Если вы, находясь в офисе, написали другу с личного электронного адреса что-то неприятное о своем начальнике, а потом вас неожиданно уволили, не удивляйтесь. Современные системы слежения, установленные во многих корпорациях, позволяют узнать о ваших действиях на рабочем месте буквально все — вплоть до того, какую кнопку на клавиатуре вы сейчас нажимаете. Такая слежка абсолютно незаконна, однако более половины крупных российских компаний признаются в электронном контроле действий сотрудников.
Око за оком
В 2006 году в США компания Hewlett-Packard оказалась втянутой в неприятную историю. Председателя совета директоров HP Патрицию Данн обвиняли в том, что она использовала незаконные методы выявления утечки конфиденциальной информации и организовала слежку за другими руководителями компании и журналистами известных информационных агентств. К расследованию были подключены министерство юстиции Калифорнии, Комиссия по ценным бумагам США и ФБР.
Чтобы замять шпионский скандал и избежать массы гражданских исков, НР была вынуждена заплатить $14,5 млн отступных. Львиная доля этой суммы — $13,5 млн — была направлена на формирование специального фонда, из средств которого должны были финансироваться расследования в сфере нарушений прав граждан на неприкосновенность частной жизни.
И это неудивительно. Только официальная статистика по перлюстрации уже может стать причиной для нервного срыва. Дальше всех продвинулись американцы: в том же году, когда НР расплачивалась за нездоровый интерес своего топ-менеджера, в США были приняты поправки в федеральное законодательство, в соответствии с которыми все компании обязали хранить архивы электронных писем, журналы переписки систем мгновенных сообщений, веб-чатов и прочую документацию своих сотрудников. Еще раньше, в 2003 году, компании большинства штатов обязали оповещать контролирующие органы о случаях утечки инсайдерской информации.
Европа в вопросе контроля эпистолярной деятельности офисных работников тоже старается не отставать. На рассмотрении Европейской комиссии сейчас находится новый закон (предполагается, что он будет принят к 2011 году), обязывающий все коммерческие компании, агентства и организации сообщать потребителям о фактах утечки или утери конфиденциальных данных клиентов. Логично предположить, что для того, чтобы знать об утечке, ее нужно сначала как минимум зафиксировать. Простейший способ добиться этого — все та же перлюстрация. В Финляндии в этом году уже был принят закон, позволяющий работодателям отслеживать идентификационные данные электронной переписки своих сотрудников.
Интересно, что противники финского законопроекта, прозванного Lex Nokia за то, что в его разработке участвовали представители известного производителя мобильных телефонов, напирали в парламенте на неприкосновенность частной жизни финских граждан, но ничего поделать не смогли. Аргументация Nokia оказалась сильнее: поговаривали, что компания, постоянно страдавшая от утечек инсайда конкурентам, попросту пригрозила властям вывести свою штаб-квартиру из Финляндии, спровоцировав тем самым потерю 16 тыс. рабочих мест.
России пока далеко до таких ужасов: узаконивать внутрикорпоративный шпионаж пока никто не решается. Хотя неофициально мы неплохо успели продвинуться в этом вопросе. Согласно опросу рекрутингового портала superjob.ru, на фирмах, где трудится свыше 5 тыс. человек, в 52% случаев работодатели подтверждают существование IT-контроля за подчиненными. В секторе малого и среднего бизнеса на каждом третьем предприятии из тех, чей штат не превышает 50 человек, вся электронная корреспонденция сотрудников, включая почту, мессенджеры и Skype, сегодня отслеживается.
"Однажды на работе, когда я писала e-mail клиенту, мне позвонил начальник и стал отчитывать по поводу неправильно расставленных приоритетов в письме,— возмущается менеджер небольшой фирмы, торгующей стройматериалами, Елена Молчанова.— При этом видеть мой монитор начальник никак не мог и давал мне указания, сидя у себя в кабинете. То, что меня так цинично контролируют, стало для меня настоящим открытием. Если бы я знала об этом, никогда бы не стала пользоваться рабочим ящиком в личных целях, что до того случая было для меня абсолютно естественным".
Отметим, что поведение начальника Елены — довольно редкий случай. Мало кто из работодателей так откровенно демонстрирует сотрудникам, что за ними следят. Однако это вовсе не значит, что слежки не существует. Системы анализа трудового веб-трафика, выпускаемые крупнейшими мировыми поставщиками решений по безопасности, либо уже содержат возможность создания внутренней системы всеобъемлющего контроля, незаметного для объекта, либо требуют минимальной модернизации. Например, покупка простейшего keylogger — шпиона, которым и пользовался начальник Елены,— не ударит по карману даже малого предпринимателя: всего-то $400. Для более крупных предприятий и более сложных систем контроля расценки выше, но тоже отнюдь не заоблачные. "Системы защиты предприятий от утечек данных (DLP-системы — Data Leakage Prevention) для крупных компаний — от 500 пользователей — стоят от $100 тыс. в зависимости от количества рабочих станций (компьютеров) и прочих факторов",— говорит PR-директор компании InfoWatch Игорь Царев. За что же предприятия платят эти деньги?
Контрольная работа
Еще в 2005 году в США компании 3ami и BridgeHead Software разрекламировали свою разработку — систему MAS (Monitoring, Auditing & Security), которая позволяла следить за каждым нажатием клавиши на компьютерах сотрудников. MAS могла контролировать, записывать и сохранять все действия компьютера, не допуская при этом внешнего вмешательства в уже сохраненный файл. Система отслеживала все действия с файлами — устанавливала факт их отправки, копирования, записи на другие носители, распечатки или удаления. Полученные с помощью MAS данные официально могли быть использованы в качестве доказательств преступлений в судах США.
Сегодня такое решение совершенно стандартно. Локальная сеть компании программируется на индексацию и сохранение на сервере всех входящих и исходящих e-mail независимо от того, удалялись они или нет. В случае необходимости активируется заданная система поиска, которая, в частности, может быть ограничена перепиской двух конкретных сотрудников за определенный период времени или названием проекта, который держится фирмой в секрете от широкой общественности. Известна история, которую любят рассказывать потенциальным заказчикам IT-продавцы решений по безопасности, когда через час после установки в сети крупной компании программы MAILsweeper, позволяющей блокировать прием и отправку сообщений с "опасными" словами, поиск выдал письмо сотрудника, в котором тот передавал конкурентам секретную документацию, подготовленную фирмой к грядущему тендеру.
Бывает, систему настраивают на ограничение доступа сотрудников на различные форумы и блог-сообщества, где логично предполагается и непреднамеренный слив. К примеру, согласно результатам исследования фирмы Proofpoint, опубликованным британским интернет-таблоидом The Register, 18% американских корпораций в этом году понесли ущерб от сообщений своих сотрудников в блогах, 17% поймали работников на сливе информации через социальные сети. Впрочем, e-mail в этом смысле лидирует: по данным Proofpoint, в 2009 году утечка информации через электронную почту была зафиксирована в 43% компаний. Размер убытков, понесенных от кражи конфиденциальных данных корпорациями по всему миру, по разным оценкам, в прошлом году составил $550-600 млрд.
"Сумма потерь поражает воображение,— замечает генеральный директор компании "Информзащита" Владимир Гайкович.— Но, если честно, я еще не слышал ни об одном банкротстве компании из-за какой-либо утечки. Это, на мой взгляд, говорит о том, что большинство цифр, называемых в прессе, отражают не реальный, а потенциальный ущерб при самом плохом стечении обстоятельств. То есть все эти цифры — сублимация страха перед утечками информации. Ни подтвердить, ни опровергнуть их невозможно. Реальные же потери компаний, на мой взгляд, на несколько порядков меньше".
Тем не менее такая статистика заставляет компании тратить немалые деньги на организацию программных систем "обороны". К примеру, в России, согласно оценкам компании "Информзащита", в 2008 году бизнес раскошелился примерно на $220 млн. "В последнее время увеличился спрос на все, что связано с системами управления безопасностью, что легко объяснимо. Качественное управление — это единственный способ повысить эффективность построенной системы безопасности",— отмечает Владимир Гайкович.
Что это за решения? "Речь идет об интегрированных продуктах для комплексной защиты конфиденциальных данных компании от несанкционированной утечки или разглашения,— поясняет Игорь Царев.— Решение представляет собой программно-аппаратное устройство, которое выполняет мониторинг и фильтрацию данных, передаваемых за пределы компании по электронной почте, через веб- или интернет-пейджеры (ICQ и проч.). Есть решения, которые представляют собой систему криптографической защиты конфиденциальной информации в процессе ее хранения и обработки".
Законное беззаконие
До сих пор в разных странах законодатели ломают голову, как примирить нормативную базу, отстаивающую территорию privacy, с законотворчеством, так или иначе эту территорию затрагивающим. Несмотря на драконовские законы, создававшиеся для борьбы с утечкой инсайда, Старый и Новый Свет не забывал укреплять пробелы нормативных баз по части защиты персональных данных: например, в США не так давно был принят закон "О защите персональных медицинских данных". Это действительно только пробелы, поскольку глобально тайна личной жизни и все с ней связанное — письма, телефон, интернет — охранялось всегда и везде на уровне конституции. Такова же ситуация и в России.
"Вопрос личной переписки любого гражданина нашей страны регулируется Конституцией,— поясняет директор правового департамента компании "Нексиа Пачоли" Ирина Баршай.— В соответствии с 23-й статьей Конституции РФ каждый человек имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этих прав возможно только на основании судебного решения, а за их нарушение предусмотрена ответственность вплоть до уголовной".
"Пункт 2 статьи 23 Конституции РФ защищает тайну переписки. Только на основании судебного решения эта тайна может быть нарушена. Для электронной переписки основной закон исключений не делает, упоминая о тайне "иных" сообщений. А за нарушение тайны переписки предусмотрена уголовная ответственность по статье 138 УК РФ,— подтверждает Дмитрий Ширяев, ведущий консультант ООО "ФинЭкспертиза".— Что же касается прихоти или системы безопасности как причин негласного сбора информации, то они одинаково незаконны, так как решение о допуске к частной электронной переписке принимал вовсе не суд. Так что хакер-любитель и начальник службы безопасности крупной корпорации отвечать должны одинаково, последний — даже больше, поскольку точно будет действовать по предварительному сговору с подчиненным — техническим специалистом-исполнителем".
Получается, что контроль за любыми коммуникациями сотрудников — противозаконен, он может быть санкционирован только решением суда. Согласно внутреннему уставу компании, сотрудников могут обязать петь гимн по утрам. Или проходить собеседование с помощью детектора лжи, что, к примеру, практиковалось в "Евросети". Однако контролировать трудовую деятельность своих сотрудников, отслеживая их переписку, работодатель не вправе. Даже если речь идет о сотруднике, с утра до вечера сидящем в "Одноклассниках", уволить его за это будет нельзя. Хотя, конечно, это может стать поводом подобрать другие статьи Трудового кодекса. "Никто не запрещает работодателю контролировать работника в части исполнения последним его трудовых обязанностей,— говорит Ирина Баршай.— Но речь идет о простом контроле, когда работнику выдается письменное задание на день и вечером по пунктам проверяется его исполнение. Таким образом умный работодатель может сильно испортить жизнь сотруднику, который недобросовестно относится к своим трудовым обязанностям. Хотя в любом случае, если уж дело дойдет до суда и трудовой инспекции, работодатель будет обязан доказать, что он не нарушил прав сотрудника".
Практическая незадача
В России судебных процессов, где работники судятся со своими работодателями по неправомерному увольнению, достаточно много. Судебная же практика по неприкосновенности личной жизни практически отсутствует. Одним из немногих случаев, когда сотрудник попытался бороться с бывшим работодателем с помощью 23-й статьи Конституции РФ, является история десятилетней давности. Основные ее события разворачивались в Красноярске.
Руководство IT-разработчика MaxSoft уличило своего сотрудника Владимира Демочко в двойной игре. По утверждению компании, будучи ее сотрудником, Демочко стал продавать и продукцию конкурента — Русской промышленной компании (РПК). После стремительного увольнения Владимира Демочко руководители MaxSoft подкрепили свою позицию тем, что опубликовали на сайте письма, якобы принадлежащие перу Демочко. Из писем следовало, что Демочко разрабатывает с конкурентом тактику демпинга против MaxSoft, сливает информацию IT-разработчика и делает все это не безвозмездно.
Владимир Демочко подавал иски трижды: два раза — о нарушении права на неприкосновенность частной жизни, охраняемого 23-й статьей Конституции и 137-й и 138-й статьями Уголовного кодекса. И один раз — гражданский иск о защите чести и достоинства.
По версии Демочко (ставшего впоследствии генеральным директором "РПК-Красноярск"), часть писем были фальшивые, хотя он не отрицал, что другая часть была написана действительно им; при этом свои письма он отправлял не с локальной системы MaxSoft, а с общедоступного почтового сервера Yahoo!, который взломали. Представители MaxSoft привели свои контраргументы, из которых следовало, что почта Демочко была прочитана после его увольнения, то есть не контролировалась в то время, когда он работал в компании. И отмечали, что, если бы в компании был тотальный контроль электронной почты, вряд ли сотрудник смог бы в течение многих месяцев вести ту деятельность, которую он вел.
В итоге в исках Демочко по поводу несанкционированной перлюстрации суд отказал с формулировкой "за отсутствием признаков состава преступления". Также судом было отказано и в гражданском иске о защите чести и достоинства.
Вместе с тем эта история наглядно демонстрирует, что основная проблема в спорах такого рода лежит в области предоставления доказательств. Если даже специалисты не смогли обосновать суду суть подобных претензий, что уж говорить о том, как станет доказывать факт перлюстрации почты человек, далекий от IT-технологий?
Интересно, что сами разработчики программного обеспечения в сфере безопасности уверены, что схема, при которой начальник службы IT или службы безопасности активирует поиск конкретной информации (которая, как мы помним, складируется в специальном хранилище данных) и знакомится с искомым результатом, вполне легитимна. IT-разработчики утверждали, что он не нарушает закона лишь потому, что реального сообщения не читал, а работал с некоей теневой, то есть эфемерной копией, осуществляя поиск по принципу "как пройти в библиотеку?" в поисковой системе Yandex.
Обвинять разработчиков в детской наивности не стоит. Думается, что рассуждают они логично: реально сливавший инсайд в суд не пойдет, а тот, кто был чист, никогда о слежке и не узнает. Да и кто в этом споре победит — сотрудник, позаимствовавший у компании информацию, составляющую коммерческую или иную тайну, или компания, чьи действия по нарушению privacy еще надо доказать,— это большой вопрос. Иначе рынок не знал бы случаев, когда инсайдеров не только оперативно увольняли, аннулируя все бонусы, но таким людям приходилось вернуть то, что взяли, и еще своего добавить.
Риторический ответ
Хочется верить, что вступающий в силу с Нового года закон "О персональных данных" сможет четче описать правила игры в области защиты информации. Хотя даже при первом рассмотрении этого закона возникают вопросы с трактовкой того или иного положения. Главный вопрос — сохранение privacy — в некоторых обстоятельствах остается по-прежнему риторическим. Как, например, обеспечить сохранность информации о клиентах, не организовав контроль за сотрудниками, которые имеют к ней доступ?
"Идеально защищенным с точки зрения информационной безопасности является компьютер, полностью отключенный от интернета и со всеми перекрытыми портами,— говорит Игорь Царев.— Однако в современном мире на таком компьютере нет возможности нормально работать". Тем не менее как-то работают. Например, согласно результатам опроса superjob.ru, в 22% российских компаний, где штат не превышает 50 сотрудников, последние попросту лишены возможности пользоваться на работе любыми электронными средствами коммуникаций.
Впрочем, это совсем не мешает сотрудникам малых компаний уносить с собой клиентские базы, тем более что хедхантеры такое желание работодателя высказывают открыто. "Естественно, уходя с прежней работы, я забрала всю клиентскую базу с собой,— злорадствует теперь Елена Молчанова.— Это позволило мне получить хорошую должность у бывшего же конкурента".
На черном российском рынке по-прежнему можно купить практически любую базу данных. Из этого следует, что ни законы, ни новейшие IT-разработки у нас пока не защищают ни частную жизнь, ни бизнес.
Как свидетельствуют результаты исследования "Инсайдерские угрозы в России-2009", проведенного аналитическим центром Perimetrix среди 1046 российских фирм, только в 5% компаний заявили об отсутствии инцидентов, связанных с утечкой информации за последний год. Сразу 42% респондентов вообще затруднились назвать точное количество утечек информации в компании.
"В любом обществе существуют традиции privacy, тем или иным образом поддержанные законодательно,— говорит Владимир Гайкович.— Это сдерживает тотальное применение контроля на уровне корпораций, но не отменяет на уровне государства. В этом смысле Россия и западные страны сильно отличаются друг от друга, так как культура privacy в нашей стране практически отсутствует. У нас государство и компании обычно ведут себя одинаково. Из-за этой особенности российский рынок средств контроля за перепиской, на мой взгляд, в краткосрочной перспективе более интересен, чем западный".