ЕСПЧ не разрешил работодателям читать переписку работников. Что же он решил?

Решение Европейского суда по правам человека (ЕСПЧ) по делу «Барбулеску против Румынии» наше Агентство очень порадовало. И даже «Особое частично несогласное мнение судьи г-на Пауло Пинто де Альбукерке» порадовало. Но совсем не тем, о чем сразу после вынесения решения писали СМИ, интернет-ресурсы и блогеры, как в России, так и за рубежом.

Дело в том, что нет в принятом определении разрешения работодателям стран-членов Совета Европы, являющихся сторонами «Европейской конвенции о защите прав человека и основных свобод» (ЕКПЧ) и «Европейской конвенции по защите прав физических лиц при автоматизированной обработке данных» (ETS-108), читать переписку работников и уж тем более в нем нет полного снятия якобы существовавших в Европе ограничений на использование DLP-систем, как бы не хотелось видеть это в документе некоторым авторам. Но в нем есть другие, очень важные моменты.

Мы не стали торопиться с комментариями, а не спеша, с чувством, толком и расстановкой разбирались с этим объемным (более 30 страниц) интересным документом.

Одно очень важное предварительное замечание. Вопреки мнению большого количества комментаторов этого судебного решения, оно носит прецедентный характер. Так работает ЕСПЧ. Именно поэтому в нем дается огромное количество ссылок на самые разные решения не только европейских, но и американских и канадских судов. Нет сомнения, что на дело Барбулеску, его обстоятельства и принятое решение будут много и часто ссылаться в новых решениях, касающихся прав и свобод граждан, работодателей, доступа в интернет и контроля за таким доступом, чтения переписки и прослушивания переговоров, в первую очередь, когда это касается негосударственных организаций.

Я не буду пересказывать всю фабулу дела, об этом можно почитать у многих авторов (на мой взгляд, самое объективное и взвешенное изложение, из того что я читал, – у Ильи Борисова. Остановлюсь только на выводах и уроках из этого процесса.

Суд подтвердил правоту румынских судов двух инстанций, признавших отсутствие нарушений прав инженера Бурбулеску, установленных статьей 8 ЕКПЧ (право на уважение личной и семейной жизни, жилища и корреспонденции и ограничения на вмешательство в них), и не принял жалобу на нарушения положений статьи 6 той же Конвенции (право на справедливое судебное разбирательство). Это все. Никакого права читать переписку в решении суда нет. Но вот в обосновании вынесенного решения румынские и согласившийся с ними европейский суды указали очень много важного и интересного.

В документе постоянно упоминается об обязательности наличия правил доступа в интернет и использования в личных целях компьютеров, копировальной техники и телефонов, о соразмерности и пропорциональности действий работодателя по защите своих прав, допустимости и прозрачности контроля, его регламентации, наличии у работника точных данных о ведении такого контроля и необходимости документального подтверждения этой осведомленности, допустимых способах получения работодателем доказательств причинения работником вреда и наличии альтернатив получения таких доказательств.

Внимания заслуживают, например, такие фразы из решения Суда муниципалитета Бухареста: «Работодатель предоставил доступ в сеть интернет для использования в профессиональных целях, поэтому неоспоримым является тот факт, что работодатель, в силу своего права контролировать деятельность работников, обладает полномочиями осуществлять проверки использования ими сети интернет в личных целях» или «мониторинг переписки заявителя [Барбулеску] был единственным способом установить подлинность линии его [работодателя] защиты».

Апелляционный суд г. Бухареста в своем постановлении подчеркнул, что «нарушение тайны переписки со стороны работодателя было единственным способом достичь указанной законной цели, и надлежащий баланс между необходимостью работника защитить свою частную жизнь и правом работодателя обеспечивать функционирование компании не был нарушен», а ЕСПЧ согласился с тем, что «поведение работодателя было разумным, и мониторинг переписки заявителя был единственным способом установить факт дисциплинарного нарушения».

В особом мнении судьи П.П. де Альбукерке указывается также на необходимость получения работодателем согласия работника на такой контроль.

Так чем же нас так порадовало решение? Оно подтвердило полную правильность, разумность и достаточность предлагаемых нашим Агентством мер по организации мониторинга за использованием работниками средств хранения, передачи и обработки информации. Наши клиенты, в том числе производители и внедренцы DLP-систем, а также клиенты, ведущие мониторинг действий пользователей без специальных систем предотвращения утечек, могут сопоставить содержание подготовленного нами пакета документов с аргументами суда и увидеть, что все условия допустимости доступа к электронным сообщениям, формируемым работником на рабочем месте, следам его доступа к сети интернет и конкретным сайтам сети в документах соблюдены.

Что же это за условия?

1. Открытость мониторинга

Его нельзя осуществлять втайне от работника, без ознакомления его под роспись с регламентом проведения контрольных мероприятий. Из этого следует и требование к содержанию такого регламента: отражение в нем возможных действий работодателя, четкое разделение порядка анализа содержимого сообщений и файлов в автоматическом режиме, техническими средствами, когда с ним не знакомятся третьи лица, в том числе другие работники, и порядка ручного контроля с анализом контента.

2. Определение области мониторинга

Очень важно в таком документе определить конкретно, что анализируется работодателем: электронная почта, интернет-мессенджеры, файлы на файл-серверах и в системах хранения данных, приложениях коллективного пользования, записи в базах данных, телефонные переговоры и т.п. Должны быть определены четкие границы мониторинга и его условия, обеспечивающие невмешательство в личную жизнь, защиту прав иных лиц, не являющихся работниками, но осуществляющих с работниками коммуникации.

Такой подход требует документального фиксирования двух ограничений:

·         запрета на использование предоставленных работодателем средств хранения, обработки и передачи информации в личных целях (как минимум в рабочее время и на рабочем месте – в эру консьюмеризации ноутбуки и смартфоны часто покидают территорию организации);

·         документально подтверждаемого признания работником того, что он не может рассчитывать на конфиденциальность переписки с рабочего места и с использованием учетных записей, созданных в информационной системе работодателя.

3. Получение согласия работников на мониторинг

Исходя из той же позиции, которую изложил в особом мнении судья де Альбукерке, мы всегда рекомендовали получить явное и недвусмысленное согласие работника на такой контроль, а, чтобы не создавать конфликтную ситуацию в последующем, отразить такое согласие сразу при приеме на работу – в трудовом договоре.

4. Ограничение возможностей доступа

В дополнение к регламенту контроля необходимы детальные правила работы со средствами хранения, обработки и передачи информации, а также снижение тяжести контрольных мер за счет установления различного рода фильтров и ограничений – в отношении, например, публичных почтовых сервисов типа mail.ru или gmail.com, интернет-месседжеров (Facebook, ICQ, Telegram и пр.), социальных сетей и других ресурсов. Чем меньше возможностей доступа – тем меньше надо контролировать и создавать конфликтные зоны.

Но, по своему опыту, скажу – при использовании списков запрещенных для посещения ресурсов интернет (RBL) мне никогда не удавалось добиться того, чтобы в Топ-50 самых используемых работниками сайтов хоть раз попал нужный для работы J.  

Необходимо четко определить запреты на типы хранимых и пересылаемых файлов, в первую очередь, мультимедиа, действия при обнаружении вредоносного кода и массу других важных вещей. Чем больше и конкретнее прописано – тем меньше поводов для судебных споров. 

Решение суда – не точка

Особенно, если внимательно почитать особое мнение. Право на доступ к интернету как базовое и фраза «работники не оставляют свое право на неприкосновенность частной жизни и защиты данных каждое утро за дверью рабочего кабинета» еще не раз станут предметом анализа в судах.   

Небольшой комментарий. Российский Трудовой кодекс не рассматривает нерациональное использование рабочего времени, в том числе, доступ в интернет в личных целях, как однократное грубое нарушение трудовой дисциплины, которое может быть основанием для расторжения трудового договора по инициативе работодателя. Но повторное нарушение – это уже повод при наличии дисциплинарного взыскания. Подробнее – у Марии Вороновой.

И еще. В решении ЕСПЧ постоянно даются ссылки на документы рабочей группы Евросоюза по защите физических лиц при обработке персональных данных, изучающей вопросы мониторинга электронной переписки сотрудников на рабочем месте и оценивающей воздействие защиты данных на работников и работодателей, а также на «Свод практических правил Международной организации труда (МОТ) по защите персональных данных работника» 1997 года, который содержит важные правовые руководства, не носящие обязательного характера, для работодателей, работников и судов.

Именно рабочая группа Евросоюза в мае 2002 года опубликовала «Рабочий документ по мониторингу электронной переписки работников», в котором указывается, что работодатель вправе осуществлять контроль за работниками, но это не может служить оправданием нарушения неприкосновенности их частной жизни. Документом устанавливается, что любые меры по контролю должны отвечать следующим параметрам: прозрачность, необходимость, объективность, пропорциональность.

Мне кажется, нам в России не хватает методической и разъяснительной работы регулятора и надзорных органов именно в этом направлении – как правильно выполнять требования законодательства о персональных данных, обеспечивая баланс интересов государства, общества, бизнеса и граждан. 

Новый обзор правоприменения законодательства о коммерческой тайне и ноу-хау

Консалтинговым агентством «Емельянников, Попова и партнеры» подготовлен очередной обзор правоприменительной практики, связанной с использованием информации, отнесенной к коммерческой тайне или являющейся секретом производства. В обзоре проанализировано более 90 кейсов – решений судов различных инстанций, публикаций в СМИ и на интернет-ресурсах, включая и самые последние инциденты - вплоть до октября 2015 года.

На наш взгляд, обзор интересен практикам, устанавливающим и поддерживающими режим коммерческой тайны, обосновывающим руководству необходимость принятия мер, предусмотренных законом или готовящимся к судебным спорам с работниками, в том числе бывшими, конкурентами и контрагентами. Право у нас не прецедентное, но прецедент – источник права!

Не лишним будет он и для производителей и внедренцев DLP-систем, систем управления цифровыми правами, контроля и архивирования электронной почты и прочих средств борьбы с утечками и выявления инцидентов. Показ клиенту практических примеров, как такие системы позволяют доказать правоту в суде, гораздо эффективнее эфемерных расчетов зарплаты за время интернет-серфинга работника в поисках развлечений в рабочее время.  

В обзоре детально рассматриваются дела, связанные с оспариванием работниками увольнения за разглашение коммерческой тайны, в том числе анализируются вопросы принятия судом доказательств разглашения, собранных работодателем.

Специально для любителей ссылок на Конституцию и неприкосновенность личной жизни на рабочем месте цитирую решения одного из судов по этому вопросу: «Ссылку истца на нарушение ст. 23 Конституции РФ, ч. 2 ст. 55 ГПК РФ, суд считает несостоятельной, поскольку информация была извлечена из компьютера, установленного на рабочем месте истца, используемого для осуществления трудовой функции».

А это – для сторонников того, что при увольнении необходимо доказывание вины, объективной и субъективной стороны дисциплинарного нарушения, из другого судебного решения: «Довод апелляционной жалобы истца о том, что судом не установлено обстоятельство наличия либо отсутствия ущерба, причиненного ответчику в результате действий истца, несостоятелен, поскольку не имеет правового значения и не может повлечь отмену постановленного по делу решения».

А вот еще из одного решения, по поводу того, что собрать доказательства неправомерных действий работодатель не может, и суд их не примет: «Комиссия во исполнения приказа генерального директора провела проверку на предмет нарушения коммерческой тайны, установила, что ААА имела доступ к служебной информации, охраняемой режимом коммерческой тайны и допускала нарушения режима коммерческой тайны: многократно с использованием персонального компьютера переписывала на личную флэш-карту 57 файлов, содержащих конфиденциальную информацию, также передала по электронной почте третьим лицам информацию о планируемых у заказчика объемах работ и их стоимости». Пользователи DLP-систем, вам в помощь!

Рассматриваются случаи привлечения к уголовной ответственности за неправомерное добывание информации, составляющей коммерческую тайну, и ее разглашение лицами, которым сведения были доверены или стали известны в связи с исполнением ими трудовых обязанностей, в том числе дело об экономическом шпионаже, которое «связано с недобросовестной конкуренцией без политической подоплеки», кража секретов производства для предприятия на сопредельной территории и «сдача» работодателем своего работника, укравшего секреты у клиента в ходе выполнения технического обслуживания оборудования.

Несколько новых случаев привлечения к уголовной ответственности бывших работников, которые решили попользоваться коммерческими секретами на новом месте вопреки воле обладателя. Это – для скептиков, считающих, что за воротами предприятия ничего доказать уже нельзя. Можно. Там же – случаи применения штрафов в сотни тысяч рублей по новой редакции ст.183 УК РФ.

Детально анализируется арбитражная практика и споры в арбитражных судах, связанные с восстановлением права, прекращением незаконного использования коммерческих секретов, взысканием понесенных убытков, правомерностью отнесения информации к коммерческой тайне и секретам производства, нарушением условий договоров о конфиденциальности и содержанием таких договоров. Особое внимание уделено вопросам оценкой судами полноты мер по установлению режима коммерческой тайны и влияния этой оценки на решения, принимаемые судами. Изюминка на торте – спор о действиях участника общества, голосовавшего за передачу коммерческих секретов конкурирующей организации, принадлежащей … ему же.

Рассматриваются также решения нового органа – Суда по интеллектуальным правам – по спорам, связанным с использованием секретов производства. Наиболее интересны, на мой взгляд, решения по лицензионным договорам об использовании секретов производства – как в пользу лицензиара, так и и в пользу лицензиата, а также обстоятельства дел, послужившие причиной этих решений.

Анализируются решения арбитражных судов, принятые при опротестовывании органами власти отказов обладателей представить им информацию, составляющую коммерческую тайну.

В отдельный раздел обзора выделены споры, связанные с предоставлением информации, составляющей коммерческую тайну, акционерам и участникам общества. Кроме судебных решений, в этом разделе рассматриваются позиции Конституционного Суда Российской Федерации и Высшего арбитражного суда Российской Федерации по данному вопросу. Одно из наиболее интересных решений из принятых в последнее время – о правомерности предоставления участнику не только бухгалтерской отчетности, но и полной копии баз данных бухгалтерского учета компьютерной бухгалтерской программы 1С.

Обзор основан на опубликованных судебных решениях, а также публикациях средств массовой информации по рассматриваемой тематике, содержит гиперссылки на соответствующие публикации.

В течение месяца обзор будет доступен по спеццене. Обращаться, как обычно, по электронной почте mezp11@gmail.com или телефону +7 495 761-5865.

Мониторинг персонала, DLP, и ментальность

Оценка допустимости контроля со стороны работодателя за действиями своих работников –одна из сложных и наиболее часто обсуждаемых проблем. Евгений Бартов сделал подборку из переводов трех статей, касающихся подходу к организации такого контроля в трех странах – США, Франции и Германии.

Материал интересный, а в преддверии DLP Russia-2013 - весьма актуальный. Учитывая тематику и направленность мероприятия вопросы мониторинга персонала и использования DLP-систем всплывут обязательно. Я, во всяком случае, в своем выступлении «О разрешительной системе доступа к информации, допустимых границах контроля и доверии работнику» об этом обязательно  выскажусь.

В статьях, упомянутых выше, приводятся очень яркие примеры влияния ментальности наций как на сами законы, так и на практику их правоприменения.

Ближе всех к нашему отношению к вопросам мониторинга за персоналом из рассмотренных стран, безусловно, США. Все просто – работодатель может практически все, и это все будет законно. Более того, если действия работников не контролировать, можно влететь в правило «принципал отвечает» и понести конкретные убытки. Ну, а рассмотрение нюансов различных подходов к полноте и содержанию мониторинга, условно названных «нравственность», «прагматичность», «справедливость» и «всеобщее благо», - это от нас еще очень далеко. Мы люди простые и суровые.

С Францией сложнее. Там право на приватность есть, но личную переписку с рабочего места или личные файлы на рабочем компе надо фактически маркировать так, чтобы контролер работодателя мог это однозначно понять. Опять-таки, читать про разумные пределы использования средств работодателя для личных целей в судебных решениях занятно.

А в Германии опять все просто. В целом нельзя. Никогда. Никому. Частная жизнь и приватность священны и неприкосновенны. Но, если очень надо, то все-таки можно. Критерии того, когда допустимо, например, видеонаблюдение в общедоступных местах, впечатляют:

1) отсутствуют признаки нарушения законных интересов людей;

2) наблюдение необходимо для выполнения следующих задач:

·       предоставление возможности государственным службам выполнять свои обязанности;

·       препятствование попаданию нарушителей на территорию;

·       достижение правомерных целей в определенных ситуациях (например, при подозрении в совершении преступления).

Как вам правомерные цели в определенных ситуациях?

При скрытом наблюдении (в общественных местах недопустимо) надо заранее предупредить работников и дать им возможность самостоятельно решать, что можно делать с полученными результатами. Фантастика. А вот еще: «При возникновении конфликта между общими правами работника на приватность и интересами работодателя эти интересы и права подлежат сравнению, чтобы по ситуации определить, что приоритетнее». Или: «Согласно решениям Федерального суда по трудовым вопросам скрытое наблюдение с использованием технических средств разрешается только в следующих случаях:

• имеются конкретные признаки уголовного преступления или иных серьезных правонарушений, осуществляемых за счет работодателя;  

• наблюдение является самым безобидным средством для проверки возникших подозрений;  

• скрытое наблюдение является практически единственным средством решения проблемы;  

• скрытое наблюдение адекватно (например, причины недостач в кассе не могут быть выявлены никаким иным способом)».

Самое безобидное, практически единственное и адекватное. Как критерии допустимости.

Ну и про нас. У нас в законах ничего про это нет. Да и с судебными решениями плохо. Не до этого угнетенному персоналу. Зарплату бы получить.

Поэтому выскажу свою точку зрения. Мониторить можно. Но только открыто. На основании доведенных до работника регламентов. С его согласия. А если не даст – отключим газ (отберем компьютер, электронную почту, интернет – добавить недостающее). И пусть себе трудится и выполняет свои обязанности без всего этого.

А про детали – в пятницу, 20 сентября, на конференции.

Бойся инсайдера, в банк приходящего

На пост сподвигли три события. Бурное обсуждение под Магнитогорском безопасно-банковских проблем, в отношении которых есть возможность мнить себя стратегом, видя бой со стороны (в основном, в изложении Алексея Лукацкого). Круглый стол по безопасности систем дистанционного банковского обслуживания на Инфофоруме. И, наконец, последний отчет о правоприменении законодательства о персональных данных за январь 2013 года, который специалисты нашего агентства подготовили для своих клиентов-банков.

Возник какой-то внутренний диссонанс. Представители банковского сообщества в один голос винят во всех смертных грехах «самое слабое звено» - клиента, который неправильно, неумело, коряво и даже просто преступно пользуется предоставленным банком отличным инструментом под названием ДБО, или «клиент-банк», или интернет-банкинг, в результате чего некие злые хакеры или просто плохие парни захватывают контроль над клиентской машиной и от имени клиентов выводят денежки куда-то в «голубое нигде». А потом имеет наглость ждать вступления в силу пресловутой 9-й статьи 161-ФЗ с тем, чтобы заставить банк оплатить свое же головотяпство. При этом, правда, рассказывать клиенту о рисках в полном объеме как-то не комильфо, а то он уйдет к менее щепетильному конкуренту-молчуну. Да и оплачивать повышение осведомленности хорошо бы государству – это же его граждане портачат.

Но вот читаю ежемесячный отчет. И не в первый раз за последний год (я как-то писал на эту тему)  поражаюсь количеству мошенничеств, совершаемых инсайдерами. Т.е. вполне себе легитимными пользователями АБС и прочих банковских систем, где хранится и обрабатывается информация о клиентах, их счетах и с использованием которых совершаются транзакции. Теми, кто после неких проверочных мероприятий (в свете 152-ФЗ не вполне законных обычно, но также обычно проводимых) был принят на работу, которым предоставили доступ к информационным системам (т.е. к деньгам, вроде бы виртуальным, но вполне себе конвертируемым в наличность) и доверили банковскую и коммерческую тайну, да еще и персональные данные до полного комплекта, положили не самую маленькую в стране зарплату и пустили в огород.

А что же они, неблагодарные? Воруют. Деньги – банка и клиентов. Идентификационные данные – пользователей ДБО. Сведения о пластике, позволяющие выпустить карту-двойник или оплатить покупки через Интернет. И вообще, все что плохо и даже хорошо в банке лежит.

Вот сотрудница некоего смоленского банка, к своим 21 годам доросшая аж до кредитного инспектора, несмотря на столь юный возраст отлично приноровилась оформлять кредиты по неизвестно как добытым ее сообщником паспортным данным, приобретать на них не самую дешевую бытовую технику и сбывать ее.

Вот в неведомом мордовском Ковылкине ее коллега запугала пенсионерку, которая уже оформила все документы на кредит, да так, что дама от займа отказалась, а кредит получила сама, предоставив 57-летней несостоявшейся клиентке возможность возвращать банку 90 тысяч рублей.

В подмосковной Рузе менеджер по продажам финансовых продуктов (кредитов) ЗАО «Связной Логистика» оформляла кредитные карты на бывших покупателей, чьи данные остались в базе, и, естественно, сама же их и обналичивала, заработав таким нехитрым способом 700 тысяч рублей.

Менеджер группы отдела обслуживания физических лиц солидного западного банка, работающего в России, вошел в состав преступной группы, главную скрипку в которой играли полицейские, разыгрывающие сложные костюмированные спектакли со снятием наличных по поддельным документам, которые были оформлены на лиц, внешне похожих на VIP-клиентов банка. Сведения о них как раз менеджер и поставлял. Поскольку операция была сложной и многоходовой, ребята не мелочились и снимали суммы миллионов так по 12.

А уж когда за дело берутся инсайдеры на позициях топ-менеджеров банка, масштаб воровства становится соответствующим. Вслед за лишенным лицензии «Трансэнергобанком», феерически быстро оформившим задним числом вклады на безумную сумму группе подельников, прибежавших в Агентство по срахованию вкладов за «полагающимися» пайками, аналогичную комбинацию попытался провернуть АКБ «Экспресс» из солнечного, но загадочного Дагестана.

Это итоги одного месяца. Может, стоит подумать о том, что  слабое звено – не обязательно вне банка? И что масса людей, находящихся к деньгам гораздо ближе клиентов, и к значительно бОльшим деньгам, могут нанести гораздо более значительный ущерб своему работодателю, чем клиенты, для которых механизм возврата средств по мошенническим операциям вновь отодвинут на год? Может, что-то не так в консерватории? Не случайно заместитель начальника ГУБЗИ Банка России А.Сычев говорил о требованиях к DLP- системам, учитывающим банковскую специфику. Враг внутренний всегда гораздо опаснее внешнего.

DLP как термометр уровня информационной безопасности в бизнесе

В прошедшую пятницу бодро, при хорошем стечении народа, и в современном стиле с диванчиками на сцене, яблоками и огромными плазменными панелями прошла V международная конференция DLP-Russia. 

Не готов комментировать всю программу, тем более, что секции шли в трех параллельных потоках. Поэтому впечатления сугубо субъективные – от реакции на мою презентацию про судебный процесс, связанный с увольнением за разглашение коммерческой тайны, и от итоговой панельной дискуссии об охране объектов интеллектуальной собственности.

Как-то так получилось, что аналитики нашего агентства в последнее время глубоко погрузились в тему судебной практики, связанной с вопросами, традиционно относящимися к сфере информационной безопасности. Интерес к этим вопросам активно проявляют клиенты, к которым пришло понимание того, что дело вовсе не в эффективности разбора протоколов межсетевым экраном или эффективности эвристической компоненты системы предупреждения вторжений. Дело в деньгах – потерянных или приобретенных по результатам деятельности подразделения ИБ. Про эти проблемы я уже писал не раз и не два. И, тем не менее, обсуждение презентации про решение Достоевского райсуда города Обломова показывает, что для многих коллег, причем самого разного возраста, тема остается неожиданной, и к ее проблемам большинство из них не готовы (презентация здесь). 

Дискуссии последних лет о том, насколько специалистам в области ИБ необходима качественная юридическая подготовка, упирается в стену с другой стороны. Практика общения с заказчиками, как реальными - на проектах, так и потенциальными – на курсах и семинарах, показывает, что юрисконсульты наших предприятий и организаций к обсуждению проблем интеллектуального и информационного права не готовы. Они в большинстве своем – хорошие цивилисты-практики, умеющие отстоять свою позицию в суде при оценке выполнения договорных обязательств или взыскании дебиторки. Но вот исключительные права на результаты интеллектуальной деятельности, охраноспособность информации как секрета производства или правомерность обработки персональных данных без явно выраженного согласия субъекта вызывает легкую оторопь как минимум. С другой стороны, на курсах по проблемам применения законодательства о коммерческой тайне и персональным данным, особенно вне Москвы, специалистов по безопасности у меня практически не осталось. Сплошь юристы. Т.е. проблема явно есть, а ее решения пока не видно. То ли безопасники получат второе высшее и станут еще и правовиками, то ли юрисконсульты разберутся в принципиально новой тематике, что, как говорил товарищ Сухов, вряд-ли – уж очень она специфическая и требует знаний, в их обычной деятельности не использующихся. 

В этих обстоятельствах порадовала панельная дискуссия «Защита интеллектуальной собственности и информационных активов предприятия» и совсем не потому, что она прошла под моим модерированием ;). 

Порадовала в первую очередь составом участников, приглашенных организаторами.  Андрей Селезнёв, директор по развитию бизнеса компании Marussia Motors, которая обещает в ближайшее время взрыв российского автопрома, вечного Infant Terrible отечественной экономики. Рустэм Хайретдинов, последовательно и уверенно выступавший как топ-менеджер двух компаний-разработчиков софта, а не средств защиты информации. Владимир Звейник, заместитель директора по безопасности, начальник управления Федеральной уполномоченной организации «Универсальная электронная карта», в недавнем прошлом работавший в «Рособоронэкспорте» и спецслужбах.
Взгляд на интеллектуальную собственность и способы ее защиты с трех совершенно разных, не коррелирующих сторон, неожиданно оказался очень близким. Оказывается, режим коммерческой тайны, не останавливающий бизнес и не заливающий носители информации бетоном, бизнесом востребован. И соответствие требованиям регуляторов воспринимается положительно, даже если эти регуляторы бизнесу не помогают, но риски, в первую очередь, государственные, создают. И нормотворчество, которое часто пытаются назвать «бумажной безопасностью», нужно, если, конечно, это не попытка прикрыть 50-ю сантиметрами бумаги известное место специалиста по ИБ. И нематериальные активы, и их стоимость могут быть понятны не только бухгалтерам, но и безопасникам, если они эти активы защищают.
Безусловно, нюансы есть. Рустэм говорил о скорости бега, позволяющей оторваться от конкурентов, пока они будут анализировать выпущенные лидером миллионы строк кода. Андрей прозрачно намекал на правильный выбор юрисдикции для защиты своих исключительных прав на новый узел автомобиля или изгиб его крыла, а также о правильной мотивации персонала. Владимир был более традиционен и не сомневался в действенности режима.

Но главным было то, что люди из совершенно разных сфер деятельности, действительно заботящиеся об исключительных правах на защищаемую информацию, могут договориться. Если они говорят о бизнесе, о прибыли и об убытках, о способах их взыскания. Если говорят об организации работы персонала, который знает все, но может это все отнести в клювике к конкуренту, а может стать грудью на защиту, когда это пытается сделать его коллега.

Конференция DLP – идеальное место для таких дискуссий. Потому что DLP-система (Data Leak Prevention - система предотвращения утечки информации) – практически единственное средство информационной безопасности, решающее исключительно бизнес-проблемы. И если организаторы конференции в следующем году продолжат эту линию, вовлекая в обсуждение топ-менеджмент, владельцев бизнес-процессов, юристов, финансистов, у конференции могут появиться совершенно новые качества. И тогда она станет уникальной на рынке.

По лезвию бритвы: между privacy и исключительными правами

Любой интеллектуальный продукт, который создается в современном мире, создается на компьютере. Для многих компаний результат интеллектуальной деятельности - практически все, что у них есть.

Работодатель платит деньги. Работник работает. И работодателю хотелось бы знать, над чем он работает и как. И кто, кроме заплатившего, пользуется полученными результатами. Современные технологии позволяют это сделать достаточно просто. Есть системы, контролирующие работу с почтой, интернет-мессенджерами, доступ в интернет, a при желании – и вообще любые действия пользователя компьютера, звонки по сотовому и стационарному телефону, отправку факсов и многое другое.

Сделать это довольно легко. Но вот допустимо ли? Как провести грань между конституционными правами на неприкосновенность частной жизни, личную тайну, тайну переписки (в том числе электронной), телефонных переговоров и правами работодателя контролировать использование предоставленных работнику средств производства, результаты оплаченной работы и соблюдение своих исключительных прав на результаты интеллектуальной деятельности, полученные за свои же деньги?

Законодатели за двадцать лет творчества в парламенте новой России ничего внятного по этому поводу не сказали. Продекларировав в Гражданском кодексе исключительное право работодателя на служебные секреты, созданные работником в рамках трудовых обязанностей или по заданию работодателя, вопросы ведения личной переписки на рабочем месте и использования средств коммуникаций они аккуратно обошли. А грань между правом на приватность и правами работника, если и существует, по толщине не превосходит лезвие бритвы, по которому и приходится проходить тем, для кого секреты производства – главный, хотя и нематериальный актив.

За пределами России единства взглядов на эту проблему тоже нет. В континентальной Европе мощные и авторитетные профсоюзы работодателям развернуться на поприще контроля категорически не позволяют, и системы контроля и предотвращения утечек – DLP (Data Loss или Leak Prevention или Protection) там редки почти как волки в европейских лесах. Англоязычные страны, в первую очередь – США и Великобритания, на проблему смотрят несколько иначе, ставя во главу угла интересы бизнеса, из чьего кармана оплачивается рабочее время, веб-серфинг и обмен электронными сообщениями.

В США периодически к ответственности привлекаются работодатели, не обеспечившие контроля за использование средств коммуникации и допустившие рассылку по корпоративной почте информации дискриминирующего, оскорбительного или экстремистского характера. Еще проще взгляды на проблему в Азии и Латинской Америке. Там пока проблема примата личного над общественным не стоит. Работодатель платит – и заказывает музыку. Любую, которую любит.

Россия, как обычно, где-то посередине. В некоторых компаниях вопрос мониторинга действий сотрудников даже не поднимается и не рассматривается, где-то контролируется вся переписка, фактически перекрыт доступ к большинству ресурсов интернета, в опен-спейсе – видеокамеры, а на входе – системы контроля доступа учета рабочего времени.

И вот уже отечественный производитель этих самых DLP систем доводит до широкой общественности результаты операции по предотвращению переманивания конкурентом ценного работника, проведенной с перлюстрацией электронной почты.

Есть у этой проблемы и другая сторона. Российские арбитражные суды отказывают в защите компаниям, пострадавшим от кражи коммерческой тайны  своими или уже бывшими работниками. Наличие технической возможности использования почтового ящика работника, через который произошел слив информации, администраторами или службой безопасности, создают у судов «неразрешимые сомнения» в виновности ответчика.

Если специальных средств контроля и логирования нет  – доказать правоту будет невозможно при всей кажущейся очевидности вопроса о бессмысленности «подставы» уволившегося вместе с клиентской базой бывшего коммерческого директора.

Представляется, что тем, кому есть что защищать в этой хрупкой нематериальной сфере интеллектуальной деятельности, принимать меры контроля так или иначе придется. Открыто говоря об этом работникам, документально регламентируя порядок и степень вмешательства, получая подтверждаемое согласие работников на чтение служебной переписки. И делая еще много чего – не будем забывать, что у электронного письма есть получатель или отправитель, а в телефонном разговоре – второй собеседник, которые предупрежденными и согласившимися на это работниками могут и не являться.

Важно еще и не переходить разумные и этические границы. Не стал бы я организовывать прослушку телефона, даже и служебного. Нельзя запретить работнику пользоваться им в личных целях. Забота о здоровье больного ребенка важнее установленных правил. Но знать об этом работодателю вовсе не надо.

Здравый смысл, уважение к личности работника и защита своих прав, предоставленных законами – непростые и не всегда дружащие между собой поводыри для работодателя, создавшего почву для инноваций и ожидающих отдачи от них.

Про DLP, компьютерные расследования и не «бумажную» безопасность

Довольно интересная дискуссия про то, что делать, когда вы заботитесь о сохранности данных, а они все равно уходят. Чем поможет и поможет ли полиция, можно ли решать проблему сбора доказательств своими силами, и чем могут помочь технические средства, DLP - средства предотвращения утечек данных,,в частности.

Участники интересны каждый сам по себе, а вместе – особенно. В том числе и уникальностью события, когда они вместе.

Даже тем, кто считает все это блажью.

Если вы действительно заботитесь о безопасности, а не только о достижении соответствия чему-нибудь и проверках надзорных органов, задуматься о том, что и как делать с инсайдерами, все равно придется. Назначение и контроль прав на электронные документы (IRM/RMS), выявление фактов, вызывающих подозрение на утечку и блокирование действий «на лету» (DLP), полный запрет на использование неконтролируемых устройств вывода или что-то еще? Каждый решает сам. Но почему бы не послушать тех, кто уже имеет сложившееся мнение и представление о возможном решении проблемы…

Конференцией по DLP навеянное

С удовольствием провел пятницу на 4-й международной конференции по DLP. То же «Инфопространство», что и на конференции по персданным, но как-будто другой мир. В ИБ стали появляться нестандартные, отлично организованные мероприятия. И люди вроде бы все те же, знакомых – больше половины зала. И тема понятная, и не новая (хотя бы потому, что конференция четвертая). Но ведь интересно!

Четыре белых кресла на сцене, внятный ведущий-модератор, первое же перпендикулярное выступление от IDC (а про DLP вообще не говорим, у нас – другое), затем – совсем неожиданная, редкой честности и глубины, с раскладываем ситуации по полочкам презентация Натальи Касперской, следом – Владимира Денежкина из «Трафики», совсем молодого вендора подобных решений, в котором вся почтительность к маститому конкуренту (а как еще иначе назвать?) сводились к обращению «Наталья Ивановна». И понеслось.

Какая-то совсем неформальная атмосфера, полное отсутствие традиционных для такого мероприятия оргпроблем. Шампанское и саксофон на десерт.

Не буду пересказывать, кто и чего сказал. После обеда было пять или шесть параллельных потоков, а побывал только на одном. Было бы несправедливо только об услышанном говорить.

А вот поделиться выводами из того, что услышал, готов. Наиболее концентрировано проблемы, сдерживающие внедрение DLP обозначила Н.Касперская, и сводятся они к достаточно очевидному: заказчик хочет быстро и дешево, да еще так, чтобы поставил и забыл. А получается исключительно дорого и долго, и системами надо постоянно заниматься. Из-за этого они плохо развиваются, медленно наращивается функциональность. Кроме этой глобальной проблемы по-прежнему нет переводчика между бизнесом, которому вроде бы такие решения нужны, и ИБ, которая их вдвигает. Объяснить, зачем, чаще всего не получается. Да еще по-прежнему вызывает сомнение сама законность применения средств контроля за действиями работников. Россию можно считать еще более-менее нейтральной страной между не слишком боящимися нарушения privacy азиатскими государствами и европейцами, категорически не готовыми спорить с профсоюзами, защищающими права работников.

Вся эта гремучая смесь сдерживает внедрение полезной, а иногда – и крайне необходимой системы.

Что по этому поводу думается. Научиться разговаривать с бизнесом все-таки придется. Именно из-за дороговизны, сложности и специфичности используемых методов защиты. Детскую болезнь ИБ лечить все равно надо.

Почему плохо продается? Потому что пытаются продавать софт, решение, продукт. Не получится. Продавать надо технологию, заточенную под конкретную проблему (или проблемы), и не с мануалом, а с дорожной картой. А для этого с бизнес-проблемами придется разбираться разработчикам или нанимать того, кто разбирается. И не просто нанимать, а еще и учитывать их мнение при разработке,

Внедренцы должны прийти, понять, для чего систему собираются использовать, и рассказать, как этой цели достичь. Например, защищать коммерческую тайну. Как конкретно? Какие конкретно процедуры запустить? Как организовать контроль? Можно ли срастить DLP с IAMS, IRM/RMS и СЭДО? Объяснят – купят. Нет – соответственно.

Надо определять роли и права, инвентаризовать ресурсы и выделить в них защищаемые сведения. Причем рассказать, как это сделать и при чем здесь DLP, должны внедренцы, не надеясь, что заказчик все сделает сам, а их дело - только поставить и запустить собственно систему.

Пока это не осилят, продаваться будет плохо. Потому что дорого, сложно и долго. Очень хочется надеяться, что осилят. У решения обозначилась очевидная ниша, причем, что очень важно – именно для бизнеса, а не для ИБ. Не для межсетевого экранирования или предотвращения вторжений, объяснить суть которых бизнесу практически невозможно. А для предотвращения ухода к конкуренту коммерчески ценной информации. Или поимки крота конкурента. Или уменьшения стоимости эксплуатации покупаемых ИТ-сервисов. Это все – про деньги И бизнесу понятно. Если объяснить.