Юридические риски мониторинга сотрудников

Юридические риски мониторинга сотрудников

Юридические риски мониторинга сотрудников

Как обстоят дела с юридической стороной применения DLP в России? Сравним с США: рассмотрим некоторые юридические аспекты внедрения и эксплуатации систем класса DLP и UAM с учетом норм, действующих в Америке. Какие меры можно предпринять у нас, перенимая лучшие практики, чтобы контролировать сотрудников и в то же время не нарушать закон?

 

 

 

 

  1. Введение
  2. Кого контролируют в США
  3. Какие данные и типы коммуникаций контролируются в США
  4. Какие устройства можно контролировать в США
  5. Выводы

 

 

Введение

Владельцы и руководители организаций вполне обоснованно беспокоятся за сохранность конфиденциальных данных. А это в свою очередь вызывает соответствующий интерес служб ИБ к специализированным решениям класса DLP. Спрос рождает предложение, и как следствие сегодня на рынке ИБ наблюдается повышенный уровень маркетингового шума вокруг этой темы. Ключевая примета того, что вы читаете маркетинговые изыски российских разработчиков — это искажение и подмена канонических понятий, откровенный обман потенциальных заказчиков, игнорирование требований законодательства в части прав сотрудников и юридических рисков для организаций при использовании средств мониторинга действий пользователей. При этом для зарубежного рынка большим сюрпризом стало бы даже само определение DLP-продукта в духе «DLP — это система, которая собирает данные».

В стремлении отхватить кусочек сладкого пирога на интересном, но специфичном рынке систем предотвращения утечек корпоративных данных недобросовестные вендоры предлагают продукты, не способные полностью решить поставленные перед такими решениями задачи. Продукты для анализа журналов и расследования инцидентов, построения отчетов и поиска по переданным данным, и даже специфические системы мониторинга активности пользователей (User Activity Monitoring, UAM — запись экранов и ввода с клавиатуры, отслеживание запущенных приложений и т. п.) маркетологи пытаются представить как DLP-средства. Более того, некоторые вендоры заявляют, что функциональные возможности их продуктов намного шире и богаче, чем у зарубежных DLP-систем.

Реальность же, как водится, иная. Прежде всего отметим, что одним из ключевых драйверов продаж за рубежом является так называемый Compliance, обеспечение соответствия требованиям регуляторов, а эти требования на Западе, и в особенности в США, намного более серьезны и детализированы, нежели чем у нас. Надо также иметь в виду такой значимый фактор, как юридические риски применения автоматизированных систем и их соответствие законодательству отдельно взятых государств. И проблема последствий применения программного обеспечения класса UAM под видом DLP, равно как и неаккуратное использование возможностей DLP-систем, может для американского потребителя иметь весьма печальные последствия.

В этой статье мы опишем некоторые юридические аспекты внедрения и эксплуатации систем класса DLP и UAM с учетом норм, действующих в США.

Использование специализированных решений для контроля сотрудников и операций с каналами передачи данных регулируется рядом законодательных норм о конфиденциальности, принятых как на федеральном уровне, так и на уровне отдельных штатов, затрагивающих аспекты мониторинга действий сотрудников, прослушивания разговоров, равно как и нарушений безопасности корпоративных данных. Организации должны учитывать эти юридические аспекты и тщательно планировать, как именно будут использоваться DLP-системы, до их ввода в эксплуатацию.

 

Кого контролируют в США

В США существуют требования о предварительном уведомлении контролируемых сотрудников и получении их согласия. Если компания использует UAM-решения для мониторинга онлайн-активности сотрудников, она обязана соблюдать законы о мониторинге сотрудников. В частности, штаты Коннектикут и Делавэр прямо запрещают работодателям проводить такое наблюдение без предварительного уведомления. Мониторинг обмена сообщениями ограничен требованиями Федерального закона о конфиденциальности электронных сообщений (Electronic Communications Privacy Act, ECPA) — закон гласит, что в целом мониторинг электронных сообщений не допускается, но есть два исключения. Первое, business purpose exception, позволяет организациям отслеживать переписку сотрудников, если это предписано какой-либо бизнес-задачей (legitimate business purpose). Данный термин допускает весьма широкую интерпретацию, но тем не менее закон требует получения предварительного согласия сотрудников. Получение согласия может быть выполнено как в письменной форме, так и предельно просто — через уведомление и принятие условий при подключении к корпоративным ресурсам и сетям.

В случае использования DLP-решений, способных фиксировать не только факт обмена сообщениями, но и само содержимое переписки со сторонними лицами (не сотрудниками организации), действуют и другие нормы. Так, штаты Калифорния и Иллинойс требуют согласия всех сторон обмена электронными сообщениями на перехват сообщений. Это означает, что прежде чем перехватывать электронную почту, организация должна продумать способы уведомления третьих сторон и получить такое согласие. В противном случае компании сталкиваются с риском потенциальных судебных исков или вмешательства регулятора – и такие прецеденты с обращением граждан в судебные инстанции с претензиями на сканирование переписки действительно имеют место быть. К сожалению, практические возможности организаций в части получения согласия третьих сторон весьма ограничены, и многие компании полагаются на публикацию соответствующего уведомления на своем веб-сайте либо заявления-дисклеймера о мониторинге переписки в «подвале» всех электронных писем, добавляемых корпоративными почтовыми серверами и автоматическим (подразумеваемым) согласием третьей стороны, вытекающим из продолжения переписки при наличии такого заявления.

 

Какие данные и типы коммуникаций контролируются в США

Данный вопрос рассматривается в двух плоскостях. Во-первых, какие состояния данных будут контролироваться — перемещаемые данные (data in motion) и/или хранимые данные (data at rest). Как уже отмечалось выше, некоторые правовые акты и федеральный закон ECPA ограничивают мониторинг передаваемых данных без согласия участвующих сторон, с соответствующими гражданскими и уголовными санкциями за нарушение требований. Другой федеральный закон, Stored Communications Act (SCA), воспрещает сканирование и проверку электронных сообщений, хранимых в архивах корпоративных почтовых серверов, размещенных у поставщиков услуг электронных коммуникаций (например, Microsoft, Gmail и т. д.) без соответствующих разрешений. При этом SCA не запрещает организациям проверять хранимые данные такого рода, если они размещены на собственных вычислительных ресурсах организации.

Во-вторых, имеет значение, какие именно типы коммуникаций будут контролироваться. Около 25 штатов США прямо запрещают работодателям требовать или запрашивать от сотрудников предоставления для проверки личных аккаунтов электронной почты, социальных сетей и блогов, равно как регистрационных данных личных учетных записей. Рассматривая контекст мониторинга рабочих мест, суды и законодательные собрания отдельных штатов признают преимущество интересов конфиденциальности личных данных над интересами организаций, особенно когда затрагиваются такие вопросы, как геолокация, коммуникации с адвокатами и профсоюзами.

Соответственно, следует учитывать, что программы класса UAM, основой функционирования которых является запись снимков экранов и клавиатурных последовательностей, собирают личные данные сотрудников в любом случае в силу отсутствия технической возможности избирательного сбора информации и предварительной фильтрации, тем самым непреднамеренно подставляя использующие их организации под нарушения законодательных актов.

 

Какие устройства можно контролировать в США

Персональные компьютеры, предоставленные работодателями для выполнения сотрудниками своих трудовых обязанностей, принадлежат организации, а значит, на них может устанавливаться любое программное обеспечение с учетом рассмотренных выше аспектов. Однако в случае если организация желает установить программы для мониторинга и контроля на персональные устройства, используемые для работы, возникают дополнительные вопросы. Ряд юридических норм о компьютерных преступлениях и шпионском ПО приравнивает доступ частных лиц и организаций к личным устройствам к криминалу. Законами штатов Калифорния, Нью-Йорк и Массачусетс предусмотрены наказания от штрафов до тюремного заключения.

Кроме того, законодательство 48 штатов США требует уведомлять частных лиц, персональные данные которых (Personally Identifiable Information, PII) стали доступны неавторизованным лицам вследствие потери (утечки) или иной формы доступа без согласия владельца данных.

 

Выводы

Глобализация экономических процессов и повсеместное развитие средств электронных коммуникаций позволяет организациям любого масштаба, от маленькой частной компании до транснациональных корпораций, привлекать сотрудников и подрядчиков со всего мира, вести деловое общение с организациями и частными лицами в различных юрисдикциях. А потому внедрение и использование DLP- и UAM-решений в организациях в любой стране мира должно происходить с учетом региональных и глобальных законов о конфиденциальности персональных данных, которые предъявляют различные требования и ограничения весьма разного уровня жесткости. Например, закон Европейского союза European Union General Data Protection Regulation (GDPR) и локальные законы о неприкосновенности частной жизни государств-членов ЕС предписывают более детально описанные и эффективные меры защиты личных данных, нежели аналогичные нормы в США. Это означает, что единого подхода к правовой оценке использования средств мониторинга и контроля сотрудников, а также использования DLP-технологий для снижения рисков внутренних утечек данных — нет. Тем не менее, можно и нужно определить комплекс мер по смягчению юридических рисков, в частности:

  • Четко сформулированные и направленные исключительно на решение задач бизнеса риск-ориентированные политики мониторинга операций по перемещению данных и активности сотрудников.
  • Инструктаж сотрудников о том, что их деловые коммуникации с использованием корпоративных средств передачи данных не должны содержать признаков конфиденциальности и личных данных, и особенно персональных данных третьих сторон.
  • Инвентаризация и описание корпоративных средств коммуникаций и вычислительной техники, а также допустимых каналов передачи данных и устройств хранения данных.
  • Разграничение доступа к данным и шифрование данных, покидающих пределы корпоративных информационных систем.
  • Ограничение объема мониторинга с помощью современных технологий контентной фильтрации, позволяющих ограничить доступ и обработку DLP-системой только корпоративных данных, когда DLP-система игнорирует все, что не относится к категории данных ограниченного доступа, предоставляющих ценность для организации — как в задаче контроля процессов перемещения данных, так и при создании архива пользовательских операций с централизованным хранением точных копий переданных данных.
  • Анализ и фильтрация контролируемых данных DLP-системой без их перемещения, когда данные не покидают устройство, где с ними работают сотрудники, в автоматическом режиме — без участия сотрудников служб безопасности.

Если первые 4 меры в этом списке носят организационный характер, то последние требуют использования специализированных систем, способных вести контентную фильтрацию и анализ текстовых данных непосредственно на устройствах, где ведется создание и обрабатывающих информацию — т. е. на персональных компьютерах сотрудников, а не на серверах организации. Единственно возможным техническим решением такой задачи является использование endpoint-DLP-агентов, устанавливаемых на защищаемых настольных и портативных компьютерах сотрудников и перехватывающих коммуникации непосредственно на их источнике. При корректном задании правил контентного анализа DLP-система позволяет контролировать содержимое исходящих сообщений в чатах, почте и передаваемых файлах, когда контент данных фильтруется в момент передачи, в режиме реального времени, непосредственно на хосте согласно корпоративным DLP-политикам, без привлечения для анализа текста сотрудников службы ИБ. Кроме того, в endpoint-DLP-архитектуре решается также проблема контроля мобильных сотрудников, работающих вне корпоративной сети с лэптопов. При создании и пост-анализе теневых копий перехваченных документов и содержимого переписки применение контентного анализа становится особо значимо для исключения личных данных из процессов централизованного сбора и поиска в собранном архиве корпоративных данных.

В качестве технического решения для задачи контроля коммуникаций сотрудников среди российских разработок эффективным является программный комплекс DeviceLock DLP. Резидентные агенты DeviceLock обеспечивают инспекцию и протоколирование каналов сетевых коммуникаций независимо от используемых ими портов и способа выхода в интернет, от доступности корпоративной сети или подключения к корпоративным серверам, а также контроль и протоколирование работы пользователей с устройствами. С учетом задачи снижения юридических рисков нарушения конфиденциальности граждан особое значение приобретают технологии контентной фильтрации в DeviceLock DLP, которые позволяют выявлять в коммуникациях сотрудников исключительно корпоративные данные ограниченного доступа, не затрагивая при этом личную информацию.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru