В рубрику "DLP" | К списку рубрик | К списку авторов | К списку публикаций
Поданный уволенным сотрудником иск о нарушении тайны переписки привел к неожиданным последствиям: 12 января 2016 г. Европейский суд по правам человека (ЕСПЧ) признал право работодателя просматривать личные сообщения, отправленные и полученные сотрудником в рабочее время, если в организации установлены соответствующие правила. Созданный Европейским судом прецедент крайне полезен как минимум для тех работодателей, которые заботятся о состоянии безопасности компании в разных ее проявлениях.
Ст. 23 Конституции РФ
1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений.
Суть дела на первый взгляд весьма проста: румынский инженер Богдан Барбулеску, работавший в некоей организации с лета 2004 г., был уведомлен работодателем о том, что в ходе мониторинга его коммуникаций в мессенджере Yahoo! были выявлены записи в периоде с 5 по 13 июля 2007 г., свидетельствующие об использовании сети Интернет в личных целях, что противоречит внутренним положениям организации. 45 страниц отчета показывали, что во время работы г-н Барбулеску обсуждал с братом и невестой разные вопросы, очевидно не относящиеся к рабочим задачам. В отчете также присутствовало 5 сообщений личного характера, сделанных из личной учетной записи Yahoo!.
1 августа 2007 г. работодатель разорвал трудовой контракт с Барбулеску, обосновав это нарушением внутренних регламентов, а именно нарушением строгого запрета на использование корпоративных компьютеров в личных целях. Не согласившийся с таким решением работодателя инженер подал иск в городской суд Бухареста, ссылаясь на неправомерность увольнения как основанного на данных, полученных незаконным путем, нарушающим, к тому же, его конституционные права. Однако же, суд не удовлетворил жалобу и отказал Барбулеску, полностью поддержав работодателя и сославшись на использование корпоративной техники при наличии соответствующих запретительных регламентов, о чем сотрудник был надлежащим образом уведомлен. Суд также указал, что Интернет на рабочем месте должен оставаться инструментом, который сотрудник использует для выполнения своих должностных обязанностей и никак иначе. Спустя год Бухарестский апелляционный суд отклонил апелляцию Барбулеску, основанную на якобы имевшем место нарушении его личной жизни и тайны переписки.
Действительно, ст. 26 Конституции Румынии декларирует право на неприкосновенность личной и семейной жизни, а ст. 28 защищает право на тайну переписки.
Обратившись уже в ЕСПЧ, Барбулеску особо настаивал на том, что Yahoo! Messenger по своей природе предназначен для личного использования, вследствие чего он ожидал, что его сообщения останутся частными. Европейский суд доводы инженера не принял, как и предыдущие инстанции. "Работодатель действовал в рамках своих полномочий, поскольку получил доступ к учетной записи Yahoo! Messenger, полагая, что информация, о которой идет речь, связана с профессиональной деятельностью сотрудника, и, следовательно, доступ к ней являлся законным. Суд не видит оснований сомневаться в этом", – следует из решения суда.
Вместе с тем в определении ЕСПЧ говорится о неприемлемости неограниченной слежки и необходимости ввода четких правил, устанавливающих характер и методы сбора информации о сотрудниках. Примечательно, что один из восьми судей, рассматривавших дело, выразил иное мнение, заявив о неприемлемости полного запрета на пользование Интернетом в рабочее время в личных целях и подчеркнув, что компаниям стоит как можно более доходчиво доносить до своих сотрудников правила, согласно которым работодатель может проводить контроль и мониторинг действий сотрудников с корпоративной техникой и каналами связи.
Несмотря на то, что в рассматриваемом деле фигурировал только Yahoo! Messenger, вряд ли вынесенное решение изменилось бы в случае с любым другим ПО, будь то мессенджер, социальная сеть или иной сервис либо физическое устройство. Главное, что своим вердиктом закрепил ЕСПЧ, – это право работодателя удостовериться в том, что в рабочее время сотрудник выполняет рабочие обязанности.
Российская практика судебных решений в целом вторит вердикту ЕСПЧ, несмотря на мнение любителей ссылок на Конституцию и неприкосновенность личной жизни на рабочем месте. Российские суды признают отсылку к упомянутым правам несостоятельной, если информация о нарушении сотрудником трудовой дисциплины или коммерческой тайны предприятия извлечена работодателем из корпоративных компьютеров, используемых для осуществления трудовых функций работника.
По большому счету, решение ЕСПЧ дает вполне прозрачные и понятные основания для работодателя в деле контроля сотрудников и их внешних коммуникаций. Однако вопросов при этом остается все равно довольно много.
Где находится та черта, которая разделяет личные данные, защищаемые статьей 23 Конституции РФ, и принадлежащие работодателю данные, используемые на корпоративных компьютерах? Возможно ли разделить личные и корпоративные данные на техническом уровне, чтобы принципиально избежать обвинения работодателя в нарушении конституционных прав сотрудников? Допустимо ли вообще вести контроль и мониторинг использования сети Интернет и различных устройств? Можно ли сотрудникам использовать личные устройства для выполнения должностных обязанностей в стратегии BYOD, учитывая, что запрет использования личных коммуникаций на личном устройстве попросту невозможен?
Забегая вперед, хотел бы отметить, что более 63% респондентов твердо заявили о допустимости мониторинга персональных коммуникаций сотрудников с корпоративных компьютеров, и только 22% полагают, что таковой мониторинг недопустим, поскольку противоречит Конституции.
Вопрос был поставлен достаточно широко и учитывал возможность коммуникаций с личных устройств из защищенной корпоративной среды. Здесь стоит сделать небольшое пояснение – мы, безусловно, полагаем, что запрещать использование современных личных устройств (смартфонов, планшетов, лэптопов) для выполнения должностных обязанностей не только невозможно, но и непродуктивно. Напротив, предприятию выгодно обеспечить сотрудникам максимально комфортный доступ к персональным коммуникациям, в том числе в рабочее время, поскольку такие коммуникации повсеместно используются для бизнеса, а значит, повышается эффективность производственных процессов и результативность труда сотрудников. Полный запрет личных устройств приводит к отказу от всех преимуществ консьюмеризации и BYOD как стратегии, стимулирующей сотрудников эффективно решать рабочие задачи с личных, удобных в использовании гаджетов. С такой логикой согласились 32% ответивших на опрос.
Большинство респондентов (45%), отвечая на вопрос о полном запрете персональных коммуникаций, полагает, что он нерационален, но стоит подумать о частичном ограничении уровней доступа, а также избирательном мониторинге.
Примечательно, что почти 17% респондентов придерживается жесткого мнения о необходимости запрета личных коммуникаций, поскольку основной массе сотрудников нечего делать в Интернете – они должны исполнять свои должностные обязанности.
С технической точки зрения все три основных варианта, выбранных отвечавшими на вопрос, реализуемы. Полный запрет практически всех известных на сегодня Web-сервисов передачи и обмена данными может быть успешно реализован современными DLP-системами в сочетании (или без него) с корпоративным брандмауэром, равно как и запрет использования устройств хранения данных и канала печати. Для большей гибкости и избирательности контроля доступа к каналам коммуникаций требуется использование хостовых DLP-систем, когда перехват сетевых коммуникаций осуществляется непосредственно на рабочих компьютерах сотрудников.
Этот вопрос предполагал уже не запрет, а контроль содержания передаваемых данных, а значит, и потенциальную возможность получения службой ИБ доступа к сведениям личного характера, на недопустимость чего упирают сторонники конституционных прав. Собственно, почти 23% респондентов так и ответили: мониторинг недопустим, поскольку право на тайну личной переписки защищено Конституцией. Однако более 62% участников опроса считает, что на используемых в производственном процессе вычислительных средствах и в средах предприятие имеет право контролировать содержание персональных коммуникаций для выявления запрещенной к распространению служебной информации и право блокировки таких коммуникаций с целью предотвращения утечек корпоративных данных.
Ответы на этот вопрос практически совпали по распределению с предыдущими – более 63% респондентов полагают, что таковые технические мероприятия допустимы в целях выявления случаев утечки данных, их расследования, применения мер к нарушителям правил работы с корпоративной информацией, сбора доказательств для судебных разбирательств, а также для аудита ИБ. 24% респондентов продолжают настаивать на том, что это недопустимо в силу защиты данных, составляющих личную переписку, Конституцией.
Здесь стоило бы задать вопрос: а возможно ли отделить зерна от плевел? Есть ли техническая возможность перехватывать только те персональные коммуникации, в которых выявлены конфиденциальные корпоративные данные? Возможно ли собирать, обрабатывать и хранить только эту часть коммуникаций работника, исключив таким образом проблему сбора и хранения личных коммуникаций организацией?
Правильный ответ – да, возможно. Если в полной мере использовать возможности контентной фильтрации, можно обеспечить детектирование только тех данных, которые непосредственно являются конфиденциальной корпоративной информацией, например содержат интересующие службу ИБ признаки, теги, ключевые слова и выражения.
Для примера можно рассмотреть такой сценарий: запретить сотрудникам финансового подразделения компании пересылку конфиденциальных финансовых данных по электронной почте и мессенджерам, а также публикацию соответствующих документов в файлообменных сервисах, не ограничивая при этом передачу прочих данных (включая, конечно же, и личные данные). При этом все попытки отсылки конфиденциальных финансовых данных должны протоколироваться и вместе с теневыми копиями писем, сообщений и вложений сохраняться в центральной базе данных. В командировках такая пересылка разрешается только по SMTP-почте и только высшему руководству организации, с обязательным протоколированием и сохранением теневых копий писем и вложений.
Единственно возможным техническим решением такой задачи является использование Endpoint DLP-агентов, устанавливаемых на защищаемых настольных и портативных компьютерах сотрудников и перехватывающих коммуникации непосредственно на их источнике. При корректном задании правил контентного анализа служба ИБ может контролировать содержимое исходящих сообщений в чатах, почте и передаваемых файлах, когда контент данных фильтруется в момент передачи непосредственно на хосте согласно корпоративным DLP-политикам. Для анализа текстовых данных, представленных в графической форме, требуется резидентный OCR-модуль в составе DLP-системы. В Endpoint DLP-архитектуре решается также проблема мобильных сотрудников, работающих вне офиса компании с лэптопов, а значит, за пределами периметра корпоративной сети и вне контроля со стороны корпоративных средств ИБ, заточенных на защиту офисной сети.
Завершая тему, вернемся вновь к вопросу нужности и реализуемости контроля личных коммуникаций для целей обеспечения ИБ. Как показывают результаты опроса – контроль личных коммуникаций сотрудников с корпоративных компьютеров, безусловно, нужен. С технической точки зрения такой контроль возможен при правильном подходе к использованию технологий контентной фильтрации на фазе перехвата передаваемых, сохраняемых или печатаемых данных. Кроме того, при обработке данных и теневых копий перехваченных документов и содержимого переписки исключительно важно эффективное применение контентного анализа для поиска в собранном архиве корпоративных данных.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2016