Четверг, 28.03.2024
×
Фондовый рынок России: виды на апрель / Биржевая среда с Яном Артом

Болтунам вход воспрещен

Аа +
+5 -0

Кадры «решают все» не только в плане профессионального уровня, но и с точки зрения различных аспектов безопасности. Тема угроз, связанных с персоналом банков, обсуждалась 1 марта в офисе Ассоциации российских банков в рамках круглого стола «Кадровая безопасность в финансовой сфере». Организовал мероприятие Национальный банковский журнал (NBJ) при содействии АРБ.

Вопрос кадровой безопасности для банков, которые работают с огромными суммами денег – чужих денег, является особенно актуальной. Не удивительно, что круглый стол собрал довольно представительную аудиторию почти из ста человек. Начальники служб общей и информационной безопасности, руководители отделов внутреннего контроля, комплаенс-служб, риск-менеджеры и кадровики. Из некоторых кредитных организаций пришли даже топы-менеджеры.

Всех интересовали вопросы: где находится грань в области «мониторинга» за сотрудниками, как обезопасить банк от шпионажа и инсайда, как выстроить систему приема и увольнения работников, как государство собирается регулировать кадровую политику в финансовой сфере и пр.

Модератор круглого стола Игорь Елисеев, заместитель директора по развитию Академии информационных систем начал мероприятие с краткой презентации вопросов, включенных в программу. «В плане корпоративной безопасности человеческий фактор – это слабое звено в любом бизнесе. Однако для банковской сферы, где сотрудники имеют дело с большими объемами средств клиентов, он особенно актуален. Вероятность угроз, как исходящих от персонала, так и направленных на него, значительно выше. Чем ближе должностное лицо к деньгам, тем соответствующие риски выше», – сказал Игорь Елисеев.

Акцент, по словам эксперта, должен быть сделан на защите персональных данных и личной информации ключевых сотрудников. Но при этом нельзя забывать, что потенциальные неприятности могут быть связаны не только с топ-менеджерами, СEO и главными бухгалтерами, но и простыми операционистами и кредитными менеджерами. «Нужны превентивные меры по профилактике злоупотреблений и инсайдерства. Необходимо понимать, что инсайдер в банке, это, как правило, агент, внедренный ОПГ, которая обладает серьезными возможностями и средствами», – предупредил Игорь Елисеев. При этом он не исключил возможности, что конфиденциальную информацию злоумышленники могут получать и через сотрудников, которые изначально не имели к криминалу никакого отношения.

Отдельно на этой теме заострил внимание Владимир Креопалов, доцент кафедры прикладной информатики и информационной безопасности РЭУ им. Г.В. Плеханова. «Очень часто мы говорим в своей профессиональной среде или даем комментарии в прессе только о тех угрозах, которые исходят от персонала банков. И при этом мало обращаем внимание на факторы, направленные на самих сотрудников. И если о безопасности первых лиц банки в той или иной мере заботятся, то о рядовых сотрудниках, которые могут непосредственно являться объектами для шантажа, запугивания, вербовки, психологических манипуляций, в том числе через социальные сети, часто забывают. Есть, например, такой метод, как «выведывание», когда объект не осознает, что он выдает закрытую информацию. Все это приводит к уязвимости, поскольку данные вопросы взаимосвязаны и должны рассматриваться в комплексе», – отметил Владимир Креопалов.

Евгений Царев, эксперт по информационной безопасности и судебной экспертизе, обозначил еще одну проблему. «Я не знаю ни одного случая внедрения шпионов или вербовки сотрудников, но мне известна масса фактов, когда рядовых сотрудников используют «в темную». Мы живем в России. И мало кто будет возражать начальнику, который говорит вам что-нибудь «исправить», например, убрать платеж. Например, был случай, когда зампред одного из банков отдал такое поручение программному директору. И сейчас этот IT-шник третий год ходит по следователям, доказывая, что не имел злого умысла. А его руководитель просто сказал, что ничего никому не поручал», – рассказал Евгений Царев.

Банковские службы, которые отвечают за кадровую безопасность, по словам Владимира Креопалова, должны активнее работать со всеми сотрудниками, имеющими доступ к значимой информации. Проводить «ликбез», рассказывать о методах, которые в их отношении могут быть применены со стороны криминальных элементов, как не создавать поводов для соответствующего воздействия, что делать, если подобные «контакты» все же состоятся. Одновременно нужно собирать максимально возможные полные данные о своих людях, как путем личного общения, так и с помощью систем мониторинга, DLP-технологий (предотвращения утечек конфиденциальной информации), отслеживания контента в социальных сетях и пр. И в итоге выявлять группы риска.

Владимир Креопалов поделился информацией о том, что молодые специалисты одной российской фирмы сейчас разрабатывают специальную программу, позволяющую моделировать стандартную модель поведения отдельно взятого сотрудника и фиксировать появление отклонений от этой модели. «Грубый пример: человек все время приходил на работу вовремя, и вдруг начал опаздывать. И нужно разобраться, связано ли это с какими-то личными причинами или с реальными угрозами извне», – пояснил эксперт.

Александр Туркин, который представился как независимый эксперт, ранее двадцать лет проработавший в сфере безопасности, задал вопрос относительно того, какое подразделение в банке должно заниматься соответствующими вопросами.

- Это часть работы по экономической безопасности. Соответственно должно заниматься то профильное подразделение, которое отвечает в банке за эти вопросы. Хотя в некоторых банках есть специальные службы кадровой безопасности, – ответил Владимир Креопалов.

Кого спасать?

- А я задам провокационный вопрос, – продолжил беседу Александр Туркин. – Возьмем случаи с выводами активов из падающих банков. Кто был виноват? Собственники, управляющие или простые сотрудники? Кого защищать сотруднику банка: собственника или менеджера, которые, образно говоря, грузят мешки в багажник? Или граждан, которые теряют свои деньги.

В разговор вступила Елена Кислова, управляющий партнер юридической фирмы «Делио». «Я юрист и буду давать короткие ремарки, – сказала она. – Относительно того, как вести себя СБ в кризис и кого защищать. Судебная практика, Гражданский кодекс и профессиональные стандарты говорят о том, что в данном случае нужно защищать юридическое лицо. Не собственника, не сотрудника, не клиента, а юрлицо, перед которым у вас есть трудовая обязанность.

- СБ банка работает в интересах владельца. Она не должна противодействовать руководству, – прозвучала реплика из зала.

- То есть поможем мешки грузить, – сделал вывод Александр Туркин.

- В принципе, да, – согласился собеседник. – Если действия руководства противоречат вашим принципам, то нужно увольняться.

- Насчет мешков. Проблема решается очень просто – инструкции, – подключился к беседе Валерий Голев, вице-президент Международного расчетного банка. – Кредитная организация – это образчик бюрократии, где все действия должны быть приписаны. Деньги любят порядок и тишину. Если каждый сотрудник будет смотреть и интересоваться, какие мешки и куда грузят, то получится бардак. Пропишите в инструкциях кто и что делает, и в каком случае инкассатор принимает мешок с деньгами, скажем, от председателя правления. Почему от него? В принципе, он не должен этого делать. Почему выводятся большие суммы из банка? Это проблемы службы безопасности, которая заранее не предусмотрела соответствующие случаи в инструкции.

В этой же плоскости, по словам Валерия Голева, лежит вопрос выведывания информации. «На каком основании сотрудник банка беседует с внешней организацией? Почти в любом банке есть четкий регламент, который запрещает сотрудникам беседовать с третьими лицами на служебные темы вне рамок своих полномочий. Если клиентский менеджер начинает объяснять посетителю стратегию развития банка, то это выглядит странно. Поэтому не надо ничего выдумывать, пропишите все в инструкциях и просто работайте», – дал совет коллегам банкир.

Доверяй, но проверяй

Вопрос о методах осуществления мониторинга за сотрудниками в банках тоже вызвал жаркие споры. «Выстраивание доверительных отношений между службой безопасности и работниками, конечно, очень важно. Между тем, когда в банке внедряются DLP-системы, тут же появляются вопросы морально-этического свойства, вмешательства в личное пространство сотрудников. Кто их представителей банков расскажет, что происходит, когда вы пытаетесь своим сотрудникам помочь, собирая о них сведения, попытаться разобраться с направленными на них угрозами. А они отмахиваются, теряют доверие, начинают вести себя более скрытно для СБ», – обратился к присутствующим модератор.

- Мы изначально подключаем к такой работе руководителей подразделений, начиная от первичных и выше. Поскольку доверительные отношения лучше всего строить на уровне сотрудника и его непосредственного начальника. И служба безопасности включается, только если в результате появляются весомые подозрения. Чтобы не пугать человека раньше, чем произошла какая-то ситуация. Ключевой момент – человеческие взаимоотношения, – обозначила позицию Ольга Черемухина, начальник группы сопровождения трудовых отношений отдела сопровождения административных дел и исковой работы Хоум Кредит энд Финанс Банк.

- Мы обеспечиваем безопасность своей организации, в первую очередь. В данном случае банка. И соответственно, рассматриваем происходящее с нашими сотрудниками именно с позиций того, каким образом это может отразиться на банке, – прозвучала еще одна реплика.

Вопрос, в какой мере сбор сведений о сотрудниках соответствует российскому законодательству, заинтересовал Оксану Лындину, директора департамента организационного развития и управления персоналом РосЕвроБанка. «Некоторые банки используют системы слежения за сотрудником. Насколько это законно», – спросила она. Михаил Левашов, заместитель генерального директора компании Infosecurity, дополнил ее вопрос: «Сбор сведений о сотрудниках – вещь, конечно, необходимая. Но насколько это корректно с морально-этической точки зрения?».

- Это законно, если получено соответствующее письменное согласие сотрудника, – прокомментировала ситуацию Елена Кислова. Она высказала мнение, что при приеме на работу в банк с претендента на вакансию следует взять максимальное количество письменных согласий «на все случаи жизни». На получение и обработку личных данных, на прослушивание телефона, в том числе личного (если он пользуется им на рабочем месте и в служебное время), на просмотр почты и страниц в социальных сетях, на использование фотографий, к которым человек открыл доступ. Если лично от сотрудника будет получено на все это согласие, то все действия работодателя по обработке таких данных и использованию их в суде в случае необходимости, по словам Елены Кисловой, будут легитимными, и информация может стать законным поводом для увольнения «токсичных» сотрудников.

Комментарий вызвал бурную реакцию в зале. «То есть ставим человека в узкие рамки при приеме на работу и осуществляем за ним тотальный контроль? Я тоже юрист, и с этим категорически не согласна», – заявила Ольга Черемухина. Кроме того, по ее словам, даже если работодателю удастся вынудить человека подписать согласие на прослушивание личного телефона и просмотр личной почты, то сотрудник может в любое время от своего согласия отказаться, и суд оценит это согласие как ничтожное. «Если у вас в практике был хоть один случай с такой ситуацией, о которой вы рассказываете, когда суд посчитал такое согласие надлежащим, то поделитесь, пожалуйста», – попросила Ольга Черемухина у Елены Кисловой.

Александр Виноградов, начальник управления информационной безопасности ЗЛАТКОМБАНК, при этом высказал мнение, что в прослушивании личного телефона просто нет смысла. «Если даже человек замышляет что-то нехорошее, то каким нужно быть дураком, чтобы пользоваться для передачи данных или разговора телефоном в рабочее время? Все, что нужно, он передать не с 10.00 до 18.00, а в любое другое время. И не по телефону, а, к примеру, через, мессенджер. И у нас просто нет технической возможности это отследить», - сказал он.

Михаил Левашов при этом заметил, что применение появившихся сегодня «замечательных систем» по отслеживанию действий сотрудников на рабочем месте (кейлоггеры, скриншоты экрана и пр.) вступает в противоречие с регламентами по ограничению доступа к данным, которые могут иметь строго определенные должностные лица. «Как могут сотрудники, которые используют на своем компьютере, в своей учетной записи некие секретные данные, отвечать за возможные негативные последствия, если то, что они делают, может видеть еще какое-то третье лицо, например, «безопасник»?», – задал он резонный вопрос.

В стороне не останется

Игорь Елисеев при этом напомнил, что к регулированию кадровой политики банков с недавних пор подключилось государство. Речь идет о вступившей в силу новой редакции ФЗ-281, в которой унифицированы требования учредителям, органам управления и должностным лицам финансовых организаций. Помимо банков действие новых норм распространяется на НПФ, страховщиков, ломбарды, ЖСК, профучастников рынка ценных бумаг, МФО и клиринговые организации. «В частности, официально введен кросс-секторный принцип. То есть лицо, замеченное в нарушениях в деятельности кредитной организации, не сможет занимать соответствующие позиции, например, в МФО или НПФ. Также появились новации в отношении назначений руководителей служб внутреннего контроля, внутреннего аудита, управления рисками, специалистов по ПОД/ФТ. Банк России получил полномочия требовать замены соответствующих должностных лиц, если сочтет, что они не имеют достаточную квалификацию, или их деловая репутация недостаточно хороша», – сказал Игорь Елисеев. По его словам, с учетом массового отзыва лицензий у банков, даже крупных, многие люди, работающие в банковской сфере, сейчас попадают под высокие риски, связанные с работой.

Москва.

обсуждение

Ваш комментарий
Вы зашли как: Гость. Войти через

Рыночная магия – 2023 Рыночная магия – 2023 Миллион россиян обеспечивает бОльшую часть частных инвестиций на фондовом рынке страны. Walgreens превзошла ожидания по квартальным продажам, но снизила прогноз по годовой прибыли Walgreens превзошла ожидания по квартальным продажам, но снизила прогноз по годовой прибыли Крупнейшая аптечная сеть в США отчиталась об объеме своих продажах во втором квартале 2024 финансового года, которые превысили прогнозы аналитиков Уолл-стрит, однако снизила верхнюю границу своего прогноза по скорректированной годовой прибыли, частично объяснив это «сложной» ситуацией, сложившейся в секторе розничной торговли в США. Алексей Примаченко: «При субсидировании факторинговой компании государство получит выход сразу на сотни клиентов малого и среднего бизнеса» Алексей Примаченко: «При субсидировании факторинговой компании государство получит выход сразу на сотни клиентов малого и среднего бизнеса» Почему факторинг продолжает расти даже при высоких ставках Центробанка? Как фондируются факторинговые компании и что они сегодня предлагают своим клиентам? О ситуации на российском рынке факторинга, его динамике и тенденциях Павлу Самиеву, генеральному директору аналитического центра «БизнесДром» рассказал Алексей Примаченко, управляющий партнер Global Factoring Network.

Канал Finversia на YouTube

календарь эфиров Finversia-TV »

 

Корпоративные новости »

Blocks_DefaultController:render(13)