Top menu

Юридические риски мониторинга сотрудников

В силу того факта, что глобализация экономических процессов и повсеместное развитие средств электронных коммуникаций позволяет организациям любого масштаба, от маленькой частной компании до транснациональных корпораций, привлекать сотрудников и подрядчиков со всего мира, вести деловое общение с организациями и частными лицами в различных юрисдикциях, внедрение и использование DLP- и UAM-решений в организациях в любой стране мира должно происходить с учетом региональных и глобальных законов о конфиденциальности персональных данных, которые предъявляют различные требования и ограничения весьма разного уровня жесткости.

В Европе с мая 2018 г. процесс обработки и передачи персональных данных будет регулироваться Общим регламентом ЕС по защите данных (GDPR), а в настоящий момент действует Директива 95/46, силу закона не имеющая. В США использование специализированных решений для контроля сотрудников и их коммуникаций регулируется рядом законодательных норм о конфиденциальности, принятых как на федеральном уровне, так и на уровне отдельных штатов.

Рынок DLP-систем предотвращения утечек корпоративных данных богат предложениями - за соответствующие и решающие проблему на российском рынке выдаются даже продукты для анализа журналов и расследования инцидентов, построения отчетов и поиска по переданным данным, и даже специфические системы мониторинга активности пользователей (User Activity Monitoring, UAM - запись экранов и ввода с клавиатуры, отслеживание запущенных приложений и т.п.). Более того, некоторые вендоры заявляют, что функциональные возможности их продуктов намного шире и богаче, чем у зарубежных DLP-систем, а потому впереди годы успешного успеха и славных продаж по всему миру. Однако, последствия применения ПО класса UAM под видом DLP, равно как и неаккуратное использование возможностей DLP-систем, может для западного потребителя иметь весьма печальные последствия.

Попробуем сопоставить нормативно-законодательные требования, предъявляемые в США, и возможности двух классов продуктов – UAM и DLP (в данном случае, разумеется, будет рассматриваться только полноценный вариант DLP-решения, а не псевдо-DLP системы, по сути своей являющиеся сниферами и «заточенные» на пост-анализ теневых копий и журналов зеркалированного трафика).

Требование: Штаты Коннектикут и Делавэр выдвигают требование о предварительном уведомлении контролируемых сотрудников и получении их согласия. Мониторинг обмена сообщениями ограничен требованиями Федерального закона о конфиденциальности электронных сообщений (Electronic Communications Privacy Act, ECPA) – закон гласит, что в целом мониторинг электронных сообщений не допускается, но есть как минимум одно исключение - “business purpose exception”, которое позволяет организациям отслеживать переписку сотрудников, если это предписано какой-либо бизнес-задачей.

Решение: обеспечить соответствие данному требованию можно в рамках любой используемой системы, поскольку решение лежит в организационной плоскости.

Требование: Штаты Калифорния и Иллинойс требуют согласия всех сторон обмена электронными сообщениями на перехват сообщений. Это означает, что прежде чем перехватывать электронную почту, организация должна продумать способы уведомления третьих сторон и получить такое согласие. В противном случае компании сталкиваются с риском потенциальных судебных исков или вмешательства регулятора.

Решение: простейшим решением в данном случае является обязательное включение в тело сообщений специального дисклеймера – уведомления участников переписки о возможном перехвате сообщений и их анализе, и автоматическом согласии на сканирование переписки. Хорошо, если это можно реализовать на уровне почтового сервера организации. Если такой возможности нет, можно встраивать дисклеймер как часть подписи в почтовом клиенте.

И в таком случае следует учитывать, что UAM-системы не способны анализировать содержимое сообщений, а значит, и гарантировать наличие такого дисклеймера в отправляемых сообщениях. Следовательно, если каким-то способом пользователь удаляет дисклеймер, организация подвергается риску нарушения требования об обязательном уведомлении всех участников переписки.

В случае использования полноценного DLP-решения, выполняющего анализ сообщений в момент их отправки из почтового клиента, можно заблокировать отправку сообщений, если требуемый дисклеймер не будет обнаружен.

Требование: Около 25 штатов США прямо запрещают работодателям требовать или запрашивать от сотрудников предоставления для проверки личных аккаунтов электронной почты, социальных сетей и блогов, равно как регистрационных данных личных учетных записей. Рассматривая контекст мониторинга рабочих мест, суды и законодательные собрания отдельных штатов признают преимущество интересов конфиденциальности личных данных над интересами организаций, особенно когда затрагиваются такие вопросы, как геолокация, коммуникации с адвокатами и профсоюзами.

Решение: Программы класса UAM, основой функционирования которых является запись снимков экранов и клавиатурных последовательностей, собирают личные данные сотрудников в любом случае в силу отсутствия технической возможности избирательного сбора информации и предварительной фильтрации, тем самым непреднамеренно подставляя использующие их организации под нарушения законодательных актов.

В свою очередь, ограничение объема мониторинга с помощью современных технологий контентной фильтрации, позволяет ограничить доступ и обработку DLP-системой только корпоративных данных, когда DLP-система игнорирует все, что не относится к категории данных ограниченного доступа, предоставляющих ценность для организации – как в задаче контроля процессов перемещения данных, так и при создании архива пользовательских операций с централизованным хранением точных копий переданных данных. Кроме того, применение контентной фильтрации имеет большое практическое значение и для решения задачи исключения личных данных из процессов централизованного сбора и поиска в собранном архиве корпоративных данных при создании и пост-анализе теневых копий перехваченных документов и содержимого переписки.

Требование: Ряд юридических норм о компьютерных преступлениях и шпионском ПО приравнивает доступ частных лиц и организаций к личным устройствам и данным к криминалу. Законами штатов Калифорния, Нью-Йорк и Массачусетс предусмотрены наказания от штрафов до тюремного заключения. Кроме того, законодательство 48 штатов США требуют уведомлять частных лиц, персональные данные которых (personally identifiable information, PII) стали доступны неавторизованным лицам вследствие потери (утечки) или иной формы доступа без согласия владельца данных.

Примечание: Бытует общепринятая концепция, подтвержденная также известным решением ЕСПЧ, что персональные компьютеры, предоставленные работодателями для выполнения сотрудниками своих трудовых обязанностей, принадлежат организации, а значит, на них может устанавливаться любое программное обеспечение с учетом рассмотренных выше аспектов. Однако, в случае если организация желает установить ПО для мониторинга и контроля на персональные устройства, используемые для работы, могут возникнуть дополнительные вопросы, связанные с обеспечением соответствия вышеуказанным требованиям.

Решение: Доступ к приватным данным следует разделить на две типичных сценария – доступ сторонних лиц вследствие несанкционированной передачи персональных данных или хищения/утери персональных данных на съемном накопителе, и доступ сотрудников службы ИБ к персональным данным, собранным в ходе работы UAM или DLP системы. Соответственно, решение для данного требования следует также разделять на две самостоятельные части.

В первом случае простейшим решением будет разграничение доступа к данным и шифрование данных, покидающих пределы корпоративных ИС.

Сожалеем, но в функциональное оснащение UAM-систем это не входит. В свою очередь, арсенал полноценного DLP-решения предполагает возможность блокировки или иной превентивной реакции при попытке передачи данных заданного типа (на основании контентного анализа), а также поддержку встроенного или внешнего шифрования при записи на съемные накопители. Второй сценарий (доступ к приватным данным сотрудников организации) решается посредством анализа и фильтрации контролируемых данных без их перемещения, когда данные не покидают пользовательское устройство, в автоматическом режиме – без участия сотрудников служб безопасности.

Снова сожалеем, но программы класса UAM в ходе работы собирают в графическом и текстовом виде все данные сплошным потоком – без разделения на корпоративные и личные, после чего собранные данные отправляются также без сепарации на хранение в архив. Обработка архива всегда требует участия сотрудника службы ИБ, поскольку обработка видеозаписей (а результат работы UAM-решения по сути представляет собой именно видеозаписи) проводится в ручном режиме без возможности автоматизированного анализа содержимого того, что было на экране пользователя. Как следствие, организация получает доступ к приватным данным сотрудников, что прямо нарушает законодательные требования многих государств.

Для полноценной DLP-системы нормальным поведением, решающим данное требование, является ограничение объема мониторинга с помощью современных технологий контентной фильтрации, позволяющих ограничить доступ и обработку DLP-системой только корпоративных данных, когда DLP-система игнорирует все, что не относится к категории данных ограниченного доступа, предоставляющих ценность для организации – как в задаче контроля процессов перемещения данных, так и при создании архива пользовательских операций с централизованным хранением точных копий переданных данных.

Заключение

Помимо вышеописанных технических мер, существует также общий комплекс организационных мер по смягчению юридических рисков, в частности:

  • Четко сформулированные и направленные исключительно на решение задач бизнеса риск-ориентированные политики мониторинга операций по перемещению данных и активности сотрудников;
  • Инструктаж сотрудников о том, что их деловые коммуникации с использованием корпоративных средств передачи данных не должны содержать признаков конфиденциальности и личных данных, и особенно персональных данных третьих сторон;
  • Инвентаризация и описание корпоративных средств коммуникаций и вычислительной техники, а также допустимых каналов передачи данных и устройств хранения данных.

Комплекс технических мер, позволяющих обеспечить соответствие требованиям регуляторов, предполагает использование специализированных систем, способных вести контентную фильтрацию и анализ текстовых данных непосредственно на устройствах, где ведется создание и обрабатывающих информацию – т.е. на персональных компьютерах сотрудников, а не на серверах организации. Единственно возможным техническим решением такой задачи является использование endpoint DLP-агентов, устанавливаемых на защищаемых настольных и портативных компьютерах сотрудников и перехватывающих коммуникации непосредственно на их источнике. При корректном задании правил контентного анализа DLP-система позволяет контролировать содержимое исходящих сообщений в чатах, почте и передаваемых файлах, когда контент данных фильтруется в момент передачи, в режиме реального времени, непосредственно на хосте согласно корпоративным DLP-политикам, без привлечения для анализа текста сотрудников службы ИБ. Кроме того, в endpoint DLP-архитектуре решается также проблема контроля мобильных сотрудников, работающих вне корпоративной ИС с лэптопов. При создании и пост-анализе теневых копий перехваченных документов и содержимого переписки применение контентного анализа становится особо значимо для исключения личных данных из процессов централизованного сбора и поиска в собранном архиве корпоративных данных.

P.S. В качестве технического решения для задачи контроля коммуникаций сотрудников среди российских разработок наиболее эффективным является программный комплекс DeviceLock DLP. Резидентные агенты DeviceLock обеспечивают инспекцию и протоколирование каналов сетевых коммуникаций независимо от используемых ими портов и способа выхода в Интернет, от доступности корпоративной сети или подключения к корпоративным серверам, а также контроль и протоколирование работы пользователей с устройствами. С учетом задачи снижения юридических рисков нарушения конфиденциальности граждан особое значение приобретают технологии контентной фильтрации в DeviceLock DLP, которые позволяют выявлять в коммуникациях сотрудников исключительно корпоративные данные ограниченного доступа, не затрагивая при этом личную информацию.

Автор: Сергей Вахонин