DLP вне закона! Так решил суд!

Законодательство

В конце августа, когда деревья еще были зелеными, а о частичной мобилизации никто и не думал, суд Еврейской автономной области, рассмотрев аппеляцию адвоката на решение суда биробиджанского районного суда от апреля этого года, постановил ранее вынесенный приговор руководителю отдела информационной безопасности УФНС России оставить без изменений, а аппеляцию адвоката без удовлетворения. Иными словами, суд посчитал, что руководитель ИБ, используя свое служебное положение, не только получила несанкционированный доступ к переписке работников своей организации, но и нарушила тайну переписки граждан, дарованную, на минуточку, 23-й статьей Конституцией (а она у нас самый главный закон и никому не позволено ее менять и трактовать так, как хочется; ну разве что только Конституционному суду, но он у нас непогрешим и абсолютно независим).

Если вкратце изложить суть материалов дела, то руководительница ИБ, находясь к моменту совершения преступления в своей должности всего 3,5 месяца, согласно позиции адвоката из апелляционной жалобы:

  • Имела обязанность осуществлять мониторинг информации в УФНС России по Еврейской автономной области.
  • Проводила плановую проверку (мониторинг) систем мгновенного обмена сообщениями.
  • Имела законный доступ к полученной информации в силу занимаемой должности.
  • Не знала о наличии личной переписки сотрудников УФНС в мессенджере.

    Вот тут было смешно 🙁

  • Пресекала совершение сотрудниками нарушений ИБ и трудовой дисциплины и недопустила их в дальнейшем, поскольку занятие сотрудниками во время рабочего времени личными разговорами ставит под угрозу эффективность выполнения УФНС возложенных задач.

    Хорошая попытка, но причем тут ИБ?

  • Не должна была получать согласие работников УФНС на проводимые контрольные мероприятия, так как в материалах дела не было представлено доказательств, что политики УФНС требовали такое согласие.
  • Как следствие, в действиях руководителя ИБ отсутствовала общественная опасность и никакого преступления, предусмотренного статьями 272ч3 и 138ч2 УК РФ, не было.

Суд же первой инстанции посчитал, а суд второй инстанции с этим согласился, что руководитель службы ИБ:

  • Осуществила незаконный доступ к мессенджеру.
  • Имела иную личную заинтересованность, обусловленную ложно понимаемыми интересами службы в виде желания любыми способами реализовать служебные полномочия.

    Вот про «ложно понимаемые интересы службы» мне было бы интересно послушать доводы судей. Судья конечно в своем праве, но все-таки.

  • Предоставила руководству УФНС сведения о переписке сотрудников, то есть о нарушении ими ИБ и трудовой дисциплины, в которой сотрудники ругали руководство УФНС, а руководитель ИБ хотела просто уберечь руководителя УФНС от плохого. Руководство же УФНС, по его же словам, ни о чем руководителя ИБ не просило.

    Ну да, прям так руководитель организации в суде бы признал, что просил свою подчиненную нарушить закон.

  • Не имела согласия сотрудников УФНС на чтение, копирование и передачу их личной переписки третьим лицам.
  • Имела прямой умысел в виде посягательства на охраняемую законом информацию, предвидела последствия и сознательно допускала их, осознавала противоправность чтения личной переписки сотрудников без их согласия, а также желала достижения преступного результата, при этом неправомерно перенося информацию на другой материальный носитель.

Попытки адвоката доказать, что руководитель ИБ не осознавала противоправность своих действий, смехотворны. Споры о законности/незаконности применения DLP идут уже не первый год и на любой конференции с участием DLP-вендоров эта тема всплывает. Поэтому, как минимум, задумывался об этом каждый ИБшник; и уж тем более руководитель.

Виновность руководителя ИБ, согласно материалам суда, подтверждается не только свидетельскими показаниями, и результатами экспертиз, но и служебным контрактом и должностным регламентом руководителя ИБ (!), в которых от него требуется не разглашать охраняемые законом сведения.

Вы не смотрели на свой трудовой договор и должностные обязанности с точки зрения того, как их требования можно повернуть против вас?

Да, суд признал, что сотрудники вели в служебном мессенджере личную переписку. Но никого это не волновало, так как дело касалось совершенно другого вопроса и судья не имел права оценивать что-то вне предмета спора. Да и опять же, нарушение трудового распорядка — это мелочи по сравнению с нарушением Уголовного Кодекса.

Итак, что можно сказать по результатам этого, без ложной скромности, эпохального судебного решения (хотя, возможно, адвокаты обвиняемой пойдут дальше по инстанциям)? Я бы выделил несколько важных моментов:

  • Суду было все равно, в чьих интересах действовал руководитель службы ИБ и то, что он выполнял очевидные для любого ИБшника задачи. Суд закономерно посчитал, что защита законных интересов одного лица не могут быть причиной для нарушения законных интересов другого лица, а именно сотрудников УФНС.
  • Суд строго руководствовался представленными доказательствами. Написано было в должностной инструкции, что руководитель ИБ не должен разглашать конфиденциальную информацию? Да. Разгласила она руководителю УФНС? Да. Нарушение своего же трудового контракта налицо.
  • Руководитель ИБ зачем-то решила выйти за рамки своих служебных обязанностей и сообщить начальству (хотя мотивация мне и понятна) о том, что его за глаза ругают подчиненные. Но давайте признаем, что это не задача ИБ от слова совсем. Мониторить рабочее время сотрудников с помощью решений класса NDR/NTA/EDR/XDR — это одно, а вот копаться в семейных делах служащих — это совсем другое.
  • Руководитель организации сразу же отмежевался от подчиненной, заявив, что он никаких указаний по ”прослушке” работников не давал. И даже если это было не так, то никаких доказательств обратного представлено не было. Вспоминается история с CISO Uber’а, который пострадал от того, что пытался защитить своего работодателя и скрыл факт нарушения законодательства. Недавно его осудили, а весь американский Интернет пестрит размышлениями ИБшников о возросших рисках для себя и нахождении меж двух огней — интересами законодательства и работодателя. 
  • Что странно, не было никакого согласия на мониторинг коммуникаций сотрудников, что является уже стандартом де-факто по мнению многих DLP-вендоров. На мой взгляд такое согласие все равно ни от чего не спасает, но в данной истории, когда переписка читалась между сотрудниками одной и той же организации внутри ее же инфраструктуры, этот довод мог бы и помочь. Но нет 🙁
  • Каким-то образом, многие сотрудники УФНС, бывшие свидетелями по делу, были в курсе о доступе руководителя ИБ к чужой переписке. Это странно.
  • Никакого DLP-решения в УФНС не было (в материалах суда нет упоминаний), но и без него нарушение тайны переписки налицо. Если бы в суде фигурировало решение, в рекламе которого явно указана возможность чтения переписки, то ситуация могла быть еще хуже (там и статью 138.1 можно было получить паровозом).

Что тут можно посоветовать CISO (не осужденному, а всем)? У меня сходу вырисовывается следующий набор рекомендаций:

  • Не верьте DLP-вендорам! Если уж вы внедряете их решения (а на самом деле не только их, но и любые иные, которые могут ”прослушивать” переписку пользователей), то закажите нормальное юридическое обоснование по правомочности применения таких технологий. И пусть оно будет свежее, от юристов и на базе текущего правоприменения, а не десятилетней давности, подготовленное консультантами по ИБ.
  • Проводите разъяснительную работу с пользователями (этого же и Трудовой Кодекс требует), чтобы потом никто не ссылался на то, что они не в курсе. Опасаться, что они будут скрывать свою активность не стоит, — через 3-4 недели они забудут, что за ними присматривают, а у ИБ будет козырь в рукаве.
  • Строго следуйте задачам ИБ, а не пытайтесь, за счет доступа ко всем внутренним коммуникациям, задружиться с начальством, ”сливая” ему данные по недовольным. Отдельные DLP-вендора у нас продвигают этот сценарий, как вполне реалистичный, но мы видим к чему это приводит (а DLP-вендор ни за что не отвечает в любом случае).
  • Если уж вы используете DLP-решение для защиты конфиденциальной информации (коммерческой тайны) компании, то используйте именно для этого, а не слежения за сотрудниками. Но если уж переписку сотрудников мониторите и находите в ней следы нарушений (уж точно не трудовой дисциплины), то инициируйте расследование по всей форме, с привлечением органов внутренних дел. Иначе вы никогда не обоснуете законность своих действий, если сотрудник решит обратиться в суд.
  • Не считайте, что “все и так понятно”. Суды следуют четкой процедуре, описанной в процессуальном кодексе. Они исследуют и истребуют доказательства и базируются в своих решениях только на них. Нет доказательств, суд никогда не встанет на вашу сторону, даже если логика и практика на вашей стороне.
  • Найдите хороших юристов, подкованных в информационном праве, чтобы быть готовым к ним обратиться “если что”.
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Андрей

    Надо в трудовом договоре писать что организация имеет доступ ко всей информации и имеет право контролировать и ознакамливаться с данной информацией

    Ответить
    1. пофиг

      В том то и дело, писать можешь , что угодно))))))) от УК это не спасет, читайте внимательно

      Ответить
    2. Алексей Лукацкий автор

      Не забыть как-то учесть, что читая почту своих сотрудников, вы читаете и почту тех, с кем они общаются, а у них вы согласие никогда не получите, тем самым нарушив их права

      Ответить
      1. пофиг

        В законодательстве ничего нет про согласие к тайне переписке и доступе к личной жизни , это не ПД.

        Ответить
        1. Евгений

          Ну вроде когда оформляешь допуск и заполняешь анкету, там даешь письменное согласие на доступ, соответственно нормативка есть. Также ст. 137 УК — «Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, БЕЗ ЕГО СОГЛАСИЯ …», значит я могу дать согласие на собирание фактов из моей личной жизни.

          Ответить
          1. Алексей Лукацкий автор

            Главное, не забыть получить согласие еще и лиц за пределами компании, которые участвуют в переписке

        2. Алексей Лукацкий автор

          Вопрос формулировки

          Ответить
      2. Сергей

        Если рассуждать абстрактно, то это работник нарушил тайну своей личной жизни и личной жизни своих абонентов, будучи осведомленным и о мониторинге, и о запрете на использование ИТ активов работодателя в личных целях и т.п. И вот последние две вещи как раз закрепляются в ТД, ПВТР и прочих ЛНА, с которыми знакомят под роспись.

        Ответить
        1. пофиг

          Логика огонь)

          Ответить
          1. Сергей

            Куда мне до судов ))

          2. Алексей Лукацкий автор

            И она неоспорима 🙂 Это же суд

        2. пофиг

          У суда то все логично…эта тема еще лет десять назад была обсосана…просто такой «умной» не было, теперь прецедент создан…он и в вс устоит и в кс…

          Ответить
          1. Сергей

            Понятно, что мы подробностей не знаем. Но тем не менее, если ты не заботился о своей собственности, знал, что нельзя, но сделал. То кто виноват? По логике суда, если бегать по улице с паспортом и всем показывать его разворот на первой странице, то надо сажать любого, кто посмотрел )

          2. Алексей Лукацкий автор

            У суда совсем другая логика. Вот совсем

          3. Алексей Лукацкий автор

            Она была обсосана и было ровно две точки зрения — можно читать, обложившись бумажками, нельзя читать, сколько бы не облагался бумажками

        3. Алексей Лукацкий автор

          Да, но нет. Работник не мог нарушить тайну своей личной жизни

          Ответить
  2. Алексей Барбаш

    Без VPN, кстати, имя сайта не резолвится.

    Ответить
    1. Алексей Лукацкий автор

      Да, и только у МТС

      Ответить
  3. zw

    > весь американский Интернет пестрит размышлениями ИБшников о возросших рисках для себя и нахождении меж двух огней — интересами законодательства и работодателя. 

    нужны мастер-классы от финансистов 😀

    > Каким-то образом, многие сотрудники УФНС, бывшие свидетелями по делу, были в курсе о доступе руководителя ИБ к чужой переписке. Это странно.

    конечно они были в курсе. Им же регулярно люлей прилетало по итогам анализа переписки.

    > Да, суд признал, что сотрудники вели в служебном мессенджере личную переписку.

    Это грустно, когда руководители не в состоянии заранее сделать выводы из своих действий. Если вы гоняете сотрудников за личную переписку в служебном мессенджере, они уйдут с ней в другие мессенджеры. И в эти мессенджеры будет постоянно «уходить» и служебная переписка. По мне так, лучше вся контора сидит со своей личной, служебной и прочими переписками с служебном мессенджере, чем регулярно служебные данные будут уходить в иные мессенджеры.

    Ответить
    1. Алексей Лукацкий автор

      Ну так в данном случае в служебном все и сидели

      Ответить
  4. Александр

    Интересно, а если бы она это прочитала в сообщениях корпоративного почтового сервера, результат был бы такой же?

    Ответить
    1. Алексей Лукацкий автор

      Абсолютно

      Ответить
  5. Кирилл

    А вот кстати нигде не промелькнуло название мессенжера?
    Или я невнимательно прочитал и там крупными буквами написано — служебный или ведомственный мессенжер?
    Просто если это обычная группа в WA, то решение ещё эпичнее.

    Ответить
    1. Алексей Лукацкий автор

      https://bimoid.com

      Ответить
  6. Александр

    Причём тут заголовок статьи и дело, в котором вообще не использовалось DLP, понятно только Лукацкому. Яркая молния, а по факту, как всегда у Алексея: в огороде бузина, а в Киеве дядька …

    Ответить
    1. Алексей Лукацкий автор

      Надо просто уметь не только буквы читать, но и видеть смысл в написанном

      Ответить
  7. lunalesya

    Алексей, не могли бы Вы дать ссылку на указанное судебное решение?

    Ответить
  8. R2D2

    На входе в организацию каждый сотрудник должен подписывать бумагу, о том что все его личные переписки с АРМ компании — достояние организации, и он с этим согласен.

    Ответить
    1. Алексей Лукацкий автор

      А с теми, с кем он ведет переписку вовне, что делать?

      Ответить
    2. пофиг

      В том то и дело что любой подписанное заявление можно выставить принуждением…и нельзя дать согласие как бы не старался, не формы согласия на распространеие информации о личной жизни это не ПД, вернее не совсем ПД.

      Ответить
      1. Алексей Лукацкий автор

        Информация о личной жизни — это ПДн

        Ответить
        1. пофиг

          былоб просто пдн, так бы и писали пдн, а пишут по другому по тому что этот случай подпадает под исключение и отдельно оговаривается в законе…

          Ответить