Защита информации: где тонко, там и рвется

Автор: Дмитрий Казаков

Нужны надежные сотрудники

Закономерно, что защищенность информации в юридической фирме играет важную роль. Даже компании, занимающиеся научными разработками, могут понести меньший для себя ущерб после распространения информации, работа над которой велась годами.

История с офшорами показательна не столько с точки зрения утечки информации, сколько с точки зрения того, какую ценность и значимость зачастую представляет собой информация, скрытая за толстыми папками в сейфах юридических компаний. Первое и наиболее банальное требование — подписание соглашения о неразглашении всеми принимаемыми в компанию сотрудниками. Конечно, правило настолько элементарно, что напоминать о нем странно, тем более тем, кто сам занимается юридической деятельностью.

Тем не менее такой элементарной нормой весьма часто пренебрегают. Удивительно и в то же время закономерно: почти в 100% случаев утечка информации имеет под собой человеческий фактор. Можно сказать, что малым и средним компаниям по большому счету больше не о чем заботиться. Вряд ли кто-то будет искать особый доступ к данным компании напрямую или через сетевой доступ. Исключения могут составить лишь случаи с громкими делами, известные как минимум во всем регионе.

Базовую безопасность необходимо обеспечивать опять же там, где есть связь с человеческим фактором, по возможности не использовать телефонную связь для передачи сколько-нибудь значительных данных, касающихся клиентов. При необходимости использовать мессенджеры с криптошифрованием. Важно не позволять сотрудникам совмещать функции корпоративной и личной почты. Надо понимать, что чем больше формальных требований к безопасности будет введено в вашей компании, тем выше будет соблазн сотрудников нарушить правила в самой грубой форме. Прежде всего нужно внимательно относиться к тому, насколько подготовлены ваши сотрудники к сохранению секретов.

Доверие — главное

В контексте событий, связанных с утечкой информации из панамской юридической компании Mossack Fonseca, следует понимать разницу между видами деятельности, которые данная компания обозначает публично, и тем, чем она занимается на самом деле. Кроме того, необходимо учитывать специфику юридических услуг, оказываемых этой компанией и внутрироссийскими юридическими фирмами.

Формально юридическая компания Mossack Fonseca просто помогает создавать юридические лица. Фактически же ею предоставляется комплекс услуг по очистке денег (сокрытие источника происхождения средств) и/или уменьшению налогообложения, исходя из принципа интернациональности. Соответственно скандал с обнародованием данных этой компании, именуемый «Панамагейтом», разворачивался вокруг фигур, воспользовавшихся услугами компании предположительно для достижения именно таких целей — очистки средств, выведенных из одних стран в другие, и уменьшения их налогообложения. Позиция руководства компании, комментирующего ситуацию, строится вокруг формальной стороны деятельности компании: создание юридических лиц не влечет для компании ответственности за их дальнейшее использование.

В нашем национальном законодательстве вопрос защиты информации такого рода не разрешен в связи с отсутствием соответствующих отношений. Российская практика обеспечивает возможность использования правоохранительных органов для доступа к любой информации внутри страны, кроме содержащей государственную тайну.

Поэтому наибольший интерес в России в плане инсайдерской деятельности представляют именно данные государственных органов, а не коммерческих организаций. Соответственно наиболее громкие случаи утечки информации касались распространения данных МВД, налоговых органов (2004 год, по некоторым данным, информация была украдена из базы Пенсионного фонда), а также Центробанка (2005 год). Из коммерческих структур знаковые случаи утечек зафиксированы только у операторов связи, причем практически у всех крупных (МТС, «БиЛайн» и «МегаФон»).

Структуры, аналогичные панамской юридической фирме, в России, безусловно, работают. Но, как правило, системы юридических лиц, в том числе с офшорными компаниями, для целей вывода средств и уменьшения налогообложения создаются не для оказания услуг неограниченному кругу клиентов, а под конкретные проекты, под конкретных заказчиков. Так, деятельность Центробанка по проверке деятельности коммерческих банков в основном состоит в выявлении структур, позволяющих выводить активы банков под видом невозвратных и необеспеченных кредитов.

В связи с этим обеспечение информационной безопасности для юридической фирмы в России не имеет принципиальных отличий от такого рода мероприятий для любого иного вида бизнеса. В самом общем виде этот вопрос можно обозначить как комплекс мероприятий по определению информационных полей, на которые распространяется требование о конфиденциальности, и, что самое проблематичное, круга лиц, допущенных к конфиденциальной информации. Все значительные случаи утечки информации в России отмечены действиями инсайдеров, что определяет фактор доверия при допуске к информации как наиболее важный в вопросе защиты информации.

Что грозит инсайдеру?

Самые серьезные утечки информации происходят изнутри — так называемый инсайд. Юридические компании страдают от инсайдеров не меньше остальных, чего только стоят недавние громкие скандалы с публикацией «панамского досье», поэтому они более чем серьезно подходят к вопросам конфиденциальности.

Законодательство, карающее за неправомерный доступ и разглашение коммерческой тайны, достаточно суровое. Статья 183 УК РФ устанавливает санкции от штрафа 500 тыс. руб. до двух лет лишения свободы.

Однако просто ли покарать инсайдера, который слил оппонентам-конкурен- там горячую информацию? Не всегда.

Допустим идеальные условия: инсайдер пойман с поличным. Какова вероятность, что он будет привлечен к уголовной ответственности?

С точки зрения закона коммерческая тайна — это не конкретная информация, а режим сохранения ее в тайне от других, то есть технические средства защиты, определенный порядок доступа к информации, определение, что конкретная информация является конфиденциальной, и т. д. Для этого в компании обязательно должны быть внутренние локальные акты, которые определяют режим коммерческой тайны, а конкретный инсайдер должен быть ознакомлен под роспись с тем, что информация, на которую он покусился, является конфиденциальной.

Поэтому все не так просто. Хотя в коммерческих компаниях (кроме юридических) уровень передачи конфиденциальной информации на сторону достаточно высок, скандалы с наказанием инсайдеров в уголовном порядке компании стараются не раздувать.

Работодателю проще уволить попавшегося информационного воришку или разобраться с ним за пределами правового поля, чем обращаться в правоохранительные органы. Раскрывать сотрудникам МВД систему защиты информации, внутренние документы, остальную информацию, которая может составлять коммерческую тайну, доказывать, что именно эта информация потенциально давала преимущества перед конкурентами, мало кто решится. Менее всего готовы к этому владельцы и руководители юридических компаний, которые хорошо знают, сколь неповоротлива и непредсказуема бывает правоохранительная система.

Мой опыт говорит о том, что способы защиты информации в юридических компаниях не сильно отличаются от тех же действий в других коммерческих структурах. Большое значение имеют профессиональная этика юристов и бережное отношение к самому главному капиталу юриста — его репутации.

Человеческий фактор

Общие положения о защите информации закреплены в Федеральном законе от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Кроме того, ряд специальных законов регулирует отношения, связанные с защитой отдельных видов информации: государственной тайны (Закон РФ от 21.07.1993 № 5485−1 «О государственной тайне»), коммерческой тайны (Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»), банковской тайны (Федеральный закон от 02.12.1990 № 395−1 «О банках и банковской деятельности»), налоговой тайны (ст. 102 НК РФ), тайны совершения нотариальных действий (Основы законодательства РФ о нотариате, утв. ВС РФ 11.02.1993 № 4462−1), тайны усыновления (ст. 139 СК РФ), врачебной тайны (Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ»), персональных данных (Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных») и др.

Положения о защите адвокатской тайны, то есть любых сведений, связанных с оказанием адвокатом юридической помощи своему доверителю, закреплены в ст. 8 Федерального закона от 31.05.2002 № 63-ФЗ «Об адвокатской деятельности и адвокатуре в РФ»).

За нарушение законодательства о защите информации установлена административная ответственность (глава 13 КоАП РФ) и уголовная ответственность (ст. 183, 185, 272 274, 283−284, 138, 155 УК РФ).

Таким образом, российское законодательство в сфере обеспечения информационной безопасности является достаточно полным и соответствует современным требованиям. Однако наличие эффективных правовых инструментов обеспечения информационной безопасности ни в коем случае не отменяет необходимости использования технических и организационных средств защиты.

Юридические фирмы, безусловно, должны уделять защите информации пристальное внимание, используя весь комплекс имеющихся в наличии средств. Защитить информацию, хранящуюся в юридической фирме в электронном виде, помогает использование различных программных и аппаратных средств защиты. Это ограничение физического доступа к источникам хранения информации извне, шифрование сетевых сообщений, использование брандмауэров в неизолированных сетях, применение современных систем контроля и управления доступом к данным и др.

Защитить клиентскую информацию, содержащуюся в бумажных документах, позволяет использование комплекса мер организационного характера. Например, полученные от клиентов оригиналы документов могут храниться не в офисе юридической фирмы, а в отдельном, специально оборудованном для этих целей помещении, доступ в которое имеет очень ограниченное число проверенных сотрудников.

Для проведения конфиденциальных переговоров в офисе юридической фирмы также может быть оборудовано специально защищенное помещение, исключающее возможность несанкционированной записи переговоров как внутри этого поме- щения, так и извне.

Наиболее уязвимый элемент в системе защиты информации — это ее пользователь, поэтому человеческий фактор в организации системы информационной безопасности необходимо учитывать в первую очередь.

Несанкционированный доступ к конфиденциальной информации может явиться как следствием банальной халатности сотрудников (например, использование личной электронной почты для пересылки служебной информации, подключение к компьютерной сети внешних накопителей информации без предварительной проверки на наличие вредоносных программ и т. п.), так и следствием умышленных действий (инсайда).

Злоумышленники, пытающиеся получить доступ к конфиденциальной информации, используют весь арсенал методов спецслужб, поэтому предотвращение таких атак является достаточно сложной, но вполне выполнимой задачей. Например, одним из способов получения несанкционированного доступа к конфиденциальной информации может являться внедрение сотрудника в трудовой коллектив, а одной из мер противодействия такому способу — ограничение количества размещаемых фирмой прямых вакансий и наем персонала с помощью кадровых агентств.

Конечно, тотальный контроль за работой с конфиденциальной информацией со стороны руководства юридической фирмой может вызывать некоторый дискомфорт у ее сотрудников, которые в подобных мерах могут видеть угрозу своему личному пространству. Поэтому важной задачей является формирование в корпоративной культуре общих ценностей с тем, чтобы каждый сотрудник искренне считал соблюдение конфиденциальности своим профессиональным долгом.