Конфіденційні документи розсилаються без захисту #безпека #СЕД #ECMJ
Сьогодні близько третини від загальної кількості співробітників компаній розсилають документи, що містять конфіденційну інформацію, без застосування необхідних заходів захисту. Такий висновок містить дослідження компанії InvisiViewmedia.com. В Україні показники приблизно такі самі.
Опитування українських вендорів СЕД, проведене CNews, показало, що зазначені у дослідженні InvisiViewmedia.com актуальні і для вітчизняних компаній. «Можна з упевненістю сказати, що конфіденційна інформація більшості українських комерційних організацій передається незахищеними каналами. Ризик крадіжки конфіденційних документів серйозно сприймається дуже малою кількістю компаній», - кажеАндрій Трещук, заступник виконавчого директора компанії Terralink. Він вважає, що ECM-системи однозначно можуть допомогти у вирішенні завдання обмеження поширення конфіденційної інформації, насамперед, за рахунок обмеження доступності конфіденційних документів усередині організації. «Організація може заборонити працювати з конфіденційними документами поза системами управління документами, а також надсилати копії таких документів електронною поштою (тільки посилання)», - пояснює пан Трещук. «Рисками завжди нехтують і при цьому завжди недооцінюють їх. Ми проводили оцінки – економія від зниження ризиків у частці фінансового ефекту від впровадження ECM-системи часто може зрівнятися з економією від оптимізації процесів. Ризик витоку інформації документа та його доступності небажаним особам хоч і не найсуттєвіший у нашому списку, але досить відчутний », - зауважуєМаксим Галімов, директор з перспективних досліджень компанії Directum. Тим не менш, основні втрати все-таки відбуваються,за його словами, не від використання незахищених каналів зв'язку при передачі документа на бік, а через внутрішні витоки та елементарну безладність: інформація документа, що знаходиться поза периметром ECM-системи (вивантаженого на локальні диски, роздрукованого, а іноді й залишеного в лотку принтера , відправленого поштою (колегу), вже перебуває під загрозою. «ECM-система знижує ризики за рахунок того, що, по-перше, забезпечує захищене зберігання документа, по-друге, пропонує проводити більшу частину спільної роботи над документом без винесення його за межі захищеного середовища. Якщо культура узгодження, обміну документами в електронному вигляді в рамках ECM-системи приймається організацією, то безпека документообігу суттєво підвищується. Наступним кроком, очевидно, має стати захищений міжкорпоративний обмін електронними документами», - зазначає фахівець. За словами начальника відділу маркетингу компанії ЕОСОлени Іванової, в Україні історично та діловодство було розвинене ширше, і ставлення до конфіденційних документів склалося інакше, ніж за кордоном. «В Україні і люди, і компанії відповідно набагато більше уваги приділяють збереженню та забезпеченню конфіденційності. Інша річ, що при цьому розумінні не вистачає знань та умінь у використанні наявних технологічних та програмних засобів, тобто люди розуміють, що захищати (документи — прим. CNews) треба, а застосовувати спеціальне ПЗ не можуть або не хочуть», – зауважує вона. Пані Іванова висловлює сподівання, що з поширенням та ширшим використанням СЕД культура поводження з такими документами зміниться. «Люди, працюючи в СЕД навчатися користуватися та засобами захищеного пересилання електронних документів, оскільки це буде частиною звичної системи, в якійвони працюють. Зараз, оскільки СЕД запроваджено у дуже невеликій кількості підприємств, якщо брати масштаби всієї України, то й культури роботи у людей з електронними документами немає або вона нерозвинена. У більшості СЕД реалізовано функціональність пересилання та роботи з конфіденційними документами, тому працювати з ними у звичному робочому середовищі СЕД людям буде легше і інакше вони вже не зможуть відпрацювати такі документи».
У компанії DocsVision CNews розповіли, що використання систем електронного документообігу безумовно змінює культуру поводження з документами, у тому числі й у частині підтримки їхньої конфіденційності, але технічні засоби СЕДО ще більше сприяють підтримці конфіденційності. «Те, що неможливо забрати із системи на локальний комп'ютер, то неможливо і надсилати незахищеною комунікацією. Все це працювало б чудово, якби базовим підходом до управління доступом у багатьох СЕД не була б дискреційна модель управління доступом (що вимагає прямого або успадкованого вказівки прав доступу кожного користувача стосовно кожного документа)», - пояснюєСергій Кур'янов, директор з розвитку DocsVision. «Дискреційна модель успадкована СЕД з операційних систем, що управляють з її допомогою доступом до папок і файлів, що розділяються. Дискреційна безпека недостатньо керована, у ній дуже важко формулювати та підтримувати політики доступу, особливо контекстні. Тому дуже часто її просто не використовують зовсім, посилаючись на те, що ризик крадіжки документа дуже низький», - продовжує він. У той же час, як зазначає експерт, MOREQ рекомендує підхід на основі мандатної безпеки, в якому рівню конфіденційності документа зіставляється рівень допуску працівника. На думку експерта,Мандатна модель набагато краще керована, її легше застосовувати та використовувати. «Ще більше можливостей відкриває рольова модель управління доступом, орієнтована на контекст, і що дозволяє формулювати політики виду«співробітник, якому доручено підготовку проекту документа, має до нього повний доступ».Поєднання мандатної та рольової моделей управління доступом, а також журналювання дій користувача дозволяє будувати та керувати політиками безпеки, які не заважають людям працювати з документами, але сильно звужують можливості несанкціонованого доступу», - підсумовує він.