к нему доступ.

Игровая индустрия тоже страдает от утечек. В ответ на недобросовестные действия геймеров, имеющих доступ к тестовым версиям, компании готовы применять самые строгие меры. Например, в декабре 2018 года компания Electronic Arts обнаружила, что один из пользователей стримит на Twitch игровой процесс из закрытой альфы Anthem. Трансляция была заблокирована, а игрок лишился доступа не только к тесту, но и ко всей библиотеке Origin.

Как борьба компаний с утечками сказывается на сотрудниках

Если коротко — иногда очень плохо. Политика безопасности крупных компаний проходит на грани нарушения прав человека. За сотрудниками следят, им запрещают говорить о работе — порой даже о том, что не представляет собой коммерческой тайны.

В 2016 году один из бывших менеджеров Google подал на компанию в суд из-за нарушений трудового законодательства. Причиной стала жёсткая политика конфиденциальности. Менеджер сообщил о поощрении слежки и полном запрете на распространение любой информации о работе в Google.

В декабре 2019 года стало известно, что бывший сотрудник Apple подал в суд на компанию, которая якобы прослушивала его телефонные разговоры и читала переписку. Примечательно, что это был встречный иск. До этого Apple обвинила сотрудника в краже корпоративных наработок, которые он использовал для создания собственной компании по производству чипов для центров обработки данных.

Один из контент-модераторов Facebook* показал журналистам из The Guardian контракт, в котором были закреплены следующие положения:

  • Компания может отслеживать и записывать всю активность сотрудника на личной странице в Facebook*.
  • Компания может проверять электронную почту, звонки и действия сотрудника в интернете.
  • Компания может обыскивать сумки и автомобиль сотрудника во время нахождения на её территории. Отказ от осмотра рассматривается как серьезное нарушение правил.

Все эти меры негативно сказываются на психологическом состоянии сотрудников. Бывший наёмный работник Facebook* рассказал, что он с коллегами стали параноиками — использовали кодовые слова в переписке, чтобы просто встретиться наедине и обсудить работу. Сотрудники выключают и прячут телефоны, потому что боятся, что компания продолжает следить за ними за пределами офиса.

Страх и ненависть в Кремниевой долине: как IT-гиганты защищают свои секреты, не жалея людей
Некоторые сотрудники не выдерживают давления крупных корпораций. Фото: unsplash.com

Несмотря на то, что периодически в СМИ появляются новости об исках против компаний, а также истории уволенных сотрудников о психологически тяжелых условиях труда, ни одна из перечисленных корпораций не испытывает недостатка в желающих устроиться на работу. С точки зрения американских законов тоже всё чисто — как пояснил консультант по безопасности Стэнфордского центра интернета и общества Аль Гидари (Al Gidari), подобные методы прямо не запрещены.

Но формальная законность действий корпораций не отменяет главного вывода: фактически они используют одинаковые меры для борьбы со злоумышленниками и контроля собственных сотрудников. Разница лишь в том, что работникам взамен предлагают привилегии: хорошую зарплату, акции с особыми условиями и возможность создавать популярные продукты. Но только до тех пор, пока они сами не станут злоумышленниками и не продадут информацию конкурентам или инсайдерам.

* Деятельность Meta* (соцсети Facebook* и Instagram*) запрещена в России как экстремистская.

Последнее изменение:
 
Funksy
Funksy, 22 марта 2020, 08:49   #   (...)
Не, ну а как иначе то, вот слил сотрудник какую-то утечку, конкуренты воспользовались этим, итог — компания теряет из-за этого деньги. А ведь это была чья-то идея, годы исследований, годы трудов и пр. коту под хвост, не приятно же. Ну а если ты не умеешь держать язык за зубами, то это уже вопросы не к компании, а к тебе.
Ответить
Bambaster
Bambaster, 22 марта 2020, 09:39   #   (...)
>С точки зрения американских законов тоже всё чисто
Прослушка и чтение ЛС — это «чисто»?
Ответить
Funksy
Funksy, 22 марта 2020, 09:53   #   (...)
Если ты даёшь на это согласие, то да
Ответить
LisaAlisa
LisaAlisa, 22 марта 2020, 10:30   #   (...)
Ты подписываешь соглашение о неразглашении информации, а то, что делают корпорации это полное нарушение прав и свобод человека с точки зрения самой «демократической» страны мира.
Ответить
Pochemuta
Pochemuta, 22 марта 2020, 12:38   #   (...)
Это сложная тема, у которой нет однозначного толкования со стороны юристов.

Чаще всего корпорации прослушивают служебные телефоны и читают то, что отправлено со служебного компьютера. В соглашении о неразглашении или в приложении к трудовому договору указывают, что разговоры по служебным номерам прослушиваются. И что если вы вздумали обсуждать по телефону, который вам дала компания (или услуги связи которого она оплачивает), личные вопросы, то должны отдавать себе отчет в том, что они станут достоянием сотрудников службы безопасности. Если вы подписались на такое при приёме на работу, то нарушения со стороны компании нет. О незаконности можно говорить, если компания без предупреждения сотрудника начинает его прослушивать и проверять.

Так что в итоге право на тайну переписки можно проигнорировать, если правильно всё обставить.
Ответить
AzzTekka86
AzzTekka86, 22 марта 2020, 13:10   #   (...)
двойная игра… двойные деньги… двойной риск! )
Ответить
HyB
HyB, 5 апреля 2020, 14:58   #   (...)
Бедные люди…
Ответить
Karen_Bagdasarov
Karen_Bagdasarov, 17 июля 2020, 12:10   #   (...)
Чтобы не было утечек, надо персоналу хорошо платить. А может сливают специально, чтобы потрепать нервы конкурентам.
Ответить

Добавить комментарий
Если нужно ответить кому-то конкретно,
лучше нажать на «Ответить» под его комментарием