По мере роста ценности данных, накопленных предприятиями, у посторонних лиц возрастает интерес к их получению, присвоению и ненадлежащему использованию. Несмотря на такую опасность, многие организации все чаще привлекают для обработки информации сторонних — аффилированных или независимых — поставщиков услуг, в том числе и из других стран.

При передаче работ на аутсорсинг в офшорную компанию часто приходится перемещать через границы большие объемы внутренней и конфиденциальной информации. Компанию-подрядчика следует выбирать с особой тщательностью, ведь ей вверяются ключевые бизнес-функции и критически важные данные, которые ни в коем случае не должны быть скомпрометированы, повреждены, потеряны или использованы вопреки законам страны заказчика или подрядчика. Рассмотрим существенные проблемы и механизмы обеспечения безопасности, на которые следует обращать внимание при организации аутсорсинга.

Кошмар аутсорсинга

Кэтрин Бардсвик, генеральный директор канадской страховой компании Co-operators Group, 30 января 2003 года принесла публичные извинения за нарушение информационной безопасности. Это было сделано при отсутствии прямой вины Co-operators, поскольку утечка личных данных произошла у поставщика услуг аутсорсинга, а соответствующая система защиты данных прежде оценивалась очень высоко [1]. Широкое освещение в средствах массовой информации извинений Бардсвик было обусловлено огромным числом пострадавших и высокой степенью потенциального ущерба [2].

Дело в том, что 23 января 2003 года Information Systems Management (ISM), дочерняя фирма канадского отделения IBM, и крупный канадская компания-аутсорсер, уведомила Co-operators Life Insurance о следующем: компьютерный жесткий диск с конфиденциальной информацией более чем о 1 млн. клиентов исчез из охраняемой зоны здания ISM в городе Реджина (Канада). Помимо данных о клиентах Co-operators (информация о страховании жизни, сведения Пенсионного фонда, номера карточек социального и медицинского страхования) на диске хранились учетные данные более чем 43 тыс. коммерческих организаций провинции Манитоба, а также телефонных абонентов и потребителей электроэнергии в провинции Саскачеван. В Co-operators опасались, что за этим последует самое худшее — злонамеренное использование утраченной информации.

Компания провела образцовые мероприятия по ликвидации последствий инцидента, чтобы защитить клиентов, а заодно и себя. Она выявила пострадавших и, во избежание дезинформации, отправила каждому из них разъяснительное письмо. Был организован центр контактов с бесплатными телефонными линиями для ответов на вопросы, а кроме того, разъяснения разместили на Web-сайте компании. Руководство Co-operators установило тесный контакт с кредитными бюро, чтобы помочь клиентам ввести в их кредитные досье предупреждения о возможном мошенничестве. В одном из бюро даже были выделены специальные телефонные линии для обслуживания пострадавших.

Этот кошмар аутсорсинга имел счастливое окончание, поскольку информация не была использована «по назначению»: полиция города Реджина арестовала злоумышленника и возвратила украденный диск. Оказалось, преступника больше интересовал сам диск, чем записанные на нем данные.

Элементы стратегии

Инцидент в Co-operators Group показал, что несчастья случаются у подрядчиков, даже находящихся в пределах одной страны с клиентом. Географически удаленный аутсорсинг может создать еще больше угроз. Мы все чаще слышим о нарушениях безопасности (скажем, такие случаи недавно произошли в компании ChoicePoint и банке Bank of America), а компании стремятся выполнять новые законодательные требования к оценке и сертификации внутренних процедур контроля, поэтому в любом соглашении об аутсорсинге данных стандарты безопасности должны получить один из наивысших приоритетов.

Как предостерегают контролирующие органы, «руководители, отдающие какие-либо функции на аутсорсинг стороннему поставщику услуг, отвечают за контроль над этими функциями» (www.sec.gov/info/ accountants/controlfaq0604.htm). На основе тщательного планирования заказчику необходимо создать стратегию аутсорсинга, неотъемлемой составной частью которой должно стать соглашение о защите данных (data protection agreement, DPA).

Риски

При передаче бизнес-функций на аутсорсинг следует тщательно оценивать угрозы, связанные с передачей посторонним лицам проприетарных или личных данных, и ясно понимать все последствия этого. К существенным рискам относятся:

  • разглашение, неправомочный доступ к информации, потеря целостности данных из-за неадекватной защиты оборудования;
  • потеря доступности или целостности данных из-за отсутствия или неадекватности политик и процедур, обеспечивающих непрерывность деловых операций или восстановление после сбоев;
  • неправомочное разглашение информации из-за неадекватного подбора персонала, приводящее (в исключительных случаях) к вымогательству, мошенничеству или террористическим актам;
  • разглашение или неправомочный доступ к информации в результате официального либо неофициального вмешательства государственных органов (например, запросов от органов правопорядка или национальной безопасности, экономический или политический шпионаж).

Существенные юридические риски, являющиеся следствием угроз для безопасности, включают в себя нарушение законов о защите данных и интеллектуальной собственности (разглашение внутренней информации посторонним лицам), правил экспортного контроля и торговли стратегическими материалами, а также законодательных актов, требующих уведомления индивидуумов о нарушении безопасности.

Организационные нормы

При оценке потенциальных подрядчиков заказчик должен убедиться в том, что кандидаты ясно понимают наиболее важные задачи. Последние следует представить в количественной форме или определить в терминах ключевых показателей эффективности (key performance indicator, KPI). Предпосылкой к определению показателей KPI является оценка, показывающая, сможет ли кандидат достичь нужного уровня безопасности и не подвергать заказчика неприемлемым рискам. Заказчику не следует требовать лишнего, перегружая себя информацией, на тщательный контроль над которой у него попросту нет времени [3]. Так, в США государственные организации, выступающие в роли заказчиков, должны требовать регулярного отчета о финансовом положении подрядчика работ в области безопасности (и, следовательно, его процедур внутреннего контроля), поскольку любое такое изменение они должны отражать в своих квартальных и годовых отчетах.

Показатели KPI иногда сравнивают с обычными индикаторами на приборной панели автомобиля [3], но это слишком упрощенный взгляд на проблемы большинства корпоративных заказчиков. Такая аналогия почти не помогает осознать враждебность среды, в которой осуществляется аутсорсинг в эру цифровых технологий и Internet (особенно с учетом того, что предприятия сталкиваются с корпоративным шпионажем и внутренним предательством даже без участия в их бизнесе внешних подрядчиков). Лучше провести аналогию с центральным постом управления подводной лодкой, в котором находятся старшие офицеры, тщательно контролирующие происшествия на борту и внешние опасности. Данные о потенциальных угрозах поступают непрерывно, и офицеры не занимаются детальным сопровождением каждой обнаруженной «цели». Они полагаются на команду: когда уровень угрозы превысит определенные пределы, будет поднята тревога, и команда начнет выполнять маневры уклонения и принимать контрмеры.

Эта аналогия помогает уяснить и очень важные различия в организационных нормах, принятых у заказчика и подрядчика. Если вы намереваетесь отдать обработку конфиденциальных данных на аутсорсинг, скажем, канадской компании, то представьте, что ваши данные передаются с американской ядерной субмарины на канадскую подводную лодку. Канадская команда столь же озабочена проблемами защиты и не менее профессиональна, чем американская. Однако можно с уверенностью сказать, что при пожаре на своей лодке она будет действовать совершенно иначе, поскольку обучена совершенно другим процедурам ликвидации последствий инцидента.

Выдвижение таких процедур на первый план в соглашении об аутсорсинге критически важно для предотвращения ненужных и опасных недоразумений, которые могут стать результатом предполагаемого или фактического нарушения безопасности.

Лекарство против спонтанного планирования

Заказчикам и подрядчикам часто кажется, что при нарушении безопасности или в других кризисных ситуациях нужно выбирать: то ли занять выгодную правовую позицию, то ли совместно работать над минимизацией ущерба и ликвидацией его последствий. Этот подход часто становится следствием того, что соглашения о защите данных акцентируют внимание на возможности судебной защиты, а не на определении и координации процедур, позволяющих ликвидировать последствия инцидента у заказчика и подрядчика.

Когда компании и поставщики услуг самостоятельно разрабатывают свои планы действий в непредвиденных ситуациях, непременно возникают ошибки восприятия, взаимное непонимание и несогласованность именно в тот момент, когда их не должно быть. Обе организации должны оговорить наихудшие сценарии развития событий и обсудить, как обнаружить их ранние признаки, кого о них уведомить и как организовать взаимопомощь. Каждый из этих вопросов необходимо тщательно проработать перед включением в условия соглашения. Причем каждой из сторон не следует брать за основу предыдущие соглашения — из-за появления новых рисков и прогресса в управлении данными, они, вероятно, уже устарели.

Перед составлением соглашения о защите данных вспомните наблюдение Бернарда Шоу о «двух нациях, разделенных общим языком». Оно как нельзя лучше подходит к данному случаю, поскольку беспорядок при совместной ликвидации последствий инцидента достигается быстрее всего, если команды со сходными задачами вкладывают в одни и те же слова разный смысл.

Безопасность и культурные нормы

Заказчик не должен предполагать, что его нормы безопасности совпадают с нормами подрядчика: игнорирование культурных различий очень опасно. Без соответствующего обучения культурный риск (то есть ущерб от действий, обусловленных различиями в культурных нормах) может привести к угрозам безопасности и юридическим рискам. При выполнении своих обязанностей персонал подрядчика будет опираться либо на свою подготовку, либо на культурные традиции и обычаи. Сотрудник подрядчика может предпринять действия, которые воспринимаются им как вполне невинные, но входят в противоречие с законодательством страны заказчика. А сам заказчик узнает об их последствиях, лишь когда получит жалобу, запрос надзорной инстанции или повестку в суд.

Поскольку соглашение о защите данных не может детализировать культурные различия, заказчик должен настоять, а подрядчик — признать и понять, что за образец следует взять нормы обеспечения безопасности заказчика. Таким образом, заказчик и подрядчик должны установить рабочие стандарты, отражающие требования нормативной базы заказчика и гарантирующие, что культурные различия не нанесут ущерба безопасности данных заказчика.

Заказчик должен потребовать, чтобы подрядчик имел программы обучения сотрудников нормам секретности и обеспечения безопасности, которые должны применяться в их работе. Необходимо, чтобы эти нормы отражали признанные стандарты, такие как EU Data Protection Directive (www2.warwick.ac.uk/fac/soc/law/elj/ jilt/1996_1/special/directive), ISO 17799 (www.iso-17799.com) и т.п. Текучесть рабочей силы должна компенсироваться регулярностью обучения.

Предотвращение ошибок

Основная цель соглашения о защите данных состоит в документальном оформлении того, что подрядчик может и чего не может делать с информацией заказчика. Соглашение должно содержать положения, которые определяют использование таких сведений, доступ к ним, их разглашение, контроль над обеспечением безопасности, информированность и подготовку сотрудников, правила аудита, периодические оценки уязвимостей, действия при инцидентах, правовые нормы защиты данных в странах заказчика и подрядчика, выбор основного закона и юридические санкции за неисполнение любого положения.

Заказчику и подрядчику нужно разобраться в процедурах сбора, использования, хранения и уничтожения данных, предоставленных подрядчику, полученных от него или им созданных. Подрядчик должен получить право на строго ограниченное использование информации, а кроме того, доказать, что в его организации применяются средства контроля над доступом к данным и документам. В соглашении о защите данных нужно отобразить все это, а также запрет на разглашение подрядчиком конфиденциальной или личной информации при любых обстоятельствах, не оговоренных заказчиком. Заказчик должен убедиться в том, что потенциальный подрядчик способен осуществлять физический, процедурный и технический контроль над обеспечением безопасности, что он постоянно контролирует свои физические средства и технические системы с целью выявления фактов неправомочного доступа.

Заказчик должен удостовериться, что контроль над обеспечением безопасности в организации-подрядчике отвечает стандартам, предписанным законодательством. Так, для американских финансовых учреждений они определены документом Guidelines Establishing Standards to Safeguard Customer Information («Руководящие принципы стандартизации защиты клиентской информации»); кроме того, необходимо соблюдать правила экспортного контроля (Export Administration Regulations, www.access.gpo.gov/bis/index.html), международной торговли оружием (International Traffic in Arms Regulations, pmdtc.org/reference.htm) и применения торговых санкций (www.treas.gov/offices/enforcement/ofac/legal).

Закон иногда предписывает включение в контракт аутсорсинга таких положений, как уведомление соответствующего контролирующего органа о том, что заказчик имеет подрядные отношения с зарубежным поставщиком услуг [6]. В ряде случаев законы США требуют включить в контракт положение, в соответствии с которым контролирующие органы этой страны могут проверять качество услуг подрядчика или запрещать предоставление ему определенной информации.

В своей организации подрядчик должен четко определить и документировать роли и обязанности, связанные с управлением безопасностью. Необходимо потребовать немедленного и подробного уведомления заказчика о любых неправомочных вторжениях в систему подрядчика, которые могут затрагивать интересы заказчика или его клиентов [5]. В отношении обращения с клиентской информацией, а также проведения надзорных и контрольных процедур политика подрядчика должна зеркально отражать политику заказчика или быть совместимой с ней.

Подрядчик должен располагать документально оформленными механизмами защиты и управления сетью, контроля над инфраструктурой, использовать процедуры шифрования, борьбы с инцидентами, внесения изменений, контроля и аудита. Подрядчику необходимо тщательно разработать и документировать процедуры, поддерживающие непрерывность деловых операций. Если потенциальный подрядчик отвечает этим условиям, заказчик может чувствовать себя спокойнее, поскольку знает, что тот осознал важность обеспечения безопасности при выполнении функций, отданных на аутсорсинг.

Признавая, что коммерческие предприятия работают в динамической среде, где изменения рисков происходят часто, быстро и неожиданно, подрядчик должен постоянно подтверждать свое внимание к данной проблеме. Лучше всего это делать путем ежегодных сертификаций, удостоверяющих, что имеющиеся у подрядчика механизмы контроля и управления данными работают безупречно, отвечают современным требованиям и способны защитить вверенную ему информацию от известных (и в некоторой степени от новых) угроз. Сертификация заслуживает большего доверия, если ее проводит независимый эксперт с опытом работы в области безопасности.

Заказчику следует убедиться в том, что подрядчик разделяет его взгляды на защиту информационных технологий, на стратегию и корпоративную политику безопасности. Однако общности взглядов недостаточно для полного доверия к подрядчику. Для надежной оценки его текущего состояния, связанного с обеспечением безопасности, заказчику следует привлекать сторонние организации. Подрядчику же следует понимать, что чем более конфиденциальна информация, вверенная ему заказчиком, тем безопаснее должен быть процесс ее обработки. n

Литература
  1. Co-operators Life CEO Apologizes for Theft of Sensitive Customer Data. CBC Online News, 30 Jan. 2003.
  2. A. Mullholland, Computer File with Vital ID Data Goes Missing. CTVxa, 31 Jan. 2003.
  3. M. Kobayashi-Hillary, A Passage to India. ACM Queue, vol. 3, no. 1, 2005.
  4. Outsourcing in Financial Services, Basel Committee on Banking Supervision. Bank for Int?l Settlements, Feb. 2005.
  5. Outsourcing Technology Services. Federal Financial Institutions Examination Council IT Examination Handbook, June, 2004.
  6. Regulation and Examination of Bank Service Companies, US Code 12, 2004.

Майкл Пауэр (michael.power@gowlings.com) — партнер юридической фирмы Cowling Lafleur Henderson, где осуществляет стратегическое и юридическое консультирование по вопросам, связанным с секретностью, идентификацией, безопасностью, электроникой, Internet и законодательством соответствующей направленности. Роланд Троп (roland.trope@verizon.net) — партнер юридической фирмы Trope & Schramm, доцент юридического отделения Военной академии США в Вест-Пойнте.


Michael Power, Roland L. Trope. Averting Security Missteps in Outsourcing, IEEE IT Security & Privacy, March/April 2005. IEEE Computer Society, 2005, All rights reserved. Reprinted with permission.