Илья Башкиров: когда инсайдер становится угрозой бизнесу

Юрист по информационной безопасности ГК InfoWatch Илья Башкиров рассказывает в интервью об инсайдерах — людях, которые имеют доступ к конфиденциальной информации и о том, как они могут его использовать в злонамеренных целях. Речь пойдет о том, как компании должны выстраивать защиту и где проходит грань между безопасностью и тотальным контролем, а также о судебной практике.

— Когда речь заходит о компрометации информации по вине сотрудника компании, виновников называют «кротами», «инсайдерами», «внутренними нарушителями». Это синонимы или есть разница?

—  Технически можно применить все три термина к одному человеку. Но «крот» — это, скорее, устаревший термин из первой половины XX века, из области шпионажа. Сейчас оперируют понятиями либо «инсайдер», либо «внутренний нарушитель». Причем инсайдер — это специфический термин, указанный в законодательстве о банковской деятельности и обороте ценных бумаг. Но сейчас термин употребляется в повседневности.

Я буду использовать слово «инсайдер» в широком смысле, не только с точки зрения противодействия манипулированию рынком. Инсайдер — это любой человек, допущенный во внутренний периметр организации. Это может быть информационный периметр или даже физический — то есть, возможность войти в офис. 90% инсайдеров — это штатные сотрудники. Оставшиеся 10% — партнеры, работники контрагенты, представители клиентов, которым доступ предоставили по производственной необходимости.

Внутренний нарушитель — это инсайдер, который нарушил либо закон, либо внутренний регламент. Например, должностную инструкцию или договор.

— Когда наступает ответственность за использование инсайдерской информации и как она устанавливается?

— Ответственность может быть административной, уголовной и дисциплинарной. Остальное зависит от типа и характера нарушения, формы вины, да и, собственно, того, что было нарушено. Если нарушена должностная инструкция или регламент — ответственность может быть дисциплинарной. Требование закона, например, ФЗ «О персональных данных»? Тогда может иметь место «уголовка» или «административка». Ответственность может сочетаться, а также идти параллельно. Например, за утечку персональных данных лицо может быть привлечено к дисциплинарной и уголовной ответственности. За ту же утечку персональных данных ответственность может понести и работник, и работодатель.

— Распространение инсайдерской информации это всегда вина сотрудника? Или может быть вина организации, которая не выстроила процессы защиты?

— Сильно зависит от применимого права и категории утекшей информации. В случае утечки персональных данных, например, вопрос «кто крайний» уже не задается. В одной и той же утечке работник отвечает за свои действия, работодатель — за свое бездействие в вопросах информационной безопасности. Например, работник ошибся и случайно отправил персональные данные одного клиента другому — суд признал работодателя виновным в утечке, недосмотрел. Но работодатель может отвечать за недостаток ИБ даже в том случае, если работник намеренно преодолевал средства защиты.

Только в моей подборке уже 8 дел, где суды явно отмечали, что причина утечки — неправомерные действия работника, то есть инсайдера. И все равно операторы несли ответственность перед потерпевшими от утечки: как административную, так и гражданско-правовую.

— Кто чаще всего становится инсайдером? Это недовольный или завербованный сотрудник?

— Инсайдеров сложно классифицировать. Исследования показывают, что 96% утечек по вине сотрудника произошли намеренно — то есть, имело место волевое и осознанное действие. Но тут начинаются проблемы с классификацией. Вот, например человек скинул рабочие файлы на флешку. Это намеренная утечка. Он мог сделать это, чтобы поработать из дома, а мог, чтобы продать данные конкуренту.

Может быть еще интереснее. Приведу два примера из практики.

В первом случае в инвестиционном консалтинге работал очень успешный и обеспеченный партнер с безграничным доступом и правом подписи. В компании провели HR-аудит «360 градусов», и подчиненные оценили его не лучшим образом из-за высоких требований. Партнер обиделся на своих подчиненных и решил отомстить всей фирме. Он разорвал все договоры со своими клиентами, застопорил процессы. Нанес колоссальный ущерб и себе, и работодателю. Где рациональность? Нет рациональности — это просто истерика.

Второй случай: во время ИБ-аудита аудитор обнаружил внутреннего нарушителя. Этот сотрудник «сливал» коммерческую тайну конкурентам, потому что считал, что конкуренты идеологически правы, а его компания — нет. Оказалось, что нарушителем был директор по информационной безопасности!

Классифицировать таких нарушителей сложно. Объективное разделение — действует ли человек рационально? Какой ресурс эксплуатирует? Доступ к информации, право подписи, деньги или что-то другое? Например, работник химического завода мастерит бомбу из рабочих материалов. С точки зрения внутренней безопасности — он инсайдер, потому что представляет угрозу, связанную с эксплуатацией служебного доступа. Но куда его классифицировать?

— Говоря о DLP-системах и контроле, где лежит грань между обеспечением безопасности и вторжением в частную жизнь сотрудника, которую компания не может переступать?

— Сошлюсь на практику судов и «обязанность заботиться». Требования к информационной безопасности сейчас очень высоки. Если раньше можно было отделаться фразами «мы сделали все возможное», то теперь суды требуют показать конкретные действия.

Пример: сотрудник при увольнении сфотографировал на телефон рабочий экран с персональными данными. Суд признал виновным в утечке компанию, потому что гипотетически компания могла противостоять этому. Например, с помощью системы «антишпион», которая блокирует экран при поднесении телефона. Не поставили? Значит, виноваты.

Справка: DLP‑система (Data Loss Prevention, «предотвращение потери данных») — это ПО для кибербезопасности, которое помогает компаниям избежать утечек. Система анализирует потоки данных — переписку по почте, загрузку файлов в облако, копирование на внешние носители — и предотвращает их несанкционированную передачу.

Казалось бы, такой подход развязывает руки службам безопасности. Но все «старые» ограничители никуда не ушли. К примеру, как и всегда есть риск уголовной ответственности, если специалист ИБ начнет использовать свои ресурсы для решения личных задач или конфликтов. Есть прецедент, когда ИБ-специалист был признан виновным в нарушении тайны переписки после того, как он прочитал сообщения сотрудника, чтобы найти в них крамольные высказывания о начальстве. Но отмечу, что контроль внутри периметра — это не чтение переписок глазами. Мониторинг, если и осуществляется, то автоматизировано. Автоматические системы фиксируют только подозрительные действия вроде отправки файлов за периметр компании, а усиленный мониторинг применяется, когда сотрудник работает в чрезвычайно ответственной сфере — например, в ОПК или энергетике.

Что касается ограничений и пределов контроля, то он должен проходить по корпоративному периметру — ресурсам, которые работодатель предоставил сотруднику. Технически, с соблюдением некоторых процедур уведомления и информирования, работодатель может не только контролировать корпоративную почту и мессенджер, но и звуковое и визуальное окружение рабочей станции. Но, хотя пассивно можно собирать большое количество информации, использовать можно только ту, которая непосредственно необходима для проведения внутреннего расследования и установления нарушения. Такая информация достаточно широка.

Например, сотрудник СБ исследовал денежные переводы внутри семьи сотрудника, чтобы доказать конфликт интересов. Человек под подозрением пытался сослаться на тайну частной жизни и обвинить безопасника в нарушении своего права, но суд признал использование такой информации законным, так как она имела прямую логическую связь с предметом расследования.

— На какой законодательной базе строится работа с инсайдерскими инцидентами?

— Основа — это трудовое право. Любой юрист по ИБ должен быть экспертом в ТК РФ. Именно трудовое право определяет порядок внедрения систем мониторинга и контроля и проведения внутренних расследований. Далее, в зависимости от ситуации, добавляется, например, корпоративное право в спорах акционеров и директоров, и предметные области — закон о персональных данных, о коммерческой тайне.

— Может ли снимок экрана стать цифровым доказательством?

— В спорах с инсайдерами скриншоты используются реже, чем в интернет-спорах. Там, где информация динамична, например, в случае размещения информации в соцсетях, скриншоты используются особенно часто.  И в таких спорах часто возникают споры вокруг допустимости и достоверности доказательств. Поэтому нужен нотариально заверенный протокол осмотра доказательств — скриншота. Чтобы показать, что такое и правда было, условно. А в инсайдерских делах все завязано на локальных сетях и информационных системах компании. В сравнении с Интернетом они находятся в статике. Выгрузки логов и событий из внутренних систем обычно достаточно.

— А если говорить про код? Например, сотрудник унес код конкурентам. Какие тут сложности?

— Здесь две параллельные функции. Первая — классический спор по интеллектуальному праву: является ли код служебным произведением, наш ли это код, какова степень заимствования. Вторая — сторона ИБ и расследования: нужно доказать, что сотрудник имел доступ к этому коду и зафиксировать момент его передачи за периметр. Поэтому важно «прикрутить» юридический процесс к фактическому. Если по бумагам одно, а по факту менеджер просто кинул задачу в CRM, могут возникнуть проблемы с признанием кода служебным произведением.

— Как правильно оформлять доступ сотрудников к информационным активам?

— Самое главное — прямая обязанность сотрудника по обращению с информацией. Тут также есть интересное судебное дело: сотрудник слил персональные данные и его уволили. Он пошел в суд и выиграл, потому что в его обязанностях было прописано «охранять коммерческую тайну», а про персональные данные — ни слова. Трудовые права не толкуются расширительно. Обязанность должна быть прямой и явной.

— Какой минимум документов нужен компании для защиты от инсайдеров?

— Для контрагентов — это договор с организацией, в котором прописаны основные моменты и есть ссылка на внутренние документы компании, как на обязательные для партнера.

Для сотрудников — есть иерархия документов. Основа — это трудовой договор. Он должен отсылать политике по использованию информационных ресурсов компании или ИБ-политике. Это документ, который говорит: «Вот это твой рабочий компьютер, на нем ты делаешь только рабочие задачи, пароль должен хранить, доступ третьих лиц исключать». Это легализует контроль и позволяет доказать, что за компьютером работал именно этот человек. Если компьютером пользовался кто-то другой — это проблемы сотрудника.

Сотрудник должен быть ознакомлен со всеми документами под подпись. Если вводится новая система, например, DLP или видеонаблюдение, сотрудника нужно уведомить об этом. Согласие не требуется, нужно именно уведомление под подпись.

— Штрафы за утечки данных — животрепещущая тема. Как компании правильно защитить себя от них?

— Защититься от штрафа, свалив вину на сотрудника или хакера, не получится. Даже не смотря на недавнее дело РЖД, которое показало, что кибератака может исключить вину оператора в утечке. Тем не менее, требования к кибербезопасности высоки, из-за чего полностью исключить вину оператора сложно. А вот снизить штраф — возможно, сославшись на кибератаку и доказав, что компания сделала все возможное. Но суд все равно может пойти по пути объективного вменения и сказать: «Вы пропустили атаку, значит, виноваты».

— Какие действия необходимо предпринять компании, если работодатель заподозрил инсайдера?

— Сейчас рекомендуемый порядок действий такой: инцидент, расследование ИБ, запрос объяснений у работника, оценка обстоятельств нарушения и выбор ответственности. Разные категории инцидентов требуют различных мер по реагированию, таких как обращение в МВД России или уведомление Роскомнадзор. Главное — соблюдать требования ТК РФ.

— Если вопрос с инсайдером переходит в судебную плоскость, то на чью сторону чаще встает суд — работника или работодателя?

— Статистика против работодателя. Но здесь важна причина. Чтобы уволить человека, решение суда не нужно — это делает сам работодатель. В суд идут те сотрудники, у дел которых есть хоть какие-то перспективы на победу. И в 50% случаев работодатель проигрывает из-за нарушений во внутренних документах или нарушении режима защиты данных. Еще около 40% — это нарушения процедуры увольнения, которые не имеют отношения к сути инцидента: например, забыли взять объяснительную. Но, конечно, есть исключительные случаи, где контроль над сотрудником признан незаконным.

— Твой прогноз: куда движется законодательство в сфере ИБ?

— Пока я чувствую тренд — безопасность прежде всего. Все требования будут направлены на максимальную эффективность ИБ. Мы будем поступаться другими правами, лишь бы обеспечить безопасность. Курс на информационный суверенитет и импортозамещение требует защищать активы компаний внутри страны. Кибератаки и диверсии стали частью международных конфликтов. Регулятор и суды это понимают, поэтому будут требовать максимальной защищенности. Личной ответственности тоже будет больше.