DLP играет в пользу работодателя

17.03.2023 |

Источник: ComNews.ru

Количество случаев проигрыша работодателей в судах против работников, где в ходе процесса использовались доказательства, собранные с помощью систем защиты от утечек информации (DLP), как показывает мониторинг судебной практики, который ведут ИБ-вендоры, близко к нулю.

Однако таких результатов компании добиваются только в случае тщательной юридической легитимизации использования технических средств, и любой недочет чреват проигрышем и привлечением к ответственности вплоть до уголовной.

Системы защиты от утечек получают все большее распространение. Данные, полученные с их помощью, широко используются в качестве доказательств в ходе судебных процессов против нарушителей, в чьей деятельности усматриваются признаки административных правонарушений и преступлений. Генеральный прокурор Российской Федерации Игорь Краснов в выступлении на расширенной коллегии ведомства 15 марта 2023 г. призвал в том числе контролировать своевременность внедрения технологий, которые воспрепятствуют несанкционированному доступу к данным.

Вместе с тем, как подчеркнула старший юрист направления правового обеспечения комплексных проектов "РТК-Солар" Татьяна Попикова, сложившаяся судебная практика является результатом тщательной легитимизации систем защиты от утечек данных (DLP, Data Leak Prevention, предотвращение утечек данных) и прочих систем обеспечения информационной безопасности. Данный процесс включает целый комплекс мероприятий, направленных на документационное обеспечение внедрения и эксплуатации таких систем. Оно должно включать как изменения в должностные инструкции сотрудников служб безопасности (общей, информационной, экономической), которые будут использовать систему, так и уведомление персонала о том, что их деятельность будет проходить под контролем DLP. Причем приступать к легитимизации необходимо уже на стадии пилота.

Директор по консалтингу ГК InfoWatch Ирина Зиновкина предупреждает: точно нельзя утверждать, что работодатель гарантировано выиграет процесс против работника: "Исход судебного процесса будет зависеть от корректности выстроенного процесса защиты от утечек и информационной безопасности в организации в целом, результатов проведенного служебного расследования - если оно имело место, - а также иных тонкостей, которые, например, могут быть связаны с конкретным типом информации, утечка которой произошла. Не последнюю роль играет внутренняя нормативная база организации касательно обработки конфиденциальной информации, а также использования ресурсов организации: насколько она актуальна и отражает корректность текущих правил по информационной безопасности, также станет фактором в пользу той и или иной стороны".

Руководитель направления технического сопровождения продаж "Гарда Технологии" Дмитрий Горлянский сетует на то, что ИБ-специалисты отвыкли работать с людьми: "В случае, если компания правильно реализовала комплекс организационно-правовых мер, связанных с внедрение DLP-системы, то выиграть процесс против работодателя будет практически невозможно. Иными словами, если работодатель правильно внедрил DLP, умеет правильно работать с системой и умеет работать с людьми, то так и будет. Сама по себе DLP не является залогом успеха, это лишь инструмент. Грамотный специалист не будет строить официальное дело лишь на данных DLP, но постарается максимально их использовать для, например, получения "чистосердечного признания". К сожалению, современные молодые специалисты больше нацелены на работу с техникой, нежели с людьми".

Руководитель аналитического центра компании Zecurion Владимир Ульянов предупреждает, что сотрудников необходимо уведомлять, иначе могут быть проблемы: "Позиция работодателя практически незыблема, если мониторинг осуществляется в соответствии с нормами закона и все формальные требования соблюдены. В рамках регламентированных бизнес-процессов и с уведомлением сотрудников. Если же компания пытается скрытно собирать информацию о работниках, это может иметь негативные последствия и когда дело дойдет до суда, возможны всякие варианты. Я рекомендую избегать негласного использования DLP, даже если были успешные кейсы в прошлом".

"Если уж вы внедряете DLP-системы (и не только их, но и любые иные, которые могут прослушивать переписку пользователей), то закажите нормальное юридическое обоснование по правомочности применения таких технологий. И пусть оно будет свежее, от юристов и на базе текущего правоприменения, а не десятилетней давности, подготовленное консультантами по ИБ", - такие рекомендации дал ведущий сайта "Бизнес без опасности" Алексей Лукацкий по результатам резонансного в российском сообществе ИБ-специалистов дела № 22-412/2022, в ходе которого начальник ИБ-подразделения территориального органа одного из российских федеральных ведомств была осуждена за факт передачи руководителю личной переписки сотрудников.

"DLP, будучи системой защиты от утечек информации, может применяться в различных сценариях. Во-первых, система может помогать в предотвращении выноса информации за пределы внутреннего корпоративного сегмента. Во-вторых, система нередко используется для более точечного контроля коммуникаций сотрудников, как внешних, так и внутренних. Как в первом, так и во втором сценарии, у работодателя отсутствует карт-бланш в разбирательствах с использованием DLP, - предупреждает адвокат коллегии адвокатов Pen & Paper Виктор Рыков. - DLP является лишь инструментом, а его использование всегда должно соответствовать Конституции, гражданскому, трудовому законодательству и внутренним политикам самой компании. Если работник сможет доказать, что на какой-то из стадий работодатель нарушил Конституцию, закон или собственные политики, это может не только подорвать коммерческие цели использования DLP, но и привести к уголовной ответственности для сотрудников ИБ или гражданской ответственности для компании, в целом".

Любая небрежность в ходе легитимизации DLP чревата для руководства и служб безопасности серьезными проблемами. По мнению Татьяны Попиковой, такая практика может быть расценена как нарушение запрета на вмешательство в частную жизнь или посягательство на тайну связи, что влечет уголовную ответственность. Кроме того, применение DLP без должного документационного обеспечения является грубым нарушением законодательства о защите персональных данных.

Также в ходе судебных процессов легитимность получения доказательств проверяется, причем довольно тщательно. В качестве примера Татьяна Попикова привела дело №33-4599/2021, которое рассматривалось в Кемеровском областном суде 17 августа 2021 года.

"Суды следуют четкой процедуре, описанной в процессуальном кодексе. Они исследуют и истребуют доказательства и базируются в своих решениях только на них. Нет доказательств, суд никогда не встанет на вашу сторону, даже если логика и практика на вашей стороне", - предупреждает Алексей Лукацкий.

По мнению Виктора Рыкова, при обновлении системы и добавлении новых функций может понадобиться и обновление внутренних политик компании и, соответственно, ознакомление с новой редакцией сотрудников: "Это важно, если новые функции системы будут затрагивать новые права и обязанности работников. На примере внешних коммуникаций сами по себе они едва ли могут быть незаконными. Работодатель при этом может прописать во внутренних политиках запреты и ограничения в отношении внешних коммуникаций. Очевидно, главная цель - предотвратить утечку конфиденциальной информации и коммерческой тайны. Следовательно, формулировки политик и способы использования DLP должны отталкиваться именно от этих целей". Дмитрий Горлянский называет главным фактором, который требует переоформления документации при внедрении DLP, рост количества рабочих мест в дистанционном и гибридном формате.

По оценке Владимира Ульянова, обновление внутренних политик и регламентов может потребоваться в том случае, если DLP-система начинает контролировать канал, который раньше не был объектом мониторинга: "В большинстве случаев процесс универсален, не зависит от возможностей используемых DLP-систем. Соответственно, при выпуске обновлений не возникает необходимости менять регламенты. Хотя если система контролирует какой-то принципиально новый канал коммуникации, мониторинг которого не допускался ранее, лучше пересмотреть регламенты и уточнить формулировки либо убедиться, что можно спокойно продолжать работу".

Однако российские вендоры, как отмечает руководитель группы внедрения средств контроля пользователей Innostage Тагир Кабиров, новые функции добавляют регулярно: "Сейчас мы наблюдаем ситуацию, когда изменения в решениях DLP с каждой новой версией становятся более значимыми. Контентный анализ данных становится глубже. Анализу подвергаются все больше критериев, позволяющих точнее выявить и предотвратить утечки данных".

Татьяна Попикова также обращает внимание на отраслевую специфику, которая требует вносить корректировки в типовой набор документов, а иногда и процедуры. Так, в госсекторе необходимо подстраивать документацию под терминологию. В ТЭК, где велико влияние профсоюзов, документацию необходимо согласовывать с профкомом. В финансовом секторе документация должна учитывать требования стандартов Банка России.

По мнению Владимира Ульянова, отраслевая специфика малозначима: "Сама процедура юридического обоснования не изменилась и не имеет явной отраслевой специфики. В отдельных отраслях есть нюансы, связанные с классификацией контролируемой информации, но в целом отличия непринципиальны".

По мнению Дмитрия Горлянского, большее значение имеет размер компании, чем отрасль: "Если при внедрении DLP систем в крупном бизнесе (особенно в банках, страховых компаниях) юридическое оформление внедрения DLP системы выглядит достаточно органично, то для внедрения системы, например, в компаниях среднего бизнеса будет занимать больше времени и будет связано с перестройкой ряда процессов в сфере безопасности".

Яков Шпунт