По данным исследования, практически каждый третий пользователь решений на базе Microsoft SharePoint подвергается опасности утечки данных, так как работает с контентом без должной защиты. Кроме того, достаточно большое число респондентов не видят в этом проблемы, так как уверены, что ответственность за ИБ лежит не на них. Российские компании, занимающиеся решениями в области документооборота, восприняли данные отчета с изрядной долей скепсиса и тревоги.
По данным Cryptzone Group, в 98% случаев проблема незащищенности данных касается заурядных сценариев работы, например, в половине случаев в ходе передачи информации пользователю, у которого нет доступа в SharePoint, по почте, через флешки и иными способами. Еще 43% нарушителей - это оставшиеся дома сотрудники, и только 2% приходится на тех, кто принципиально работает с контентом вне портала из-за сложности или неудобства его инструментов. Уровень самосознания собственных действий достаточно высок - 92% респондентов знают, что их поступок идет в разрез с правилами ИБ, тогда как 34% не придают этому значения, заявляя, что им нужно было сделать свою часть работы во чтобы то ни стало. Опрос российских поставщиков и вендоров СЭД на базе продуктов Microsoft показал определенную степень тревоги на общем фоне скепсиса в вопросах поведения конечных пользователей.
Так, Роман Щемелев, менеджер по продукту SharePoint и Office 365 корпорации Microsoft в России, не знает о проведении подобных исследований на местном рынке. Тем не менее, по его словам, если учесть, что основные сценарии использования SharePoint в России не отличаются от примеров в Европе или США, данные опасения могут быть актуальны и для отечественных компаний. "На мой взгляд, возможные нарушения правил и политик безопасности данных - это оборотная сторона той ценности, которую привносит SharePoint для организации продуктивной работы офисных сотрудников. SharePoint способствует повышению качества совместной работы с документами и другой информацией, поэтому достаточно быстро осваивается пользователями, - говорит он. - В приведенном исследовании, однако, речь идет о том, что проблемы конфиденциальности информации возникают, когда документы "покидают" SharePoint - например, при обмене документами с коллегами, не имеющими доступа к SharePoint, или при необходимости работать из дома. Тем не менее, развитие продукта позволяет избегать таких сценариев".
Господин Щемелев в качестве примера приводит данные, согласно которым 67% корпоративных заказчиков внедрили MS SharePoint для всех своих сотрудников, а многие создали экстранет-порталы для взаимодействия с ключевыми бизнес-партнерами. Для работы в оффлайн-режиме сейчас предусмотрен специальных клиент, входящий в набор "Office Профессиональный Плюс - SharePoint Workspace", который позволяет работать с контентом SharePoint при отсутствии подключения к Сети и без создания локальных копий размещенных в MS SharePoint документов, пояснил специалист.
Дмитрий Володин, аналитик-консультант направления Microsoft SharePoint в ЭОС, замечает, что, как правило, вопросы безопасности данных, находящихся внутри корпоративного портала, имеют критически важное значение при реализации проектов: зачастую российские заказчики озабочены проблемами несанкционированного доступа даже более, чем на Западе, и это относится практически к любой значимой информации, размещаемой на портале (официальные документы, отчеты, сведения о клиентах, партнерах и ключевых направлениях деятельности).
"В отдельных случаях сотрудникам даже запрещено пользоваться личными папками, локальными хранилищами и т.п. Вместо этого они должны использовать портал MS SharePoint для хранения всей необходимой им информации в соответствии с настроенными в системе политиками безопасности. При этом политики безопасности SharePoint- это только одно из многочисленных средств обеспечения режима доступа. В стремлении защитить корпоративную информацию заказчики готовы применять и иные, более сложные средства, включая электронные подписи и шифрование данных", - говорит эксперт.
Сергей Курьянов, директор по развитию "ДоксВижн", обращает внимание на то, что речь в исследовании шведских "безопасников" шла не о недостатках SharePoint, а о проблемах соблюдения политик корпоративной безопасности пользователями: "Позиция многих пользователей "безопасность - не мое дело, мне надо работу выполнять" на самом деле совершенно оправдана по бизнес-логике, просто ИТ-службы должны относиться внимательнее как к безопасности данных, так и к удобству пользователей".
Говоря о принятых в отрасли практиках создания со стороны интегратора или разработчика руководств по безопасности применения продукта, господин Курьянов отметил, что часто разработчики решений на SharePoint в России доводят ситуацию до того, что политики SharePoint оказываются неработоспособными, правда, стоит отметить, что, по его словам, заказчики редко используют портал для управления конфиденциальными документами. В целом, как отметили опрошенные эксперты, проблема безопасности данных в SharePoint, достаточно освещается как самим вендором Microsoft на тематических порталах, так в специальных руководствах для разработчиков.