Как защитить данные, если ваши сотрудники работают удалённо

В нашей компании все сотрудники работают удалённо. Для веб-студии это самая удобная схема, но у неё есть один существенный минус: некоторые заказчики переживают насчёт безопасности передачи данных и обмена информацией.

Чаще всего вопросы возникают у двух категорий клиентов. Первая — компании, у которых больше тысячи сотрудников. Наверняка там есть служба безопасности, и наверняка вы ей не понравитесь. Вторая — среди клиентов вашего заказчика, пускай даже небольшого, есть те, кто связан с государственной тайной или просто потребовал строгого NDA. Просто так поработать с таким клиентом вы не сможете.

Однако, если подойти к делу грамотно, убедить и успокоить можно даже самых требовательных. У нас это получилось с такими строгими заказчиками, как Тинькофф-банк, Альфа-банк и «Лаборатория Касперского». И мы вовсе не обещали им регулярно делать скриншоты рабочего стола каждого сотрудника или заставлять их подписывать расстрельные NDA.

Подписывайте разумный NDA

Начните с работы «вбелую». Это фундамент, на котором стоит безопасность любой компании. Если вдруг сотрудник украдёт и передаст любую конфиденциальную информацию, то без ранее подписанных документов его будет практически невозможно привлечь к ответственности.

Увы, стандартный трудовой договор обычно содержит довольно общие формулировки в части неразглашения конфиденциальной информации. Но его можно дополнить грамотным NDA. Этих двух документов достаточно, но важно прописывать в них всё максимально подробно, так как даже в Гражданском кодексе не найти чётких формулировок о том, что считается конфиденциальной информацией.

Допустим, мы не хотим, чтобы информация о зарплатах или ценах проектов была известна вне компании. Пишем об этом так: «Я обязуюсь не раскрывать никакую информацию о проектах CSSSR, в том числе информацию о бюджетах проектов, сведения о зарплатах сотрудников, а также любую другую информацию о заказчиках и сотрудниках CSSSR».

Последствия мы тоже прописываем отдельно. Например, указываем, что в случае разглашения или утраты конфиденциальной информации сотрудник обязуется возместить убытки компании в течение десяти рабочих дней после того, как этого потребовали. Убытки бизнеса — это документально подтверждённый урон, который нанёс сотрудник, разгласив определённую информацию. Размер компенсации определяет суд. Например, вы работаете с оператором X, который делает акцию к 8 Марта, — предлагает бонусы всем женщинам за переход от другого оператора. Ваш разработчик разглашает эту информацию оператору Y, который в итоге делает аналогичную акцию, но раньше. В таком случае убытки можно посчитать и задокументировать — оператор X смотрит на отток от себя к оператору Y и просит суд это компенсировать.

Мы отказались от идеи фиксированных штрафов, потому что это отпугивает новых сотрудников. Все понимают, что при желании работодатель может повесить на сотрудника крупный штраф при разглашении чего угодно. У нас был опыт с клиентами, которые разрабатывали ПО для промышленных предприятий и предлагали подписать договор с миллионными штрафами за каждое нарушение. А они могут звучать как «разглашение используемых технологий» — такие фразы запрещают даже назвать вслух язык программирования, который используется на проекте.

Заключать отдельные NDA с сотрудниками под каждого клиента нет смысла — нужен универсальный текст, который подходит для всех. Мы написали свою версию простым человеческим языком, чтобы сотрудникам легко было понять, что от них требуется. Мы не скрываем текст нашего NDA, скачивайте и пользуйтесь на здоровье.

Используйте корпоративный VPN

Удалённая работа с большинством клиентов, которым есть что скрывать, у нас идёт через корпоративную VPN-сеть. Это техническая мера безопасности, которая сразу разграничивает ответственность и распределяет риски. С VPN клиент выбирает, к каким ресурсам компании мы имеем доступ, и может постоянно отслеживать активность каждого сотрудника.

VPN-сеть разворачивает на своих серверах клиент — и, если он сам не предлагает это сделать, нужно ему напомнить. У одного нашего клиента был настроен VPN из-за всего одного сотрудника. Он давно прошёл все согласования со службой безопасности и настроил VPN для самого себя, чтобы иногда работать из дома и иметь доступ к сайту. Мы узнали об этом случайно и, благодаря настроенному VPN, сразу после подписания договора смогли начать работать.

Иногда заказчики предлагают суровый вариант — работу через окружение, которое развёрнуто прямо у клиента на сервере. Это похоже на работу через удалённый рабочий стол: всё тормозит, а внезапное отключение от интернета приводит к тому, что написанный до последнего сохранения код пропадёт. Так что лучше не соглашайтесь.

Указывайте на абсурдность требований

Многие осторожные клиенты хотят, чтобы у подрядчиков всё равно был офис, даже если сотрудники в работают удалённо. Причём он должен находиться недалеко от офиса заказчика, чтобы клиентский сисадмин мог легко приехать и настроить у подрядчика Wi-Fi-сеть по их стандартам.

Службу безопасности можно понять: если у человека установлены логин и пароль на роутере вида admin admin, то перехватить трафик очень легко. Но для этого нужно физически находиться рядом с роутером. Поэтому при таких запросах мы обычно предлагаем настройщикам приехать к каждому из десятков наших разработчиков, которые живут по всему миру — в Таиланде, Берлине и только в лучшем случае в Москве или Петербурге. Обычно такое предложение позволяет по-новому взглянуть на проблему и найти компромисс даже с самой требовательной службой безопасности.

Проблема в том, что для службы безопасности удалённые сотрудники — это те, кто сидит в офисе, просто в другом. В нашем случае офиса нет вовсе, и приходится объяснять специфику.

Не бойтесь суда

Если к вам приходят с претензией, что команда слила важную информацию, то не следует паниковать. Проводите своё расследование, собирайте все нужные документы и делайте экспертизу. Имейте в виду, что такое дело может тянуться в судах несколько лет. И ещё — в 90% случаев из-за разглашения конфиденциальных данных судятся не две организации, а компания и сотрудник. А разборки за разглашение информации между компаниями — это чаще повод для затяжного пиара в СМИ.

Помните: нет никаких мифических отличий офиса от удалёнки

И это важно донести до всех. Ни для клиентов, ни для сотрудников никакой разницы нет, если правила едины: официальное оформление, договор, NDA с сотрудниками, работа в VPN, чекины в Slack о приходе и уходе с работы и другие.

Не ударяйтесь в паранойю. Любой адекватный клиент, который работает с конфиденциальной информацией, знает, как её защитить и грамотно передать часть задач на аутсорс. А даже если не знает, ваша задача на старте — объяснить ему, как это сделать правильно. Интересно, что человек, с которым вы начинаете общение о проекте в крупной компании, может быть очень открытым и ненавидеть бюрократию. Но юристы и служба безопасности быстро отрежут ему крылья. Ваша задача — вместе с ним найти решение, которое устроит все стороны.

Вопрос в том, как найти баланс между адекватностью и безопасностью. Но этой проблемы, наверное, нет только на атомных электростанциях. Так что, если вы работаете на АЭС, пожалуйста, забудьте обо всём, что я только что рассказала.

Фотография на обложке: Gonzalo Fuentes / Reuters