У меня есть тайна. Или уже нет?

Существует известное утверждение о том, что когда важную информацию знает один человек – это тайна, если ее знают двое – только полтайны, а если трое, то, считай, никакой тайны и нет. Конфиденциальная информация – отличный товар и повод для шантажа, поэтому придумано так много способов и средств для ее кражи и защиты. Недавний скандал с утечкой более 1,3 миллиона строк данных клиентов «РЖД Бонус», содержащих по каждому клиенту адрес, e-mail и ID-пользователя, зашифрованный пароль, дату регистрации и последнего входа в систему, а также служебные данные – еще один повод вернуться к обсуждению проблемы защиты информации и конфиденциальности в ИТ.

Вопросы для экспертов:

• Очевидно, что самая большая угроза для защиты данных исходит от человека – преднамеренно или нет, но сотрудник может легким движением руки нанести огромный ущерб любой компании. Есть ли эффективные способы борьбы с человеческим фактором, как вы полагаете? Если да, то расскажите о них.
• Какие документы для защиты информации и конфиденциальности в ИТ необходимо подписать компании и работнику при его приеме на работу?
• Что может предпринять работодатель в случае разглашения тайны сотрудником? Может ли работодатель, например, взыскать с него ущерб, причиненный разглашением тайны?
• Нарушение какой тайны – служебной, коммерческой, государственной – уголовно наказуемо?
• Какие средства защиты обязательны для поддержания базового уровня информационной безопасности? Могут ли средства защиты информации быть избыточными?
• Новейшие тенденции в защите корпоративной информации. Какие из них вы считаете перспективными?

Вопрос 1. Очевидно, что самая большая угроза для защиты данных исходит от человека – преднамеренно или нет, но сотрудник может легким движением руки нанести огромный ущерб любой компании. Есть ли эффективные способы борьбы с человеческим фактором, как вы полагаете? Если да, то расскажите о них.

Борис Шаров

Помимо стихийных бедствий, которые могут повредить ИТ-инфраструктуру (например, уничтожить дата-центры), ущерб информационному благополучию компании всегда исходит от человека. Что принято называть «человеческим фактором», – я сказать затрудняюсь, но это выражение часто приходится слышать, когда речь идет о компьютерных инцидентах, независимо от тяжести их последствий.

Похоже, человечество придумало себе универсальную индульгенцию, назвав ее «человеческим фактором», – она якобы позволяет не выполнять те обязанности, которые возложены на людей как раз для того, чтобы пресловутый «человеческий фактор» никогда не нарушал наши планы. Поэтому в глобальном плане основной метод борьбы с «человеческим фактором» – полный запрет на использование самого этого термина. Тогда неизбежно придется разбираться в истинных причинах, которые привели к тому или иному неблагоприятному исходу.

Если принять за аксиому, что в любой системе безопасности именно человек является наиболее слабым звеном, то тогда надежность такой системы не может быть выше, чем надежность человека, который является элементом этой системы. Чем меньше функций получается возложить на людей, тем выше надежность системы защиты. Исключить вероятность «человеческого фактора» можно, только убрав вообще человека из системы мониторинга, принятия каких-либо решений в системе безопасности. Насколько это реалистично в более-менее значительных масштабах – покажет время.

Алексей Кубарев

Способы борьбы с человеческим фактором, безусловно, есть. Наиболее эффективный способ – в применении таких технических средств как DLP-системы. Они созданы, чтобы защитить активы организаций от непредумышленных действий сотрудников, связанных с конфиденциальной информацией.

Например, при отправке конфиденциального документа по корпоративной почте на несколько адресов сотрудник может случайно ввести с помощью автозаполнения адрес, которому эта информация не предназначается. В зависимости от настройки система DLP либо не позволит отправить этот файл, либо отразит факт отправки в журнале событий безопасности.

Кроме неумышленных действий, системы защиты от утечек противодействуют также преднамеренному распространению конфиденциальных документов сотрудниками.

Вячеслав Логушев

Человеческий фактор был и остается одним из самых уязвимых мест в системах информационной безопасности. Полностью защититься от него вряд ли удастся, ведь никогда нельзя исключать «троянских коней» в лице нелояльных сотрудников с высоким уровнем доступа к конфиденциальным данным. Но снизить его влияние и минимизировать потенциальные риски вполне возможно. Важно понимать, что информационная безопасность – комплекс взаимоувязанных мер, реализуемых на технологическом и административном уровнях.

В практику работы компании должны быть внедрена и неукоснительно соблюдаться политика информационной безопасности. Это должен быть не формальный документ, принимаемый «для галочки», а реально действующий набор стандартов и правил, соблюдение которых контролируется, а намеренное или случайное нарушение – карается.

Доступ сотрудников к полным наборам данных, одновременное использование которых может повлечь за собой ИБ-риски для компании или ее клиентов, должен быть исключен или строго разграничен. Также необходимо периодически обучать сотрудников правилам безопасной работы с ИТ-сервисами, рассказывать о потенциально возможных нетипичных ситуациях и правилах реагирования на них.

Никита Кузнецов

Да, такие способы есть, один из самых недорогих и эффективных – постоянное напоминание сотрудникам о важности правильного обращения с конфиденциальной информацией. Если организация работает с большим количеством конфиденциальной информации, например, с персональными данными третьих лиц, то стоит ввести в практику обязательные для посещения регулярные семинары. На них, в простой и доступной форме, нужно объяснять сотрудникам, как правильно обращаться с персональными данными и что ждет тех сотрудников, которые будут эти правила нарушать (на примере реальной судебной практики, которой уже довольно много). Это единственный, на мой взгляд, верный способ в борьбе с человеческим фактором в организациях.

Также не стоит забывать об обязательной разработке внутренних политик и регламентов, которые будут четко определять порядок обработки конфиденциальной информации в вашей организации (для некоторых категорий информации это прямое требование закона – например, банковской информации или тех же персональных данных). Но тут также стоит учитывать, что данные документы будут полезны скорее с точки зрения привлечения к ответственности нарушителя, который уже совершил проступок, чем со стороны превентивных мер, так как большинство новых сотрудников часто забывает содержание таких документов сразу же после того, как ознакомятся с ними.

И все же важно понимать, что построить надежную систему защиты информации без дополнительных материальных затрат невозможно. Для тех организаций, которые все же готовы выделить бюджет на защиту информации и хотят лучше защититься от утечки, стоит обратить внимание на следующие методы:

• внедрение системы по предотвращению утечек (Data Leak Prevention, DLP). Она позволит усилить контроль над действиями сотрудников и информацией, которую они используют, копируют или отправляют через почту и мессенджеры;
• внедрение защищенных средств терминального доступа и виртуализации. С помощью покупки терминального сервера можно не только сэкономить на приобретении мощных рабочих станций для пользователей и облегчить процесс масштабирования бизнеса, но и обеспечить безопасное разграничение доступа пользователей к информации и защититься от утечек. Пользователь, подключаясь со своего терминала к рабочему окружению (виртуальной машине), может быть полностью ограничен в возможностях по копированию и скачиванию информации не только с рабочего окружения на терминал, но и обратно. Это сильно ограничит каналы возможной утечки информации в компании, а, кроме того, внедрение данной технологии позволит повысить общую безопасность удаленного доступа для сотрудников, постоянно работающих на удалении, особенно при использовании личных устройств;
• сегментирование сети и разграничение областей с конфиденциальной информацией. В любой уважающей себя организации должен быть определен перечень конфиденциальных сведений, который обрабатывается в ее информационных системах, это необходимо не только для правового фиксирования данной информации, но и для корректного проектирования архитектуры локальной вычислительной сети организации.
  Важно построить сеть так, чтобы пользователи организации, работающие с одним типом информации, не могли иметь доступ к сегментам сети, в которых обрабатываются иные виды информации, и я сейчас не говорю о разграничении прав доступа пользователей на уровне, например, общей сетевой папки, я имею в виду именно сетевой доступ.
  Например, в моей практике был случай, когда сотрудник компании, не являющийся ИТ-специалистом, использовал специализированную программу, которую ему посоветовал «друг айтишник», и пытался втайне скопировать информацию о клиентах компании, находящуюся в другом сегменте сети. Потенциально он мог добиться своей цели, так как несмотря на то, что в организации присутствовала сегментация сети, сетевой доступ между некоторыми сегментами закрыт не был;
• минимизирование количества лиц, которые имеют доступ к конфиденциальной информации. Руководствуйтесь принципом предоставления минимально необходимых прав;
• также не стоит «размывать» права для ИТ-сотрудников и программистов. Например, если у вас много разработчиков имеют доступ к находящимся в промышленной эксплуатации серверам, содержащим конфиденциальную информацию, – минимизируйте его, а лучше полностью исключите. Хорошим тоном будет внедрение технологии непрерывной интеграции и развертывания (CI/CD), при которой разработчики, после разработки новой версии приложения, не размещают его самостоятельно в «боевой» среде, а передают его специализированным DevOps-инженерам, ответственным за непосредственное развертывание приложений в таких средах. А в случае обнаружения ошибок или нестабильности работы в разработанном приложении версия программы сразу же откатывается инженером на предыдущий образ, а разработчики исправляют ошибки и готовят новый, исправленный образ, не отвлекаясь на проблемы с развертыванием. Таким образом можно не только значительно уменьшить количество сотрудников, имеющих доступ к конфиденциальной информации, содержащейся в промышленном сегменте сети, но и оптимизировать сам процесс программного обеспечения;
• внедрение средств защиты данных и изолирования рабочей среды на телефонах и других мобильных устройствах, и использование только их при предоставлении доступа к сервисам компании (например, электронной почте или файловому хранилищу). Эта технология похожа на технологию терминального доступа – при ее использовании на мобильных устройствах пользователь подключается не напрямую к нужному ему сервису, а к изолированной среде, которая позволяет взаимодействовать с документами и информацией без возможности скачать ее на устройство.

Единственным минусом данной технологии является только то, что с ее помощью можно в основном защитить только файлы, содержащие большое количество информации. При работе с файлами, содержащими небольшое количество информации или текста, пользователь может просто скопировать ценную информацию или документ, делая снимки (скриншоты) экрана на мобильном устройстве.

Николай Смирнов

Человеческий фактор может обрушить системы безопасности любой организации с любой зрелостью процессов. Ошибки, к сожалению, случаются у всех и полностью исключить их – задача необозримая и недостижимая. Что можно и нужно делать?

Важно обучать персонал. Каждый человек в организации должен четко понимать, как реагировать и что делать при наступлении нештатной ситуации, а главное – обладать навыками ее выявления.

Аналитика показывает, что в последнее время опять выросли случаи фишинга. Если раньше киберпреступники использовали довольно примитивный типизированный подход, сейчас их «мастерство» существенно выросло. Все чаще для подготовки фишинговых писем анализируются цифровые следы, оставленные сотрудником, и используются элементы социальной инженерии. Получая такое письмо, неподготовленный сотрудник не заподозрит ничего опасного и может выполнить предложенные злоумышленниками действия (открыть вложения или перейти по предложенным ссылкам), скомпрометировав таким образом свои данные.

Поэтому необходимо уделять большое внимание не только обучению сотрудников правилам цифровой гигиены, но и подготовке специалистов, в чьи обязанности входит реагирование на подобные инциденты. В последнем случае мало только описать процесс на бумаге, необходимо предоставить таким сотрудникам возможность получать практические навыки. Для этого идеально подойдут специальные платформы – киберполигоны, позволяющие отрабатывать предотвращение кибератак в интерактивных средах моделирования.

Киберполигоны дают возможность загрузить виртуальные представления корпоративных приложений и инфраструктур, включая разнообразные сценарии атак и действий пользователей, что позволяет ИБ-специалистам оттачивать навыки реагирования на киберугрозы в безопасном для компании режиме.

В группе компаний «ИнфоТеКС» тоже есть подобный тренажер собственной разработки, который мы активно используем для подготовки своих специалистов и экспертов, работающих на стороне партнеров и заказчиков.

Задавая этот вопрос, вы сами подчеркнули, что ошибки, к сожалению, случаются у всех и полностью исключить их – задача недостижимая. Я с вами полностью согласен, поэтому кроме проактивной защиты не будем забывать про минимизацию потерь. Для этого в компании должна быть выстроена система раннего оповещение в случае успешно реализованной кибератаки.

Артём Мышенков

Основной способ борьбы с человеческим фактором – организационный, то есть составление и введение в работу таких документов, как соглашение о неразглашении или NDA (non-disclosure agreement). Сотрудники должны понимать его содержание и осознавать, какую ответственность они могут понести за разглашение конфиденциальной информации и коммерческой тайны.

Для работы с непреднамеренными утечками нужно повышать общий уровень образованности сотрудников в теме информационной безопасности, обеспечивать защиту рабочих компьютеров. Также серверов и хранилищ, на которых хранится конфиденциальная информация. Нужно контролировать и разграничивать доступ к серверам, корпоративным ресурсам и базам данных, мониторить связанные с этим инциденты. Существуют специальные типы систем по предотвращению утечек – DLP (Data Leak Prevention). Волшебного алгоритма защиты от человеческого фактора нет, но при комплексном подходе можно снизить риски утечек.

Андрей Кашкаров

Сотрудник может действием, имеющим разные формы, как навредить, так и помочь компании. Это главное, когда подразумевают «человеческий фактор». Полагал бы рассмотреть проблематику в двух возможных аспектах: техническая ошибка и намеренные действия.

Первая может случиться у каждого, но не входит в систему, что несложно отследить по статистике «успехов» конкретного сотрудника, сделав выборку за N-е время. О новичках не говорю, поскольку полагаю, что первый год их работы ожидать выдающихся положительных результатов почти в любой сфере деятельности, где предполагаются профкомпетенции, не приходится; первый год в них компания только вкладывает, ожидая дивиденды впоследствии. Эта система работает.

Итак, случайность ошибки, признаем ее технической, может «посетить» каждого – панацеи нет. Но если видна «система», то это уже профнепригодность. Не детский сад – перевоспитывать, затрачивая личные и материальные ресурсы, такого сотрудника не будут, да и терпеть тоже, если, разумеется, это не частный случай родства с руководителем или влиятельным управленцем (что, кстати, не так редко случается в корпорациях, и это самый сложный момент вреда для компании, устранить который труднее всего).

Давайте поговорим именно об этом. Недавно у нас произошел такой случай, на первый взгляд, пустяковый. Роздали карты СОУТ сотрудникам для подписи в формате единого документа – не индивидуально, а списком.

Кто не знает, это карты проверки соответствия условий труда; на крупных предприятиях и холдинге этим занимается профкомиссия.

В картах указали персональные и паспортные данные: фио, дату рождения, СНИЛС, номер паспорта и адрес регистрации. Все сотрудники подразделения узнали о других сотрудниках служебную информацию; по этим данным нетрудно установить не только доходность, материальное положение, кредитную нагрузку, но и собственность гражданина.

Что делает лицо, допустившее ошибку? Оно не признаёт ошибки и с «испугу нападает первым», заручившись профильными документами по трудовому кодексу. В результате сотрудники недовольны. Но дисциплинарно наказать «лицо» нельзя – оно приходится родственницей еще более влиятельному лицу, а направлять на переобучение (для совершенствования квалификации) по ситуации поздно – дело сделано. В этом случае изобретают «ход конем» – направляют «лицо» «на повышение», где оно, убежден, еще в той же перспективе покажет себя.

В непростой ситуации, когда экономические перспективы, доходность, конкурентность в профессиональной нише, реноме компании и, в целом, ее безопасность на рынке (как и безопасность служебных данных) зависят от руководителя с авторитарным стилем управления (не трудового коллектива), ничего не остается, как «терпеть». Изменение стиля управления, уход от застарелых догм, когда аргумент «выше начальника только звезды», сопровождаемый сменой руководящей «вертикали» или приход нового авторитетного, влиятельного сотрудника, понимающего проблематику и ее последствия, – единственный путь к оздоровлению и безопасности трудовых отношений.

Оценка зависит от установки и во всем важен пример – эти незыблемые принципы педагогики, как ни странно, работают во всех сферах жизни, включая и государственное управление, результаты которого как говорится, «налицо». В соответствии со сказанным про «оценку», они не плохие и не хорошие, а такие, как есть, какие заслужены предварительной деятельностью или бездействием.

Второй аспект «намеренности» говорит сам за себя и определяется мотивами (демотивацией) работника. Тут сфера деятельности службы безопасности и вопрос профессионализма ее сотрудников. Намеренные действия могут квалифицироваться значительной угрозой для компании в ситуации конкурентного рынка. Поэтому профессионалы их стараются предотвращать, а не исправлять последствия, что много сложнее.

Превентивная работа по обеспечению безопасности компании строится на информации о работниках, получаемой из открытых источников, сообщаемой ими работодателю (в т. ч. комплектация «личного дела») и систематического мониторинга поведенческих процессов.

Люди есть люди, их психический фон, связанный, кстати, не только с работоспособностью напрямую, но и с возможными ошибками при «исправлении должности», динамично меняется, и в этой тонкой сфере нет ничего застывшего, навсегда данного. Значительно поругался с женой, подставил коллега, проблемы у детей, в том числе взрослых, материальные проблемы, осложнения со здоровьем, которые скрывают, – всё это и многое другое мы называем факторами влияния.

В ситуации психологического дискомфорта сотрудник работает иначе, чем «довольный жизнью». Представим, смоделируем тут ситуацию, что в это время на ранее безупречного относительно трудовых взаимоотношений человека воздействует еще и такой фактор, как предложение конкурентов, поиск нового места, связанное с желанием «уйти от проблемы» и (или) найти ее наилучшее, в том числе в материальной части, решение. Не каждый устоит.

Чтобы предвидеть развитие неблагоприятной ситуации в команду службы коммерческой безопасности (где она есть) набирают именно профессионалов – оперативников с неноминальными компетенциями психологов. Не стал бы на этой сфере экономить.

Техническая сторона контроля действий сотрудников, в том числе в информации передаваемой ими по каналам связи, к примеру, корпоративной электронной почте, тоже важна – наряду со сказанным. Это один из возможных способов предотвращения потерь разного «генеза».

Денис Суховей

Да, безусловно, такие способы и методы защиты существуют. К примеру, метод шифрования информации на дисках рабочих станций пользователей максимально эффективно решает задачу предотвращения утечек, особенно непреднамеренных. Все дело в том, что существуют средства защиты информации, которые обеспечивают высокую степень прозрачности мер защиты для авторизованного (прошедшего двухфакторную аутентификацию) пользователя. Таким средством защиты является, например, Secret Disk компании «Аладдин Р.Д.».

Денис Батранков

Да, есть. Когда вы сделаете зарплату сотрудника зависящей от успеха компании, то ему будет уже неинтересно отдавать коммерческую тайну конкурентам, потому что он лично заработает меньше. Когда человек сидит на маленькой зарплате в регионе, то он ищет, где бы подработать. Поэтому у нас в стране можно купить на черном рынке любые данные о человеке: звонки с телефона, перемещение по городу, данные по счету и даже его переписку в whatsapp.

То же самое с ущербом компании: я встречал организации, где ценностью являлся проект здания. Это, по сути, файл, утечка которого может стоить архитектурному бюро потере всего проекта. А это сотни тысяч долларов. И здесь все сотрудники реально заинтересованы в безопасности этого файла, но остается риск хакерской атаки. И тут уже нужны технологии безопасности, такие как DLP, Zero Trust, IDM, XDR, Threat Hunting.

Вопрос 2. Какие документы для защиты информации и конфиденциальности в ИТ необходимо подписать компании и работнику при его приеме на работу?

Борис Шаров

Это могут быть правила внутреннего трудового распорядка, положение о конфиденциальности, положение об отделе, договор о материальной ответственности, трудовой договор, должностная инструкция, служебные задания на разработку ПО, перечень конфиденциальной информации, к которой допускается работник. Но главное не набор документов, а информация, которая в них содержится. Теоретически всё необходимое можно отразить и в одном трудовом договоре. Должно быть подробное описание того, что относится к конфиденциальной информация в компании, запрет на распространение такой информации, а также подтверждение того, что сотрудник получил к ней доступ.

Артём Мышенков

Основным таким документом является NDA (non-disclosure agreement) – соглашение о неразглашении. В нем перечислены типы информации, с которыми будет работать нанимаемый сотрудник. Также информация, разглашение которой запрещено: это может быть коммерческая тайна, персональные данные, интеллектуальная собственность, разрабатываемая в компании. Информация о запрете на разглашение сотрудником определенного рода данных может быть также включена в содержание трудового договора.

На предприятии могут быть приняты Политика информационной безопасности или Положение о коммерческой тайне. Эти документы особенно актуальны для крупного бизнеса, у которого разветвленные базы данных и множество категорий пользователей с разными правами доступа к отдельным типам информации. В таком случае, если сотрудник относится к категории тех, кто имеет доступ к специфической информации, – он должен быть ознакомлен с содержанием этих документов под роспись, а затем внесен в списки людей, имеющих доступ к определенного рода информации.

Алексей Кубарев

Обязательным документом является NDA (Соглашение о неразглашении) с перечнем сведений, которые не должны выйти за пределы компании. Вместе с этим можно подписать дополнительное соглашение к трудовому договору, в котором будет прописано, что всё, что сотрудник использует в своей трудовой деятельности, и результаты этой деятельности принадлежат компании. При этом организация оставляет за собой право контролировать каналы коммуникаций сотрудника для предотвращения распространения этих активов.

Например, если программист написал для работодателя код и хочет его повторно использовать в своем личном проекте, поскольку этот код принадлежит компании, сотрудник должен будет получить разрешение на его использование. Иначе это будет считаться нарушением конфиденциальности и права собственности.

Евгений Мосин

Для защиты информации и соблюдения конфиденциальности в организации, как правило, действует положение «О коммерческой тайне». В этом положении юристы ИТ-компаний определяют несколько важных пунктов: основные понятия, права и обязанности сторон, режим допуска к коммерческой тайне, ответственность за разглашение конфиденциальной информации. Кроме того, в таком положении прописывают, как компания будет защищать информацию, хранящуюся на компьютере и на материальных носителях.

Устраиваясь на работу, сотрудник подписывает обязательство о неразглашении коммерческой тайны. Это обязательство можно оформить как приложение к трудовому договору либо включить раздел о коммерческой тайне в сам трудовой договор.

Никита Кузнецов

Данный список будет сильно зависеть от рода деятельности организации и профессии сотрудника, принимаемого на работу, но я постараюсь привести обобщенный пример.

Всех сотрудников стоит ознакомить с политиками, положениями и инструкциями, регламентирующими:

• общие требования по безопасности;
• парольную защиту;
• безопасное использование сети Интернет, электронной почты и мобильных устройств;
• антивирусную защиту;
• использование съемных устройств типа флеш-карт и USB-токенов;
• доступ к информационным и файловым ресурсам;
• использование удаленного и беспроводного доступа;
• обращение с конфиденциальной информацией и персональными данными (даже если сотрудник изначально не имеет к ним доступа);
• предоставление и разграничения доступа к информации в организации.

Также стоит разработать и внедрить инструкции по обнаружению и идентификации вредоносного программного обеспечения и фишинговых рассылок.

Сотрудников подразделений, связанных с информационными технологиями, в зависимости от их направления деятельности, дополнительно стоит ознакомить со следующими политиками, положениями и инструкциями:

• порядок использования, обновления и контроля программного обеспечения;
• порядок использования локальной вычислительной сети, распределения ролей и сетевой безопасности;
• порядок резервного копирования и восстановления информации;
• порядок разработки программного обеспечения, порядок мониторинга внутренней инфраструктуры и аудита информационных ресурсов.

Также в организации могут применяться иные, более специализированные документы.

Николай Смирнов

При приеме на работе сотрудника необходимо проинформировать и получить от него согласие, что к его должностной инструкции добавляются документы о неразглашении сведений, носящих конфиденциальный характер, составляющих коммерческую, служебную, а иногда и государственную тайну. Это первый базовый уровень, на котором еще в полной мере нельзя понять, с какого рода информацией сотрудник будет реально работать.

Далее, при включении его в любой новый проект, необходимо каждый раз получать его согласие о неразглашении сведений, составляющих тайну и связанных уже с конкретной работой. С юридической точки зрения тайной будет являться любая информация, которая представляет ценность до момента ее разглашения третьей стороне.

Денис Суховей

Стандартное соглашение с работодателем может включать отдельный раздел о конфиденциальности, это повсеместная практика.

Денис Батранков

Из того, что почти у всех используется сегодня: каждый сотрудник юридически подписывает NDA с компанией при приходе на работу и ему грозит юридическое преследование в случае утечки исходных кодов, проектов, базы клиентов и так далее.

Вопрос 3. Что может предпринять работодатель в случае разглашения тайны сотрудником? Может ли работодатель, например, взыскать с него ущерб, причиненный разглашением тайны?

Артём Мышенков

Многое зависит от типа информации и содержания подписанных сотрудниками документов. Однако по общему смыслу законодательства работодатель может, прежде всего, возместить убытки, причиненные ему. Взыскание предусмотренных соответствующими соглашениями (трудовым договором, NDA) штрафных санкций или вреда, нанесенного разглашением «закрытой» информации, происходит через суд.

При этом работодателю нужно будет доказать ряд моментов, например:

• продемонстрировать, что на сотрудника распространялся определенный режим тайны (например, предоставив доказательства подписания листа ознакомления с Положением о коммерческой тайне; или подписанный NDA);
• доказать сам факт разглашения;
• доказать факт нанесения ущерба и причинно-следственную связь между действиями сотрудника и ущербом.

Что касается разглашения не просто конфиденциальной информации, но именно коммерческой тайны, – вопросы ответственности при ее разглашении дополнительно регулируется специальным законом. Согласно ему виновное лицо может быть привлечено не только к гражданско-правовой, но также дисциплинарной, административной или уголовной ответственности (Федеральный закон от 29.07.2004 № 98-ФЗ
«О коммерческой тайне»). То есть разглашение такой информации может повлечь не только обращение работодателя в суд, но также дает основание для увольнения сотрудника.

В ряде случаев – повод обратиться в полицию с заявлением о преступлении по факту разглашения коммерческой тайны.

Алексей Кубарев

Работодатель может собрать доказательную базу с помощью технических средств защиты информации и обратиться в суд. Если он докажет ущерб и факт нарушения NDA, то с высокой долей вероятности сможет взыскать с сотрудника ущерб. В этом вопросе есть много нюансов, например, чтобы суд принял доказательную базу, собранную с технических средств защиты информации, они должны быть сертифицированы соответствующим органом, в данном случае – это ФСТЭК.

Вячеслав Логушев

Сотрудник, допустивший разглашение служебной тайны, может быть уволен по ст. 81 ТК РФ. К нарушителю коммерческой тайны также может применяться дисциплинарное взыскание, предусматривающее выговор или увольнение. При этом работодатель не в праве взыскивать с виновного упущенную выгоду, а наличие и размер реального ущерба придется доказывать в судебном порядке.

Борис Шаров

При наличии документов из п. 2 работодатель может обратиться в суд для взыскания ущерба либо в правоохранительные органы для привлечения к уголовной ответственности.

Евгений Мосин

Конфиденциальную информацию в ИТ-компаниях защищает федеральный закон «О коммерческой тайне». Закон охраняет сведения, благодаря которым компания может получить конкурентное преимущество или увеличить прибыль. Например, уникальные технологические наработки, финансовые показатели, методы производства, производственные и маркетинговые планы, информацию о клиентах.

Сохранение коммерческой тайны в ИТ имеет особое значение: это высококонкурентная среда, которая быстро развивается. Два фактора определяют успешность ИТ-компаний: скорость и уникальность инноваций. Конечно, такие условия создают риски: недобросовестный сотрудник может передать конфиденциальные сведения конкурентам или злоумышленникам.

Помимо ФЗ «О коммерческой тайне», ИТ-компании используют ФЗ «О государственной тайне». Это необходимо, когда предприятия сотрудничают с органами власти. Сейчас это происходит достаточно часто, поскольку много государственных проектов связано с цифровизацией: искусственный интеллект используют в ЖКХ, налоговых службах, поликлиниках, его применяют для контроля дорожного потока и для автоматизации документооборота. Иногда приходится прибегать к понятию служебной тайны: когда компании работают, например, над базами данных МЧС или МВД.

Чтобы защитить коммерческую тайну, надо действовать в трех направлениях: правовом, организационном и техническом. Недостаточно выпустить один-два локальных акта, необходима комплексная работа.

Сначала юристы готовят необходимые документы. Помимо разработки трудового договора, они готовят документы для взаимодействия с контрагентами, определяют, что входит в понятие коммерческой тайны в данной организации.

Потом руководители решают, кому давать доступ к коммерческой тайне, кто будет нести ответственность, кто контролировать. Наконец, программисты предоставляют доступ, работают над защитой устройств от киберпреступников или нечистоплотных сотрудников, устанавливают антивирусы, настраивают резервное копирование. Они же продумывают, как защитить компьютеры, внешние жесткие диски и серверы от повреждений, как можно будет восстановить информацию в случае искажения или стирания злоумышленником.

Однако иногда коммерческую тайну неспособна защитить даже совместная работа юристов, менеджеров и специалистов в области ИТ. Если сотрудник разглашает коммерческую тайну или она оказывается общедоступной по какой-либо другой причине, работодатель может обратиться к подготовленному заранее «антикризисному» плану.

План действий бывает разным. Например, если разглашают сведения о секретной разработке, приходится ускорять производство, чтобы выпустить ее первыми. Если злоумышленник пытается использовать полученную информацию, чтобы выставить компанию в невыгодном свете, могут помочь PR-специалисты.

Никита Кузнецов

Да, право организации по защите конфиденциальной информации гарантировано предпринимателям ст. 6.1. Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне».

В случае незаконного разглашения, получения или использования третьими лицами информации, составляющей коммерческую тайну, владелец информации вправе требовать возмещения убытков, а также инициировать уголовное преследование в соответствии со ст. 183 Уголовного кодекса. Максимальный срок наказания за данное деяние предусматривает лишение свободы на срок до семи лет.

Денис Суховей

Оценить ущерб в качественном или количественном выражении, обратиться в правоохранительные органы, содействовать расследованию, подать иск в суд, по результатам. Конкретные действия зависят от тяжести ущерба и репутационной позиции компании.

Денис Батранков

Может, но тут возникает вопрос доказательства и это самое сложное.

Вопрос 4. Нарушение какой тайны – служебной, коммерческой, государственной – уголовно наказуемо?

Борис Шаров

Да, наказание за нарушение коммерческой и государственной тайн регламентируется тремя основными статьями.

Статья 147. Нарушение изобретательских и патентных прав. 1. Незаконное использование изобретения, полезной модели или промышленного образца, разглашение без согласия автора или заявителя сущности изобретения, полезной модели или промышленного образца до официальной публикации сведений о них, присвоение авторства или принуждение к соавторству, если эти деяния причинили крупный ущерб (250 тыс. руб. и более).

Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну. 1. Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом. 2. Незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе.

Статья 283. Разглашение государственной тайны. 1. Разглашение сведений, составляющих государственную тайну, лицом, которому она была доверена или стала известна по службе, работе, учебе или в иных случаях, предусмотренных законодательством Российской Федерации, если эти сведения стали достоянием других лиц, при отсутствии признаков преступлений, предусмотренных статьями 275 и 276 настоящего Кодекса.

Алексей Кубарев

Уголовно наказуемо разглашение государственной тайны. Теоретически может быть уголовно наказуемо и разглашение служебной или коммерческой тайны, если оно привело к техногенной катастрофе или жертвам среди населения.

Артём Мышенков

Уголовная ответственность предусмотрена для разглашения государственной и коммерческой тайн. Для служебной тайны предусмотрены дисциплинарные меры ответственности (увольнение) и гражданско-правовые (взыскание ущерба).

Вячеслав Логушев

В соответствии с действующим законодательством разглашение служебной, коммерческой или государственной тайны может повлечь за собой уголовную ответственность лица, совершившего данное правонарушение. При этом нарушение коммерческой или государственной тайны может быть связано с условным или реальным лишением свободы.

Евгений Мосин

Для сотрудника предусмотрена уголовная, дисциплинарная и административная ответственность. Если работник разгласил коммерческую тайну умышленно или по неосторожности, но его действия нельзя классифицировать как преступление, он понесет дисциплинарную или административную ответственность: увольнение, выговор, штраф. Владелец компании может попробовать возместить убытки в суде, апеллируя к ст. 15 ГК РФ «Возмещение убытков».

Для этого, конечно, необходимо собрать доказательства. Для суда будет важно, знаком ли сотрудник с положением о коммерческой тайне, прописала ли компания точный перечень конфиденциальных сведений, поставила ли маркировку, вовремя ли обнаружила правонарушение. Другой важный нюанс – ГК позволяет компенсировать убытки, но не возместить «упущенную выгоду».

Если действия сотрудника можно классифицировать как преступление, работодатель обязан уведомить об этом правоохранительные органы. Ответственность в таком случае может быть разной: от штрафа размером до 1,5 млн руб. до лишения права занимать определенные должности и даже лишения свободы.

Никита Кузнецов

Ответил ранее. Что касается государственной тайны – да, ответственность разглашение сведений, составляющих государственную тайну, предусмотрена ст. 283 Уголовного кодекса, которая также предусматривает наказание в виде лишения свободы сроком до семи лет.

Денис Суховей

Уголовно наказуемо нарушение коммерческой и государственной тайны.

Денис Батранков

Есть статья 183 «Незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну» и статья 283 «Разглашение государственной тайны». Сейчас возможным является применение статьи 274.1. «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации», где есть фразы «неправомерный доступ к охраняемой компьютерной информации» и «нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации».

Вопрос 5. Какие средства защиты обязательны для поддержания базового уровня информационной безопасности? Могут ли средства защиты информации быть избыточными?

Алексей Кубарев

Средства защиты информации могут быть избыточны, и тогда они становятся препятствием для бизнес-процессов. Этого нельзя допускать, так как информационная безопасность является функцией обеспечения, а не основным бизнес-процессом. Если опустить правовой аспект защиты информации, который регулируются законами и подзаконными актами, то останется два столпа – это организационные меры и технические средства.

Для того чтобы правильно использовать средства защиты, сначала нужно ответить на несколько вопросов: какая информация является ценной, где она находится и как циркулирует, кто имеет к ней доступ, кто может представлять угрозу. Матрица, которую образуют ответы на эти вопросы, называется «модель угроз». Построив «модель угроз» или «модель нарушителя», можно определить, какие базовые технические средства и подкрепляющие их организационные меры нужно применять.

Борис Шаров

Исходя из нашей практики и руководствуясь НПА ФСТЭК, для поддержания базового уровня информационной безопасности необходимы следующие средства защиты: · средства защиты информации от несанкционированного доступа · средства антивирусной защиты · средства межсетевого экранирования · средства обнаружения и предотвращения вторжений · средства криптографической защиты информации · средства анализа и контроля защищенности информации.

При этом для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации. Данный список может быть расширен.

Средства защиты информации могут быть избыточными, если в системе не обрабатываются сведения, составляющие государственную тайну, а данную систему аттестовали по высшему классу защиты, соответственно, их защитили с помощью СЗИ, которые для информационной системы общего доступа просто избыточны.

Вячеслав Логушев

Инструменты ИБ для каждой компании стоит подбирать индивидуально, исходя из специфики ее деятельности, профиля реальных и потенциальных угроз, а «базовые» уровни безопасности в малом офисе, промышленном предприятии и крупном банке будут разительно отличаться.

Если говорить о компаниях SMB-сектора, составляющих основной пул наших клиентов, то в общем случае им можно рекомендовать средства защиты от вредоносного ПО, спама, фишинга, сетевых атак, а также программный или аппаратный межсетевой экран.

Для аутентификации пользователей в большинстве случаев достаточно возможностей операционной системы, но для большей надежности их можно дополнить средствами многофакторной идентификации, в т. ч. на основе биометрических данных.

При этом важно не «переборщить» и соблюсти баланс между безопасностью данных и эффективностью функциональных рабочих процессов организации. Кроме того, стоимость внедрения и поддержки средств защиты должна быть адекватна потенциальному ущербу от ИБ-инцидентов.

Артём Мышенков

Если говорить о защите рабочего компьютера сотрудника, то для поддержания базового уровня информационной безопасности необходимы: антивирусы, сетевой экран, средства криптографической защиты, например, для шифрования данных на диске.

Средства защиты информации могут быть избыточными, но, конечно, здесь речь уже идет не о базовом уровне. Защита информации – это всегда мероприятия по снижению рисков информационной безопасности. И когда затраты на средства защиты информации превышают риски возникновения угроз, от которых защищают эти средства, тогда можно считать такие средства избыточными. Грубо говоря, если возможный ущерб меньше, чем стоимость защиты.

Никита Кузнецов

Для поддержания базового (минимального) уровня защиты в организации достаточно использования средств антивирусной защиты (включающих контроль используемого программного обеспечения и съемных устройств), межсетевого экранирования, резервного копирования, контроля доступа и видеонаблюдения. В случае, если в организации применяется удаленный доступ, средства удаленного доступа должны быть защищены, а в случае использования средств виртуализации гипервизоры должны обладать соответствующими средствами защиты или, как минимум, регулярно обновляться.

Николай Смирнов

Подходы к информационной безопасности носят вероятностный или рисковый характер. Необходимость и достаточность определяются в зависимости от модели нарушителя и угроз, которая учитывает тип обрабатываемых данных и наши представления о возможностях злоумышленника.

Безусловно, возникают кейсы, в которых применение тех или иных средств информационной безопасности является чрезмерным. Но гораздо неприятнее сталкиваться с примерами, когда стоимость адекватной модели защиты оказывается выше границ рентабельности системы.

В таком случае CISO должен принимать решения, какие данные защищаются, а какие могут быть скомпрометированы, так как их защита будет стоить дороже, чем сами данные. Такие менее защищенные сегменты системы могут выполнять роль Honeypot – ловушек для киберпреступников, благодаря которым ИБ-специалист может детектировать интерес к корпоративной системе со стороны злоумышленников. Это возможно только в том случае, если в компании выстроена адекватная система мониторинга и реагирования на инциденты ИБ.

Если мы говорим про общепринятые подходы, оптимальный дизайн информационной системы должен быть иерархическим, многоуровневым, с защищенным центральным сегментом, где хранятся данные, составляющие тайну. На уровне дизайна системы люди, которым не положено иметь доступ к подобной информации, не должны его иметь. Это модель идеальная, но при реализации может быть довольно дорогой.

Денис Суховей

Как и говорилось выше, при всем богатстве выбора средств защиты наиболее эффективным методом предотвращения утечек является криптографическая защита конфиденциальной информации. Этот метод отличается низкими трудозатратами специалистов на настройку, поддержку и сопровождение.

Денис Батранков

Для государственных и коммерческих организаций (в зависимости от их размера) базовый уровень будет разный. Самым важным является наличие защиты на хостах и на сети, сегментация сетей и наличие хотя бы одного человека, кто читает и реагирует на журналы безопасности. Проблемой является интернет вещей, который в принципе создается незащищенным. Также проблемой ИТ является непонимание, как сегодня обходят средства защиты. Любое средство защиты в одиночку не может справиться с угрозами. Если вы откроете WikiLeaks, и в частности Vault 7, то узнаете множество способов обхода любой защиты: антивирусов, межсетевых экранов, двухфакторной аутентификации.

Поэтому всегда нужна многоэшелонированная защита. Когда средств защиты несколько, то вероятность того, что злоумышленник будет остановлен, повышается.

Вопрос 6. Новейшие тенденции в защите корпоративной информации. Какие из них вы считаете перспективными?

Борис Шаров

Развитие систем защиты информации всегда связано, с одной стороны, с ростом объемов защищаемой информации, а с другой, с ростом числа угроз, которые потенциально могут нанести этой информации урон.

Кроме того, нельзя сбрасывать со счетов такой фактор, как бизнес-модели поставщиков решений информационной безопасности, которые постоянно вынуждены давать рынку что-то новое, по более высоким ценам, обеспечивая таким образом свое корпоративное развитие.

В результате мы видим наполнение рынка всё более дорогими продуктами безопасности, всё более совершенными и, как ни странно, обязательно приносящими пользователям, по словам их создателей, боˊльшую экономию и выгоду.

События последних лет показали очень наглядно – дорогие и сложные системы безопасности смещают свой фокус с непосредственной защиты (события мая 2017 года показали их неспособность противостоять хорошо продуманным атакам) на выявление аномалий в информационных системах, которые позволяли бы немедленно блокировать отдельные сегменты, исключая в максимально возможной степени распространение угрозы по другим сегментам системы. Эти средства также дают возможность быстро и точно находить источник атаки и даже нейтрализовать его. Всё это делается для недопущения аналогичных инцидентов в будущем.

Огромное количество сенсоров постоянно отправляют гигантские объемы информации на серверы систем безопасности, которые анализируют их в реальном времени и с небольшим опозданием сигнализируют операторам, что на том или ином участке корпоративной сети, возможно, началось несанкционированное вторжение с пока непонятными последствиями.

Что касается наиболее близкой нам антивирусной тематики, то мы стараемся также шагать в ногу со временем, но наши действия всегда ограничены конкретным хостом, конкретным сервером или устройством, где мы должны остановить во что бы то ни стало неприятеля до того момента, когда он успеет нанести информационной системе ущерб. Поскольку традиционные методы детектирования и противодействия атакам вредоносных программ – сигнатурный детект – становится всё менее и менее эффективным, мы постоянно совершенствуем несигнатурные, превентивные механизмы, которые могли бы по первым действиям той или иной программы распознать ее злонамеренность и заблокировать ее до дальнейших разбирательств.

Вячеслав Логушев

В последнее время трендом стало применение аналитических инструментов для решения типовых задач защиты данных. Многие разработчики средств ИБ интегрируют в свои решения технологии машинного обучения и искусственного интеллекта, различные виды углубленной аналитики. Это касается как относительно простых решений, так и относительно сложных систем, таких как средства мониторинга событий ИБ и систем реагирования на инциденты. Исторически инструменты киберпреступников развиваются быстрее средств ИБ, что диктует необходимость применения технологий защиты от угроз «нулевого дня». А размытие информационного периметра организаций и ставшая привычной удаленная работа сотрудников делают практически обязательным применение средств многофакторной аутентификации пользователей и шифрования данных.

Алексей Кубарев

Основной тенденцией в области киберзащиты является переход на сервисную модель обеспечения ИБ. В данной модели бизнесу не нужно делать капитальные вложения в средства защиты информации и искать высококвалифицированных ИБ-специалистов, а нужно всего лишь подключить необходимый сервис. Обеспечение его работы будет полностью на стороне сервис-провайдера с соответствующим уровнем SLA. Получается информационная безопасность по подписке, которая кроме высокого уровня сервиса дает возможность бизнесу перевести капитальные затраты в операционные и инвестировать в профильную деятельность.

Николай Смирнов

Я постараюсь кратко описать один из наиболее популярных подходов к защите корпоративной информации, он включает следующие шаги: управление активами, идентификацию ролей, Access Management, защиту каналов связи и создание доверенного пространства внутри с белым списком.

На мой взгляд, развитие классических технических средств сейчас идет в сторону обогащения их функций аналитикой: поведенческой, экспертной, машинно-обученной, которая стала доступна благодаря Big Data. В роли достойных внимания подходов остаются NGFW, NGNAC, NG IAM, развитие сервисной формы потребления решений по ИБ.

Из технологий, опережающих потребность, могу выделить квантовое направление. Благодаря квантовому распределению ключей, не подверженному взлому, защита информации может выйти на принципиально новый уровень.

Никита Кузнецов

Отвечу коротко – всё вышеперечисленное и работа с людьми.

Артём Мышенков

Из-за пандемии резко возросло количество удаленных рабочих мест. В итоге растут риски атак на сотрудников с целью дальнейшего проникновения в сеть организации. Поэтому закономерной является тенденция к защите удаленного доступа. Также среди трендов защиты корпоративной информации:

• развитие облачных технологий в средствах защиты информации;
• разработка новых средств аутентификации, основанных на биометрии;
• создание центров обеспечения информационной безопасности (SoC) и оказание такими центрами услуг комплексной защиты информации. Всё это направлено на развитие информационной безопасности, но что окажется более перспективным – покажет время.

Денис Суховей

Новейшая тенденция – это трансформация рабочего режима сотрудников (массовый перевод своих сотрудников на гибридный график работы, который подразумевает нахождение сотрудника в офисе только часть рабочего времени, остальное время сотрудник работает из дома).

Что самое интересное, 2020 г. показал, что удаленка и гибридный график работы сотрудников напрямую влияют на рост утечек конфиденциальной и критичной информации. Оно и понятно, ведь работать с секретами организации на своем компьютере приходится не только в офисе, но и за пределами организации – в недоверенной среде.

Опять же, метод прозрачного шифрования конфиденциальной информации и здесь наиболее эффективен в силу неприхотливости в сопровождении и максимальной надежности в защите.

Денис Батранков

На самом деле, нужно лишь четко соблюдать стандартные процессы защиты информации при ее хранении, обработке и передаче. Я еще не встречал компании, где это реализовано идеально. Всем есть что улучшать.

Хорошая тенденция - проводить раз в год пентесты и блокировать найденные техники обхода защиты.

Также нужно повышать культуру каждого сотрудника: не отправлять конфиденциальные документы на личную почту, не бросать конфиденциальные документы в мусор, использовать шредер, хранить распечатанные документы в сейфе, а бэкапы и электронные документы - на зашифрованном хранилище.

Интересный тренд - читать хакерские форумы и отслеживать конкретных хакеров, которые интересуются вашей компанией. Кто-то покупает такую информацию. Кто-то просит внешние компании постоянно сканировать периметр и рассказывать про новые уязвимые точки.

Продвинутые компании также используют Threat Hunting для своевременного обнаружения взломов, ведь современная парадигма защиты - нужно вовремя узнавать, что вас взломали. И история с SolarWinds показала, что вы даже не можете предположить, как вас могут взломать: там во многие компании хакеры проникли через софт, которому компании доверяли. Так что основной принцип остается: доверяй, но проверяй!

Ключевые слова: информационная безопасность, киберзащита, тайна, удаленная работа, данные

Комментарии могут оставлять только зарегистрированные пользователи