Есть также варианты «тревожных кнопок» с функцией защиты от ложной тревоги, рассчитанных на человеческий фактор. Ведь никто не может в первые секунды знать, насколько реальна угроза и пройдет ли она сквозь выставленную защиту? Но некоторые товарищи с ослабленной нервной системой могут сдуру и нажать на кнопку тревоги, привлекая внимание всех связанных с действиями в данной ситуации лиц. Во избежание таких случаев специалисты по кибербезопасности придумали принцип «отложенного запуска контрмер» – в случае активации такого протокола защиты алгоритм безопасности запустится не сразу, а после совершения либо игнорирования каких-либо контрольных действий. К примеру, дежурный специалист по цифровой безопасности увидел нечто, похожее на атаку хакеров на узел во вверенной сети, и нажал на «тревожную кнопку». Тут бы хорошо запустить алгоритм защиты, чисто на всякий случай – однако как быть, если он подразумевает полное удаление информации с компьютеров в конкретной сети? Подчас такое действие может принести больше проблем, чем облегчение от избежания цифровой атаки (администратор забыл сделать бэкап и т. д.) – именно для таких случаев и существует подобный протокол. После его запуска главному администратору сети и руководителю отдела безопасности компании или сектора приходит уведомление, согласно которому на вверенный объект начинается атака. Специалисты оценивают действия атакующих и уровни защиты системы, после чего инициируют запуск противодействующих процедур под своими данными. Такая процедура позволяет трезво оценить все риски, избегая поспешных решений и прочих непоправимых действий. Ведь вы согласитесь, что такие риски излишни?
Привлечение юристов для разрешения спорных вопросов
В современном мире вопросы кибербезопасности приобрели настолько высокий статус, что их решение не обходится без привлечения специалистов по юриспруденции. Ведь только в фильмах хакер-злодей начинает взламывать код и спустя минуту в его комнату врывается обвешанный оружием штурмовой отряд, возглавляет который некий специалист по угрозам киберпреступности в идеальном смокинге, со смартфона выследивший «редиску» и прибывший его наказать. В реальной жизни отследить местоположение злоумышленника в Сети довольно сложно – даже если это удается, юрисдикция отдела безопасности компании не позволяет производить задержание преступника собственными силами.
Если есть данные злоумышленника, то отдел безопасности должен сообщить о факте нарушения в правоохранительные органы, которые обязаны принять соответствующие меры: задержать, объявить в розыск (если преступник не был обнаружен в указанной точке пространства) или провести иные меры, входящие в область профессиональной деятельности правоохранителей. И даже после этого общаться с подозреваемым (или виновным) могут только юристы компании, отдел безопасности компании заодно с руководителем IT-департамента вправе присутствовать на допросах, но только в качестве наблюдателей, чтобы сделать свои выводы в плане улучшения систем безопасности компании – как цифровой, так и физической.
Именно с этой целью и привлекаются юристы компании, чтобы участвовать в процессе следствия и судебного заседания, дабы честь компании не замаралась. Тем более что, согласно законодательству, компания и нарушитель могут выяснять отношения сугубо в гражданском суде методом подачи исковых заявлений. Но помимо судебных разбирательств, связанных с нарушением цифровой безопасности компании, у юристов есть целый ряд занятий.
– Составляют перечень конфиденциальных данных, формируя реестр допустимой информации сообразно градации сотрудников – максимальный уровень допуска у генералитета компании, руководство среднего звена получает доступ к меньшему количеству файлов на серверах, младшее звено (рядовые сотрудники) работают только с файлами, необходимыми им в рабочих целях.
– Проводят консультации с сотрудниками на тему ответственности за халатное обращение с документами конфиденциального и/или секретного характера из вышеобозначенного реестра допуска к информации.
– Разрабатывают внутреннюю документацию предприятия на предмет столкновения интересов работника и работодателя в сфере трудового законодательства. Устанавливают ответственность за нарушение тех или иных норм цифровой безопасности предприятия.
– Координируют работу специалистов, занимающихся сбором подтверждений и экспертных заключений по поводу тех или иных инцидентов, совершенных в цифровом пространстве компании.
– Взаимодействуют с контролирующими органами во время проведения различных проверок.
– Не допускают возникновения кризисных ситуаций, для решения которых потребуется проводить судебные разбирательства.
При этом нельзя сказать, что юридический отдел компании способен решить любые задачи в одиночку – решение проблем с нарушением цифровой безопасности компании является комплексной работой нескольких отделов, в ходе которой выявляются все факторы, приведшие к атаке, после чего определяется линия поведения компании во время следственных действий и последующего судебного разбирательства.
Рассмотрим на примерах.
1. В середине 2013 года Гагаринский суд города Москвы вынес решение по делу 1–160/2013. Не стану называть персоналии – некая компания подала исковое заявление на уволенного сотрудника, нарушившего должностную инструкцию по цифровой безопасности. В вину бывшему сотруднику вменялось разглашение сведений, составляющих коммерческую тайну, и передача их третьему лицу, сотруднику компании-конкурента. Сотрудники компании, обнаружив факт утечки данных (которая происходила на протяжении нескольких лет мелкими порциями), передали данные отделу внутренней безопасности, благодаря которому информация дошла до руководства компании. Приняв решение уволить сотрудника по статье, руководство инициировало полный аудит систем безопасности компании, а также провело внутреннее расследование инцидента. По окончании проверок было выяснено, что уволенный ранее сотрудник, используя корпоративную электронную почту, пересылал небольшие массивы данных на свой личный почтовый ящик, откуда, по всей вероятности, переправлял информацию сотруднику компании-конкурента.
Выяснив все детали происшествия, юристы компании-истца отправились в суд, который назначил дополнительную проверку всех предоставленных сведений. Согласно данным судебной экспертизы, все сведения, представленные истцом, подтвердились, о чем свидетельствуют и протоколы выемки писем из корпоративного и личного почтовых ящиков уволенного сотрудника (заглянуть в личный электронный ящик физического лица, согласно закону, можно либо по его разрешению, либо по решению суда), и выемка писем из почтового ящика сотрудника компании-конкурента, которому переправлялись сведения, составляющие коммерческую тайну.
В итоге, рассмотрев все сведения, суд постановил: увольнение сотрудника согласно ТК РФ признать законным, а также передать документы в прокуратуру города Москвы для возбуждения уголовного дела по статье 183 УК РФ. В отношении компании-ответчика (той самой, которой передавались данные, составляющие коммерческую тайну) суд постановил выплатить компенсацию компании-истцу в сумме 2 млн долларов США. Да, это был небыстрый процесс, но без помощи юристов он, вполне вероятно, мог стать и проигрышным – малейшее отклонение от законодательных норм по сбору информации о происшествии могло стать фатальным для всей идеи.
2. Некая дама до 2013 года работала в государственном секторе, но после пары случаев нарушения трудовой дисциплины (а именно попытки отключения сервисов DLP, службы предотвращения утечки данных) попала в поле зрения специалистов по интернет-безопасности предприятия. Проверка установила, что эта дама скопировала на компьютер, а впоследствии и на флеш-карту довольно крупный массив данных (про флеш-карту стало известно впоследствии). Поводов для доступа к найденной информации не оказалось – сама сотрудница не смогла объяснить причины, толкнувшие ее на этот поступок, ведь ее работа не была связана с этими данными. По итогу внутренних проверок было принято решение уволить сотрудницу по статье за нарушение трудовой дисциплины.
Но сотрудница не осознала своей ошибки и попыталась шантажировать уже бывшее руководство тем, что собиралась обнародовать похищенные данные. Не увидев реакции бывшего руководства, уволенная обратилась в суд с исковым требованием о восстановлении ее на работе, оплате вынужденного прогула, компенсации морального ущерба и признании записи об увольнении в трудовой книжке незаконной – это и стало ее главной ошибкой. Разумеется, на суде ответчик предоставил документы обо всех нарушениях трудовой дисциплины и цифровой безопасности, продемонстрировал акты собственной комиссии по расследованию инцидента. Все это лишь сыграло на руку компании – иск так и остался неудовлетворенным, а вот даме пришлось еще и отвечать перед законом согласно УК РФ за попытку шантажирования и хищение конфиденциальной информации.
Данных примеров вполне достаточно, чтобы понять роль юристов в разрешении подобных ситуаций. Без их содействия будет невозможно собрать достаточное количество улик, доказывающих вину того или иного сотрудника в разглашении информации. Но чтобы выстроить эту линию доказательств, необходимо для начала создать базу, разграничивающую полномочия тех или иных сотрудников в уставе предприятия, а затем на основании этой базы разработать полноценную IT-инфраструктуру.
Тем не менее внимательный читатель заметил одну ошибку, общую для двух вышеописанных случаев – сотрудники получили доступ к документам, которые им не были необходимы по роду деятельности. Это прямой сигнал специалистам по цифровой безопасности о необходимости разграничения допусков к той или иной информации, а также проведения хотя бы бесед о недопустимости нарушения этих пределов. Ведь IT-специалисты могут лишь программно заблокировать доступ к тем или иным массивам данных, а это только половина от желаемого результата. Вторая половина – это человеческий фактор, виновник самого большого количества происшествий, связанных с компьютерами в целом и утечками данных в частности. То есть даже при должной наладке всей инфраструктуры все равно найдется возможность обойти все запреты путем авторизации под чужой учетной записью или же с другого компьютера.