Тема: Спокуса інформацією

Євгенія РУЖЕНЦЕВА

Попри наявність низки відповідних нормативно-правових приписів, притягнення працівника юрфірми до відповідальності за розголошення конфіденційної інформації залишається проблематичним

Юридична послуга, як відомо, «товар» специфічний, завжди пов’язаний з певною таємницею, забрати яку з собою «в могилу» мусять не лише партнери компанії, а й усі працівники, яких у процесі роботи клієнт змушений посвячувати в ті чи інші конфіденційні деталі справи. Аби виробити у персоналу звичку тримати язика за зубами, менеджмент компанії вдається до різних засобів та інструментів, особливо ж покладаючись на угоду про конфіденційність, яку працівник повинен підписати одразу ж після прийняття на роботу до юридичної фірми. Утім, як показує практика, ані чималі санкції, ані моральний чи психологічний тиск часто-густо не здатні втримати людей від спокуси поділитися цікавою інформацією.

І річ тут зазвичай не у свідомому бажанні нашкодити клієнтові чи роботодавцеві, а радше в психології людини та перманентних кадрових міграціях у межах досить вузького ринку. Одними керує бажання підкреслити важливість своєї персони в очах оточуючих, продемонструвавши, з якими статусними особами та контактує чи доступ до якої інформації має, іншими — відчуття недооціненості у попередній компанії…

Довести ж провину конкретного працівника у розголошенні певної інформації вкрай важко. Більше того, коли йдеться про «делікатні справи», зазвичай ніхто не бажає розголошувати їх та доводити до суду. Принаймні в Єдиному реєстрі судових справ ми не знайшли жодної про притягнення до відповідальності винних у розголошенні конфіденційної інформації в юридичних компаніях.

Яким же чином боротися з цим і як зберегти дану клієнтові «обітницю мовчанки» — про це сьогодні наша дискусія з представниками правничої спільноти.

ДИСКУСІЯ / ЗАХИСТ ІНФОРМАЦІЇ

Яким чином у вашій компанії сформовано принципи єдиної політики конфіденційності? Як сформувати у працівників «інстинкт» захисту інформації та збереження конфіденційності? Якими є найбільш дієві способи захисту інформації?

Сергій КОННОВ, адвокат, старший партнер АК «Коннов і Созановський»

У адвокатській конторі «Коннов і Созановський» питання забезпечення конфіденційності виникло з моменту створення, а саме: 22 роки тому. За цей час багато чого змінилося: і документообіг, і очікування клієнтів, змінювались цінності та вимоги до послуг у бік зростання, тому наша політика конфіденційності в різний час була різною, але що завжди залишалось незмінним — це вимоги адвокатської етики до переліку питань, які складають адвокатську таємницю. Політика конфіденційності — це набір процедурно-технічних стандартів, які ми запроваджували для себе, виходячи з власного досвіду і залучаючи відповідних фахівців. Коли ми починали, не було Інтернету, комп’ютерів, тільки паперові носії інформації, які треба було охороняти. Сьогодні інформація зберігається на електронних носіях, до збереження і охорони якої застосовуються вже зовсім інші методи та принципи. З огляду на минуле можна сказати, що в АК «Коннов і Созановський» завжди був баланс між адміністративними процедурами та морально-етичними, коли співробітники за своїми професійними і людськими якостями відповідають політиці компанії. Ми розуміємо, що світ не стоїть на місці, все розвивається, тому для більшого вдосконалення принципів політики конфіденційності ми періодично проводимо тренінги для всіх співробітників.

На мою думку, в адвокатів, які мають зберігати таємницю, інстинкт захисту інформації є природним як частина професійного образу, так само, як вміння правильно і виважено говорити. Усі професійні навички адвокатів (риторика, стратегія і тактика справ) набуваються з досвідом, проте вони найбільше схильні до виникнення правил, у тому числі й правил конфіденційності. Що стосується співробітників, то це питання має бути частиною навчального процесу, адже в успішній юрфірмі без навчання немає якісної послуги. Усі процеси всередині компанії мають бути продумані і працювати злагоджено, як часовий механізм, — від приймання пошти до прав доступу до найсекретніших документів.

Анастасія КАРЕБА, юридичний радник ЮК Nasos A. Kyriakides & Partners LLC (Кіпр)

Перший принцип — безпечне зберігання даних усередині юридичної фірми. Ми витратили значні кошти на встановлення потужних серверів з багаторівневою системою безпеки, які захистять нашу внутрішню мережу від будь-якого зовнішнього підключення або втручання. Другий принцип можна визначити як «перевірка кожного кроку». Ми знаємо випадки, коли електронну пошту клієнта було зламано, а самі зловмисники надсилали супе­речливі запити, при виконанні яких статус активів або компанії в цілому клієнта опинився би під загрозою. Таким чином, ми виробили правило, згідно з яким юрист має ретельно перевіряти зміст кожного запита, отриманого від клієнта, за допомогою особистого телефонного дзвінка; перевірки інформації, отриманої від клієнта недавно; отримання згоди та підтвердження запиту від уповноваженої особи та бенефіціару. Це насправді є одним із найважливіших кроків, адже ніколи не можна бути впевненим у тому хто є відправником інформації. Третій принцип пов’язаний з дуже жорстким та чітким положенням про конфіденційність, дія якого поширюється на всіх наших співробітників — працівників рецепції, прибиральниць, водіїв, кур’єрів та юристів. Четвертий принцип — довіра. Ти не зможеш розпочати та успішно завершити роботу над великою транзакцією, якщо ти не довіряєш людям, з якими працюєш. І останній принцип — клієнт сам має дотримуватися принципу конфіденційності.

Інстинкт захисту інформації народжується через розуміння відповідальності. Таким чином, саме відповідальність та професіоналізм створюють і посилюють відповідно інстинкт захисту інформації. У нас є такий вислів: «Вартість папірця коливається від пари центів до пари мільйонів». Тому найлегше відчути відповідальність та зрозуміти, чому важливо діяти доцільно та конфіденційно, це уявити собі наслідки своєї помилки. Такий інстинкт треба «вимкнути» також і при проведенні складних переговорів між твоїм клієнтом та іншою стороною (конкурентами клієнта).

Вважаю, що не можна обрати два методи захисту інформації як найбільш дієві та забути про інші. Має бути система методів та ключових засобів: нормативно-регулятивна база, електронний захист інформації, ретельна перевірка на кожному етапі роботи над проектом клієнту, а також довіра. Авжеж певну роль відіграє й людський фактор, але саме тому нашим головним активом є персонал, у розвиток якого ми щорічно вкладаємо великі кошти. Тому навіть молодшому юристу можна не пояснювати, що документи, які він чи вона тримає у руках, є не просто папером. Саме розуміння того, що ти відіграєш значну роль у проведенні важливої угоди чи IPO, а також те, що великі суми вже було вкладено в проект ще до того, як ти почав над ним працювати, і є тим, що підіймає твій рівень відповідальності.

Яким чином має формуватися політика конфіденційності в юридичній компанії?

Ольга БІНДА,
керуючий партнер агентства стратегічних комунікацій BNDA (Росія)

В юридичній компанії політика збереження конфіденційної інформації повинна впроваджуватися зверху вниз, а партнери на власному прикладі показувати дотримання стандартних норм збереження інформації, включаючи взаємодію з пресою і роботою в соціальних мережах. Умови конфіденційності та положення про них повинні бути відомі всім співробітникам компанії без винятку, адже основна ідея захисту конфіденційних даних досить проста: якщо ви захищаєте цінну для вас інформацію — вам вдається зберегти конкурентну перевагу, а отже гроші і робочі місця. Зав­дання внутрішніх фахівців впровадити ідею на практиці, а саме: маркетологи розвивають цю ідею в програмах розвитку компанії зовні, а IT-фахівці захищають компанію всередині.

Звичайно, в першу чергу захищають проектні документи в обороті компанії. Крім цього, політика конфіденційності має зачіпати бета-версії програмних продуктів, технічну документацію, а також усі специфікації, які підписуються в рамках проектів. Якщо застосовуються якісь унікальні методології, розроблені внутрішні системи (у тому числі зі створення ПЗ: Інтранет, CRM-системи тощо), то їх також необхідно включати в список конфіденційної інформації.

Актуальною інформацією, крім клієнтської проектної роботи, є і логічна побудова бізнес-процесів. Компанія може досить грамотно вибудувати політику стратегічних і маркетингових комунікацій, HR-програм. Їх також обов’язково необхідно включати до списку конфіденційної інформації.

Однак для того, щоб таємниця залишалася справжньою таємницею і була можливість притягти до відповідальності за розголошення конфіденційної інформації (на жаль, без спеціальних заходів щодо покарань за порушення політики конфіденційності, немає гарантій збереження репутації), необхідно пройти певні етапи всередині самої компанії.

Головним результатом роботи має стати внутрішній регламент, складений за участю маркетологів, юристів, адміністративного персоналу та ІТ-фахівців з такими обов’язковими кроками:

  • список робочої групи, що здійснює комплексну роботу з реалізації програми конфіденційності: представники служби безпеки, юрист, ІТ-фахівець, маркетолог, один із партнерів;
  • перелік відомостей, які складають комерційну таємницю компанії;
  • порядок доступу до конфіденційної інформації, облік осіб і організація контролю, а також покладання відповідальності за розголошення конфіденційної інформації.

Крім того, корисним буде і складення списку «групи ризику», тобто тих, хто потенційно може порушити політику конфіденційності компанії, а саме:

  • клієнти (існуючі), які відвідують офіс;
  • стажисти (офіційного оформлення як стажистів у них може і не бути, проте з ними також має бути підписано угоду про нерозголошення конфіденційної інформації, оскільки ця категорія осіб має доступ до документів компанії);
  • постачальники (юридичні компанії нерідко самі стають замовниками консультаційних та інших послуг. Логічним є обговорення питань конфіденційності інформації до старту робіт);
  • аlumniclub. Не завжди співробітники працюють на умовах трудового договору та пов’язані законодавством через положення і вимоги. Багато юристів, залишаючи компанію, переходять до конкурентів або виходять на ринок як фрілансери, надаючи послуги компанії на умовах підряду (для контрактерів і тих співробітників, які залишають компанію, необхідно вибудовувати окрему юридичну систему зобов’язань щодо недопущення розголошення конфіденційної інформації. Як правило, подібні зобов’язання потрапляють у договір підряду, договір консультанта в одному випадку і в первинний трудовий договір про нерозголошення інформації на певну кількість років, — в іншому).

Якою є нормативно-правова база щодо питання захисту інформації та збереження її конфіденційності в юрфірмі та притягнення до відповідальності за її розголошення? Чи реально на практиці довести провину конкретного співробітника у витоку інформації?

Олександр ЛУК’ЯНЕНКО,
радник, адвокат ЮК «Ващенко, Бугай та Партнери»

Сьогодні в України майже немає спеціальної нормативної бази щодо захисту конфіденційності інформації в юридичній фірмі. На юридичні фірми поширюються загальні вимоги щодо захисту інформації, встановлені Законами України «Про інформацію» та «Про захист персональних даних». Окремі норми щодо захисту інформації містяться в Цивільному кодексі (ЦК) України, Господарському кодексі (ГК) України та інших нормативних актах. При цьому характер інформації, яка підлягає охороні, залежить від правової природи суб’єкта, якого стосується інформація.

Так, Законом України «Про інформацію» визначено, що конфіденційною інформацією є: 1) інформація про фізичну особу; 2) інформація, доступ до якої обмежено фізичною або юридичною особою. До інформації про фізичну особу відносяться відомості про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, тобто персональні дані. Орієнтовний обсяг інформації про фізичну особу наведений у рішенні Конституційного Суду України від 20 січня 2012 року № 2-рп/2012, однак цей перелік не є вичерпним. До конфіденційної інформації про юридичну особу відносять комерційну таємницю (стаття 505 ЦК України, стаття 36 ГК України), ноу-хау (стаття 1 Закону України «Про інвестиційну діяльність»), банківську таємницю (стаття 60 Закону України «Про банки і банківську діяльність»).

У той же час законодавством не заборонено поширювати режим конфіденційної інформації на будь-які інші відомості шляхом укладання договору та встановлювати відповідальність за її розголошення за обмеженням, встановленим постановою Верховної Ради України від 9 серпня 1993 року № 11.

Спеціальними нормативними актами щодо збереження конфіденційності інформації, які поширюються винятково на юридичну діяльність, є Закон України «Про адвокатуру та адвокатську діяльність» і Правила адвокатської етики, затверджені З’їздом адвокатів України 17 листопада 2012 року, якими встановлені зобов’язання щодо збереження адвокатської таємниці. Однак сьогодні більшість юридичних фірм та приватних юристів надають послуги не як суб’єкти адвокатської, а як суб’єкти господарської діяльності. Тому застосування положень щодо захисту адвокатської таємниці у цих випадках є неможливим.

Збирання доказової бази у справах про розголошення конфіденційної інформації є надзвичайно складним процесом. У даному випадку необхідно довести не лише власне факт розголошення, а й факт обізнаності співробітника в тому, що він розголошує конфіденційну інформацію. Законодавством передбачено обов’язкове поширення юридичною особою режиму конфіденційності щодо певної інформації. Це має бути зроблено шляхом прийняття на підприємстві внутрішніх правил, політики тощо.

Необхідною обставиною, яка має бути доведена, є обізнаність співробітника про розголошення ним конфіденційної інформації. Тому всі співробітники компанії, які мають доступ до конфіденційної інформації, мають бути обізнані з правилами та політикою компанії, про що має бути отримане письмове підтвердження. Окрім того, для доказування розголошення інформації конкретним співробітником у компанії необхідно запровадити режим доступу до конфіденційної інформації з обов’язковою фіксацією осіб, які отримують конфіденційну інформацію.

Особливу складність являє доказування факту розголошення конфіденційної інформації конкретним співробітником. Найбільш суттєвими доказами розголошення інформації певним працівником можуть бути зафіксований за допомогою аудіо- або відеозасобів факт передачі інформації та показання особи, яка отримала інформацію. Проте на практиці отримати такі докази видається практично неможливим.

Важливим доказом можуть стати наявність електронних листів, якими була надіслана конфіденційна інформація. Однак у даному випадку необхідно довести факт відправлення цього листа саме визначеним співробітником. Таке доказування значно ускладнюється, якщо фактичний доступ до комп’ютерів мають усі співробітники компанії.

Окрім того, для доказування факту розголошення інформації конкретним співробітником можливо провести експертизу технічних засобів (комп’ютера, телефону), якими користувався співробітник, на вирішення якої поставити питання про передачу інформації третім особам.

Отже, для доказування розголошення інформації певним співробітником необхідно довести у сукупності такі факти:

1) віднесення юридичною особою інформації до конфіденційної (затвердження політики та правил компанії);

2) встановлення особливого режиму доступу та обмеженого кола осіб, які мають доступ до конфіденційної інформації;

3) обізнаність співробітника про розголошення ним конфіденційної інформації (проведення роз’яснювальної роботи та позначення носіїв інформації відповідною позначкою);

4) факт розголошення інформації конкретним співробітником (аудіо-, відеофіксація, показання свідків, наявність письмових доказів розголошення інформації, проведення експертиз).

Виходячи з наведеного вище, варто зазначити, що доказування провини певного співробітника у розголошенні конфіденційної інформації є вельми складним процесом, який на практиці майже неможливо реалізувати. Для доказування цього факту компанія має заздалегідь здійснити всі можливі заходи для запобігання витоку інформації.

Чи є доцільним надання працівникам юрфірми віддаленого доступу до робочого комп’ютера, автоматизованих систем та сервера? Які ІТ-рішення є найбільш ефективними для захисту інформації та збереження її конфіденційності?

Ростислав КРАВЕЦЬ,
адвокат, старший партнер АК «Кравець і Партнери»

Віддалений доступ доречно надавати лише партнерам та старшим юристам. При цьому доцільно вести електронне протоколювання доступу до документів. Також треба надавати всім можливість вести поштову переписку винятково через захищений поштовий сервер компанії. Таким чином зменшується можливість витоку інформації.

Звичайно, людський фактор неможливо виключити. Однак у разі необхідності доступу до документів та віддаленої роботи є необхідність надати доступ до документів. У першу чергу встановлення з’єднання здійснюється за спеціальним захищеним протоколом. Усі сеанси повністю протоколюються. Тому несанкціоноване втручання практично неможливе. А все інше можна відстежити.

Перш за все до найбільш ефективних для захисту інформації IT-рішень належить свій окремий доменний сервер. Тобто підключення здійснюється через захищений протокол з персональним кодом доступу. Також бажано шифрувати сам сервер та розмістити його за кордоном для запобігання його вилучення і втрати даних.

Олександр МОСКОВКІН,
заступник генерального директора Lexpro (Росія)

Сфера ІТ, що б не говорили шановні партнери юридичних фірм, — таємниця за сімома печатками та сфера, де слова надзвичайно часто розходяться з ділом. За доказами далеко ходити не треба: погляньте на кількість інформаційних витоків (простіше кажучи «зливів») не тільки в юридичній та бізнес-сфері, але й у сфері державного управління. Усе це відбувається насамперед і переважно тому, що люди, які мають доступ до конфіденційної інформації, часто нехтують елементарними правилами безпеки: переписуються з безкоштовної пошти, користуються безкош­товними або умовно безкоштовними сервісами, придумують легкі паролі на кшталт «12345».

Усе це, якщо йдеться про корпоративні таємниці, — ідіотизм. Точніше навіть злочинний ідіотизм. На жаль, незважаючи на величезну кількість шишок, які юристи набивають, забуваючи про елементарну обережність, я все одно бачу приклади недбалого, злочинного ставлення до питань захисту інформації мало не щодня.

Зрозуміло, що не всі помилки зводяться до перерахованих вище пунктів. Надзвичайно важливим є так званий людський фактор, коли люди, хитрі на вигадку, при бажанні обходять будь-які заборони і будь-який захист. Єдиний вихід — невпинний, постійний контроль. Якщо ви працюєте з по-справжньому важливою інформацією, не скупіться на те, щоб мати власні сервери, грамотну підтримку, власну електрон­ну пошту, доступ до якої є у керівництва компанії. Ніколи не зберігайте всю інформацію в одному місці, щоб недбайливий співробітник не міг вкрасти всі секрети разом. Ці нехитрі прийоми я активно використовую у своїй компанії; без дотримання цих правил усе інше — дорогі системи, модні гаджети, сучасна ІТ-інфраструктура — безглуздо.

Ми ретельно перевіряємо співробітників, які мають віддалений доступ до серверів компанії: такі люди повинні користуватися безумовною довірою і бути лояльними (ступінь довіри і лояльності визначаю або я, або генеральний директор, після чого ставимо на службовій записці з проханням віддаленого доступу дозвільну візу). Обов’язкова умова — візит до них додому (якщо доступ забезпечується з дому) когось із ІТ-департаменту фірми: ми не допускаємо кустарних підключень, зроблених «на авось».

У мене немає упереджень проти безкоштовних сервісів на кшталт GoogleDocs або Dropbox: ми активно використовуємо їх, проте всім зрозуміло, що далеко не всю інформацію можна викладати туди. Одна справа — клієнтська презентація, викладена в Dropbox та доступна за прямим посиланням в Інтернеті (в цьому, звісно, немає нічого поганого), зовсім інша — фінансова інформація або клієнтська база. Вони за жодних обставин не можуть опинитися на безкоштовному ресурсі навіть за умови захисту найнадійнішим на світі паролем.

Яким чином у вашій компанії сформовано принципи єдиної політики конфіденційності? Як сформувати у працівників «інстинкт» захисту інформації та збереження конфіденційності? Якими є найбільш дієві способи захисту інформації?

Геннадій ПАМПУХА,
адвокат, генеральний директор МЮК «Принцип»

Віддалений доступ, дистанційне нав­чання, робота — всі ці дефініції нині ми часто чуємо у ЗМІ, а особливо — від представників міжнародних компаній. Якщо говорити про це з точки зору конфіденційності, то, звичайно ж, на перший погляд, не допустити витік інформації від офісного співробітника легше, ніж від того, хто працює вдома або перебуває у відрядженні. Давайте розглянемо як плюси, так і мінуси цього, адже у медалі завжди є зворотний бік.

Плюси:

— податкові знижки (залучення до роботи людей з обмеженими фізичними можливостями, які працюватимуть удома, мінімізація оренди офісного приміщення, а то й зовсім його відсутність);

— можливість бути постійно на зв’язку, навіть перебуваючи у закордонному відрядженні.

Мінуси:

— зменшення можливості постійного контролю за діяльністю підлеглих;

— зменшення можливості давати термінові поточні завдання;

— збільшення можливості витоку інформації в мережі Інтернет.

Попри це, необхідно підкреслити можливі види захисту інформації. Усе залежить від бажання та від фінансування компанії. Перш за все можна всім видати індивідуальні ноутбуки, планшети та флеш-накопичувачі, які будуть прошиті і підходити тільки один до одного і підключені до одного загального серверу, який буде всю створену інформацію накопичувати, незважаючи навіть на її видалення з пристроїв користувача. Також можна створити відеоспостереження за співробітниками, яке нині часто практикується у великих столичних компаніях. Окрім того, можна наймати відділ служби безпеки, а якщо такий є, то додати його начальнику більше функцій і повноважень.

Владислав САМКО,
фахівець ІТ-департаменту МЮГ AstapovLawyers

Надання віддаленого доступу вважаю доцільним, адже, крім основного місця роботи, у юристів та адвокатів значну частину робочого часу займають відрядження, тому можливість дистанційного доступу до автоматизованої системи компанії є однією з основних вимог бізнесу.

В юридичній компанії на основі політики безпеки має бути розроблена «Процедура надання віддаленого доступу до автоматизованої системи підприємства», згідно з якою надаватиметься віддалений доступ для співробітників. Дистанційний доступ може надаватися працівникам, які так чи інакше пов’язані з робочим процесом і для більш ефективної роботи потребують можливості віддаленого доступу до автоматизованої системи. Доступ до внутрішніх ресурсів компанії надається за службовою заявкою, в якій чітко визначено перелік ресурсів та інформацію, зазначено права і час, на який надається доступ. Віддалений доступ може бути наданий тільки після погодження з керівництвом.

Дистанційна робота і віддалений доступ повинні відповідати меті інформаційної безпеки, зокрема гарантувати конфіденційність, цілісність і доступність інформації. Це може бути досягнуто завдяки поєднанню функцій забезпечення безпеки, закладених у засобах організації віддаленого доступу, і додаткових засобах безпеки, що застосовуються на клієнтських пристроях. Рекомендується використовувати техніку, надану компанією, адже невідоме обладнання може бути уражене вірусним прог­рамним забезпеченням та не мати встановлених засобів антивірусного захисту.

Згідно з Процедурою надання віддаленого доступу до автоматизованої системи підприємства, для користувача створюється обліковий запис доступу до віртуальної приватної мережі — VPN — і визначаються ресурси та інформація, до яких буде дозволено доступ. Також рекомендується забезпечити виготовлення і видачу співробітнику електронного ключа (смарт-карти, USB-token) для організації двофакторної авторизації при віддаленому доступі.

У нашій компанії використовуються апаратні шлюзи ISA (Integrated Security Appliance) для організації безпечного дос­тупу завдяки технології VPN та криптографічного шифрування мережевого трафіку. Використання мережевого екрану (firewall) допомагає організувати захист внутрішньої мережі від DDoS-атак та забезпечує контроль за доступом до ресурсів компанії, а також надає можливість моніторингу і фіксації всіх встановлених сесій. Застосування методів двофакторної авторизації забезпечує надійний захист ресурсів від несанкціонованого втручання. Захист та збереження конфіденційності інформації в локальній мережі гарантує система Data Loss Prevention (DLP). Для організації конфіденційного електронного поштового листування, використовується шифрування Pretty Good Privacy (PGP).