Лоуренс Арагон
Нужны нормативы по обращению с электронной информацией
‘‘Почему вы это не уничтожили?” - этот сакраментальный вопрос по поводу электронной почты все чаще и чаще звучит на многих судебных разбирательствах, ставших причиной многомиллионных убытков для ряда предпринимателей, участвовавших в этих процессах.
Фирма Autodesk, компания Hughes Aircraft и корпорация Sprint Communications - вот далеко не полный перечень крупных организаций, пострадавших от “неаккуратного” обращения с электронной информацией. Это следует из результатов анализа официальных документов, представленных в суд. Так, Autodesk (Сосэлито, шт. Калифорния) решила обжаловать постановление суда, обязывающее ее выплатить фирме Vermont Microsystems (Уинуски, шт. Вермонт) денежную компенсацию в размере 25,5 млн. долл. Суд признал, что в результате некорректного использования электронной почты произошла кража коммерческих секретов Vermont. В прошлом году Hughes проиграла судебный процесс, на котором рассматривался иск о неправомерном сокращении срока обслуживания. Sprint также оказалась проигравшей стороной в результате судебного разбирательства в октябре прошлого года, когда суд признал правомерность претензий, предъявленных ей фирмой Applied Telematics по поводу уничтожения важной электронной информации.
Несмотря на столь отрицательную рекламу, большинство руководителей информационных служб не торопятся вводить какие-либо нормативы на хранение электронной информации. Джефф Стэйглиц, менеджер по исследованиям и разработкам информационного отдела фирмы Toyota Motor Sales USA, одним из первых весьма активно занялся решением этой проблемы. Прежде чем приступать к разработке политики использования электронных средств связи в соответствии с полученным от фирмы Torrance (шт. Калифорния) заказом, он обратился к специалистам информационных отделов ста компаний и выяснил, что в подавляющем большинстве они не имеют разработанных нормативов по срокам хранения информации. Невзирая на первые неудачи, Стэйглиц обратился за помощью в Ассоциацию по работе с электронными сообщениями (Electronic Messaging Association - www.ema.org).
Кто виноват?
Руководителям информационных служб может показаться, что поскольку сами они не замешаны в подобного рода сомнительных “преступлениях”, то эти дела их и не касаются. Вовсе нет. Когда появляются первые ласточки в виде исковых заявлений, именно этим структурам отводится главная роль в определении дальнейшей стратегии компании в данной области и именно они должны поинтересоваться, с какой целью до сих пор хранятся пленки с резервными копиями информационных файлов десятилетней давности.
История, случившаяся с крупным корпоративным клиентом фирмы Computer Forensics (Сиэтл), президентом которой является Джоан Фелдман, наглядно иллюстрирует эту проблему. “Как бы то ни было, мне ясно одно: накладные расходы и затраты на осуществление просмотра всей накопленной на пленках информации клиента оказались непомерно большими ($500 000 - $750 000), многократно превысив положительный эффект от этой реструктуризации информационных массивов, - подчеркнула она. - Чтобы урегулировать свое судебное дело, компании пришлось смириться с такими финансовыми потерями”.
Таким образом, перед руководителем информационной службы стоит проблема выбора: или уповать на то, что судьба убережет его компанию от любых судебных разбирательств, или предпринять активные шаги, согласовав свою работу с руководством и юридическим отделом, и разработать политику хранения электронной информации, юридически ее оформив. Только после этого можно спать спокойно.
Первый вариант - из области анекдотов и к серьезному подходу отношения не имеет. Руководитель ИС рискует не только потому, что несет административную ответственность за политику хранения информации (или отсутствие таковой), у него есть все шансы стать непосредственным участником судебного процесса в качестве ответчика при рассмотрении процедур записи-хранения, принятых в его компании.
Именно забота о ближнем заставила адвокатов, консультантов и администраторов ИС предложить коллегам ряд рекомендаций.
Выясните точно, что у вас есть. “Возможно, у вас есть что-то такое, о чем вы и не подозреваете, но что может здорово помочь вам во время судебного процесса или, наоборот, - вашему оппоненту. В любом случае лучше это знать заранее, чем пережить "приятное" удивление на суде”, - заметил Рик Мохер, консультант по документированию компьютерной деятельности фирмы Ontrack Computer Evidence Services (Эден-Прайри, шт. Миннесота).
Несколько советов от Computer Forensics:
- проведите полную инвентаризацию аппаратных средств и программного обеспечения;
- проверьте “возраст” ваших аппаратных средств (начиная с наиболее “пожилых” систем, так как они с наибольшей вероятностью связаны со “старой” информацией);
- проведите выборочную проверку НЖМД в ваших ПК, серверах и других накопительных устройствах.
Разработайте политику хранения электронной информации. “Это можно сделать, только объединив усилия ИС, юридического отдела и высшего руководства компании, - подчеркнул Джим Бэрреси, адвокат корпорации Star Banc (Цинциннати, шт. Огайо), капитал которой составляет 11 млрд. долл. - Все отделы организации должны быть вовлечены в этот процесс, так как не всегда просто узнать, как долго должен храниться тот или иной документ, например кредитная документация, которую по закону требуется хранить в течение шести лет”.
Вначале по крайней мере нужно разработать нормативы для электронной почты. “Главное, что вам потребуется, - это выработка политики в отношении сроков хранения сообщений электронной почты, - подчеркнул Питер Рид, исполнительный директор Vermont Microsystems. - Документы, которые пришли от Autodesk, были слишком объемными”. Проиграв судебный процесс фирме Vermont Microsystems, Autodesk установила 90-дневный срок хранения для сообщений электронной почты. “Когда этот норматив вступил в силу, мы случайно обнаружили сообщение с пятилетним(!) сроком хранения, - поделился Билл Кредел, исполнительный директор Autodesk. - Сейчас фирма прорабатывает возможность снижения этого временного параметра до 60 дней - к этому нас побудили соображения юридической целесообразности, с одной стороны, и высокая стоимость хранения сообщений - с другой”.
Разработайте политику шифрования. “Через Internet бесплатно распространяется более 2200 программ шифрования, и некоторые сотрудники используют их по своему усмотрению, - заметил Джон Джессен, исполнительный директор фирмы Electronic Evidence Discovery (Сиэтл). - Но пять лет спустя уже никто не вспомнит установленного пароля; возможно, что этот сотрудник вообще перейдет к тому времени на другую работу. И в случае, если зашифрованные документы будут затребованы в суд, а компания не сможет их расшифровать, это может быть классифицировано как преднамеренное создание препятствий следствию, и на компанию будет наложен штраф”.
Услуги такой компании, как Electronic Evidence, по выполнению дешифрования обойдутся недешево. Джессен отметил, что для него дешевле будет просмотреть по ключевому слову миллион файлов, чем изъять информацию из ста зашифрованных. В связи с этим он советует компаниям использовать единую мастер-технологию, стандартизовать процесс шифрования на базе одного криптографического пакета и проводить регулярные проверки, чтобы убедиться, что не используются никакие другие криптографические инструменты. Кроме этого целесообразно разработать единые нормативы относительно того, какие типы данных должны зашифровываться, а какие - нет.
Убедитесь, что удаленные документы действительно удалены. Клавиша “Delete” в принципе названа неверно. Эта команда лишь сообщает компьютеру, что в данный кластер можно записывать информацию, хотя все ранее записанные данные там остались. Именно благодаря этому сыскная компьютерная служба Ontrack смогла помочь компании Ohio доказать, что их бывший сотрудник украл записи компании даже после уничтожения файлов. Существуют утилиты, которые обеспечивают реальное стирание “уничтоженных” файлов, среди них - WipeDisk корпорации Symantec и SecureDelete корпорации Chipher Logics. Но самое правильное - четко сознавать, что вы делаете, чтобы случайно не создать у себя ложное чувство защищенности.
Как сообщил Рид из фирмы Vermont Microsystems, по ходу их разбирательства с компанией Autodesk выяснилось, что бывший сотрудник фирмы старался с помощью подобной утилиты уничтожить компрометирующие данные, но сотрудники отдела разработки из Vermont смогли найти достаточное количество сохранившихся данных на дисках личного и рабочего ПК злоумышленника, что позволило возбудить против него судебное преследование.
Не стойте на месте. Биотехнологическая фирма Amgen провела этой весной мероприятие под названием “Trash Bash” (“Избавляйтесь от хлама”). Сотрудников поощряли за то, что они выбрасывали старые бумажные документы и компьютерные диски. Однако вскоре после громкой рекламы этого мероприятия на страницах Wall Street Journal руководство Amgen стало уклоняться от комментариев по поводу политики хранения информации или “избавления от хлама”. Фелдман из Computer Forensics сообщила, что один ее клиент, пожелавший остаться неизвестным, проводит ежегодное подведение итогов по “файловой чистке” и присуждает приз тому сотруднику, который “выкинет” наибольшее количество мегабайт.
Она подчеркнула также, что подобные действия должны проводиться под строгим контролем со стороны отделов ИС, особенно это относится к случаям, когда используются дисковые утилиты уничтожения данных. Для стандартного отдела, состоящего из 30 рабочих мест, оборудованных ПК, сотрудники отделов ИС должны уделить пользователю каждой машины примерно по 45 минут. Поскольку операция по чистке довольно трудоемка, Фелдман предлагает проводить ее последовательно - поэтапно и по подразделениям.
Не оступитесь. Разработка и принятие нормативов и процедур - это очень хорошо, но не забывайте контролировать, как все это внедряется в жизнь. Вы вряд ли захотите повторить незавидную судьбу корпорации Hughes. Гаррету Шо, бывшему адвокату компании, был предъявлен судебный иск. Шо обвиняли в клевете и в незаконном прекращении обслуживания. В ходе судебного разбирательства потребовали, чтобы компания представила данные электронной переписки, связанные с увольнением Шо. Но несмотря на то что компания выступала в роли ответчика, она продолжала придерживаться установленного 90-дневного лимита для хранения сообщений электронной почты. Правда, вопрос реальности уничтожения данных при этом остается открытым. Адвокат Шо так объяснил действия Hughes: “Компания считала, что, уничтожив доказательства, вынудит суд присяжных засчитать этот факт в пользу обвиняемого”. Судья согласился с этими доводами. Впоследствии присяжные наложили на Шо штраф в размере 593 тыс. долл. для возмещения нанесенного им ущерба, причем 90 тыс. долл. из этой суммы составляет взыскание за уничтожение доказательств. Последний факт вынуждает снова задать сакраментальный вопрос: “Зачем вы их уничтожили?”.