DLP вне закона! Так решил суд!

В конце августа, когда деревья еще были зелеными, а о частичной мобилизации никто и не думал, суд Еврейской автономной области, рассмотрев аппеляцию адвоката на решение суда биробиджанского районного суда от апреля этого года, постановил ранее вынесенный приговор руководителю отдела информационной безопасности УФНС России оставить без изменений, а аппеляцию адвоката без удовлетворения. Иными словами, суд посчитал, что руководитель ИБ, используя свое служебное положение, не только получила несанкционированный доступ к переписке работников своей организации, но и нарушила тайну переписки граждан, дарованную, на минуточку, 23-й статьей Конституцией (а она у нас самый главный закон и никому не позволено ее менять и трактовать так, как хочется; ну разве что только Конституционному суду, но он у нас непогрешим и абсолютно независим).

Если вкратце изложить суть материалов дела, то руководительница ИБ, находясь к моменту совершения преступления в своей должности всего 3,5 месяца, согласно позиции адвоката из апелляционной жалобы:

• Имела обязанность осуществлять мониторинг информации в УФНС России по Еврейской автономной области.
• Проводила плановую проверку (мониторинг) систем мгновенного обмена сообщениями.
• Имела законный доступ к полученной информации в силу занимаемой должности.
• Не знала о наличии личной переписки сотрудников УФНС в мессенджере.
  

  Вот тут было смешно 🙁

• Пресекала совершение сотрудниками нарушений ИБ и трудовой дисциплины и недопустила их в дальнейшем, поскольку занятие сотрудниками во время рабочего времени личными разговорами ставит под угрозу эффективность выполнения УФНС возложенных задач.
  

  Хорошая попытка, но причем тут ИБ?

• Не должна была получать согласие работников УФНС на проводимые контрольные мероприятия, так как в материалах дела не было представлено доказательств, что политики УФНС требовали такое согласие.
• Как следствие, в действиях руководителя ИБ отсутствовала общественная опасность и никакого преступления, предусмотренного статьями 272ч3 и 138ч2 УК РФ, не было.

Суд же первой инстанции посчитал, а суд второй инстанции с этим согласился, что руководитель службы ИБ:

• Осуществила незаконный доступ к мессенджеру.
• Имела иную личную заинтересованность, обусловленную ложно понимаемыми интересами службы в виде желания любыми способами реализовать служебные полномочия.
  

  Вот про «ложно понимаемые интересы службы» мне было бы интересно послушать доводы судей. Судья конечно в своем праве, но все-таки.

• Предоставила руководству УФНС сведения о переписке сотрудников, то есть о нарушении ими ИБ и трудовой дисциплины, в которой сотрудники ругали руководство УФНС, а руководитель ИБ хотела просто уберечь руководителя УФНС от плохого. Руководство же УФНС, по его же словам, ни о чем руководителя ИБ не просило.
  

  Ну да, прям так руководитель организации в суде бы признал, что просил свою подчиненную нарушить закон.

• Не имела согласия сотрудников УФНС на чтение, копирование и передачу их личной переписки третьим лицам.
• Имела прямой умысел в виде посягательства на охраняемую законом информацию, предвидела последствия и сознательно допускала их, осознавала противоправность чтения личной переписки сотрудников без их согласия, а также желала достижения преступного результата, при этом неправомерно перенося информацию на другой материальный носитель.

Попытки адвоката доказать, что руководитель ИБ не осознавала противоправность своих действий, смехотворны. Споры о законности/незаконности применения DLP идут уже не первый год и на любой конференции с участием DLP-вендоров эта тема всплывает. Поэтому, как минимум, задумывался об этом каждый ИБшник; и уж тем более руководитель.

Виновность руководителя ИБ, согласно материалам суда, подтверждается не только свидетельскими показаниями, и результатами экспертиз, но и служебным контрактом и должностным регламентом руководителя ИБ (!), в которых от него требуется не разглашать охраняемые законом сведения.

Вы не смотрели на свой трудовой договор и должностные обязанности с точки зрения того, как их требования можно повернуть против вас?

Да, суд признал, что сотрудники вели в служебном мессенджере личную переписку. Но никого это не волновало, так как дело касалось совершенно другого вопроса и судья не имел права оценивать что-то вне предмета спора. Да и опять же, нарушение трудового распорядка — это мелочи по сравнению с нарушением Уголовного Кодекса.

Итак, что можно сказать по результатам этого, без ложной скромности, эпохального судебного решения (хотя, возможно, адвокаты обвиняемой пойдут дальше по инстанциям)? Я бы выделил несколько важных моментов:

• Суду было все равно, в чьих интересах действовал руководитель службы ИБ и то, что он выполнял очевидные для любого ИБшника задачи. Суд закономерно посчитал, что защита законных интересов одного лица не могут быть причиной для нарушения законных интересов другого лица, а именно сотрудников УФНС.
• Суд строго руководствовался представленными доказательствами. Написано было в должностной инструкции, что руководитель ИБ не должен разглашать конфиденциальную информацию? Да. Разгласила она руководителю УФНС? Да. Нарушение своего же трудового контракта налицо.
• Руководитель ИБ зачем-то решила выйти за рамки своих служебных обязанностей и сообщить начальству (хотя мотивация мне и понятна) о том, что его за глаза ругают подчиненные. Но давайте признаем, что это не задача ИБ от слова совсем. Мониторить рабочее время сотрудников с помощью решений класса NDR/NTA/EDR/XDR — это одно, а вот копаться в семейных делах служащих — это совсем другое.
• Руководитель организации сразу же отмежевался от подчиненной, заявив, что он никаких указаний по ”прослушке” работников не давал. И даже если это было не так, то никаких доказательств обратного представлено не было. Вспоминается история с CISO Uber’а, который пострадал от того, что пытался защитить своего работодателя и скрыл факт нарушения законодательства. Недавно его осудили, а весь американский Интернет пестрит размышлениями ИБшников о возросших рисках для себя и нахождении меж двух огней — интересами законодательства и работодателя. 
• Что странно, не было никакого согласия на мониторинг коммуникаций сотрудников, что является уже стандартом де-факто по мнению многих DLP-вендоров. На мой взгляд такое согласие все равно ни от чего не спасает, но в данной истории, когда переписка читалась между сотрудниками одной и той же организации внутри ее же инфраструктуры, этот довод мог бы и помочь. Но нет 🙁
• Каким-то образом, многие сотрудники УФНС, бывшие свидетелями по делу, были в курсе о доступе руководителя ИБ к чужой переписке. Это странно.
• Никакого DLP-решения в УФНС не было (в материалах суда нет упоминаний), но и без него нарушение тайны переписки налицо. Если бы в суде фигурировало решение, в рекламе которого явно указана возможность чтения переписки, то ситуация могла быть еще хуже (там и статью 138.1 можно было получить паровозом).

Что тут можно посоветовать CISO (не осужденному, а всем)? У меня сходу вырисовывается следующий набор рекомендаций:

• Не верьте DLP-вендорам! Если уж вы внедряете их решения (а на самом деле не только их, но и любые иные, которые могут ”прослушивать” переписку пользователей), то закажите нормальное юридическое обоснование по правомочности применения таких технологий. И пусть оно будет свежее, от юристов и на базе текущего правоприменения, а не десятилетней давности, подготовленное консультантами по ИБ.
• Проводите разъяснительную работу с пользователями (этого же и Трудовой Кодекс требует), чтобы потом никто не ссылался на то, что они не в курсе. Опасаться, что они будут скрывать свою активность не стоит, — через 3-4 недели они забудут, что за ними присматривают, а у ИБ будет козырь в рукаве.
• Строго следуйте задачам ИБ, а не пытайтесь, за счет доступа ко всем внутренним коммуникациям, задружиться с начальством, ”сливая” ему данные по недовольным. Отдельные DLP-вендора у нас продвигают этот сценарий, как вполне реалистичный, но мы видим к чему это приводит (а DLP-вендор ни за что не отвечает в любом случае).
• Если уж вы используете DLP-решение для защиты конфиденциальной информации (коммерческой тайны) компании, то используйте именно для этого, а не слежения за сотрудниками. Но если уж переписку сотрудников мониторите и находите в ней следы нарушений (уж точно не трудовой дисциплины), то инициируйте расследование по всей форме, с привлечением органов внутренних дел. Иначе вы никогда не обоснуете законность своих действий, если сотрудник решит обратиться в суд.
• Не считайте, что “все и так понятно”. Суды следуют четкой процедуре, описанной в процессуальном кодексе. Они исследуют и истребуют доказательства и базируются в своих решениях только на них. Нет доказательств, суд никогда не встанет на вашу сторону, даже если логика и практика на вашей стороне.
• Найдите хороших юристов, подкованных в информационном праве, чтобы быть готовым к ним обратиться “если что”.