Бойся инсайдера, в банк приходящего

На пост сподвигли три события. Бурное обсуждение под Магнитогорском безопасно-банковских проблем, в отношении которых есть возможность мнить себя стратегом, видя бой со стороны (в основном, в изложении Алексея Лукацкого). Круглый стол по безопасности систем дистанционного банковского обслуживания на Инфофоруме. И, наконец, последний отчет о правоприменении законодательства о персональных данных за январь 2013 года, который специалисты нашего агентства подготовили для своих клиентов-банков.

Возник какой-то внутренний диссонанс. Представители банковского сообщества в один голос винят во всех смертных грехах «самое слабое звено» - клиента, который неправильно, неумело, коряво и даже просто преступно пользуется предоставленным банком отличным инструментом под названием ДБО, или «клиент-банк», или интернет-банкинг, в результате чего некие злые хакеры или просто плохие парни захватывают контроль над клиентской машиной и от имени клиентов выводят денежки куда-то в «голубое нигде». А потом имеет наглость ждать вступления в силу пресловутой 9-й статьи 161-ФЗ с тем, чтобы заставить банк оплатить свое же головотяпство. При этом, правда, рассказывать клиенту о рисках в полном объеме как-то не комильфо, а то он уйдет к менее щепетильному конкуренту-молчуну. Да и оплачивать повышение осведомленности хорошо бы государству – это же его граждане портачат.

Но вот читаю ежемесячный отчет. И не в первый раз за последний год (я как-то писал на эту тему)  поражаюсь количеству мошенничеств, совершаемых инсайдерами. Т.е. вполне себе легитимными пользователями АБС и прочих банковских систем, где хранится и обрабатывается информация о клиентах, их счетах и с использованием которых совершаются транзакции. Теми, кто после неких проверочных мероприятий (в свете 152-ФЗ не вполне законных обычно, но также обычно проводимых) был принят на работу, которым предоставили доступ к информационным системам (т.е. к деньгам, вроде бы виртуальным, но вполне себе конвертируемым в наличность) и доверили банковскую и коммерческую тайну, да еще и персональные данные до полного комплекта, положили не самую маленькую в стране зарплату и пустили в огород.

А что же они, неблагодарные? Воруют. Деньги – банка и клиентов. Идентификационные данные – пользователей ДБО. Сведения о пластике, позволяющие выпустить карту-двойник или оплатить покупки через Интернет. И вообще, все что плохо и даже хорошо в банке лежит.

Вот сотрудница некоего смоленского банка, к своим 21 годам доросшая аж до кредитного инспектора, несмотря на столь юный возраст отлично приноровилась оформлять кредиты по неизвестно как добытым ее сообщником паспортным данным, приобретать на них не самую дешевую бытовую технику и сбывать ее.

Вот в неведомом мордовском Ковылкине ее коллега запугала пенсионерку, которая уже оформила все документы на кредит, да так, что дама от займа отказалась, а кредит получила сама, предоставив 57-летней несостоявшейся клиентке возможность возвращать банку 90 тысяч рублей.

В подмосковной Рузе менеджер по продажам финансовых продуктов (кредитов) ЗАО «Связной Логистика» оформляла кредитные карты на бывших покупателей, чьи данные остались в базе, и, естественно, сама же их и обналичивала, заработав таким нехитрым способом 700 тысяч рублей.

Менеджер группы отдела обслуживания физических лиц солидного западного банка, работающего в России, вошел в состав преступной группы, главную скрипку в которой играли полицейские, разыгрывающие сложные костюмированные спектакли со снятием наличных по поддельным документам, которые были оформлены на лиц, внешне похожих на VIP-клиентов банка. Сведения о них как раз менеджер и поставлял. Поскольку операция была сложной и многоходовой, ребята не мелочились и снимали суммы миллионов так по 12.

А уж когда за дело берутся инсайдеры на позициях топ-менеджеров банка, масштаб воровства становится соответствующим. Вслед за лишенным лицензии «Трансэнергобанком», феерически быстро оформившим задним числом вклады на безумную сумму группе подельников, прибежавших в Агентство по срахованию вкладов за «полагающимися» пайками, аналогичную комбинацию попытался провернуть АКБ «Экспресс» из солнечного, но загадочного Дагестана.

Это итоги одного месяца. Может, стоит подумать о том, что  слабое звено – не обязательно вне банка? И что масса людей, находящихся к деньгам гораздо ближе клиентов, и к значительно бОльшим деньгам, могут нанести гораздо более значительный ущерб своему работодателю, чем клиенты, для которых механизм возврата средств по мошенническим операциям вновь отодвинут на год? Может, что-то не так в консерватории? Не случайно заместитель начальника ГУБЗИ Банка России А.Сычев говорил о требованиях к DLP- системам, учитывающим банковскую специфику. Враг внутренний всегда гораздо опаснее внешнего.

Читая приговоры…

Лето оказалось совсем не отпускным. Столько работы в это время еще никогда не было. Особенно активизировался интерес к коммерческой тайне. В ходе одного из проектов пришлось детально разбираться с решениями и приговорами судов по поводу разглашения коммерческой тайны.

Из них можно вынести много весьма полезной информации о том, как воспринимаются судами аргументы сторон при разборе подобных дел, и что надо учесть (куда соломки подстелить), если одной из задач установления режима является возможность привлечения виновного в нарушении исключительных прав на секрет производства к дисциплинарной, административной или уголовной ответственности. Я как-то об этом писал, но появились и новые решения.

Итак, первое и главное. В последние пару лет суды научились анализировать полноту принятия мер по установлению режима, предусмотренных частью 1 статьи 10 ФЗ «О коммерческой тайне» и организации работы с информацией, составляющей коммерческую тайну (ИКТ), предусмотренных частью 1 статьи 11. Это очень радует, поскольку ранее судьи в это особо не вникали. К примеру, не признается законным увольнение работников по п.п. «в» пункта 6 ст.81 ТК РФ (разглашение охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей), если даже часть режимных мер не принята – нет учета лиц, получивших доступ к ИКТ или грифов на документах в электронном виде. Можно высекать на граните и ставить на проходной организации цитату из одного приговора: А.Б.В. «не может нести неблагоприятные последствия за бездействие других работников этого юридического лица, ненадлежащую организацию с их стороны работы по охране сведений конфиденциального характера, невведение обладателем информации в отношении нее режима коммерческой тайны».

Суды, как с этим не пытаются спорить некоторые коллеги, принимают доказательства неправомерных действий, собранные службой безопасности или ИТ-подразделением пострадавшего работодателя, - электронные письма, копии баз данных, даже логи, причем, по понятным причинам, к электронным письмам отношение гораздо более благосклонное, чем к логам. А вот конструкции типа «мог предположить, что данные сведения составляют», «имел основания полагать», «другие лица, кроме него, не могли», отметаются напрочь. Как замечательно написано в одном из приговоров, «предположительные доводы органа предварительного следствия и стороны государственного обвинения о наличии в действиях А.А.А. состава преступления, не основаны на нормах материального и процессуального права и не могут быть положены в основу обвинительного приговора суда». А в одном из процессов суд напомнил работодателю, что такого основания для отстранения от работы, как разглашение секретов, Трудовой кодекс не предусматривает (см.ст.76 с исчерпывающим перечнем оснований).

Весьма значительная часть судебных процессов посвящена краже, выносу, уносу, продаже, передаче клиентских баз. Недаром профессия «менеджер по продажам со своей базой» - самая востребованная на рынке труда. При этом, определяя обладателя охраняемой информации и возможность ее независимого получения самостоятельно одной из сторон, суды стали сравнивать оспариваемые сведения, и, при наличии большого количества совпадений, принимать сторону того, от кого эта информация ушла к конкуренту.

Есть совершенно замечательные решения. Суд посчитал отправку работником письма с персональными данными другого работника со своего служебного почтового ящика на свой же почтовый адрес публичного сервиса www.mail.ru разглашением. Читаем внимательно: «Пользовательским соглашением, текст которого размещен на сайте www.mail.ru, в соответствии с условиями которого ООО «Мэйл. Ру» может как ограничивать, так и разрешать доступ к информации, содержащейся в электронных почтовых ящиках. Следовательно, в силу ст. 2 ФЗ "Об информации, информационных технологиях и защите информации" названная компания является обладателем информации». Вот так. Поэтому увольнение по тому же п.п. «в» пункта 6 ст.81 ТК РФ (разглашение персональных данных другого работника) суд посчитал правомерным, причем доказательства отправки сам работодатель в суд и принес. На заметку всем обладателям охраняемой законом информации. Открывается новый пласт ограничительной деятельности, особенно для тех, кто допускает использование публичных почтовых сервисов.

В связи с этим очень интересным представляется еще одно решение. Определяя обязанности своего работника по охране коммерческой тайны, обладатель обязал его «не распространять сведения, составляющие конфиденциальную информацию, следующими способами: устно, письменно, в средствах массовой информации». А он отправил их «электронным способом, не охватываемым условиями Соглашения о конфиденциальности, соответственно чему доказательств распространения работником конфиденциальной информации способами, предусмотренными Соглашением о конфиденциальности, суду ответчиком не представлено». А? Каково? Я всегда говорил, что в защите информации ограниченного доступа 80% работы связано с правовыми и оргмерами, и только 20% - с техническими.

И, наконец, про технические меры. Сложилось впечатление, что будь у пострадавших от неправомерных действий инсайдеров поставленная система контроля-блокирования-логирования, и дел самих могло бы не быть, а уж если случилось бы – в суде выиграли бы точно.