Зайдите в кадры

Как обеспечить безопасность персональных данных при переходе на цифровой документооборот

С 1 июня в Минцифры РФ, Федеральном казначействе, Федеральной налоговой службе стартует эксперимент по использованию электронных документов в кадровой работе. На кадровый электронный документооборот (ЭДО) активно переходит и бизнес. Высока вероятность того, что в ближайшие годы цифровизация делопроизводства в этой сфере станет обязательной. Как избежать рисков нового цифрового процесса, читателям RSpectr рассказывает исполнительный директор HRlink Данила Морогин.

БОЛЬШОЙ ПЕРЕХОД

Вопросы обеспечения безопасности при работе с персональными данными (ПД) сотрудников приобретают еще большую актуальность. В 2022 году количество утечек личной информации выросло по сравнению с годом ранее в пять раз. В открытом доступе оказалось 311 баз с разнообразной информацией, касающейся 100 млн человек, говорится в отчете Group-IB. В 2022 году потери бизнеса от одной утечки данных составляли в среднем 4,35 млн долларов, подсчитали в IBM.

Такая статистика вынуждает компании быть еще более осторожными при работе с персданными сотрудников и внедрении решений, которые их затрагивают. Речь идет не только о клиентской информации, но и о сведениях о сотрудниках.

Сегодня организации из разных сфер экономики активно внедряют кадровый электронный документооборот (КЭДО). По нашим данным, за 2022 год рынок кадрового ЭДО России вырос в четыре раза:

в 2021 году цифровыми документами пользовались около 180 тыс. сотрудников компаний, в 2022-м – более 700 тыс.

В настоящее время в России более миллиона человек удаленно подписывают документы, связанные с работой. В перспективе на КЭДО могут перейти 55 млн, прежде всего штатные работники различных компаний и фрилансеры (самозанятые, сотрудничающие по договору ГПХ).

Разберемся, на что обратить внимание при выборе ИТ-решения в цифровом кадровом документообороте и как реализовать проект так, чтобы обеспечить максимально возможную защиту.

ОБЛАКО ИЛИ ON—PREMISE

При работе с персданными важно соблюдать закон 152-ФЗ. Компании должны хранить такого рода информацию в России в особым образом защищенной ИТ-инфраструктуре – требования к ней регулирует приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК) №21. Также нужно зарегистрироваться в Роскомнадзоре и получить согласие сотрудников на сбор и обработку личных данных.

Если у компании развернута инфраструктура, соответствующая закону «О персональных данных», то платформу КЭДО можно разместить на своих серверах – on-premise. Если нет, то целесообразно воспользоваться облачным решением, в этом случае обеспечение работоспособности и базовой безопасности гарантирует провайдер.

Построение инфраструктуры, защищенной по всем нормам, требует существенных затрат

Какой вариант безопаснее? Вопрос неоднозначный. Крупные компании, способные содержать современную ИТ-инфраструктуру и штат высококлассных специалистов для ее обслуживания, могут самостоятельно обеспечить высокий уровень защиты. При инсталляции on-premise для доставки приложения и их запуска в изолированном окружении используются докеры, а обновление решения происходит в безопасном режиме.

Если компания не готова вкладывать значительные ресурсы в построение и поддержание такой ИТ-инфраструктуры, то безопаснее использовать облачную версию решения. Данные компании хранятся изолированно, резервные копии приложения сохраняются автоматически на регулярной основе.

Облачные провайдеры вкладывают большие средства в обеспечение информационной безопасности

Ведь предоставление вычислительных мощностей – это их основной бизнес. Единственный момент – стоит проверить, соответствует ли облачная платформа, предлагаемая вендором системы КЭДО, нормам 152-ФЗ.

В нашей практике 75% компаний выбирают облачное решение. К on-premise чаще склоняются ИТ-компании и промышленные гиганты. Стоит отметить, что обе версии продукта равнозначны.

КАК ИНТЕГРИРОВАТЬ

Платформа КЭДО – это довольно простой продукт. Если компании достаточно базовой функциональности (возможности получить и подписать удаленно кадровые документы), можно подключить решение, настроить и сразу пользоваться. Это займет всего несколько часов.

Как правило, в подобных сервисах предусмотрена коробочная интеграция с кадровыми системами – 1С ЗУП, «Босс Кадровик» и другими. В продвинутых решениях есть встроенная возможность интегрироваться с HR-платформами по поиску и подбору персонала. Если компании необходимо вести в электронном виде кадровый документооборот с самозанятыми и индивидуальными предпринимателями, то потребуется интеграция с бухгалтерской системой, где ведется их учет. Такие готовые модули также предлагают некоторые вендоры.

Крупным компаниям с развитой экосистемой HR-решений часто требуется сложная интеграция с другими внутренними системами либо реализация функциональности КЭДО внутри основной HR-платформы. В этом случае интеграция производится с помощью API – программного интерфейса для взаимодействия между системами и компонентами ИТ.

Так удается встроить новое решение в любую экосистему, в том числе системы электронного документооборота, корпоративные порталы и мобильные приложения

API рассматривается специалистами по информационной безопасности как одна из возможных уязвимостей системы. Наиболее надежным способом интеграции через программный интерфейс является аутентификация пользователя с помощью токена доступа, который подписывается соответствующими сертификатами, или корпоративную систему автоматизации, например, службу каталогов.

ЭЛЕКТРОННЫЕ ПОДПИСИ

В кадровом ЭДО используется несколько видов электронных подписей (ЭП). Усиленная квалифицированная электронная подпись (УКЭП) – наиболее надежная, она требует очной идентификации и позволяет подписывать все документы, включая кадровую отчетность.

Усиленная неквалифицированная электронная подпись (УНЭП) тоже требует подтверждения личности и ее достаточно для подписания всех кадровых документов. Подобрать ключ к этим видам подписей не получится, так как это не просто логин и пароль из СМС, а сложный код.

Простая электронная подпись (ПЭП) менее надежна, потому что это просто связка логина и пароля. Доказать факт подписания документа конкретным человеком сложнее, в отличие от двух предыдущих. Однако и важных операций с ее помощью совершить невозможно из-за ограничений законодательства, даже подписать трудовой договор.

Для безопасного использования электронной подписи важно, кто ее выдает

Идеально, если платформа КЭДО сотрудничает с давно работающим на рынке удостоверяющим центром (УЦ), к которому не было нареканий. В настоящий момент в Минцифры аккредитовано около 50 таких организаций. Стоит уточнить, проводит ли вендор совместно с УЦ различные тесты на уязвимость и как именно обеспечивается безопасность цифровых подписей.

Кроме этого, заверить кадровые документы электронно можно через подтвержденную учетную запись на «Госуслугах» (ЕСИА) и через приложение «Госключ». Это разновидности ПЭП и УНЭП, но их безопасность в большей степени зависит от пользователя и его осторожности. Отсюда вытекает следующий нюанс.

ЦИФРОВАЯ ГРАМОТНОСТЬ

Мало обеспечить техническую защиту системы КЭДО. Главной проблемой кибербезопасности в российском бизнесе считают низкую цифровую грамотность сотрудников, показал недавний опрос «Лаборатории Касперского». Более раннее исследование выявило, что 90% утечек происходит из-за человеческого фактора.

Поэтому при внедрении любых проектов, связанных с данными, важно организовать обучение с точки зрения не только использования новых возможностей, но и рисков. В мире, где большинство рабочих операций и бытовых вопросов переходит в онлайн, а основным инструментом для любых задач становится смартфон, без этого не обойтись.

Правила просты:

• придумывать сложные пароли, разные для рабочих и личных аккаунтов;
• не переходить по ссылкам даже от знакомых людей, не уточнив, что это за ссылка и зачем она прислана;
• не показывать свои пароли коллегам.

По оценке аналитиков Gartner, злоумышленники все чаще рассматривают людей как наиболее уязвимую точку любой организации, именно поэтому количество атак через пользовательские интерфейсы растет. При этом, как показал опрос, 69% сотрудников нарушали рекомендации по кибербезопасности.

Может показаться, что вести дела по старинке безопаснее, чем переводить документы в цифровой формат, – хакеры до бумаги не дотянутся. Но это не так. Приведу реальный пример: отдел кадров, нанимая удаленных сотрудников, просит их прислать сканы документов с помощью электронной почты или публичного мессенджера. Отдел информбезопасности даже об этом не догадывается. Несложно представить реакцию ИБ-специалистов на такую организацию процесса или последствия утечки документов.

Когда процесс оцифрован – он весь на ладони и контролировать его безопасность гораздо проще. Более того, над вопросами кибербезопасности работают специалисты с разных сторон: вендора, облачной платформы, удостоверяющего центра. Такая синергия более надежна и меньше подвержена действию человеческого фактора, чем ручной процесс.