понедельник, 23 апреля 2012 г.

Условно-конфиденциальная информация


Все мы когда-то (я надеюсь) учились в школе, и в старших классах занимались тем, что, по нашему мнению, делало нас взрослее и авторитетнее. Нам, малолетним "нарушителям", по большому счету было все равно, кто узнает о том, что мы, например, курим: наоборот - чем больше, тем лучше, ведь все это делалось для публики (глядите, какой я крутой и взрослый). Правда, в тайне от родителей и учителей - чтобы за мнимый авторитет не "прилетела" пара вполне реальных тумаков, или не были применены иные карательные меры. Поэтому для нас, обладателей этой страшной, сопровождаемой легким табачным амбре, тайны, классическая "матрица доступа", где буквы "Х" напротив ФИО отражают наличие доступа к защищаемой информации, трансформировалась в совершенно иную конструкцию.

Вместо списка людей, имеющих доступ к защищаемой информации, наша "матрица" содержала четкий список тех категорий лиц, кто не должен иметь к ней доступ (родственники, их знакомые, учителя), а список тех, кто таким доступом мог обладать без каких-либо последствий для "секретоносителя" был, в принципе, не ограничен. Такая "конструкция" была правилом не только для самих курильщиков, но и для тех, кто не курил, но знал эту тайну. Никаких превентивных мер типа "скажешь - побьем" предпринимать, как правило, было не нужно: все и так прекрасно понимали последствия раскрытия этой информации людям из "закрытого" списка как для курильщика, так и для себя самого - ведь в таком "обществе", пусть не сразу, но обязательно станет известно, кто именно из его участников раскрыл эту информацию.

Конструкция "могут знать все, кроме", в различных формах и вариантах, активно используется как взрослыми дядями и тетями в повседневной жизни, так и их организованными группами в бизнесе. Взять, например, пресловутый коммерческий секрет, именуемый "клиентской базой". Конечно, какая-нибудь сбытовая контора с 10 сотрудниками и 100 клиентами может ввести в отношении этой базы режим коммерческой тайны, наплодить кучу документов, грифовать счета-фактуры и подписывать с каждым сотрудником и контрагентом соглашение о конфиденциальности, чтобы никто никому ничего не разболтал. Эта же контора может наставить кучу технических средств защиты (DLP, MDM, рамки на входе и все такое прочее) - чтобы никто ничего не упер. Но будут ли эти меры эффективны?

Народная мудрость гласит: "что знают двое - знает и свинья". Как правило, бизнесмены прекрасно знают всех своих коллег, занимающихся похожим бизнесом, в городе (области, регионе - в зависимости от широты размаха), и за редкими исключениями "ладят" между собой. Сидя в баре за кружечкой пива, "хозяева" фирм-клиентов той самой сбытовой конторы (если угодно, "топ-менеджеры") обсуждают свои дела, и никто не может им запретить рассказать друг другу о том, кто, сколько, когда, где, по какой цене что-то купил. Общение "секретоносителей" в community, "среди своих", приводит к тому, что каждый клиент той самой "конторы" из "тусовки" знает или может узнать информацию практически о любом другом клиенте.

Эффективно ли в этих условиях соглашение о конфиденциальности, обязывающее клиентов не раскрывать "сведения о коммерческой деятельности" с ними самими? Конечно же, нет - оно лишь приведет к тому, что сама "сбытовая контора" попадет в "закрытый список" тусовки (чтобы не узнала, что ее коммерческая тайна есть секрет полишинеля). Как же тогда быть сотрудником этой "конторы", который, увольняясь, уносит самую "вкусную", дающую 70% прибыли часть этой самой "базы", в голове? К сожалению, и здесь соглашение о конфиденциальности, обязывающее сотрудника не раскрывать "клиентскую базу", неэффективно. В принципе, проблемы у "сбытовой конторы" могут появиться только тогда, когда уволившийся сотрудник придет работать к конкуренту. Но ведь не пропишешь в соглашении, кому можно говорить, а кому нельзя. Доказать коммерческую выгоду от использования этой информации так же невозможно - формально печати и ключи от сейфов сданы, грифованные документы уничтожены по акту, а в голову сотруднику не залезешь и память не сотрешь.

По объективным причинам, далеко не каждая "конфиденциальная информация", которую ее обладателю хотелось бы защитить, на самом деле является таковой. В связи с повсеместной "интернетизацией", бешеной популярностью социальных сетей, распространением мобильных устройств и набирающих обороты облачных технологий, все больше и больше информации перетекает в категорию "условно-конфиденциальной" - ту, что "могут знать все, кроме". Обеспечить ее конфиденциальность практически невозможно, так как границы "закрытого списка" в этой конструкции размыты, а потому контролировать соблюдение этого списка весьма и весьма проблематично.

В таких условиях и гражданину, и бизнесу, и государству, обезопасить себя от раскрытия тайн и коммерческих секретов можно, лишь приняв выражение "любая информация может быть разглашена" за аксиому, и вести свою деятельность в условиях всеобщей информационной открытости. Конечно, конфиденциальная информация никуда не денется - вот только перечень ее станет гораздо меньше, и войдут в него конкретные "ценные вещи", вроде формулы X5 известной газировки. Нынешний "безопасник", усердно защищающий владельцев от их собственной информации, должен эволюционировать в инфо-менеджера, способного оценить важность информации для ее владельца, определить срок, в течение которого информация способна сохранять свою условную конфиденциальность в определенном кругу лиц, заранее продумать компенсирующие меры и реализовать их в прогнозируемый момент ее неизбежного разглашения.

Нынешние же ИТ-шники, вследствие встраивания защитных механизмов в функционал практически любого ИТ-продукта, должны эволюционировать в ИТ-безопасников, чему они сейчас яростно сопротивляются. Да и сами "безопасники", и бизнес, и законодательство, и государство ко всему этому не готовы. А потому, традиционно, мы идем по пути "защищай все - потом разберемся", принимаем глупые законы и вываливаем кучу денег на защиту всем известных и (или) никому не нужных секретов, стремительно превращаясь в огромных монстроподобных существ, обреченных и обрекающих на вымирание тех, ради кого, собственно, все и делается.

Комментариев нет :

Отправить комментарий