С 1 июня в Минцифры РФ, Федеральном казначействе, Федеральной налоговой службе стартовал эксперимент по использованию электронных документов в кадровой работе. На кадровый электронный документооборот (ЭДО) активно переходит и бизнес. Высока вероятность того, что в ближайшие годы цифровизация делопроизводства в этой сфере станет обязательной. Как же избежать рисков нового цифрового процесса?
БОЛЬШОЙ ПЕРЕХОД
Вопросы обеспечения безопасности при работе с персональными данными (ПД) сотрудников приобретают еще большую актуальность. В 2022 году количество утечек личной информации выросло по сравнению с годом ранее в пять раз. В открытом доступе оказалось 311 баз с разнообразной информацией, касающейся 100 млн человек, говорится в отчете Group-IB. В 2022 году потери бизнеса от одной утечки данных составляли в среднем 4,35 млн долларов, подсчитали в IBM.
Такая статистика вынуждает компании быть еще более осторожными при работе с персональными данными сотрудников и внедрении решений, которые их затрагивают. Речь идет не только о клиентской информации, но и о сведениях о сотрудниках.
Сегодня организации из разных сфер экономики активно внедряют кадровый электронный документооборот (КЭДО). По последним данным, за 2022 год рынок кадрового ЭДО России вырос в четыре раза: в 2021 году цифровыми документами пользовались около 180 тыс. сотрудников компаний, в 2022-м – более 700 тыс.
Разберемся, на что обратить внимание при выборе ИТ-решения в цифровом кадровом документообороте и как реализовать проект так, чтобы обеспечить максимально возможную защиту.
ОБЛАКО ИЛИ ON—PREMISE
Как мы знаем, при работе с персональными данными важно соблюдать закон 152-ФЗ. Компании должны хранить такого рода информацию в России в особым образом защищенной ИТ-инфраструктуре – требования к ней регулирует приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК) №21. Также нужно зарегистрироваться в Роскомнадзоре и получить согласие сотрудников на сбор и обработку личных данных. Если у компании развернута инфраструктура, соответствующая закону «О персональных данных», то платформу КЭДО можно разместить на своих серверах – on-premise. Если нет, то целесообразно воспользоваться облачным решением, в этом случае обеспечение работоспособности и базовой безопасности гарантирует провайдер.
Естественно, что построение инфраструктуры, защищенной по всем нормам, требует существенных затрат. Какой вариант безопаснее? Вопрос неоднозначный.
Крупные компании, способные содержать современную ИТ-инфраструктуру и штат высококлассных специалистов для ее обслуживания, могут самостоятельно обеспечить высокий уровень защиты. При инсталляции on-premise для доставки приложения и их запуска в изолированном окружении используются докеры, а обновление решения происходит в безопасном режиме.
Если компания не готова вкладывать значительные ресурсы в построение и поддержание такой ИТ-инфраструктуры, то безопаснее использовать облачную версию решения. Данные компании хранятся изолированно, резервные копии приложения сохраняются автоматически на регулярной основе. Облачные провайдеры вкладывают большие средства в обеспечение информационной безопасности. Ведь предоставление вычислительных мощностей – это их основной бизнес. Единственный момент – стоит проверить, соответствует ли облачная платформа, предлагаемая вендором системы КЭДО, нормам 152-ФЗ.
КАК ИНТЕГРИРОВАТЬ
Платформа КЭДО – это довольно простой продукт. Если компании достаточно базовой функциональности (возможности получить и подписать удаленно кадровые документы), можно подключить решение, настроить и сразу пользоваться. Это займет всего несколько часов.
Как правило, в подобных сервисах предусмотрена коробочная интеграция с кадровыми системами – 1С ЗУП, «Босс Кадровик» и другими. В продвинутых решениях есть встроенная возможность интегрироваться с HR-платформами по поиску и подбору персонала. Если компании необходимо вести в электронном виде кадровый документооборот с самозанятыми и индивидуальными предпринимателями, то потребуется интеграция с бухгалтерской системой, где ведется их учет. Такие готовые модули также предлагают некоторые вендоры.
ЭЛЕКТРОННЫЕ ПОДПИСИ
В кадровом ЭДО используется несколько видов электронных подписей (ЭП). Усиленная квалифицированная электронная подпись (УКЭП) – наиболее надежная, она требует очной идентификации и позволяет подписывать все документы, включая кадровую отчетность.
Усиленная неквалифицированная электронная подпись (УНЭП) тоже требует подтверждения личности и ее достаточно для подписания всех кадровых документов. Подобрать ключ к этим видам подписей не получится, так как это не просто логин и пароль из СМС, а сложный код.
Простая электронная подпись (ПЭП) менее надежна, потому что это просто связка логина и пароля. Доказать факт подписания документа конкретным человеком сложнее, в отличие от двух предыдущих. Однако и важных операций с ее помощью совершить невозможно из-за ограничений законодательства, даже подписать трудовой договор.
Для безопасного использования электронной подписи важно, кто ее выдает. Идеально, если платформа КЭДО сотрудничает с давно работающим на рынке удостоверяющим центром (УЦ), к которому не было нареканий. В настоящий момент в Минцифры аккредитовано около 50 таких организаций. Стоит уточнить, проводит ли вендор совместно с УЦ различные тесты на уязвимость и как именно обеспечивается безопасность цифровых подписей.
ЦИФРОВАЯ ГРАМОТНОСТЬ
Мало обеспечить техническую защиту системы КЭДО. Главной проблемой кибербезопасности в российском бизнесе считают низкую цифровую грамотность сотрудников: как показывают исследования, 90% утечек происходит из-за человеческого фактора.
Поэтому при внедрении любых проектов, связанных с данными, важно организовать обучение с точки зрения не только использования новых возможностей, но и рисков. В мире, где большинство рабочих операций и бытовых вопросов переходит в онлайн, а основным инструментом для любых задач становится смартфон, без этого не обойтись.
Правила просты:
- придумывать сложные пароли, разные для рабочих и личных аккаунтов;
- не переходить по ссылкам даже от знакомых людей, не уточнив, что это за ссылка и зачем она прислана;
- не показывать свои пароли коллегам.
Может показаться, что вести дела по старинке безопаснее, чем переводить документы в цифровой формат, – хакеры до бумаги не дотянутся. Но это не так. Например: отдел кадров, нанимая удаленных сотрудников, просит их прислать сканы документов с помощью электронной почты или публичного мессенджера. Отдел информбезопасности даже об этом не догадывается. Несложно представить реакцию ИБ-специалистов на такую организацию процесса или последствия утечки документов.
Когда процесс оцифрован – он весь на ладони и контролировать его безопасность гораздо проще. Более того, над вопросами кибербезопасности работают специалисты с разных сторон: вендора, облачной платформы, удостоверяющего центра. Такая синергия более надежна и меньше подвержена действию человеческого фактора, чем ручной процесс.