25 ноября 2011 г.

Про DLP, компьютерные расследования и не «бумажную» безопасность

Довольно интересная дискуссия про то, что делать, когда вы заботитесь о сохранности данных, а они все равно уходят. Чем поможет и поможет ли полиция, можно ли решать проблему сбора доказательств своими силами, и чем могут помочь технические средства, DLP - средства предотвращения утечек данных,,в частности.
Участники интересны каждый сам по себе, а вместе – особенно. В том числе и уникальностью события, когда они вместе.
Даже тем, кто считает все это блажью.
Если вы действительно заботитесь о безопасности, а не только о достижении соответствия чему-нибудь и проверках надзорных органов, задуматься о том, что и как делать с инсайдерами, все равно придется. Назначение и контроль прав на электронные документы (IRM/RMS), выявление фактов, вызывающих подозрение на утечку и блокирование действий «на лету» (DLP), полный запрет на использование неконтролируемых устройств вывода или что-то еще? Каждый решает сам. Но почему бы не послушать тех, кто уже имеет сложившееся мнение и представление о возможном решении проблемы…


21 ноября 2011 г.

Секреты самой технологичной отрасли

Жизнь часто ломает сложившиеся по той или иной причине стереотипы. Так и со мной. Занимаясь много лет вопросами коммерческой тайны, я сталкивался в основном с проблемами крупных и очень крупных компаний, в основном – холдингов, которые разворачивали долгую, сложную и многоуровневую работу по защите своих секретов.
Постоянным было ощущение, что защита исключительных прав на секреты производства, технологии (ноу-хау) должна интересовать и совсем другой сегмент бизнеса - малый и средний, но высокотехнологичный. Часто нематериальные объекты интеллектуальной собственности являются главным активом этих компаний, не обладающих нефтяными месторождениями, зданиями и территориями, развитой инфраструктурой.
А какая отрасль у нас одна из самых технологичных? Пищевая и общественного питания! Не обеспечил выполнение тончайших нюансов процесса приготовления блюда – и оно безнадежно испорчено. Не знаешь секретов – и по одинаковому вроде бы рецепту у одного получается «Пепси-кола», а у другого – «Байкал». Недаром самый длительный известный мне период хранения коммерческих секретов – у компании «Кока-Кола», запершей рецепт (сироп Пембертона, Х7) в сейфе с двумя ключами еще в 1886 году и с тех пор успешно ограждающей его от чужого внимания.
Оказывается, современная Россия тоже идет этим путем.
Несколько лет назад мое внимание привлекла история борьбы за свои права на секреты производства анжеро-судженского кондитерского предприятия "Дарница", обнаружившего на прилавках города печенье и пирожные, очень похожие на их продукцию. Секрет разрешался просто. Рецептура ушла к конкурентам вместе с перешедшим к ним на работу технологом. По заявлению пищевиков в дело вступил местный ОБЭП, который присущими ему методами сумел убедить конкурентов отказаться от выпуска продукции по ворованным технологиям.
История показалась забавной, но не более того.
Недавно на одном из порталов по поддержке бизнеса увидел «Положение о неразглашении коммерческой тайны предприятия общепита» и типовой договор с работником о неразглашении этой самой тайны. Заинтересовался. Дальше – больше.
На Блоге Михайловича обнаружилась «Должностная аннотация повара 5 разряда». Учитывая столь высокий разряд, от повара требуется не только уметь готовить рыбное и мясное заливное, супы на прозрачных бульонах из рыбы и мяса, сельскохозяйственной птицы, пернатой дичи, знать органолептические способы оценки свойства кулинарной продукции, признаки недоброкачественности блюд и кулинарных изделий, методы устранения пороков в готовой кулинарной продукции, но и не давать интервью, не проводить встреч и переговоров, касающихся деятельности Работодателя без подготовительного разрешения Управления организации и не разглашать сведения, составляющие коммерческую ее тайну.
Оно и правильно. Зная такие тонкости, как способы приготовления волованов, крутонов и тарталеток, легко в ходе несанкционированного интервью увлечься и разгласить самые главные тайны работодателя - базы оптимального питания и методы сокращения утрат и сохранения питательной ценности пищевых товаров при их термической обработке.
Иногда на предприятиях пищепрома разыгрываются нешуточные битвы за контроль, и тогда в дело вновь вступает институт коммерческой тайны. Вот попытался один уз участников ООО «Трусовский хлебозавод» взять его «под себя», выкупив доли у других владельцев, ан нет. Другие его участники ее из состава-то и вывели, обосновав свое решение тем, что он распространял третьим лицам конфиденциальную информацию о деятельности Общества, а это предусмотрено как основание для исключения в ст. 9 ФЗ-14 «Об обществах с ограниченной ответственностью». Только проблема-то в том, что конфиденциальными общество посчитало сведения о составе его участников, размере их долей в уставном капитале и о местожительстве участников. А это сведения, содержащиеся в учредительных документах юридического лица и ЕГРЮЛе, и относить их к коммерческой тайне нельзя. Вот и пришлось по решению суда вернуть возмутителя спокойствия назад, в состав участников.
Пытаются пищевики, отнеся сведения к коммерческой тайне, оградить себя от излишнего внимания органов власти, интересующихся интимными подробностями организации производства. В целом, конечно, правильно, поскольку в соответствии с ФЗ-8 «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления», к информации о деятельности органов власти относятся в том числе и сведения, поступившие к ним от иных организаций и предприятий, а любое лицо, физическое или юридическое, может запросить, не обосновывая необходимость получения информации, любые сведения о деятельности государственных органов и органов местного самоуправления, доступ к которой не ограничен, в том числе, и поступившие извне. Поэтому фактически единственный способ оградить себя от разведки через органы власти - это отнести информацию к коммерческой тайне и ограничить к ней доступ.
Вот только избежать ее представления, пусть и с грифом, в соответствующие органы не удастся, если запрашиваемые ими сведения необходимы для осуществления возложенных на них функций.
Именно к такому выводу пришли арбитражные суды, обязавшие поделиться информацией двух производителей алкогольной продукции: «Псковпищепром» - с территориальным управлением Федеральной антимонопольной службы, заинтересовавшейся хозяйствующими субъектами, чья доля составляет более 10% от общего объема продаж, и «Баренц-Алко», попытавшемуся под предлогом коммерческой тайны не показывать налоговикам результаты маркетингового исследования, затраты на которое, по мнению производителей, снижали их налогооблагаемую базу. Не получилось. Раскрывать информацию никто не собирался, а вот представить ее в органы власти пришлось. Закон обязывает.
В продолжение темы предыдущего поста. Институт коммерческой тайны полезен не только enterprise-сегменту бизнеса, но и предприятиям SMB. Только применять его надо аккуратно и корректно, все время оглядываясь на закон.

13 ноября 2011 г.

Коммерческая тайна и персданные: парадоксы правосудия

По мере накопления практики применения российскими судами законодательства о коммерческой тайне можно уже делать кое-какие выводы о том, что и как реально нужно предпринять обладателю коммерческих секретов, если он планирует обращаться в суд для отстаивания своих прав в случае их нарушения.
В первую очередь надо отметить, что появляется практика защиты интересов бизнеса, для которого главным охраняемым ресурсом является клиентская база. Обилие объявлений типа «Примем на работу менеджера со своей клиентской базой» заставляет задуматься, откуда сейлз возьмет эту самую «свою» базу, и на каком основании он ее понесет новому работодателю. И что делать тому, у кого эту базу унесли.
Разберемся, например, с соотнесением категорий коммерческой тайны и персональных данных. После появления двух соответствующих законов и отнесения в 188-м Указе Президента этих сведений «конфиденциального характера» к разным категориям постоянно приходится слышать споры о том, в каком режиме охранять персональные данные, если уже введен режим коммерческой тайны, и можно ли вообще относить сведения о клиентах-физических лицах к секретам производства. Представляется, если персданные связаны с объемом и составом оказываемых им услуг, однозначно можно. Подтверждение тому можно почерпнуть в правоохранительной и судебной практике.
Так, в феврале 2008 г. мировой судья судебного участка № 4 Красногорского района Каменска-Уральского признал, что ведущий специалист страховой компании «Гамма», ранее работавшая в «Росгосстрахе», использовала сведения, составляющие коммерческую тайну ОАО «Росгосстрах» (клиентскую базу) без согласия владельца (ч. 2 ст. 183 УК), и, учитывая возраст (57 лет) и отсутствие судимостей, приговорил ее к 6 месяцам лишения свободы условно. Суд нисколько не сомневался в охраноспособности этих сведений, безусловно, являющихся одновременно и персональными данными, и встал на сторону пострадавшей от нарушения своих исключительных прав страховой компании.
Вообще, в секторах экономики, работающих с физическими лицами, где конкуренция весьма высока, практика привлечения к ответственности бывших работников, прихвативших с собой клиентскую базу, или «засланных казачков», сливающих сведения о клиентах конкурентам, становится все более и более обыденной.  Так, в мае того же 2008 года Пресненский суд г. Москвы отклонил иск о замене основания увольнения со ст. 81 п.6 (разглашение коммерческой и иной охраняемой законом тайны) на ст. 77 п. 3 (по собственному желанию) бывшей сотрудницы турфирмы «Интерсити сервис» (холдинг KPM Group) , которая в течение года отправляла конфиденциальную информацию в другую туристическую компанию со своего компьютера и с компьютеров других сотрудниц и была уличена службой безопасности.
В аналогичной ситуации главный экономист кредитного отдела саратовского филиала банка "Петрокоммерц" был уволен по ст. 81 Трудового кодекса РФ за «разглашение охраняемой законом коммерческой тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей», которое выразилось в передаче клиентской базы в конкурирующий банк, где ему была обещан оклад на 40% больше. Иск о незаконности увольнения судом Октябрьского района г.Саратова был отклонен. Причем на аргумент уволенного менеджера о возможности использования его компьютера другими лицами для его компрометации, суд сделал неожиданное предложение ему самому найти того человека, кто это сделал.
А вот арбитражные суды в такой же ситуации порой занимают прямо противоположную позицию. Интересно в этом отношении постановление Тринадцатого арбитражного суда по иску Управления ФАС и ЗАО «А.Д.Д.» к ООО «АЕГЭ», основанному бывшими менеджерами «А.Д.Д.». Суть дела совершенно аналогична – работники, уйдя из «А.Д.Д.», создали свою компанию, занимающуюся ровно тем же, что и бывший работодатель, предлагаю ту же продукцию клиентам «А.Д.Д.». В доказательство хищения коммерческих секретов были представлены логи, свидетельствующие об отправке работником с электронного адреса, расположенного на сервере ЗАО «А.Д.Д.», сообщений с прикрепленными файлами на иной внешний адрес, принадлежащий ему же. А суд решил, что истцы не представили доказательств того, что была передана именно информация, составляющая коммерческую тайну (ИКТ), а также и то, что отправку сообщений осуществил названный бывший работник, так как доступ к электронному адресу, названному судом «спорным» и расположенному на сервере ЗАО «А.Д.Д.», имели и иные лица, в частности, системный администратор и сотрудники службы безопасности ЗАО «А.Д.Д.». Более того, суд посчитал, что поскольку в иске речь шла о поставщиках и потребителях продукции ЗАО «А.Д.Д.», сведения о которых включены в ЕГРЮЛ, ООО «АЕГЭ» вполне могло и самостоятельно получить эту информацию из отрытых источников, и, в соответствии с ФЗ «О коммерческой тайне», она  считается полученной законным способом, несмотря на то, что ее содержание может совпадать с содержанием сведений, составляющих коммерческую тайну, обладателем которой является другое лицо.
В совершенно аналогичной ситуации Октябрьский районный суд Новосибирска в 2011 г. осудил бывших менеджеров ООО «Сибпластком-1» за незаконное использование сведений, составляющих коммерческую тайну (ч. 3 ст. 183 УК РФ), которые при увольнении скопировали клиентскую базу ритейлера (состоящую из юридических лиц) и открыли фирму подобного профиля, переманив часть деловых партнеров конкурента. Возможность создания такой базы подозреваемыми самостоятельно судом вовсе не рассматривалась.
Кстати, в упоминавшемся постановлении Тринадцатого арбитражного суда было еще и отменено предписание Управления ФАС о прекращении ООО «АЕГЭ» нарушения антимонопольного законодательства (в форме недобросовестной конкуренции). Суд отметил, что при вынесении решения Управлением ФАС, не исследовался вопрос о соблюдении третьими лицами режима коммерческой тайны, а именно, обеспечение сохранности конфиденциальности коммерческой тайны, а в оспоренном решении антимонопольного органа не нашло отражение то обстоятельство, что третьими лицами в целях охраны коммерческой тайны были соблюдены все требования законодательства РФ.
Арбитражные суды крайне строго подходят к полноте реализации предписанных законом режимных мер. Так, рассматривая иск ОАО «Уралвагонзавод» к конкурентам, воспользовавшимся его технологической документацией, арбитражный суд Волго-Вятского округа согласился с выводами предыдущих судов о непринятии истцом, пострадавшим от хищения чертежей своей продукции, всех необходимых мер для охраны конфиденциальности информации. В ходе слушаний было установлено, что «Уралвагонзавод» не смог представить доказательств нанесения грифа «Коммерческая тайна» на документы, содержащие ИКТ, что свидетельствует о неполноте принятия предусмотренных законом охранных мер. А ведь режим коммерческой тайны считается установленным после выполнения ее обладателем всех требований, прописанных в ч.1 ст.10 федерального закона. И нанесение ограничительного  грифа с указанием обладателя ИКТ и его места нахождения является таким же обязательным, как наличие перечня ИКТ или трудовых договоров с работниками, допущенными к секретам.
Из всего этого можно сделать вполне очевидные выводы, что при установлении и поддержании режима коммерческой тайны нет мелочей, а к расследованию фактов ее разглашения надо подходить крайне аккуратно, не допуская отклонений от предписанной законом процедуры и привлекая к этому правоохранительные органы.

9 ноября 2011 г.

Infosecurity: картинки с голландской выставки

2-3 ноября в игрушечно-сказочном средневековом Утрехте, четвертом по величине городе Нидерландов, прошла очередная выставка Infosecurity-2011. Утрехт – один из четырех городов  мира, где в этом году проходила Infosecurity, еще совсем недавно проводившаяся аж в 11 странах.
До этого неоднократно приходилось бывать на Infosecurity и в Лондоне, и в Москве, так что есть с чем сравнивать.
Конечно, это не Лондон. Но и совсем не Москва последних лет.
Огромный зал. Порядка 120 стендов (не считая участников традиционно примыкающих выставок Storage Expo и Tooling Event, с ними – больше 200). Огромные стенды у абсолютного большинства участников. Шестиметровые «скворечники», так распространенные на московских выставках, – скорее исключение, как и положено, оттеснены на окраины экспозиции. Народу – прорва. Это при том, что выставка – локальная, основной рабочий язык – голландский, а народ пришел именно на выставку, а не на деловую программу, – хотя и там залы полные и свободного места не найти, если не пришел заранее.
Много мест для переговоров, большие зоны для питания. Т.е. арендован огромный выставочный комплекс, и вся его площадь используется по полной.
Что еще не как у нас. И даже не как в Лондоне. Нашли единственный стенд с местами для проведения презентаций. На всех остальных (подчеркиваю – огромных) стендах, в лучшем случае – полноценные бары с недетскими напитками. Этот, например, функционировал на стенде Лаборатории Касперского. В худшем – кофе-машины (но это уже обязательно).
А бары и кофе вместо презентационных площадок – это не просто так. Это другая философия выставки. Не максимально широкое распространение сведений о своих продуктах и услугах, а серьезные, долгие переговоры в довольно неформальной обстановке. Продажи на выставке! Мы об этом даже не мечтаем.
Единственный участник из России – естественно, Лаборатория Касперского. Вновь, который раз, порадовался и погордился за Евгения и его международную команду. Огромный стенд в центре зала, с симулятором Феррари Формулы 1 в натуральную величину. Тем, кто «проехался» быстрее всех – в подарок бутылка Moёt&Chandon.
Ну, а теперь – по существу. Что волнует умы европейских специалистов по ИБ? Судя по экспозиции и деловой программе, приоритеты надо расставить следующим образом:
1.       Безопасность виртуализированных и облачных инфраструктур (чаще всего – именно вместе).
2.       Непрерывность бизнеса.
3.       Безопасность мобильного доступа к ресурсам, особенно в разрезе BYOD – «Принеси свой собственный дивайс в ИТ-инфраструктуру работодателя».
Интересен сам состав участников: гиганты (Microsoft, IBM, Cisco, HP, все – на огромных стендах), практически все серьезные антивирусники, несколько нишевых вендоров, все остальные – интеграторы, консалтеры, дистрибуторы. В целом производителей софта и железа, кроме гигантов и антивирусников, очень мало. Juniper, Zyxel, пара производителей межсетевых экранов «нового поколения», систем контентной фильтрации и, пожалуй, все.
Зато предлагаются практически законченные решения на продвигаемой продуктовой линейке. Распространенный слоган (встречали на нескольких стендах) – “Security by design”.
Что удивило – активно участвуют в выставке и двигают услуги по обучению ИБ местные университеты, а их в Голландии-Бельгии очень много, и они очень хорошие. Да и Утрехт – город-университет, студентов больше, чем в Амстердаме.
Еще непривычное и недостижимое пока для нас – масса решений, заточенных под SMB-сегмент.
Чуть подробнее – про одну неожиданную для такой выставки тему: управление ИТ сервисами и управляемые сервисы. Как не покажется кому-нибудь странным, это и есть безопасность, и присутсвие зоны Tooling Events, которая как раз была посвящена управлению, было очень уместным. Решений предлагалось много, и они составляли внушительную часть выставки.
Исходная посылка проста и очевидна – ИТ-инфрастуктура становится все сложнее и сложнее, все больше бизнес-процессов обеспечиваются исключительно ею. Значит, она должна быть легко управляемой, обеспечивающей быстрое восстановление и простое изменение под изменившийся бизнес-процесс. Отсюда – сервисный подход к ИТ и масса предложений, как это сделать. Практически все серьезные решения обязательно включают каталог сервисов, Help Desk, управление событиями и инцидентами, управление обновлениями и изменениями. А дальше – в зависимости от ваших потребностей и возможностей: управление данными, знаниями, проблемами, уровнем сервиса, активами, конфигурацией, запросами пользователей (с контролем выполнения), и вообще всем, чем пожелаете. Все это – в полном соответствии с ITIL и сертификацией на соответствие ей (десяти базовым процессам библиотеки). А безопасность – потому что это в первую очередь доступность и целостность, а уж потом конфиденциальность. А не наоборот, как часто у нас.
Разочаровала деловая программа. Два формата – Семинары и Анализ конкретных проектов (уж не знаю, как лучше обозвать по-русски, Case Study, короче). Один выступающий, до 45 мин. на семинар, до 30 – на проекты. Никаких вам панельных дискуссий, круглых столов, шума, крика, веселья и бурного обсуждения. Скучно. Хотя темы и презентации попадались интересные. Пугающая презентация «Социальные сети: добро пожаловать на темную сторону» (Social Media: Welcome to the Dark Side) про ужасы халявного общения запомнилась картинкой.
В общем, не клиенты мы уже. А товар. Потому как бесплатный сыр, ну и далее...
Много говорили про облака, примерно тоже, что у нас – прогрессивно, но опасно. Но не смотря на это, на стендах предлагалась масса решений именно для обеспечения безопасности облачных сервисов.
Ну, и конечно, активно обсуждалась удаленная работа, смартфоны как главный источник опасности и BYOD. Технологических семинаров было немного, про всякие там IPv.6 и SOC v.2. В чем вторая версия, не уловил: в центре SOC теперь SIEM-система. Кто бы сомневался?
В целом было очень интересно. Мне всегда казалось, что мы отстаем от Европы в трендах ИБ на пару лет. Интересно, станет ли управление сервисами и ITIL главной темой информационной безопасности в Москве через пару лет? Что-то я сомневаюсь…