Суд по делу о разглашении информации —сражение риторик прокурора и защитника

Автор: Станислав Барташевич

Суд по делу о разглашении информации — это сражение риторик прокурора и защитника

Ведущий консультант по информационной безопасности компании Leta IT-company Станислав Барташевич

Что должна сделать компания, чтобы быть уверенной, что ее коммерческие тайны надежно защищены?

— Прежде всего, в компании должен быть установлен режим коммерческой тайны, без этого любые действия против лиц, разгласивших информацию или незаконно пользующихся ею, достаточно бессмысленны, а если нет риска санкции за нарушение права, то нет и защиты права. Должен быть определен перечень сведений, относящихся к коммерческой тайне, определены уровень допуска и степень ответственности каждой должности в компании, проведены технические и организационные мероприятия по защите информации. Когда все эти работы выполнены и при желании компании зафиксированы аттестатом соответствия по информационной безопасности со стороны ФСТЭК, можно говорить о том, что компания сделала все возможное для защиты информации и в случае ее утечки возможно проведение эффективного расследования. Подчеркну, что мало ввести режим коммерческой тайны, его нужно регулярно актуализировать, обновлять перечень сведений, относимых к коммерческой тайне, инструктировать персонал. На практике же часто получается так: компания формально вводит режим коммерческой тайны, пишет три документа и считает, что она защищена законом, что в случае утечки информации можно немедленно подать в суд на инсайдера либо на укравшую информацию компанию, конкурента. Это самонадеянно.

Что важнее, технические средства защиты информации или инструктивная работа с персоналом компании?

— Важно следить за правильным балансом организационных и технических мер. И нужно понимать, что ни те ни другие сами по себе не являются панацеей. Как показывает практика, любое техническое решение можно обойти. Любое указание можно забыть или проигнорировать. Расскажу историю из своей старой практики. Девушка принесла на работу домашний ноутбук и попросила системного администратора компании переставить на нем операционную систему. Администратор подключил ноутбук к корпоративной сети, скачал дистрибутивы, все установил и наладил, отдал девушке. Девушка увидела, что ноутбук зарегистрирован в корпоративной сети и загрузила на него массу рабочей информации, с самыми благими намерениями, конечно, чтобы можно было работать дома. А потом потеряла ноутбук… Это ситуация, в которой ни техника, ни инструкции не защитили компанию от халатности персонала. К счастью, информация с утерянного ноутбука не попала в руки заинтересованных лиц. Вскрылась эта история случайно, к обоим сотрудникам были применены дисциплинарные наказания.

Как должно быть зафиксировано обязательство сотрудников сохранять коммерческую тайну?

— Обычно это обязательство фиксируется в трудовом договоре и должностной инструкции. Я бы настоятельно рекомендовал всем компаниям заключать с работниками отдельное обязательство о неразглашении информации, полученной во время работы в компании, на срок до 5 лет с момента увольнения. Данный документ должен храниться не в архиве кадровой службы, а непосредственно в службе безопасности. Во время переезда компании с одного физического адреса на другой архивы кадровых служб иногда теряются. Многие кадровики почему-то не считают обязательства о нераспространении информации серьезными документами и не слишком беспокоятся об их сохранности.

Компании становится известно, что некая отнесенная ею к коммерческой тайне информация разглашена. Не установлено, кто это сделал. Какие действия должны быть предприняты?

— В рамках служебного расследования первым шагом становится создание комиссии, которая будет заниматься выяснением значимых для дела фактов. В комиссию можно включить владельца информации (представитель структурного подразделения, которому информация принадлежит), представителя службы безопасности, представителя руководства компании. Комиссия оценивает нанесенный ущерб и предпринимает действия, направленные на приостановку передачи и обработки «утекшей» информации, чтобы инсайдер не мог продолжить «слив». Это жесткий и иногда травматичный для работы компании шаг, потому что информация может быть важна для повседневной работы, но он необходим. Если есть подозрение, что информация может быть украдена внешним нарушителем, что имеются попытки взлома корпоративной сети, то необходимо отключить важные ресурсы от сетевого использования.

После определения примерного круга инсайдеров или внешних нарушителей начинается изучение истории их действий на компьютере. Исследование «логов», архивов почты, списков телефонных номеров, на которые звонили потенциальные нарушители. Разумеется, последнее действие может быть предпринято только в том случае, если сотрудники службы безопасности компании накоротке общаются с сотовыми операторами. Если нет, по заявлению компании к делу подключаются специалисты управления «К».
Отмечу, что расследование инцидентов, связанных с разглашением коммерческой тайны, специалистами управления «К» проводится довольно поверхностно. Они прекрасные, профессиональные следователи, но часто не дотягивают до текущего уровня развития технологий. Специалисты в форензике, компьютерной криминалистике, в России уже есть, но настоящих экспертов в этой сфере пока не хватает.

Каковы судебные перспективы дел об утечке информации?

— Дела по утечке информации часто проваливаются в суде. Почему? В России нет сложившейся судебной практики в этой сфере, а судьям недостает знаний и квалификации. Например, к делу может быть подшита стостраничная распечатка лога действий подозреваемого пользователя — судья ее, скорее всего, не дочитает, а если дочитает, то ничего не поймёт.

Плюс российское законодательство очень противоречиво. В стране работают несколько законов, регулирующих защиту информации, они не дополняют друг друга, а существуют каждый сам по себе, каждый в своей терминологии. Поэтому, с одной стороны, компаниям очень сложно построить корпоративную систему защиты информации, которая была бы эффективна и соответствовала бы нормам всех законов, с другой — грамотный адвокат всегда может развалить дело просто на терминологических противоречиях.
В общем, суд по делу о разглашении информации — это сражение риторик прокурора и защитника. Кто ярче, тот и прав.

Наша компания, Leta IT-company, как и многие другие профессиональные участники рынка защиты информации, принимает участие в осмыслении и формулировании норм права, в подготовке законопроектов, сглаживающих терминологическую сумятицу. Отмечу, что написанный профильными специалистами законопроект и то, что от него остается после всех инстанций, правок и согласований, — две большие разницы. Смыслы выхолащиваются, иногда утвержденный законодателем вариант в некоторой части противоречит начальному проекту.

Если я правильно Вас понял, в конечном итоге перспективы любого дела, связанного с разглашением коммерческой тайны, зависят от того, насколько успешно стороны представят свою позицию суду?

— Совершенно верно. Разумеется, если дело не может быть переквалифицировано, например, в дело о мошенничестве. Приведу пример из практики.

Руководитель управляющей компании ЖКХ вступил в преступный сговор с администратором информационной системы — тот «сливал» ему информацию об умерших одиноких нанимателях социального жилья. В ЗАГС и мэрию не подавалась информация об освобожденных площадях, наниматели продолжали числиться живыми, а их квартиры руководитель управляющей компании сдавал за небольшие деньги — 6–8 тысяч рублей в месяц за «однушку». Его навар составил порядка 3 миллионов рублей.

Базы данных по нанимателям социального жилья были отнесены к коммерческой тайне, информация была защищена надлежащим образом, но администратор с попустительства руководства воровал информацию.

Администратор и руководитель управляющей компании были приговорены к 4 и 6 годам заключения, но не за разглашение коммерческой тайны, а за мошенничество. Осудить на такой срок за «информационное» преступление практически невозможно.

Если дело о разглашении информации не имеет судебных перспектив, то как наказать работника в рамках трудового законодательства?

— Я считаю, что самое действенное наказание — это увольнение. Замечания, лишение премии не работают. С работником, разгласившим коммерческую тайну, даже если он сделал это по неосторожности, лучше расстаться. И его коллеги поймут, что с полученной на работе информацией нужно обращаться аккуратно.

Иногда на электронную почту приходят письма с припиской: «Это сообщение и вложения могут содержать конфиденциальную информацию, которая защищена от разглашения. Если вы не являетесь получателем этого сообщения, копирование и распространение информации, представленной в электронном письме, строго запрещено…» Это работающая формулировка? Она помогает защититься от разглашения коммерческой тайны случайными получателями?

— Эту формулировку придумали для страхования от человеческого фактора. Вы пишете письмо, вбиваете в поле адреса первые буквы названия ящика, выпадает список контактов — в спешке щелкнуть мышкой не по тому адресу проще простого.

Судебное производство по фактам разглашения какой-либо случайно полученной информации возбуждается крайне редко, это единичные, уникальные ситуации. Как правило, все заканчивается досудебным урегулированием спора. Бывали случаи, что разгласивший случайно полученную информацию выплачивал потерпевшей стороне денежное возмещение.

Во многих трудовых договорах содержится пункт, запрещающий работнику разглашать размер его зарплаты. Насколько это законно?

— Вполне законно. Но я обращу ваше внимание на то, что к коммерческой тайне не может быть отнесена задолженность работодателя по выплате заработной платы. Если работодатель не считает нужным платить зарплату вовремя, работники могут игнорировать этот пункт трудового договора.