DLP играет в пользу работодателя
Однако таких результатов компании добиваются только в случае тщательной юридической легитимизации использования технических средств, и любой недочет чреват проигрышем и привлечением к ответственности вплоть до уголовной.
Системы защиты от утечек получают все большее распространение. Данные, полученные с их помощью, широко используются в качестве доказательств в ходе судебных процессов против нарушителей, в чьей деятельности усматриваются признаки административных правонарушений и преступлений. Генеральный прокурор Российской Федерации Игорь Краснов в выступлении на расширенной коллегии ведомства 15 марта 2023 г. призвал в том числе контролировать своевременность внедрения технологий, которые воспрепятствуют несанкционированному доступу к данным.
Вместе с тем, как подчеркнула старший юрист направления правового обеспечения комплексных проектов "РТК-Солар" Татьяна Попикова, сложившаяся судебная практика является результатом тщательной легитимизации систем защиты от утечек данных (DLP, Data Leak Prevention, предотвращение утечек данных) и прочих систем обеспечения информационной безопасности. Данный процесс включает целый комплекс мероприятий, направленных на документационное обеспечение внедрения и эксплуатации таких систем. Оно должно включать как изменения в должностные инструкции сотрудников служб безопасности (общей, информационной, экономической), которые будут использовать систему, так и уведомление персонала о том, что их деятельность будет проходить под контролем DLP. Причем приступать к легитимизации необходимо уже на стадии пилота.
Директор по консалтингу ГК InfoWatch Ирина Зиновкина предупреждает: точно нельзя утверждать, что работодатель гарантировано выиграет процесс против работника: "Исход судебного процесса будет зависеть от корректности выстроенного процесса защиты от утечек и информационной безопасности в организации в целом, результатов проведенного служебного расследования - если оно имело место, - а также иных тонкостей, которые, например, могут быть связаны с конкретным типом информации, утечка которой произошла. Не последнюю роль играет внутренняя нормативная база организации касательно обработки конфиденциальной информации, а также использования ресурсов организации: насколько она актуальна и отражает корректность текущих правил по информационной безопасности, также станет фактором в пользу той и или иной стороны".
Руководитель направления технического сопровождения продаж "Гарда Технологии" Дмитрий Горлянский сетует, что ИБ-специалисты отвыкли работать с людьми: "В случае если компания правильно реализовала комплекс организационно-правовых мер, связанных с внедрением DLP-системы, то выиграть процесс против работодателя будет практически невозможно. Иными словами, если работодатель правильно внедрил DLP, умеет правильно работать с системой и людьми, то так и будет. Сама по себе DLP не является залогом успеха - это лишь инструмент. Грамотный специалист не будет строить официальное дело лишь на данных DLP, но постарается максимально их использовать для, например, получения "чистосердечного признания". К сожалению, современные молодые специалисты больше нацелены на работу с техникой, нежели с людьми".
Руководитель аналитического центра компании Zecurion Владимир Ульянов предупреждает, что сотрудников необходимо уведомлять, иначе могут быть проблемы: "Позиция работодателя практически незыблема, если мониторинг осуществляется в соответствии с нормами закона и все формальные требования соблюдены. В рамках регламентированных бизнес-процессов и с уведомлением сотрудников. Если же компания пытается скрытно собирать информацию о работниках, это может иметь негативные последствия и, когда дело дойдет до суда, возможны всякие варианты. Я рекомендую избегать негласного использования DLP, даже если были успешные кейсы в прошлом".
"Если уж вы внедряете DLP-системы - и не только их, но и любые иные, которые могут прослушивать переписку пользователей, - то закажите нормальное юридическое обоснование по правомочности применения таких технологий. И пусть оно будет свежее, от юристов и на базе текущего правоприменения, а не десятилетней давности, подготовленное консультантами по ИБ", - такие рекомендации дал ведущий сайта "Бизнес без опасности" Алексей Лукацкий по результатам резонансного в российском сообществе ИБ-специалистов дела №22-412/2022, в ходе которого начальник ИБ-подразделения территориального органа одного из российских федеральных ведомств осуждена за факт передачи руководителю личной переписки сотрудников.
"DLP, будучи системой защиты от утечек информации, может применяться в различных сценариях. Во-первых, система может помогать в предотвращении выноса информации за пределы внутреннего корпоративного сегмента. Во-вторых, система нередко используется для более точечного контроля коммуникаций сотрудников, как внешних, так и внутренних. Как в первом, так и во втором сценарии у работодателя отсутствует карт-бланш в разбирательствах с использованием DLP, - предупреждает адвокат коллегии адвокатов Pen & Paper Виктор Рыков. - DLP является лишь инструментом, а его использование всегда должно соответствовать конституции, гражданскому, трудовому законодательству и внутренним политикам самой компании. Если работник сможет доказать, что на какой-то из стадий работодатель нарушил конституцию, закон или собственные политики, это может не только подорвать коммерческие цели использования DLP, но и привести к уголовной ответственности для сотрудников ИБ или гражданской ответственности для компании в целом".
Любая небрежность в ходе легитимизации DLP чревата для руководства и служб безопасности серьезными проблемами. По мнению Татьяны Попиковой, такая практика может быть расценена как нарушение запрета на вмешательство в частную жизнь или посягательство на тайну связи, что влечет уголовную ответственность. Кроме того, применение DLP без должного документационного обеспечения является грубым нарушением законодательства о защите персональных данных.
Также в ходе судебных процессов легитимность получения доказательств проверяется, причем довольно тщательно. В качестве примера Татьяна Попикова привела дело №33-4599/2021, которое рассматривалось в Кемеровском областном суде 17 августа 2021 г.
"Суды следуют четкой процедуре, описанной в процессуальном кодексе. Они исследуют и истребуют доказательства и базируются в своих решениях только на них. Нет доказательств - суд никогда не встанет на вашу сторону, даже если логика и практика на вашей стороне", - предупреждает Алексей Лукацкий.
По мнению Виктора Рыкова, при обновлении системы и добавлении новых функций может понадобиться и обновление внутренних политик компании, и, соответственно, ознакомление с новой редакцией сотрудников: "Это важно, если новые функции системы будут затрагивать новые права и обязанности работников. На примере внешних коммуникаций сами по себе они едва ли могут быть незаконными. Работодатель при этом может прописать во внутренних политиках запреты и ограничения в отношении внешних коммуникаций. Очевидно, главная цель - предотвратить утечку конфиденциальной информации и коммерческой тайны. Следовательно, формулировки политик и способы использования DLP должны отталкиваться именно от этих целей". Дмитрий Горлянский называет главным фактором, который требует переоформления документации при внедрении DLP, рост количества рабочих мест в дистанционном и гибридном формате.
По оценке Владимира Ульянова, обновление внутренних политик и регламентов может потребоваться в том случае, если DLP-система начинает контролировать канал, который раньше не был объектом мониторинга: "В большинстве случаев процесс универсален, не зависит от возможностей используемых DLP-систем. Соответственно, при выпуске обновлений не возникает необходимости менять регламенты. Хотя если система контролирует какой-то принципиально новый канал коммуникации, мониторинг которого не допускался ранее, лучше пересмотреть регламенты и уточнить формулировки либо убедиться, что можно спокойно продолжать работу".
Однако российские вендоры, как отмечает руководитель группы внедрения средств контроля пользователей Innostage Тагир Кабиров, новые функции добавляют регулярно: "Сейчас мы наблюдаем ситуацию, когда изменения в решениях DLP с каждой новой версией становятся более значимыми. Контентный анализ данных становится глубже. Анализу подвергаются все больше критериев, позволяющих точнее выявить и предотвратить утечки данных".
Татьяна Попикова также обращает внимание на отраслевую специфику, которая требует вносить корректировки в типовой набор документов, а иногда и процедуры. Так, в госсекторе необходимо подстраивать документацию под терминологию. В ТЭК, где велико влияние профсоюзов, документацию необходимо согласовывать с профкомом. В финансовом секторе документация должна учитывать требования стандартов Банка России.
По мнению Владимира Ульянова, отраслевая специфика малозначима: "Сама процедура юридического обоснования не изменилась и не имеет явной отраслевой специфики. В отдельных отраслях есть нюансы, связанные с классификацией контролируемой информации, но в целом отличия непринципиальны".
По мнению Дмитрия Горлянского, большее значение имеет размер компании, чем отрасль: "Если юридическое оформление внедрения DLP-системы в крупном бизнесе - особенно в банках, страховых компаниях - выглядит достаточно органично, то для внедрения системы, например, в компаниях среднего бизнеса займет больше времени и будет связано с перестройкой ряда процессов в сфере безопасности".