Правда о коммерческой тайне

Алексей Волков, начальник отдела эксплуатации средств защиты информации Управления по защите информации Генеральной дирекции ОАО «Северсталь», начальник удостоверяющего центра, ОАО «Северсталь-Инфоком», эксперт BISA  

 

Российские законы, регулирующие вопросы коммерческой тайны (КТ), ругают за несоответствие современным реалиям. Меры, которые «работали» в 1970-е гг. (сейфы, слепки с печатями, грифы на материальных носителях), стали бесполезными. Теперь специалисты внедряют режим КТ в своих компаниях и рассказывают о личном опыте на семинарах и конференциях. Слушатели внимают и задают вопросы, но ответы порой оказываются диаметрально противоположными, а потому удовлетворения не приносят. Автор определил три наиболее актуальных вопроса о КТ и попытался сформулировать ответы на них.

Экономическая эффективность ИБ

Очень модная тема в последнее время. Оно и понятно: ситуация в экономике – «не очень», и бизнес требует отчета за каждую копейку. Самый популярный вопрос викторины «Защити бюджет», в которую руководители предприятий заставляют играть безопасников, таков: «Что мы получим, утвердив эти затраты?». На помощь ИБ-шнику приходят методики обоснования затрат, подкрепленные технологиями визуализации результатов. Таких методик много. Их описывают в умных книжках и статьях (например, интересные материалы бывают у Алексея Лукацкого), о них рассказывают в ВУЗах, а Дмитрий Мананников даже читает специализированный курс. Но на практике реализация всех методов зачастую сводится к следующему.

Предположим, в вашей компании есть мобильные сотрудники – те, кто выезжают «в поле» с ноутбуками. Поскольку там нет доступа в корпоративную сеть, им приходится вбивать данные в ноутбуки, привозить их в офис, перекачивать информацию в систему предприятия, а уж потом работать с клиентами. ИБ-шник на белом коне въезжает в офис гендиректора и заявляет, что может увеличить на 200% скорость обработки заказов, сократить время выпуска продукта и оптимизировать использование производственных мощностей. По его выкладкам, это приведет к увеличению клиентской базы на 50% и к повышению рентабельности предприятия на 20%. Гендиректор, едва сдерживая слезы радости, спрашивает: «Как вы этого добьетесь?». И ИБ-шник рассказывает ему про VPN стоимостью 100 тыс. долл.

Осознав, что это не бесплатно, владелец бюджета сразу теряет запал: сколько бы радужными ни были описываемые перспективы (окажутся ли они таковыми на деле – большой вопрос), деньги на проект нужно вынуть из бизнеса прямо сейчас. Гендиректор хочет знать, нельзя ли «сделать дешевле». ИБ-шник твердит о небезопасности такого решения – дескать, враги получат удаленный доступ к системе и напакостят. Тут гендиректор вспоминает, что в компании его знакомого есть такая штука, но там сетевой провод просто выброшен из окна офиса. Мобильные сотрудники подключают к нему свои ноутбуки, и, надо сказать, пока никто не пострадал! Ну и как ИБ-шнику отвечать на такие аргументы?

Конечно, удаленный доступ – пример элементарный, а мы говорим о методах обоснования экономической эффективности проекта, нацеленного на создание режима КТ. Основная сложность состоит даже не в необходимости вложений: подобные проекты зачастую подразумевают перестройку бизнес-процессов и организационные изменения. А что получит бизнес, «подписавшийся» на столь серьезное мероприятие? Эксперты утверждают: введение режима КТ – едва ли не единственный способ защиты компании от ущерба, вызванного утечками ценной информации. Разберемся, почему они так считают.

Трудовой, гражданский и уголовный кодексы предусматривают для виновников утечек КТ  разные меры наказания (от увольнения до лишения свободы), штраф до 1,5 млн руб. в пользу госказны и компенсацию причиненных бизнесу убытков. Однако компания должна доказать суду: в ней установлен режим коммерческой тайны, полностью соответствующий законодательству РФ; ей причинен ущерб, величина которого адекватно определена; лицо, причинившее ущерб, надлежащим образом ознакомлено с локальными нормативными актами (ЛНА), имело доступ к информации, составляющей коммерческую тайну (ИКТ) и умышленно нарушило свои обязательства. При этом сбор доказательств – задача нетривиальная, и некоторые из них могут быть не приняты судом к рассмотрению, а другие – оспорены защитой обвиняемого. Что же касается возмещения ущерба… Бизнесменов, выигравших судебное разбирательство, заваливают деньгами лишь в американских телесериалах. Увы, в России возмещение ущерба – сплошное разочарование (хотя иногда случаются чудеса).

Но если нельзя компенсировать ущерб, для чего нужен режим КТ? Во-первых, для предотвращения утечек ИКТ, а во-вторых, для обеспечения наказания преступников (которое, к слову, является предупреждением для потенциальных злоумышленников). Подчеркнем: при наличии в компании режима КТ доказательства будут собирать и предоставлять суду правоохранительные органы, а при отсутствии такого режима бремя сбора доказательств, подтверждения их легитимности и обоснования ущерба ляжет на плечи ваших юристов, и, понятно, экономическая эффективность этого окажется куда меньшей.

Подписи и грифы

Для воплощения в жизнь ФЗ «О коммерческой тайне» установлен перечень мер, необходимых и достаточных для создания режима КТ. Желающий установить этот режим должен не только определить ИКТ и разработать ЛНА, но и реализовать две процедуры – нередко трудновыполнимые.

Первая из них – ознакомление сотрудников, допущенных к работе с ИКТ, с перечнем такой информации, с ЛНА компании и мерами ответственности за их нарушение. Если в организации насчитывается 50 сотрудников, размещенных в трех кабинетах, сложностей у ИБ-шника не возникнет. Но если сотрудников – тысячи, офисов – сотни, а регионов присутствия компании – десятки, возможны серьезные проблемы. Помимо рассылки ЛНА и листов ознакомления нужно организовать их подписание, сбор, обратную пересылку, контроль над правильностью заполнения, повторную пересылку для корректировок, снова сбор, учет и хранение. И так – при любом внесении изменений в используемые меры или, чего доброго, в перечень ИКТ. И понятно, что длительный «переходный период» – удачное время для злоумышленника, задумавшего разгласить вашу ИКТ.

Вторая процедура, еще более сложная, – нанесение грифа «коммерческая тайна» на материальные носители ИКТ или включение его в состав реквизитов документов. Под материальными носителями подразумевается все что угодно («флешки», HDD и SSD, ПК, планшеты, смартфоны), и если какой-то из них содержит ИКТ, он должен содержать и соответствующий гриф. У ИБ-шника есть два варианта: либо выделять для обработки ИКТ отдельные носители и «огребать» от сотрудников и руководства за усложнение бизнес-процессов, либо «грифовать» все поголовно – с тем же результатом.

С документами тоже непросто. Конечно, хорошо иметь систему, которая распознает содержимое файла и при наличии в нем ИКТ автоматически проставляет гриф. Но такие системы стоят дорого и не способны полностью заменить человека. Да и специальный сотрудник, наносящий грифы, не всегда в состоянии определить, содержит ли документ ИКТ. Полноценно это сделать может лишь тот, кто его подготовил. А что если он и является злоумышленником, отправляющим конфиденциальные документы вашему конкуренту до нанесения на них грифа?

Именно такой случай произошел в одной из компаний, внедривших режим КТ. Сотрудник, занимавшийся подготовкой протоколов тендерного комитета, перед проставлением грифа фотографировал документы на смартфон и отправлял коллеге из другого предприятия, участвовавшего в тендере. Пострадавшая компания выявила «слив» и подала судебный иск, оценив ущерб в 1,7 млн руб.

Защита обвиняемого, конечно, воспользовалась отсутствием грифа КТ на переданных «на сторону» документах. Однако компания предоставила суду копию ЛНА «Положение о режиме коммерческой тайны», в котором говорилось: нанесение грифа на документ, содержащий ИКТ, является обязательной процедурой, осуществляемой его исполнителем, и за ее невыполнение предусмотрена ответственность. Кроме того, имелся лист ознакомления сотрудника с этим ЛНА, что подтверждало наличие умысла в его действиях.

Тогда адвокат заявил об отсутствии подписи обвиняемого под документом об ознакомлении с измененным перечнем ИКТ. В ответ компания предоставила подписанное сотрудником дополнительное соглашение к трудовому договору, в котором работник и работодатель договорились, что первое ознакомление с ЛНА осуществляется под расписку, а информирование об изменениях осуществляется путем рассылок по электронной почте и публикации новых версий на корпоративном портале. Кроме того, имелись доказательства наличия у сотрудника доступа к порталу и получения им письма о размещении новой версии перечня с уведомлением о прочтении.

Суд квалифицировалдействия обвиняемого по ст. 183 ч. 2 УК РФ как «незаконное разглашение информации, составляющей коммерческую тайну, без согласия владельца» и приговорил его к 18 мес. исправительных работ с удержанием 10% зарплаты в доход государства. Погодите, спросите вы, а как же возмещение ущерба? К сожалению, суд исключил из обвинения ст. 183 УК РФ: не было получено бесспорных доказательств того, что именно в результате умышленных действий сотрудника компании причинен крупный ущерб, поскольку решение о приобретении продукции принималось коллегиально тендерным комитетом.

Что ж, наказать злоумышленника – тоже большое дело. Главное – выявить его легальным способом, не нарушив право гражданина на тайну переписки, телефонных переговоров, почтовых и иных сообщений, обеспечиваемое ст. 23 Конституции. А то, неровен час, придется самому стать обвиняемым по ст. 138 УК РФ, да еще и с отягчающими обстоятельствами (использование служебного положения), а это – до четырех лет лишения свободы.

Однако ч. 1 ст. 10 ФЗ «О коммерческой тайне» не просто позволяет, а ОБЯЗЫВАЕТ контролировать соблюдение порядка обращения с ИКТ. А как это делать, если бОльшая часть данных обрабатывается в информационной системе и передается по каналам связи?

Режим и Конституция

Необходимость выполнения требований режима КТ без нарушений Конституции – серьезное противоречие цифровой эпохи. ИТ, можно сказать, избаловали сотрудников и руководителей. Большинство документов обрело электронный вид, документооборот перекочевал в корпоративные сети, его объем и скорость неимоверно выросли. А поскольку теперь любой сотрудник – сам себе секретарь, то ничего не мешает ему нет-нет да и отправить с рабочего ПК электронное письмецо приятелю, открыть вкладочку с любимой соцсетью или мессенджером.

Конечно, конституционные права и свободы граждан – это святое. Вот и в ч. 6 ст. 10 закона «О коммерческой тайне» определено, что режим КТ не может быть использован в целях, противоречащих Конституции, применяться для нарушения прав других лиц. В той же Конституции есть несколько статей, так или иначе связанных с темой нашего обсуждения (ст. 23, 24, 34, 35 и 45).

Например, ст. 23 устанавливает право на неприкосновенность личной жизни, а в ст. 24 говорится, что сбор, хранение, использование и распространение информации о частной жизни человека без его согласия недопустимы. Такое «согласие» фигурирует в пользовательских соглашениях любого сервиса, предоставляющего частным лицам бесплатные информационные услуги.

Отметим, для выполнения служебных обязанностей используется имущество работодателя. При этом ст. 45 устанавливает право каждого гражданина защищать свои права всеми способами, не запрещенными законом, а ст. 35 дает право владельцу имущества распоряжаться им по своему усмотрению. Значит, в рамках закона работодатель может запретить использование его имущества сотрудниками в личных целях и контролировать соблюдение данного правила. Проще всего – включить в трудовой договор примерно такие пункты: «Любые информационные ресурсы корпоративной сети и содержащаяся в них информация являются собственностью Работодателя. Средства хранения, обработки и передачи информации Работодателя, доступ к информационным ресурсам Работодателя и третьих лиц (социальные сети, средства обмена сообщениями и др.) предоставляются Работнику исключительно для выполнения им служебных обязанностей. Работник обязуется использовать их только для выполнения служебных обязанностей, дает согласие на участие в процедурах охраны ИКТ и на контроль Работодателем использования данных информационных ресурсов и технических средств».

Кроме того, эксперты рекомендуют заранее уведомлять «внешних» адресатов о введенных в компании ограничениях и процедурах. В Call-центрах автоинформатор предупреждает клиента о ведении записи переговоров «для контроля над качеством». В мессенджер такое уведомление не вставишь, но можно переложить обязанности «автоинформатора» на сотрудника, включив их в трудовой договор: «Работник обязуется уведомлять сторонних участников информационного обмена о недопустимости использования ресурсов Работодателя для всех видов коммуникаций, не связанных со служебной деятельностью». Нелишним будет и добавить во все средства обмена информацией стандартные уведомления: например, «Почтовый адрес отправителя не предназначен для обмена сообщениями личного характера», «Данное сообщение может содержать информацию, являющуюся коммерческой тайной, и предназначено исключительно для людей, которым адресовано. Любое несанкционированное копирование или распространение материалов, содержащихся в данном сообщении, строго запрещено».

В судебной практике почти не встречаются иски к работодателям, посягнувшим на конституционные права сотрудников. Дело в том, что компании, внедрившие системы контроля над информационным обменом, разрабатывают грамотные ЛНА и очень осторожно применяют полученные с помощью таких систем материалы. Для передачи компромата в правоохранительные органы (только они имеют право на легальный доступ к содержимому переписки), как правило, используется поступающая из подразделений экономической безопасности оперативная информация, транслированная в систему контроля с помощью настраиваемых правил автоматизированного анализа. В правоохранительные органы передаются выборка электронных сообщений сотрудника за определенный период и заявление о ее проверке на предмет наличия ИКТ. Затем всеми проверками фактов утечек и сбором доказательств занимается полиция.

Безрискового метода использования систем контроля над информационным обменом не существует, но многие организации все же внедряют такие системы для мониторинга обращения сотрудников с ИКТ. Одни безопасники делают это втайне, копируя трафик для последующего анализа, другие – открыто, контролируя лишь исходящие сообщения, третьи полностью используют возможности системы, предупреждая сотрудников о своих действиях и регулярно проводя с ними разъяснительную работу. И это – самый эффективный метод. Сотрудники должны понимать, что любой ущерб работодателя негативно скажется на них самих, а использование системы контроля приносит пользу компании, не нанося вреда ее работникам. Насколько честным и убедительным будет ИБ-шник, настолько снизятся риски, связанные с использованием систем контроля.


Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.