Проблема PII на скриншотах: как данные клиентов...

Слепое пятно DLP, которое вы ещё не проверяли

Инструменты предотвращения утечки данных (DLP) отслеживают сетевой трафик, вложения электронной почты и передачу файлов на предмет персональных данных (PII). Они перехватывают таблицы с колонками SSN, письма с приложенными списками клиентов и загрузки файлов с медицинскими записями.

Но они не перехватывают скриншоты.

Скриншот — это файл изображения. PII внутри скриншота — имена клиентов в интерфейсе CRM, адреса электронной почты в почтовом ящике, номера счетов в биллинговой системе — не хранятся в виде текста в изображении. Они отображаются в виде пикселей. Стандартные движки DLP, которые проверяют содержимое файлов на шаблоны PII, ничего не находят.

В результате каждый день в организациях с развитой DLP-инфраструктурой сотрудники вставляют скриншоты с персональными данными клиентов в каналы Slack, задачи Jira, сообщения Teams и цепочки электронной почты — и ни одно оповещение DLP не срабатывает.

Масштаб PII на скриншотах в современной работе

Удалённая и гибридная работа сделала обмен скриншотами повсеместным. Инструменты внутренней коммуникации полны захватов экрана, которыми делятся для контекста:

• Агенты поддержки делают скриншоты аккаунтов клиентов, чтобы поделиться с руководителями («посмотрите на этот странный статус аккаунта»)
• Разработчики делают скриншоты журналов ошибок с ошибками валидации пользовательского ввода для инженерных каналов
• Менеджеры по работе с клиентами делают скриншоты записей CRM, чтобы поделиться контекстом сделки с финансовым отделом
• ИТ-администраторы делают скриншоты системных интерфейсов для документирования конфигураций для подрядчиков
• Продуктовые команды делают скриншоты аналитических панелей пользователей для обновлений стейкхолдеров

Каждый скриншот может содержать PII. Скриншот аккаунта клиента содержит имя клиента, электронную почту, статус аккаунта и платёжный адрес. Скриншот журнала ошибок содержит ввод пользователя — который может включать имена, адреса или контактные данные, введённые ошибочно. Скриншот записи CRM содержит полный профиль аккаунта. Скриншот аналитической панели может содержать идентификаторы отдельных пользователей в базовых данных, видимых на диаграмме.

Измерение контроля доступа

Помимо пробела в DLP, обмен скриншотами создаёт проблему контроля доступа.

В большинстве организаций существует ролевое управление доступом (RBAC) к производственным системам. Агент поддержки имеет доступ к записям клиентов, относящимся к его очереди поддержки; он не имеет доступа к полной базе данных клиентов. Подрядчик имеет доступ к конкретной проектной документации; он не имеет доступа к системам с PII клиентов.

Когда агент поддержки делает скриншот записи клиента и вставляет его в канал Slack, общий с подрядчиками, контроль доступа обходится. Подрядчик получает персональные данные клиента, к которым он не мог бы получить доступ через обычные пути доступа к системе. DPA, регулирующее обработку данных подрядчиком, может не охватывать эту передачу. Права клиента по GDPR могут быть неосуществимы в отношении подрядчика.

Этот обход контроля доступа является проблемой согласно Статье 5(1)(f) GDPR (целостность и конфиденциальность) и может создавать проблемы соответствия Статье 28, если подрядчики получают PII без соответствующих DPA.

Обнаружение PII на изображениях как техническая мера контроля

Технической мерой контроля, устраняющей утечку PII через скриншоты, является обнаружение текста на изображениях — OCR, применяемый к файлам изображений для извлечения видимого текста, с последующим обнаружением PII с помощью NLP на извлечённом тексте.

Рабочий процесс:

1. Сотрудник делает скриншот интерфейса с данными клиента
2. Перед отправкой в Slack/Jira/Teams: загружает скриншот в инструмент обнаружения PII на изображениях
3. Инструмент извлекает видимый текст из скриншота с помощью OCR
4. NLP обнаруживает сущности PII в извлечённом тексте
5. Сотрудник получает отчёт: «Этот скриншот содержит: [имя клиента], [адрес электронной почты], [идентификатор аккаунта]»
6. Сотрудник либо: (а) анонимизирует PII, скрывая его на скриншоте, (б) выбирает более ограниченную область распространения, или (в) продолжает передачу с задокументированным обоснованием

Этот рабочий процесс не предотвращает весь обмен PII через скриншоты — он делает PII видимым для сотрудника перед передачей, обеспечивая осознанное принятие решений.

Кейс: Политика скриншотов в Jira службы поддержки SaaS

Служба ИТ-поддержки SaaS-компании создавала задачи в Jira, документируя проблемы с аккаунтами пользователей. Скриншоты, прикреплённые к задачам Jira, содержали:

• Адреса электронной почты пользователей (из интерфейсов управления аккаунтами)
• Сведения о тарифных планах
• Суммы и даты биллинга
• Иногда частичные платёжные данные

Аудит данных по GDPR выявил, что 847 задач Jira, созданных за 18 месяцев, содержали скриншоты с PII. Доступ к Jira был открыт для всех 200 инженерных сотрудников, включая подрядчиков без соглашений об обработке данных (DPA), охватывающих доступ к платёжным данным клиентов.

Подход к устранению:

1. Ретроспективный аудит: обнаружение PII на изображениях для всех скриншотов в существующих задачах — проверено 847 задач, 312 с существенным PII помечены для проверки DPO
2. Устранение в задачах: 89 задач со скриншотами отредактированы (адреса электронной почты клиентов, платёжные данные размыты перед повторным прикреплением)
3. Внедрение процесса: новый рабочий процесс поддержки с требованием проверки PII на скриншотах перед прикреплением к Jira
4. Обучение: 15-минутный инструктаж для всех сотрудников службы поддержки по процессу проверки PII на скриншотах

Результаты (через 90 дней после внедрения):

• Инциденты с PII на скриншотах в Jira: снижение на 90%
• Оставшиеся инциденты: случаи, когда сотрудники поддержки продолжили после проверки с задокументированным обоснованием (обоснованная диагностическая необходимость при соответствующем доступе по роли)
• Проверка DPA: область доступа подрядчиков обновлена для исключения излишнего воздействия PII

312 исторических задач Jira с PII на скриншотах стали выявленным нарушением в ходе аудита GDPR. Снижение на 90% после внедрения было задокументировано как доказательство устранения для ответа на аудит.

Интеграция проверки скриншотов в совместные рабочие процессы

Для организаций, внедряющих меры контроля PII на скриншотах без нарушения операционных рабочих процессов:

Лёгкая интеграция: Букмарклет браузера или лёгкий инструмент, который сотрудники используют перед вставкой в Slack/Jira — перетащить скриншот → получить отчёт о PII за 5 секунд → продолжить или анонимизировать

Интеграция с Jira/ServiceNow: Предварительные хуки для прикрепления, которые запускают обнаружение PII перед прикреплением скриншотов к задачам — аналогично антивирусному сканированию перед прикреплением файла

Интеграция с ботом Slack: Бот, получающий загрузки скриншотов в определённые каналы, запускающий обнаружение PII и публикующий ответ в ветке с обнаруженными сущностями — делая PII видимым для канала без блокировки рабочего процесса

Подход через командные нормы (наименьшее трение): Командная норма + еженедельная автоматизированная выборка — случайная выборка 10% скриншотов в инструментах совместной работы, запуск обнаружения PII, отчёт о результатах руководителю команды — создаёт подотчётность без блокировки рабочих процессов

Для документации GDPR: мера контроля PII на скриншотах является «организационной мерой» согласно Статье 32. Документирование меры контроля (политика + технический инструмент) с доказательствами внедрения (записи об обучении, показатели снижения инцидентов) соответствует принципу подотчётности Статьи 5(2).

Источники:

• GDPR Статья 5: Принципы обработки данных
• GDPR Статья 32: Безопасность обработки
• ICO: Защита данных по умолчанию и с момента проектирования