Особенности реагирования на инциденты информационной безопасности

APC

Если в материале, опубликованном на ПроБизнесе, шла речь о том, что делать надо при реагировании на инциденты информационной безопасности, то сегодня речь пойдет о том, что делать не надо. Сессию таких предостережений проведет Мария Воронова директор по консалтингу компании InfoWatch, консультант в ИБ-области Максим Анюков, компания InfoWatch и консультант в области юридических вопросов Сергей Хайрук, компания InfoWatch.

На следующем слайде представлена информация о том, что было рассмотрено в первой части этого мероприятия.

Сегодня будут разбираться случаи из судебной практики, относящиеся к сливу информации. Айтишники при реагировании на инциденты как правило берут на себя ИТ-функции, ИБ-функции, функции юристов и психологов, т.е. отвечают за все вопросы. Тем не менее важно плотно привлекать к этой работе и определенные подразделения компании.

Реагирование на инциденты должно быть командной работой.

В компании InfoWatch возник спор, насколько важен строгий режим, важно грифование документов и выполнение множества пунктов, которые с точки зрения практики ИБ-безопасности абсолютно невыполнимы. Что важно учесть, когда речь идет о реагировании на инциденты и доведение до принятия управленческого решения.

Чем проще будут доказательства и чем больше их будет предоставлено судебной инстанции, тем легче будет доказать то или иное правонарушение, совершенное сотрудником.

На следующем слайде приведены риски судебной практики, которые нужно учитывать априори. 

Теперь будем разбираться на кейсах с судебной практикой. Это помимо Марии Вороновой будут делать Максим Анюков и Сергей Хайрук.

Грифоваль или не грифовать?..

Основной закон, позволяющий защитить информацию, это закон о коммерческой тайне. Он принят в 2004 году и с тех пор не сильно изменялся. В нем существуют требования, которые на практике далеко не всегда выполняются, в том числе и грифование. В нынешних условиях всеобщей информатизации и обработки информации в электронном виде трудно проконтролировать грифуют ли сотрудники информацию или нет.

Каковы шансы работодателя выиграть в суде дело, если утекла информация, не содержащая гриф коммерческой тайны, но по всем характеристикам к ней относящаяся?

Слово взял юрист Сергей Хайрук. По его словам, это вопрос неоднозначный, он с одной стороны предполагает обязательное грифование, но с другой стороны в той же статье есть упоминание, что меры должны быть необходимыми и достаточными. Как раз суд и решает вопрос о необходимости и достаточности. Есть кейсы, в которых суд не считает, что режим коммерческой тайны был установлен и встает на сторону работника при увольнении и считает, что разглашения не было. И есть другая позиция, в которой суд встает на сторону работодателя и оценивает информацию исходя из определения, которое есть в законе о коммерческой тайне. Здесь опасность в том, что наши суды, к сожалению, решают дела по шаблону и подходят к своей деятельности довольно формально.

Любому судье проще сказать, что режим коммерческой тайны не установлен, потому что не выполнены определенные положения, в том числе грифование.

Это проще, чем пытаться подтянуть определение из федерального закона, тем более, что в самом ФЗ информация будет относиться к коммерческой тайне только тогда, когда в ее отношении установлен этот режим. Вероятность выигрыша дела работодателем повышается в том случае, если компания хоть какие-то меры приняла. Очень модно ссылаться на указ №188, говорить, что режим конфиденциальной информации установлен, но хотя бы в базовых документах должна быть прописана коммерческая тайна.

Безопасник по просьбе своих вышестоящих коллег отправил им какие-то документы. Работодатель посчитал это разглашением коммерческой тайны и уволил сотрудника. Тот обратился в суд ссылаясь на то, что самого разглашения не было, поскольку информация была отправлена сотрудникам, которые имели доступ к коммерческой тайне. Сам сотрудник не выступал обладателем информации, а только транслятором сообщения.

Но суд не согласился с этим, он написал, что информация была предана в распоряжение как минимум одного лица международной компании Viber, которая осуществила обработку этой информации и разместила ее на принадлежащих Viber серверах. Данная позиция прямо противоречит известному постановлению по делу Сушкова 2017 года 25-П, где разъясняется положение информационных посредников и суд указал, что данные информационные посредники обладателями информации не являются и в данном случае разглашения не получается. Данный кейс очень странно решен. Обычно они решаются в пользу сотрудника. На слайдах представлены ссылки на реальные дела, с ними можно ознакомиться позднее.

Мониторинг и контроль

Довольно часто компании не хотят уведомлять своих работников о том, что у них на предприятии ведется мониторинг и контроль. Работники не знают, что вся их активность отслеживается, а также мониторится ИБ-службой отправка ими всей информации. Может ли работодатель при такой ситуации уволить сотрудника за разглашение информации и отстоит ли он в суде свое решение?

Если сотрудника увольняют по какой-нибудь причине, то суду очень важно понимать откуда взялись доказательства. Здесь даже важнее не то что уведомлены сотрудники или нет, а как режим мониторинга и контроля возник в организации, каким документом он введен. На следующем слайде представлено дело, его суть в том, что в одной из переговорных комнат было открыто окно с электронной почтой, где представители работодателя ознакомились с почтой в этом окне, так же на этом ноутбуке было открыто окно с сообщениями Viber и WhatsApp, с которыми они тоже ознакомились, т.е. говоря обычным языком – это был бред сивой кобылы.

Тем не менее, данные доказательства в виде служебной записки были предоставлены в суде, по решению суда данные доказательства в деле остались, но особого доверия у суда они не вызвали. Суд выкрутился следующим образом: нет грифов – нет режима. Тем не менее, в компании система мониторинга и контроля не была узаконена и было большой проблемой понять и объяснить суду откуда доказательства взялись.

Может ли сотрудник подать встречный иск на компанию за то, что было нарушено его право на тайну частной жизни и тайну переписки? В данном случае встречного иска точно не будет, но претензии по поводу вмешательства в частную жизнь естественно возможны. Как позиция защиты она вполне допустима и как метод для исключения из дела подобных доказательств это тоже может сработать.

Мы рекомендуем в организациях, где используется DLP-система и другие системы мониторинга утвердить сам этот процесс и разъяснить сотрудникам, что в их компании ведется и с какой целью, а также закрепить факт, что никакой слежки за личной жизнью сотрудников не ведется.

Как доказать ущерб

Понятно, что утечка информации приносит определенный ущерб работодателю, но при этом оценить этот ущерб зачастую бывает довольно трудно, потому что ни репутационный ущерб, ни другие причиненные ущербы не стоят на балансе в бухгалтерии, сложно найти независимого оценщика, который смог бы оценить этот ущерб.

В данном случае ущерб может быть доказан путем экспертизы, путем установления конкретной суммы. В Англии есть два способа установления ущерба: это ущерб по расходам, когда вы просто оцениваете сколько человекочасов было затрачено на создание той или иной информации, того или иного актива, либо ущерб по рыночной цене этого актива.

Какая сложность возникает в российской юрисдикции. Здесь есть в большей степени процессуальный аспект. Когда мы говорим об ущербе и каких-то деньгах, которые должны быть востребованы с сотрудника за разглашение, мы должны понимать, что в этом случае нам придется доказать весь состав ущерба. Суды в этом случае спрашивают, вы хотите денег, противоправность вы показали, объясните тогда весь остальной состав ущерба. Докажите вину сотрудника, был ли это умысел или была небрежность, либо еще что-то. Объясните причинно-следственную связь и аргументируйте саму сумму ущерба. Все что касается предварительно установленных неустоек, т.е. суммы за разглашение, суд считает это злоупотреблением правом и данные условия просто не применяются.

В одном из дел работодатель записал в трудовом соглашении, что за разглашение или за нарушение каких-то регламентов сотрудник должен будет заплатить 500 тысяч рублей. Работодатель с полной уверенностью пошел с этим трудовым соглашением в суд, на что получил резонный ответ суда: во-первых, эти 500 тысяч рублей они не законны и данное положение, внесенное в трудовое соглашение, не может применяться, а, во-вторых, суд сказал, что если вы хотите получить от сотрудника ущерб, то вам надо доказать весь состав ущерба.

Практики такой мало, но доказать это все же можно, первое что необходимо доказать, рыночную стоимость данной информации и затраты на ее создание, либо экспертное заключение, либо комиссионное. У одного из наших клиентов было написано в трудовом договоре, что в случае утечки любой информации создается комиссия, которая в том числе оценивает эту информацию на предмет возможного ущерба, т.е. ее стоимость и возможные негативные последствия для организации и это тоже хоть какое-то основание для судей иметь дело с реальными деньгами. Другое дело, наши суды не любят любые движения, связанные с выплатой чего-либо кому-либо, они видят в этом мошенничество и несправедливость, считать они не умеют. Английские и американские суды умеют считать. Достаточно посмотреть российскую практику компенсации морального вреда, которая редко превышает 50 тысяч рублей. Смерть мы умеем отлично оценивать, смерть гражданина – это примерно один миллион рублей. Лучше провести независимую экспертизу, внутреннюю оценку и все это предоставить суду.

Разглашения как бы и не было

Самое частое объяснение сотрудника, когда ему предъявляют претензию что он отправил документ на флэшку или почту, он говорит, что хотел поработать дома. Если такого сотрудника уволят, каковы его шансы восстановиться через суд?

Уже упоминавшееся постановление 25-П по Сушкову, разъясняет и этот вопрос, там указано, что если действия сотрудника выводит информацию за пределы контроля, то таким образом работник создал предпосылки для разглашения этой информации. Суды трактуют это просто: любая отправка на личную почту – это разглашение, любая запись на флэшку – это скорее всего разглашение, хотя конституционный суд прямо знака равенства между отправкой на личную почту и разглашением не ставит.

Что нужно учесть при оформлении подобных инцидентов? Тут важно, чтобы этот самый съемный носитель не появился из воздуха. Работодатель может запретить использование любых съемных носителей кроме зарегистрированных и выданных работодателем и тогда в суде не будет вопросов откуда появился съемный носитель.

Как правило доказывают сам факт передачи информации на съемный носитель логами системы и суду это не всегда понятно.

А если увольнять сотрудника не за разглашение, а за нарушение правил внутренней трудовой дисциплины? Если в документах написано, что нельзя в принципе отправлять информацию на флэшку. Дело в том, что уволить человека за нарушение трудовой дисциплины можно только при повторном или неоднократном нарушении. Причем если это одно и тоже нарушение, то между ними должно пройти время. Т.е. за первый случай надо применить дисциплинарное взыскание в виде выговора, за повторное – уже можно уволить. Есть разъяснение Пленума о том, что это, в том числе, не исполнение требований регламента правил и положений, такая ситуация возможна, но должна быть неоднократность действий. Суд будет очень внимательно читать материалы дела на предмет того, как работник вел себя до этого. Если он внезапно стал сливать информацию и слил ее дважды или трижды за два месяца, а почему же он не сливал ее до этого, если в компании есть мониторинг и контроль, были ли предыдущие сливы информации, не хотите ли вы просто уволить работника как-то его спровоцировав.

Где-то есть более продвинутые судьи, для них возможно будет понятна выгрузка лог файлов из тех или иных систем мониторинга, тем не менее следует очень подробно все фиксировать, тем вы увеличиваете вероятность победы в суде. Какие-то суды будут вникать в подробности, а какие-то скажут, что доказательства не относимые и не допустимые, есть примеры, когда исключаются скриншоты экранов из дела, есть примеры, когда исключаются технические экспертизы, проведенные после увольнения работника, когда экспертом анализировался его ноутбук и выяснялись случаи сливания информации на флэшку, суд эти доказательства не принимал во внимание. 

Нет доказательств передачи информации

Перейдем к более сложным ситуациям. Иногда возникают случаи, когда ИБ-сотрудники знают, что утечка информации произошла, знают от кого и к кому, но они не могут доказать, потому что у них нет нужных логов, но есть информация из социальных сетей, что сотрудник, отвечающий за подготовку маркетинговых мероприятий, плотно общался в Фейсбуке с сотрудником конкурента, у последнего внезапно несколько раз подряд возникают такие же запланированные акции, но на неделю раньше, то в принципе такой сотрудник может быть уволен. Что грозит этой компании после увольнения без доказательств?

На слайде показан пример похожей ситуации. Адвокат разгласила ситуацию о тайне следствия, данный факт установлен, но есть нюанс, суду необходимо получить доказательства всей цепочки, т.е. не только самого факта разглашения, но было бы не плохо получить доказательства самого факта передачи информации. Это дело административное, но тем не менее, оно очень интересное в смысле того, что налицо факт разглашения (адвокат был на допросе и получил эту информацию), но для суда было неочевидно, что состоялась передача информации. Факт разглашения суд счел доказанным, а вот факта передачи информации не было. Так же в приведенном примере про маркетолога нет доказательств факта передачи.

Никто в любой стране не хочет заниматься чужими делами, если гражданский суд видит подобный пример, работник получил неправомерный доступ к информации,  составляющую коммерческую тайну, суд понимает, что это уголовная статья, у суда возникает резонный вопрос, зачем вы с этим к нам пришли, зачем вы тратите наше время и что вы от нас хотите? Пусть с этим разбирается участковый.

Это резонно, поскольку экономит много времени. Эта задача работодателя понять на основании какого закона он хочет привлечь работника к ответственности. Даже для гражданского суда очень важно, обнаружив нарушение закона вы обратились именно в соответствующие правоохранительные органы.

Если вы пытаетесь использовать эту ситуацию для давления на сотрудника, чтобы он сам ушел максимально просто, сказав ему что у вас есть основания для возбуждения уголовного дела, но вы решили так не делать и решить все мирным путем, то потом в случае увольнения сотрудник может доказывать факт давления на него, что он уволился не самостоятельно, а под давлением сотрудников безопасности. Конечно суду будет интересно, почему не было составлено заявление в полицию, почему не стали расследовать факт незаконного доступа к информации. В данной ситуации работодатель будет выглядеть очень бледно, он не имел права скрывать преступление. Если есть преступление, то должно быть наказание.

Про сроки дедлайн

В трудовом кодексе есть строго определенные сроки, в рамках которых на сотрудника должно быть наложено дисциплинарное взыскание. Например, объяснительную записку можно запросить у него в течение 3 дней. Все ли потеряно для работодателя, если он не уложился в эти сроки?

Из анализа практики следует, что не все потеряно, но есть подозрение, что это связано с возможностями этих работодателей, потому что в одном из дел одной известной питерской компании получилась совершенно чудовищная «штука». Суд посчитал, что работник был привлечен к дисциплинарной ответственности в сроки, установленные 193-й статьей трудового кодекса, т.е. в течение месяца и сказал, что акт о привлечении работника к ответственности был составлен как раз в этих сроках, однако приказ об увольнении был издан месяцем позднее, что является явным нарушением 193-й статьи и таким образом толковать трудовой кодекс совершенно нельзя. Однако суд счел это нормальным. Есть и другие примеры и их гораздо больше. Любое нарушение требований 193-й статьи – это однозначно решение в пользу работника, т.е. восстановление на работе и выплата компенсации. Все что касается нарушения месячного срока привлечения, нарушения шестимесячного пресекательного срока по привлечению, все что касается правил предоставления объяснения, 3 дня на объяснение у работника точно есть, если кто-то требует ранее, в этом случае у работника нарушено право на защиту, следовательно, дело будет решено в его пользу.

Как доказать разглашение при копировании на съемный носитель

Допустим сотрудник скопировал конфиденциальную информацию на флэшку, вынес ее за пределы работодателя, отнес ее домой, данный факт был зафиксирован DLP-системой. Сотрудника попросили дать объяснение, но он отказывается признавать факт того, что он что-то копировал и говорит, что у него и флэшки нет. Может ли такая позиция сотрудника повлиять на решение суда и быть линией защиты?

Может, более того, зачастую так и бывает, поскольку если в компании оборачиваются неустановленные носители, у суда возникает резонный вопрос: если вы не устанавливаете и не контролируете режим обращения флэшек в компании, не говорите, что можно, а что нельзя, то найдите флэшку, что является вполне законной позицией. Если вам повезет, если судья знает о той системе защиты, которая применяется в компании, знает о ее возможностях. В противном случае придется сделать все, чтобы доказать, что та система что зафиксировала запись на флэшку, существует и обладает определенным авторитетом, может быть она даже внесена в реестр. Все это придется объяснять простым и понятным суду языком, потом что не все что очевидно безопаснику – очевидно суду. Суду виднее какие доказательств указывают на какие обстоятельства. Если нельзя привязать конкретного сотрудника к конкретной флэшке и конкретной информации, значит суду недостаточно доказательств для осуждения сотрудника.

О наболевшем

Какие еще сюрпризы готовит для нас суд? Действительно, судебная система постоянно меняется, практика тоже постоянно меняется, она требуют практически ежедневного реагирования, ежедневного повышения квалификации.

В последнее время с введение кассационных судов очень многие дела возвращаются на пересмотр именно по техническим основаниям. Например, в трудовом кодексе написано, что суды при рассмотрении вопроса при восстановлении работника либо при оспаривании увольнения, должны учитываться тяжесть проступка, поведение работника, возможность применения менее строгой санкции, а также в случае разглашения коммерческой тайны, должен быть оценен ущерб, не в плане денег, а необходимо разъяснить какие же негативные последствия для компании возникли в связи с противоправным поступком работника.