Как ИT-специалисты способны разрушить вашу компанию изнутри и что делать, чтобы этого не произошло, рассказывает Никита Рогозин, исполнительный директор системы контроля действий сотрудников "Стахановец".
В США сотрудник хостинг-провайдера CyberLink спустя месяц после увольнения зашел в систему бывшего работодателя и удалил 300 Гб информации. Системный администратор фирмы производителя ковбойских сапог Lucchese Bootmaker перед увольнением обрушил сервер компании, что полностью остановило производство фабрики. А ИT-специалист из Нью Джерси решил отомстить банку, где он работал, после того, как получил, на его взгляд, маленькую премию по итогам года. Он уничтожил все данные на серверах, рассчитывая таким образом заработать на падении курса акций банка. На то, чтобы полностью восстановить систему банка и еще 400 его филиалов, потребовался практически год.
Чаще всего ИT-специалисты начинают сводить счеты с работодателями при увольнении, если расстаться по-хорошему не получилось, а сотрудник в итоге чувствует себя обиженным. Впрочем, нередко свою недооцененность ИT-специалисты ощущают и в самом процессе работы. Например, в сети встречаются истории айтишников, когда они путем откровенного саботажа пытаются доказать свою значимость. Так, один системный администратор просил купить новое оборудование, но получил отказ. Тогда он специально спровоцировал перепад напряжения и тем самым обрушил сервер компании. Начальство не только было вынуждено приобрести новую технику, но и лишилось части ценных данных.
Нередко сбои в системах бывают вызваны и переутомлением программистов. Некоторое время назад уставший сотрудник сервиса для хранения кода GitLab случайно удалил данные с сервера, и это остановило работу ресурса примерно на полдня. Поэтому если у программиста есть доступ к ценной информации, то к нему нужно отнестись с особым вниманием.
Чем недовольны айтишники?
ИТ-специалисты, как правило, не интегрированы в коллектив. В офисе их сажают отдельно, они общаются с остальными сотрудниками крайне редко - исключительно в тех случаях, если нужно срочно что-то починить или исправить. Между тем, на мой взгляд, ИТ-специалистам обязательно нужно помогать социализироваться, общаться с другими членами коллектива. Очень важно включать айтишников в коммуникационные процессы, происходящие в компании, говорить с ним, узнавать о его проблемах и чаяниях. По сути, это задача HR-отделов, но на деле таким сложным и кропотливым трудом никто не готов заниматься. В результате как самим программистам, так и руководителям оказывается проще написать одно гневное письмо, чем долго объяснять, зачем и почему нужно что-то сделать. Именно проблемы с коммуникацией зачастую приводят к вышеописанным ситуациям в разных компаниях.
Другая причина всех бед - неграмотный менеджмент, отсутствие должного понимания функционала программистов. Очень часто руководство недооценивает ИT-сотрудников, а те в свою очередь, не умея толком общаться, не могут правильно донести ценность своей работы до начальства. Плюс ко всему остальной коллектив также нередко воспринимает их только как людей, реализующих определенную функцию. Людей, которые приходят, когда ломается принтер или ПК. В остальном же у работников создается впечатление, что все технические процессы в компании совершаются по мановению волшебной палочки, сами собой. Конечно, такое отношение обидит любого.
Также в компаниях не всегда понимают настоящую значимость и силу ИТ. При отсутствии должного понимания необходимости технологий и целей их применения компания может оказаться весьма уязвимой. Яркий тому пример - недавние эпидемии шифровальщиков WannaCry и Petya. Распространение этих вредоносных программ началось с простых, казалось бы, вещей - со съёмных носителей (флешек) и вложений, содержащихся в электронной почте. Предотвратить заражение компьютеров такими вредоносными программами можно было довольно просто, если бы пострадавшие компании обеспечили своих сотрудников хотя бы первоначальными знаниями об информационной безопасности.
Дело в том, что сейчас во многих организациях есть серьёзные проблемы с просвещением и воспитанием персонала. По данным ряда исследований, включая наше, лишь в 40% компаний проводится хоть какое-то обучение по вопросам информационной безопасности. Впрочем, приходится сомневаться и в его качестве. Даже в компаниях, где проводится подобное обучение, лишь 57% сотрудников остаются хоть с какими-нибудь знаниями после его окончания. К сожалению, у подавляющего большинства компаний все равно нет доступа к актуальной информации о киберугрозах и методах защиты от них.
Не все ИT-специалисты мечтают стать властелинами мира, но многие, чувствуя свою недооцененность, выстраивают систему таким образом, что она полностью замыкается на них. Поэтому важно вникать в технические процессы и не давать одному человеку становиться "серым кардиналом". Это может иметь опасные последствия в случае его ухода или срыва, способного нанести непоправимый ущерб компании.
Кроме того, программисты зачастую не умеют соблюдать так называемый work-life balance. Компания Google, например, выяснила, что 69% ее сотрудников не могут отвлечься от мыслей о работе вне офиса. Недаром большинство ИT-гигантов уделяют повышенное внимание этому вопросу, учат своих сотрудников разделять работу и жизнь, не перерабатывать и не заниматься решением рабочих вопросов в нерабочие часы. Ведь работа 24/7 в конечном итоге приводит к ухудшению здоровья и эмоционального состояния сотрудников, а их недовольство и неудовлетворенность жизнью только растет. Всё это может породить в том числе и мысли о мести работодателю.
Как не дать айтишнику все разрушить?
Во-первых, не сажайте программистов отдельно от коллектива, особенно если у вас не просто офис, а опенспейс. Это даст им шанс наладить дружеские отношения с остальными сотрудниками, и они не будут чувствовать себя изолированными.
Во-вторых, внимательно отнеситесь к работе и просьбам своих технических специалистов. Понятно, что денег на то, чтобы скупить все новинки рынка, у вас вряд ли найдется, но совсем упускать из вида техническое обеспечение компании не стоит. Не забывайте благодарить айтишников за работу и всячески подчеркивать, что она важна не меньше трудов отдела продаж или бухгалтерии.
В-третьих, не замыкайте всю систему технического обеспечения на одном человеке. Разделите ответственность между командой программистов. Для этого, возможно, придется вникнуть в ИT-процессы чуть глубже, но безопасность того стоит.
И наконец, в-четвертых, серьезно подойдите к налаживанию коммуникаций между разными отделами. Самый простой способ это сделать - тимбилдинги и различные семинары. По моему опыту работы, люди с большим удовольствием приходят жаловаться, чем обсуждать позитивные моменты. Поэтому можно устраивать своеобразный обмен мнениями между айтишниками и остальными отделами в свободной форме, чтобы никто не чувствовал себя ущемленным. Где первые будут, допустим, популярно объяснять, почему в компании заблокированы флешки, а вторые - рассказывать, что им не нравится в текущем устройстве внутренней сетки.
Сегодня в компаниях чаще всего проводят тренинги по росту продаж. При этом аналогичные обучающие мероприятия можно было бы устраивать и, например, по безопасности, вовлекая туда собственных специалистов. Это бы не только помогло наладить коммуникации между членами коллектива, но и послужило бы целям информационной безопасности. Ведь если человек слушает того, кому доверяет и кого знает лично, то он совершенно точно отнесется к его советам внимательнее, чем к обезличенному вебинару по правилам ИТ-защиты, который его принудило посетить руководство.