Впервые об этих исследованиях нашего агентства узнали участники ежегодной конференции "Актуальные вопросы информационной безопасности" в рамках четырнадцатой международной выставки индустрии безопасности "БЕЗПЕКА", темой моего доклада и была эта тема: "Вопросы информационной безопасности при приеме персонала на работу".

Как возникла идея практических исследований?


Летом мы стали страдать от нехватки информации да и высвободилось время. На основе онлайновых опросов и маркетинговых исследованиях стало как-то пресно. Вот и потянуло на приключения. Скажу честно, поначалу было просто и спокойно, но на последнем исследовании стало страшновато... мало ли как отреагируют "обиженные" работодатели.

О промашках и неудачах, а равно и об утечке информации не станет распространяться ни одна компания, это понятно... но как же узнать об уровне подготовленности компании к информационной безопасности при приеме на работу реально и субъективно? Подобными проблемами не станет делиться ни одна компания из соображений той же безопасности и огласки своей возможной несостоятельности, а это и подрыв авторитета на рынке и бизнеса в целом.

Что делать? Идти на собеседование и наниматься на работу. Да, видимо более доступных путей пока не существует или как в восточной поговорке говорится - "Если гора не идет к Магомету то Магомет идет ... к работодателю".

Были отобраны различные вакансии, от системного администратора до садовника, от солидного издательства и до загородного особняка одного из учредителей известной корпорации. Безусловно я не стану озвучивать информацию об этих людях и их уважаемых компаниях, уверен, что они и сами узнают себя в публикации и, возможно, примут соответствующие меры, а так же (возможно) не будут повторять эти грубейшие ошибки при приеме персонала на работу.

На вышеупомянутой конференции возник вопрос о законности этих исследований. Вопрос уместен и не так прост, как кажется на самом деле. С одной стороны, нет ничего противозаконного в побуждении пройти собеседование, разместить резюме и пр., пусть даже без явных целей на дальнейшее трудоустройство. Об этом в Законе ничего не говорится, но говорится о другом, - "Свобода человека - это возможность человека действовать по своему усмотрению согласно своим интересам и цели". А это значит, что человек имеет право совершать все не запрещенные законом действия, направленные на реализацию этого личного не имущественного права. Однако право на свободу не следует рассматривать как закрепленную законом вседозволенность или своеволие.

Переходим к конкретике, No comment...

Говоря о вседозволенности и доступности к информации, которая должна была быть закрытой или недоступной на некоторое время для нового сотрудника, то есть, для наших "агентов" и меня, в том числе, - доходила до абсурда.



1. После итогового (повторного) собеседования, в первый же рабочий день, в одном из столичных рекламных агентств, наш "агент" получил доступ к базе данных всех активных заказчиков компании с подробным описанием истории деловой переписки. Как говорится, No comment.

2. После первого же удачного собеседования в киевском издательстве, по просьбе нашего "агента" показать структуру управления корпоративного сайта (CMS), был открыто предоставлен список логинов и паролей на все сайты издательства. При этом список с паролями, свободный доступ в локальную сеть и Интернет был предоставлен без явного визуального контроля на 15 минут!

- Теперь подумайте, что можно утворить за эти 15 минут как с локальной сетью с админского компьютера, так и с передачей в сеть Интернет? Всего что угодно! Ну не тупость ли... начиная от руководителя издательства, менеджера по HR и заканчивая сисадмином, как оказалось с которым можно договориться и о других услугах на перекуре.

Через неделю проверил доступ на основной сайт издательства, где находилось более трех тысяч подписчиков и около сотни заказчиков - пароль не сменили, его не трудно было запомнить, он был примерно такого содержания WWW0987654321 - No comment.

3. Особо удачливым был "агент-садовник", который был принят на работу без особых проверок, хотя его резюме было с указанием настоящего имени и фамилии, при этом их было несколько - резюме "Программиста" и резюме "Садовник", на одном и том же сайте по трудоустройству. Начну по порядку. Нашего "агента" пригласили на собеседование в одну из крупных корпораций, в качестве "Садовника частного дома" для шефа. Встретила "агента" у входа в офис секретарь-референт и провела в переговорную на собеседование со словами: "Как хорошо, что вы без вредных привычек, а то шефу это так надоело, все пьющие попадаются". Немного погодя появился и начальник службы безопасности с сотрудником охраны.

Как сообщил наш "агент", вопросы были правильными и нужными. Видимо та информация, которая была записана сотрудником охраны для проверки личности, осталась только на бумаге, её никто не проверял. В первый же день "агент-садовник" получил неограниченную свободу передвижения по дому, в результате чего можно было воспользоваться хозяйским ноутбуком, оставленным без присмотра на кухонном столе.

К слову, хозяин коттеджа (он же работодатель), самостоятельно ввел все пароли, тем самым открыв доступ к своей документации, банкингу и пр. информации, которая особо нуждается в защите персональных данных. Мало того, пригласив садовника для оглашения задания на день, не закрывая доступ к самому сокровенному - ушел в спальню на второй этаж, где пробыл 10 минут! Как же, зачем же... это ведь садовник:), что он может?!

Делайте выводы: если кому нужно, могу предоставить полный пакет сопроводительных документов для служб безопасности. Что бы потом не с битой бегать за негодяями, а было что показать и в суде, ну и сотрудников ввести в курс "Положения о коммерческой тайне и иной конфиденциальной информации".