В своем стремлении отхватить кусочек сладкого пирога на интересном, но специфичном рынке систем предотвращения утечек корпоративных данных за соответствующие и решающие проблему на российском рынке выдаются продукты, которые по всем признакам и характеристикам не способны этого сделать. Продукты для анализа журналов и расследования инцидентов, построения отчетов и поиска по переданным данным, и даже специфические системы мониторинга активности пользователей (User Activity Monitoring, UAM - запись экранов и ввода с клавиатуры, отслеживание запущенных приложений и т.п.) маркетологи пытаются представить, как DLP-средства. Более того, некоторые вендоры заявляют, что функциональные возможности их продуктов намного шире и богаче, чем у зарубежных DLP-систем, а потому впереди годы успешного успеха и славных продаж по всему миру.
Реальность же, как водится, несколько иная. Прежде всего отметим, что одним из ключевых драйверов продаж за рубежом является так называемый Compliance, обеспечение соответствия требованиям регуляторов, а эти требования на загнивающем Западе, и в особенности в США, намного более серьезны и детализированы, нежели чем у нас. Надо также иметь в виду такой крайне значимый фактор, как юридические риски применения автоматизированных систем и их соответствие законодательству отдельно взятых государств.
В этой статье мы опишем некоторые юридические аспекты внедрения и эксплуатации систем класса DLP и UAM с учетом норм, действующих в США.
Кого контролировать?
В США существуют требования о предварительном уведомлении контролируемых сотрудников и получении их согласия. Если компания использует UAM-решения для мониторинга онлайн-активности сотрудников, она обязана соблюдать законы о мониторинге сотрудников. В частности, штаты Коннектикут и Делавэр прямо запрещают работодателям проводить такое наблюдение без предварительного уведомления. Мониторинг обмена сообщениями ограничен требованиями Федерального закона о конфиденциальности электронных сообщений (Electronic Communications Privacy Act, ECPA) – закон гласит, что в целом мониторинг электронных сообщений не допускается, но есть два исключения. Первое, “business purpose exception”, позволяет организациям отслеживать переписку сотрудников, если это предписано какой-либо бизнес-задачей (“legitimate business purpose”). Данный термин допускает весьма широкую интерпретацию, но тем не менее закон требует получения предварительного согласия сотрудников. Получение согласия может быть выполнено как в письменной форме, так и предельно просто – через уведомление и принятие условий при подключении к корпоративным ресурсам и сетям.
В случае использования DLP-решений, способных фиксировать не только факт обмена сообщениями, но и само содержимое переписки со сторонними лицами (не сотрудниками организации), действуют и другие нормы. Так, штаты Калифорния и Иллинойс требуют согласия всех сторон обмена электронными сообщениями на перехват сообщений.
Что контролировать?
Данный вопрос рассматривается в двух плоскостях. Во-первых, какие состояния данных будут контролироваться – перемещаемые данные (data in motion) и/или хранимые данные (data at rest). Как уже отмечалось выше, некоторые правовые акты и федеральный закон ECPA ограничивают мониторинг передаваемых данных без согласия участвующих сторон, с соответствующими гражданскими и уголовными санкциями за нарушение требований. Другой федеральный закон, Stored Communications Act (“SCA”), воспрещает сканирование и проверку электронных сообщений, хранимых в архивах корпоративных почтовых серверов, размещенных у поставщиков услуг электронных коммуникаций (например, Microsoft, Gmail и т.д.) без соответствующих разрешений. При этом SCA не запрещает организациям проверять хранимые данные такого рода, если они размещены на собственных вычислительных ресурсах организации.
Во-вторых, имеет значение, какие именно типы коммуникаций будут контролироваться. Около 25 штатов США прямо запрещают работодателям требовать или запрашивать от сотрудников предоставления для проверки личных аккаунтов электронной почты, социальных сетей и блогов, равно как регистрационных данных личных учетных записей. Рассматривая контекст мониторинга рабочих мест, суды и законодательные собрания отдельных штатов признают преимущество интересов конфиденциальности личных данных над интересами организаций, особенно когда затрагиваются такие вопросы, как геолокация, коммуникации с адвокатами и профсоюзами.
Соответственно, следует учитывать, что программы класса UAM, основой функционирования которых является запись снимков экранов и клавиатурных последовательностей, собирают личные данные сотрудников в любом случае в силу отсутствия технической возможности избирательного сбора информации и предварительной фильтрации, тем самым непреднамеренно подставляя использующие их организации под нарушения законодательных актов.
Где контролировать?
Персональные компьютеры, предоставленные работодателями для выполнения сотрудниками своих трудовых обязанностей, принадлежат организации, а значит, на них может устанавливаться любое программное обеспечение с учетом рассмотренных выше аспектов. Однако, в случае если организация желает установить ПО для мониторинга и контроля на персональные устройства, используемые для работы, возникают дополнительные вопросы. Ряд юридических норм о компьютерных преступлениях и шпионском ПО приравнивает доступ частных лиц и организаций к личным устройствам к криминалу. Законами штатов Калифорния, Нью-Йорк и Массачусетс предусмотрены наказания от штрафов до тюремного заключения.
Кроме того, законодательство 48 штатов США требуют уведомлять частных лиц, персональные данные которых (personally identifiable information, PII) стали доступны неавторизованным лицам вследствие потери (утечки) или иной формы доступа без согласия владельца данных.
Выводы
В силу того факта, что глобализация экономических процессов и повсеместное развитие средств электронных коммуникаций позволяет организациям любого масштаба, от маленькой частной компании до транснациональных корпораций, привлекать сотрудников и подрядчиков со всего мира, вести деловое общение с организациями и частными лицами в различных юрисдикциях, внедрение и использование DLP- и UAM-решений в организациях в любой стране мира должно происходить с учетом региональных и глобальных законов о конфиденциальности персональных данных, которые предъявляют различные требования и ограничения весьма разного уровня жесткости. Тем не менее, можно и нужно определить комплекс мер по смягчению юридических рисков, в частности:
- Четко сформулированные и направленные исключительно на решение задач бизнеса риск-ориентированные политики мониторинга операций по перемещению данных и активности сотрудников;
- Инструктаж сотрудников о том, что их деловые коммуникации с использованием корпоративных средств передачи данных не должны содержать признаков конфиденциальности и личных данных, и особенно персональных данных третьих сторон;
- Инвентаризация и описание корпоративных средств коммуникаций и вычислительной техники, а также допустимых каналов передачи данных и устройств хранения данных;
- Разграничение доступа к данным и шифрование данных, покидающих пределы корпоративных ИС;
- Ограничение объема мониторинга с помощью современных технологий контентной фильтрации, позволяющих ограничить доступ и обработку DLP-системой только корпоративных данных, когда DLP-система игнорирует все, что не относится к категории данных ограниченного доступа, предоставляющих ценность для организации – как в задаче контроля процессов перемещения данных, так и при создании архива пользовательских операций с централизованным хранением точных копий переданных данных;
- Анализ и фильтрация контролируемых данных DLP-системой без их перемещения, когда данные не покидают устройство, где с ними работают сотрудники, в автоматическом режиме – без участия сотрудников служб безопасности.
Если первые 4 меры в этом списке носят организационный характер, то последние требуют использования специализированных систем, способных вести контентную фильтрацию и анализ текстовых данных непосредственно на устройствах, где ведется создание и обрабатывающих информацию – т.е. на персональных компьютерах сотрудников, а не на серверах организации. Единственно возможным техническим решением такой задачи является использование endpoint DLP-агентов, устанавливаемых на защищаемых настольных и портативных компьютерах сотрудников и перехватывающих коммуникации непосредственно на их источнике. При корректном задании правил контентного анализа DLP-система позволяет контролировать содержимое исходящих сообщений в чатах, почте и передаваемых файлах, когда контент данных фильтруется в момент передачи, в режиме реального времени, непосредственно на хосте согласно корпоративным DLP-политикам, без привлечения для анализа текста сотрудников службы ИБ.
В качестве технического решения для задачи контроля коммуникаций сотрудников среди российских разработок наиболее эффективным является программный комплекс DeviceLock DLP. Резидентные агенты DeviceLock обеспечивают инспекцию и протоколирование каналов сетевых коммуникаций независимо от используемых ими портов и способа выхода в Интернет, от доступности корпоративной сети или подключения к корпоративным серверам, а также контроль и протоколирование работы пользователей с устройствами. С учетом задачи снижения юридических рисков нарушения конфиденциальности граждан особое значение приобретают технологии контентной фильтрации в DeviceLock DLP, которые позволяют выявлять в коммуникациях сотрудников исключительно корпоративные данные ограниченного доступа, не затрагивая при этом личную информацию.
