Новое исследование в сфере кибербезопасности выявило серьезные уязвимости в конфиденциальности корпоративного сектора: популярное программное обеспечение для мониторинга интрасетей передает конфиденциальные сведения сторонним организациям. Анализ девяти ведущих сервисов контроля активности персонала показал, что данные сотрудников попадают не только в распоряжение работодателей, но и к брокерам данных и крупнейшим технологическим корпорациям.
Масштабы утечки корпоративной информации
Согласно результатам проверки, абсолютно все девять изученных платформ обменивались информацией с внешними рекламными и аналитическими системами. В число получателей данных вошли такие гиганты, как Google, Facebook и Microsoft. Передаваемые пакеты данных включают в себя:
- Имена и фамилии сотрудников;
- Корпоративные и личные адреса электронной почты;
- Полную историю посещений веб-страниц;
- Технические параметры устройств.
Эксперты отмечают, что подобная практика создает дополнительные риски промышленного шпионажа и несанкционированного профилирования персонала.
Геолокация и скрытый сбор сведений
Особую обеспокоенность исследователей вызвал функционал отслеживания перемещений. Было установлено, что три из девяти программных продуктов способны фиксировать точное местоположение пользователя. Данный процесс продолжается даже в том случае, если приложение работает в фоновом режиме, что фактически означает круглосуточный надзор за сотрудником вне зависимости от его рабочего графика.
Передача истории просмотров и местоположения сторонним брокерам данных выходит далеко за рамки обеспечения безопасности внутренней сети и контроля продуктивности.
Перспективы регулирования отрасли
Текущая ситуация ставит под вопрос этичность использования инструментов корпоративного контроля в их нынешнем виде. Вероятно, выявленные факты приведут к ужесточению проверок со стороны регуляторов в области защиты персональных данных, таких как GDPR. Работодателям рекомендуется провести аудит используемого ПО, чтобы исключить скрытую передачу корпоративных секретов и личной информации сотрудников третьим лицам, что может нанести ущерб репутации и юридической безопасности компании.