Завершаем серию статей про отраслевую специфику и ответственность в области информационной безопасности.
В этом цикле материалов мы рассмотрели особенности ИБ в здравоохранении, промышленности, связи, финансовом и государственном секторе. С информационной безопасностью в разных отраслях ситуация схожа. Особенно, если речь касается привлечения нарушителя к ответственности. Да, есть отраслевая специфика, особые требования и регуляторы. Но кейсы правонарушений и типовые ИБ-ошибки, из-за которых они происходят, схожи. Это, как правило, халатность, ошибки при построении ИБ и т. д. Поэтому я решил завершить цикл материалов обобщающей статьей. Ниже расскажу о тех, кто не дошел до суда и не смог доказать свою позицию, а также из-за каких ошибок возникают типовые правонарушения в ИБ.
Как не споткнуться и дойти до суда?
В суды попадают или дела, в которых потерпевшая сторона смогла собрать достаточно сведений о преступлении и доказательства вины нарушителя, или случаи, получившие огласку. Поскольку в контексте ИБ правонарушения происходят с использованием ИТ-систем, то для сбора таких данных нужны технические средства. Например, DLP-система. Именно она предоставляет наиболее полную и достоверную картину действий сотрудников на рабочих местах.
Но даже если отчет DLP, как вам кажется, на 100% доказывает вину и причастность нарушителя, то это не значит, что дело «в шляпе». Чтобы сведения из DLP могли быть доказательствами для суда или правоохранительных органов, должны быть соблюдены три условия:
1. Сведения должны быть достоверны. Это значит, что обстоятельства должны быть отражены так, как они сложились в реальности. То есть содержание отчетов ИБ-средств не должны подвергаться дальнейшей обработке и допускать двусмысленную интерпретацию. Сами материалы должны быть представлены в хорошем качестве, позволяющем их подробно изучить.
2. Сведения должны быть относимы. Это значит, что собранная информация должна проливать свет на события и факты, относящиеся к делу. Например, сотрудник продал вашу коммерческую тайну, и вы хотите взыскать с него ущерб. В таком случае в суд нужно предоставить скриншоты, которые подтверждают факт выгрузки такой информации или переписку с «заказчиком» слива. Все остальное, например, опоздания, конфликты на рабочем месте, нарушения дисциплины факт инцидента и вину нарушителя не доказывают.
3. Сведения должны быть получены законным способом. В первую очередь это значит, что DLP или любые другие средства получения информации должны применяться на законных основаниях. Например, законы о персональных данных и коммерческой тайне позволяют компании применять технические средства для защиты информации. Эти полномочия должны быть зафиксированы в локальных актах организации, например, в положении о коммерческой тайне, политике обработки персональных данных, правилах защиты информации и иных. Все сотрудники должны подтвердить подписями ознакомление с этими документами. Кроме того, если речь идет про DLP или другие средства для контроля активности сотрудников, рекомендую ввести их в эксплуатацию приказом. Так удастся избежать множества вопросов о легитимности использования системы. В приказе нужно прописать цели и пределы использования таких решений, кто имеет к ним доступ, назначить ответственного за их использование и отразить, где они будут установлены.
Какие ошибки компании допускают до инцидента?
Анализ судебной практики показал, что в целом компании допускают одинаковые или схожие ошибки, которые позволяют злоумышленнику совершить правонарушение. Среди них:
1. Отсутствие контроля и мониторинга действий пользователей. Большинство ИБ-инцидентов не состоялось бы, не будь у рядовых сотрудников возможности переносить конфиденциальную информацию на флешки, сохранять в личные облака или пересылать в мессенджерах вне регламентов компании. Такие действия не нужны в ежедневных бизнес-процессах, поэтому их можно гибко ограничить. Например, запретить пересылку только определенного контента: персональных или финансовых данных.
2. Работа по «методичке». ИБ-специалисты часто настраивают средства защиты на типовые сценарии. Например, на блокировку веб-версий мессенджеров. Столкнувшись с ограничением, сотрудник скорее всего попытается его обойти и, например, использует другой канал связи или откроет мессенджер во встроенной утилите браузера. При разработке ИБ-стратегии важно учитывать не только основные, но и потенциальные сценарии инцидента, попытки обхода защитных ограничений.
3. Нет работы с группами риска. Потенциальные нарушители есть в любом коллективе. Контролировать опасные действия с информацией с их стороны — одна из задач отдела безопасности. Подробнее о том, как выявлять и работать с такими сотрудниками мы рассказывали в соответствующей памятке.
4. Игнорирование обучения сотрудников. Случается, что нарушители вовлекают коллег в незаконные схемы. Еще чаще рядовые пользователи «ведутся» на манипуляции профессиональных преступников. Например, под выдуманными предлогами или от имени руководства сотрудников просят прислать закрытые корпоративные данные по почте или в мессенджере. Найти реального злоумышленника и доказать его вину в таких случаях намного сложнее. Обучение вопросам ИБ-позволит показать сотрудникам как нужно работать и обрабатывать определенные виды информации и что с ними можно делать.
Заключение
По данным нашего исследования уголовных дел в ИБ, в 86% случаях суды выносят нарушителям обвинительные приговоры.
Однако есть и обратная сторона — ряд дел просто не доходит до суда, потому что компании понимают слабость своей позиции и не готовы обращаться в суды или правоохранительные органы. Часто недостаток доказательств вскрывается уже после того, как компании заявляют о нарушениях. О количестве таких случаев можно только догадываться, официальной статистики нет. Именно понимание процессов расследования преступлений и рассмотрения дел в судах позволяет довести дело до конца. Этот вопрос шире используемых продуктов или технологий.
Это коллективная задача, которая порой выходит за рамки ИБ, требует тесного взаимодействия служб общей и информационной безопасности, юридических и кадровых подразделений, выстраивания соответствующих бизнес-процессов. Решать эту задачу необходимо уже сейчас, поскольку это — фактически требование закона. С вступлением в силу поправок в КоАП об «оборотных штрафах» за утечки персональных данных, рассмотрение дел о таких нарушениях передано в арбитражные суды. Представлять интересы компаний там могут только дипломированные юристы. Поэтому, даже если вы не планируете добиваться возбуждения уголовных дел в отношении нарушителей, необходимо налаживать сотрудничество подразделений бизнеса в случае инцидентов. Иначе бизнес остается без возможностей к правовой защите своих интересов.
