Социальные сети и корпоративная безопасность: Нужно ли разрешать сотрудникам пользоваться социальными сетями

Социальные сети стали неотъемлемой частью современного облика Интернета, что не могло обойти стороной и корпоративный сектор. Многие видят в этом новый инструмент маркетинга, взаимодействия с клиентами и потенциальными потребителями своих товаров и услуг, а также налаживания надежных деловых отношений. 
Довольно распространенным стало явление использования корпоративным сектором социальных сетей для распространения сведений о своих товарах или услугах с использованием техник вирусного маркетинга.
Но как часто это бывает с возникновением новых возможностей, возникают и новые угрозы.

Может запретить? 

Некоторые компании, бизнес-процессы которых не предполагают использования социальных сетей, предпринимают меры программного ограничения доступа к соответствующим ресурсам сети Интернет. Но даже в этих условиях, и даже неопытные пользователи находят пути обхода реализованных ограничений, используя различные прокси-сервера, сайты-зеркала или анонимайзеры, а есть ведь и более продвинутые средства обхода подобных запретов например TOR. 

Найти в Интернете инструкцию о том, как это сделать, не составит труда и не потребует высокой квалификации. Стоит отметить, что попытки обойти установленные ограничения могут привести к тому, что пользователь станет жертвой злоумышленника, использую сомнительный софт или сайт-посредник, и тем самым еще в большей степени повлиять на снижение защищенности корпоративной безопасности.
Но несмотря на существующие запреты, мы продолжаем наблюдать рост трафика, связанного с доступом к социальным сетям из офиса. Например, исследования компании Palo Alto Networks показали, что использование Twitter увеличивается в год на 700 % в том числе и за счет использования на рабочих местах. 

Какие риски несут социальные сети

Для корпоративного сектора чаще всего представляется, что использование социальных сетей в первую очередь связано с риском траты рабочего времени, не на достижение результата в интересах работодателя, а в личных целях. 
И как показывают исследования эта проблема достаточно значительна. Ведомости со ссылкой на The Financial Times приводят цифру - 1,4 млрд фунтов, именно в такую сумму обходится британским компаниям сидение сотрудников в социальных сетях. 

В России всего скорее дела обстоят не лучше, Ведомости со ссылкой на исследование Kelly Services пишут о том, что у россиян показатель использования интернета в личных целях самый высокий в Европе.
Социальные сети стали объектом интересов злоумышленников, как удобная среда для сбора данных о корпоративном сегменте методом социальной инженерии. В любой системе всегда самым уязвимым звеном является её пользователь, в связи с чем он зачастую неумышленно становится источником раскрытия сведений о компании, которые в дальнейшем могут быть использованы злоумышленниками. Метод социальной инженерии является одним из основных принципов, на котором строятся APT (advanced persistent threat) атаки.

Одной из важных проблем является повышенный уровень доверия пользователей социальных сетей к данным, которые они получают от своих «друзей» и предполагают, что полученные данные отправлены исключительно по личной инициативе человека, им известного, и тем самым эти данные не могут нанести вред. Злоумышленникам это известно, и они, получив доступ к аккаунту произвольного пользователя, осуществляют рассылку друзьям данного пользователя сообщений, содержащих вредоносные ссылки, или публикуют от имени пользователя вредоносные ссылки на стенах в социальной сети. Переход по такой ссылке может стать причиной заражения рабочего компьютера сотрудника вредоносным программным обеспечением с дальнейшим его распространением по корпоративной сети.

Продолжая рассматривать вероятные угрозы корпоративному сегменту, которые могут нести социальные сети, хотелось бы отметить атаки злоумышленников, при которых они направляют в адрес пользователя письмо, оформленное аналогично формату используемой им социальной сети. Такое сообщение может содержать, например, сведения о предложении стать друзьями от привлекательной девушки. Пользователь попытается нажать на «дружить» или на иную ссылку. Но при этом любая ссылка будет содержать адрес вредоносного сайта. Такой метод атаки называют фишингом.

Немаловажными являются вопросы этики поведения пользователя в социальной сети, в том числе его высказывания, касающиеся работодателя. Любые отправленные сообщения или статусы, содержащие информацию, связанную с компанией, ее продукцией или руководителями, может довольно быстро стать общедоступной и опубликованной множеством других пользователей социальной сети.

Удалить такую информацию уже невозможно, но при этом она может очень сильно повлиять на репутацию компании. Не редки случаи, когда пользователи социальной сети неумышленно становятся источником утечки конфиденциальной информации, размещая различного рода контент, в том числе фотографии и видео. Например, сотрудник разместил на своей странице свою фотографию, сделанную за его рабочим местом, но при детальном рассмотрении фотографии можно обнаружить на столе лежащие конфиденциальные документы, которые можно прочитать при высоком разрешении сделанного снимка.

При таком многообразии вероятных угроз для корпоративного сектора, связанных с социальными сетями, возникает очевидный вопрос: а как от всего этого максимально эффективно защититься? Некоторые выбирают метод полного запрета доступа к социальным сетям. Но такой метод, как было описано выше, не всегда приносит результат, а также сказывается на невозможности использования этого активно растущего сегмента сети Интернет, например, в маркетинговых целях. А в условиях изменяющейся модели организации рабочего процесса, где все чаще работа осуществляется вне офиса или используется концепция  BYOD (Bring your own device), такие кардинальные меры запрета демонстрируют свою неэффективность.

Другим вариантом является осуществление контроля использования пользователями социальных сетей. Для решения задач такого класса зачастую внедряются  DLP-решения и специальные прокси-сервера. Стоит отметить, что такие меры в первую очередь эффективны от угроз со стороны внутренних нарушителей, умышленно совершающих передачу с использованием социальных сетей сведений конфиденциального характера. Но такие решения не защитят от неумышленного распространения сотрудниками конфиденциальных или компрометирующих сведений об организации, находясь за пределами офиса, а также заражения вредоносным программным обеспечением корпоративных мобильных устройств, используемых вне офиса.

Важно не забывать что значение имеет не только что пишут ваши сотрудники, но и то что пишут про вас. 
Компании Audience и Sarepta суммарно понесли убытки на 1,6 млн. долларов из-за фальшивых сообщений в Twitter. Это наверное самый вопиющий случай когда компания понесла столь серьезные финансовые потери.
Два примера, уже от российских компаний, Рокетбанка и Мегаплана в результате которых было принято решения прекратить работу с клиентами допускающими некорректные высказывания в адрес  компании или ее сотрудников с социальных сетях. 

Регулирование использования социальных сетей 

В связи с вышеизложенным предлагается одним из первоочередных мероприятий считать обязательное повышение осведомленности сотрудников о возможных угрозах, которые может представлять для компании социальная сеть, а также последствиях их реализации. 

Большинство инцидентов, происходящих при использовании сотрудниками в корпоративном секторе социальных сетей, связано именно с их неумышленными действиями из-за недостаточного уровня компетентности в вопросах информационной безопасности, незнания правил поведения в социальных сетях, а также с отсутствием мотивации у сотрудников следовать этим правилам. Однако несмотря на неумышленность таких действий, они могу нанести значительный ущерб. 

Поэтому информирование сотрудников о правилах поведения в социальных сетях, регулирование и контроль со стороны работодателя, будут являются пожалуй самой эффективной защитой.
По этому пути идет множество компаний, одой из самых широко обсуждаемых в последнее время стала радиостанция Эхо Москвы.  

После инцидента с твитом Плющева, радиостанция ввела правила поведения в социальных сетях для своих сотрудников. Вот их итоговая редакция. А вот  предварительная более подробная. 
Если отбросить политический контекст этой истории, можно увидеть что требование следовать правилам поведения в социальных сетях отнюдь не редкость, в том числе и для европейских компаний. 
Вот правила поведения в социальных сетях от британской корпорации BBC. А вот достаточно объемные рекомендации для политиков и их помощников, для работы с Twitter. 

Выводы

Подводя итог, хочется сказать что взаимодействие с социальными сетями в вашей компании существует, вне зависимости от вашего желания. 
Вы можете превратить его как в мощный маркетинговый инструмент, так поступить как Герхард Ворстер, директор по стратегии австралийского офиса Deloitte.      
Который сократил правила использования социальных сетей до трех слов: - Предоставь возможность и доверяй. Главное не позволяйте использовать социальные сети против вас.

Полезные материалы по теме:

•   Аудит трудового договора службой безопасности или как получить самый выгодный для работодателя договор
•   Почему в кризис отсутствие системы учета рабочего времени сотрудников может разорить вашу компанию

Ну, и самое важное — ваше мнение

Ничто так сильно не мотивирует меня писать новые статьи как ваша оценка, если оценка хорошая я пилю статьи дальше, если отрицательная думаю, как улучшить эту статью. Но, без вашей оценки, у меня нет самого ценного для меня - обратной связи от вас. Не сочтите за труд, выберете от 1 до 5 звезд, я старался.