При перепечатке материалов просим публиковать ссылку на портал Finversia.ru с указанием гиперссылки.
Кадры «решают все» не только в плане профессионального уровня, но и с точки зрения различных аспектов безопасности. Тема угроз, связанных с персоналом банков, обсуждалась 1 марта в офисе Ассоциации российских банков в рамках круглого стола «Кадровая безопасность в финансовой сфере». Организовал мероприятие Национальный банковский журнал (NBJ) при содействии АРБ.
Вопрос кадровой безопасности для банков, которые работают с огромными суммами денег – чужих денег, является особенно актуальной. Не удивительно, что круглый стол собрал довольно представительную аудиторию почти из ста человек. Начальники служб общей и информационной безопасности, руководители отделов внутреннего контроля, комплаенс-служб, риск-менеджеры и кадровики. Из некоторых кредитных организаций пришли даже топы-менеджеры.
Всех интересовали вопросы: где находится грань в области «мониторинга» за сотрудниками, как обезопасить банк от шпионажа и инсайда, как выстроить систему приема и увольнения работников, как государство собирается регулировать кадровую политику в финансовой сфере и пр.
Модератор круглого стола Игорь Елисеев, заместитель директора по развитию Академии информационных систем начал мероприятие с краткой презентации вопросов, включенных в программу. «В плане корпоративной безопасности человеческий фактор – это слабое звено в любом бизнесе. Однако для банковской сферы, где сотрудники имеют дело с большими объемами средств клиентов, он особенно актуален. Вероятность угроз, как исходящих от персонала, так и направленных на него, значительно выше. Чем ближе должностное лицо к деньгам, тем соответствующие риски выше», – сказал Игорь Елисеев.
Акцент, по словам эксперта, должен быть сделан на защите персональных данных и личной информации ключевых сотрудников. Но при этом нельзя забывать, что потенциальные неприятности могут быть связаны не только с топ-менеджерами, СEO и главными бухгалтерами, но и простыми операционистами и кредитными менеджерами. «Нужны превентивные меры по профилактике злоупотреблений и инсайдерства. Необходимо понимать, что инсайдер в банке, это, как правило, агент, внедренный ОПГ, которая обладает серьезными возможностями и средствами», – предупредил Игорь Елисеев. При этом он не исключил возможности, что конфиденциальную информацию злоумышленники могут получать и через сотрудников, которые изначально не имели к криминалу никакого отношения.
Отдельно на этой теме заострил внимание Владимир Креопалов, доцент кафедры прикладной информатики и информационной безопасности РЭУ им. Г.В. Плеханова. «Очень часто мы говорим в своей профессиональной среде или даем комментарии в прессе только о тех угрозах, которые исходят от персонала банков. И при этом мало обращаем внимание на факторы, направленные на самих сотрудников. И если о безопасности первых лиц банки в той или иной мере заботятся, то о рядовых сотрудниках, которые могут непосредственно являться объектами для шантажа, запугивания, вербовки, психологических манипуляций, в том числе через социальные сети, часто забывают. Есть, например, такой метод, как «выведывание», когда объект не осознает, что он выдает закрытую информацию. Все это приводит к уязвимости, поскольку данные вопросы взаимосвязаны и должны рассматриваться в комплексе», – отметил Владимир Креопалов.
Евгений Царев, эксперт по информационной безопасности и судебной экспертизе, обозначил еще одну проблему. «Я не знаю ни одного случая внедрения шпионов или вербовки сотрудников, но мне известна масса фактов, когда рядовых сотрудников используют «в темную». Мы живем в России. И мало кто будет возражать начальнику, который говорит вам что-нибудь «исправить», например, убрать платеж. Например, был случай, когда зампред одного из банков отдал такое поручение программному директору. И сейчас этот IT-шник третий год ходит по следователям, доказывая, что не имел злого умысла. А его руководитель просто сказал, что ничего никому не поручал», – рассказал Евгений Царев.
Банковские службы, которые отвечают за кадровую безопасность, по словам Владимира Креопалова, должны активнее работать со всеми сотрудниками, имеющими доступ к значимой информации. Проводить «ликбез», рассказывать о методах, которые в их отношении могут быть применены со стороны криминальных элементов, как не создавать поводов для соответствующего воздействия, что делать, если подобные «контакты» все же состоятся. Одновременно нужно собирать максимально возможные полные данные о своих людях, как путем личного общения, так и с помощью систем мониторинга, DLP-технологий (предотвращения утечек конфиденциальной информации), отслеживания контента в социальных сетях и пр. И в итоге выявлять группы риска.
Владимир Креопалов поделился информацией о том, что молодые специалисты одной российской фирмы сейчас разрабатывают специальную программу, позволяющую моделировать стандартную модель поведения отдельно взятого сотрудника и фиксировать появление отклонений от этой модели. «Грубый пример: человек все время приходил на работу вовремя, и вдруг начал опаздывать. И нужно разобраться, связано ли это с какими-то личными причинами или с реальными угрозами извне», – пояснил эксперт.
Александр Туркин, который представился как независимый эксперт, ранее двадцать лет проработавший в сфере безопасности, задал вопрос относительно того, какое подразделение в банке должно заниматься соответствующими вопросами.
- Это часть работы по экономической безопасности. Соответственно должно заниматься то профильное подразделение, которое отвечает в банке за эти вопросы. Хотя в некоторых банках есть специальные службы кадровой безопасности, – ответил Владимир Креопалов.
Кого спасать?
- А я задам провокационный вопрос, – продолжил беседу Александр Туркин. – Возьмем случаи с выводами активов из падающих банков. Кто был виноват? Собственники, управляющие или простые сотрудники? Кого защищать сотруднику банка: собственника или менеджера, которые, образно говоря, грузят мешки в багажник? Или граждан, которые теряют свои деньги.
В разговор вступила Елена Кислова, управляющий партнер юридической фирмы «Делио». «Я юрист и буду давать короткие ремарки, – сказала она. – Относительно того, как вести себя СБ в кризис и кого защищать. Судебная практика, Гражданский кодекс и профессиональные стандарты говорят о том, что в данном случае нужно защищать юридическое лицо. Не собственника, не сотрудника, не клиента, а юрлицо, перед которым у вас есть трудовая обязанность.
- СБ банка работает в интересах владельца. Она не должна противодействовать руководству, – прозвучала реплика из зала.
- То есть поможем мешки грузить, – сделал вывод Александр Туркин.
- В принципе, да, – согласился собеседник. – Если действия руководства противоречат вашим принципам, то нужно увольняться.
- Насчет мешков. Проблема решается очень просто – инструкции, – подключился к беседе Валерий Голев, вице-президент Международного расчетного банка. – Кредитная организация – это образчик бюрократии, где все действия должны быть приписаны. Деньги любят порядок и тишину. Если каждый сотрудник будет смотреть и интересоваться, какие мешки и куда грузят, то получится бардак. Пропишите в инструкциях кто и что делает, и в каком случае инкассатор принимает мешок с деньгами, скажем, от председателя правления. Почему от него? В принципе, он не должен этого делать. Почему выводятся большие суммы из банка? Это проблемы службы безопасности, которая заранее не предусмотрела соответствующие случаи в инструкции.
В этой же плоскости, по словам Валерия Голева, лежит вопрос выведывания информации. «На каком основании сотрудник банка беседует с внешней организацией? Почти в любом банке есть четкий регламент, который запрещает сотрудникам беседовать с третьими лицами на служебные темы вне рамок своих полномочий. Если клиентский менеджер начинает объяснять посетителю стратегию развития банка, то это выглядит странно. Поэтому не надо ничего выдумывать, пропишите все в инструкциях и просто работайте», – дал совет коллегам банкир.
Доверяй, но проверяй
Вопрос о методах осуществления мониторинга за сотрудниками в банках тоже вызвал жаркие споры. «Выстраивание доверительных отношений между службой безопасности и работниками, конечно, очень важно. Между тем, когда в банке внедряются DLP-системы, тут же появляются вопросы морально-этического свойства, вмешательства в личное пространство сотрудников. Кто их представителей банков расскажет, что происходит, когда вы пытаетесь своим сотрудникам помочь, собирая о них сведения, попытаться разобраться с направленными на них угрозами. А они отмахиваются, теряют доверие, начинают вести себя более скрытно для СБ», – обратился к присутствующим модератор.
- Мы изначально подключаем к такой работе руководителей подразделений, начиная от первичных и выше. Поскольку доверительные отношения лучше всего строить на уровне сотрудника и его непосредственного начальника. И служба безопасности включается, только если в результате появляются весомые подозрения. Чтобы не пугать человека раньше, чем произошла какая-то ситуация. Ключевой момент – человеческие взаимоотношения, – обозначила позицию Ольга Черемухина, начальник группы сопровождения трудовых отношений отдела сопровождения административных дел и исковой работы Хоум Кредит энд Финанс Банк.
- Мы обеспечиваем безопасность своей организации, в первую очередь. В данном случае банка. И соответственно, рассматриваем происходящее с нашими сотрудниками именно с позиций того, каким образом это может отразиться на банке, – прозвучала еще одна реплика.
Вопрос, в какой мере сбор сведений о сотрудниках соответствует российскому законодательству, заинтересовал Оксану Лындину, директора департамента организационного развития и управления персоналом РосЕвроБанка. «Некоторые банки используют системы слежения за сотрудником. Насколько это законно», – спросила она. Михаил Левашов, заместитель генерального директора компании Infosecurity, дополнил ее вопрос: «Сбор сведений о сотрудниках – вещь, конечно, необходимая. Но насколько это корректно с морально-этической точки зрения?».
- Это законно, если получено соответствующее письменное согласие сотрудника, – прокомментировала ситуацию Елена Кислова. Она высказала мнение, что при приеме на работу в банк с претендента на вакансию следует взять максимальное количество письменных согласий «на все случаи жизни». На получение и обработку личных данных, на прослушивание телефона, в том числе личного (если он пользуется им на рабочем месте и в служебное время), на просмотр почты и страниц в социальных сетях, на использование фотографий, к которым человек открыл доступ. Если лично от сотрудника будет получено на все это согласие, то все действия работодателя по обработке таких данных и использованию их в суде в случае необходимости, по словам Елены Кисловой, будут легитимными, и информация может стать законным поводом для увольнения «токсичных» сотрудников.
Комментарий вызвал бурную реакцию в зале. «То есть ставим человека в узкие рамки при приеме на работу и осуществляем за ним тотальный контроль? Я тоже юрист, и с этим категорически не согласна», – заявила Ольга Черемухина. Кроме того, по ее словам, даже если работодателю удастся вынудить человека подписать согласие на прослушивание личного телефона и просмотр личной почты, то сотрудник может в любое время от своего согласия отказаться, и суд оценит это согласие как ничтожное. «Если у вас в практике был хоть один случай с такой ситуацией, о которой вы рассказываете, когда суд посчитал такое согласие надлежащим, то поделитесь, пожалуйста», – попросила Ольга Черемухина у Елены Кисловой.
Александр Виноградов, начальник управления информационной безопасности ЗЛАТКОМБАНК, при этом высказал мнение, что в прослушивании личного телефона просто нет смысла. «Если даже человек замышляет что-то нехорошее, то каким нужно быть дураком, чтобы пользоваться для передачи данных или разговора телефоном в рабочее время? Все, что нужно, он передать не с 10.00 до 18.00, а в любое другое время. И не по телефону, а, к примеру, через, мессенджер. И у нас просто нет технической возможности это отследить», - сказал он.
Михаил Левашов при этом заметил, что применение появившихся сегодня «замечательных систем» по отслеживанию действий сотрудников на рабочем месте (кейлоггеры, скриншоты экрана и пр.) вступает в противоречие с регламентами по ограничению доступа к данным, которые могут иметь строго определенные должностные лица. «Как могут сотрудники, которые используют на своем компьютере, в своей учетной записи некие секретные данные, отвечать за возможные негативные последствия, если то, что они делают, может видеть еще какое-то третье лицо, например, «безопасник»?», – задал он резонный вопрос.
В стороне не останется
Игорь Елисеев при этом напомнил, что к регулированию кадровой политики банков с недавних пор подключилось государство. Речь идет о вступившей в силу новой редакции ФЗ-281, в которой унифицированы требования учредителям, органам управления и должностным лицам финансовых организаций. Помимо банков действие новых норм распространяется на НПФ, страховщиков, ломбарды, ЖСК, профучастников рынка ценных бумаг, МФО и клиринговые организации. «В частности, официально введен кросс-секторный принцип. То есть лицо, замеченное в нарушениях в деятельности кредитной организации, не сможет занимать соответствующие позиции, например, в МФО или НПФ. Также появились новации в отношении назначений руководителей служб внутреннего контроля, внутреннего аудита, управления рисками, специалистов по ПОД/ФТ. Банк России получил полномочия требовать замены соответствующих должностных лиц, если сочтет, что они не имеют достаточную квалификацию, или их деловая репутация недостаточно хороша», – сказал Игорь Елисеев. По его словам, с учетом массового отзыва лицензий у банков, даже крупных, многие люди, работающие в банковской сфере, сейчас попадают под высокие риски, связанные с работой.
Москва.
обсуждение