На прошлой неделе стало известно о том, что мессенджер Slack предоставит корпоративным подписчикам возможность читать все сообщения команды, в том числе написанные в личных и секретных чатах. Компании читают переписку сотрудников и сейчас, используя для этого DLP-решения. Это технологии предотвращения утечки информации, с их помощью можно следить за тем, чем занимается человек, а также автоматически анализировать его переписку по ключевым словам. The Village узнал у эксперта по информационной безопасности, какие чаты может легко прочитать начальник, законно ли это и где можно вести конфиденциальные беседы.

Как компании читают переписку сотрудников?


Кирилл Керценбаум

директор по развитию бизнеса Group-IB

Есть несколько технических способов отследить переписку сотрудников в офисе. Например, с помощью установки специального агента на каждую рабочую станцию. Он может встраиваться в браузер или само приложение чата или же перехватывать и расшифровывать трафик на уровне сетевого оборудования. И тот и другой способ означает использование так называемой техники Man-in-the-middle («человек посередине»).

Некоторые службы обмена сообщениями, хранящие историю переписки локально, например Skype for Business, позволяют IT-службе просматривать логи сообщений без установки дополнительного ПО. Перехват трафика социальных сетей и служб обмена мгновенными сообщениями, в частности веб-версии мессенджера Telegram, доступен в некоторых DLP-решениях.

Какие сообщения прочитать труднее?

Перехватывать информацию со смартфонов сложнее. На Android тоже можно установить специальный DLP-агент, но если устройство принадлежит сотруднику, а не компании, то сделать это легально можно только с его согласия. Установить такую программу на iOS-платформу, если устройство не было взломано (jail break), невозможно.

Доступ к переписке легальным способом нельзя получить на любой платформе, где используется сквозное шифрование. Это относится к мобильным мессенджерам WhatsApp, Telegram и Viber. Но опять же в случае использования веб-версии Telegram доступ к текущей переписке возможен. Также стоит помнить о том, что большинство сервисов обмена сообщениями позволяет хранить или архивировать историю сообщений локально или в облачные сервисы, в частности Apple iCloud или Google Drive. Получив доступ к этим архивам, можно прочесть историю переписки конкретного человека. Но это скорее может сделать кибепреступник, а не работодатель, так как это нелегально.

Законно ли это?

Законодательство на это смотрит двояко, в частности судебная практика в России имеет примеры, когда суды вставали и на сторону работодателя, и на сторону сотрудника. Самый надежный способ избежать судебных претензий — прописывать эту возможность в трудовом договоре и получать явное согласие сотрудника на доступ в случае необходимости к его служебной переписке. При этом следить за личной перепиской работодатель не имеет права.

Очень важно отметить, что такое согласие дает работодателю право на автоматизированный контроль переписки по ключевым словам, но не тотальный контроль всех сообщений и их ручную обработку. Суд может это истолковать как нарушение права на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений (статья 23 Конституции России).

Есть страны, в частности Германия, где работодателю законодательно запрещено мониторить любую переписку, даже служебную, даже если сотрудник дает на это согласие в трудовом договоре. То или иное сообщение можно прочитать только с разрешения работника и при его содействии.

Где лучше вести переписку, чтобы сохранить ее в секрете от начальства?

Переписку нужно вести с личных мобильных устройств и только с использованием сервисов, которые используют сквозное шифрование, в частности Telegram, WhatsApp, Viber. Также лучше это делать, не подключаюсь к корпоративной Wi-Fi-сети.

Чтобы защитить переписку от доступа третьей стороны, в том числе хакеров, лучше использовать секретные или приватные чаты. Во-первых, в них обычно есть дополнительный слой шифрования. Кроме того, их история не сохраняется ни на устройстве, ни на серверах провайдера сервиса, ни в резервных копиях.