Судебная практика: Использование DLP для доказательства разглашения информации

Судебная практика: Использование DLP для доказательства разглашения информации
Для любителей DLP выкладываю несколько полезных ссылок на судебные дела, в материалах которых фигурирует упоминание DLP-систем в качестве источника доказательства разглашения информации. 

Хахаха, скептикам, которые все еще пытаются утверждать, что DLP-системы нарушают конституционные права граждан. Чушь все это (если вы конечно все правильно делаете, как смотреть тут)! Суды вполне себе принимают отчеты DLP, и представлять их полезно. Но стоит помнить, что их наличие не является необходимым и тем блолее достаточным условием признания вины...

Итак, судебная практика:

1.Решение по делу 1-160/2013, ЗАО «ФосАгро АГ» против Топчян А.А.

Суть дела: Сотрудника уволили по ст. за разглашение сведений, составляющих КТ, а потом еще судили по ст. 183 УК РФ (Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну, ч1 и ч2).

Упомянутое DLP: "Дозор-Джет" и "Контур безопасности"

Победитель: Компания

Решение Суда: Суд признал Топчана А.А. виновным по ч.1 и ч.2 ст. 183 УК РФ и назначил наказание в виде 1 года 9 месяцев исправительных работ с удержанием из заработка ежемесячно 15% в доход государства.


Чем интересно:
  • Сотрудник сначала был уволен по ТК РФ (за разглашение), а потом его еще судили по УК РФ.
  • Подсудимый вину не признал.
  • Разглашение происходило неоднократно на длительном промежутке времени (несколько лет).
  • Информацию, содержащую КТ, сотрудник пересылал на свой внешний почтовый ящик и далее различным адресатам электронной почты.
  • Суд признал достаточность мер для режима КТ (даже без грифа на документах).
  • Принятые доказательства: заключение экспертной комиссии компании, выписка из системы учета рабочего времени, протокол выемки в ООО «Мэйл.ру» и пр. Тут стоит отметить, что преследование было по УК, а значит и доказательств собиралось больше, чем нужно при увольнении по ТК.
  • Компания, которой передавались сведения, содержащие КТ, признала и возместила нанесенный ущерб в размере 2 млн. долларов США. 
  • Очень легкое наказание (на мой взгляд).

2.Решение по делу №33-90/11, Садыков Т.Ф. против ЗАО ???

Суть дела: Сотрудника уволили по статье (разглашение), он обиделся и обратился в суд с иском о восстановлении на работе, взыскании заработной платы за время вынужденного прогула, компенсации морального вреда.

Упомянутое DLP: «Дозор-Джет»

Победитель: Сотрудник

Решение Суда: Решение суда оставить без изменения (увольнение признано незаконным, сотрудник восстановлен в должности, ему заплатили средний заработок и компенсацию морального вреда).


Чем интересно:
  • Истец вину не признал.
  • Истец был в должности советника директора по безопасности.
  • Победил Истец, его восстановили на работе, заплатили средний заработок (~93 500 рублей) и моральный ущерб (10 000 рублей).
  • Суд в итоге признал разглашение банковской тайны, но все равно не изменил решение о восстановлении на работе.
  • Факт разглашения доказывался наличием о объяснением принципов работы DLP системы. "Отправка сообщения, содержащего банковскую тайну, зафиксирована программным комплексом «Дозор-Джет», что подтверждено актом по факту выполнения копий с экрана от 22 октября 2010 года".
  • "Судебная коллегия соглашается с доводами ответчика о том, что не имеет юридического значения факт прочтения сотрудниками третьего лица электронного сообщения и последующее удаление почтового адреса, на который сообщение поступило, поскольку в рассматриваемом случае разглашение окончено с момента поступления информации в обладание третьего лица." Т.е. пересылка по электронной почте - разглашение.
  • "Вместе с тем установления только факта разглашения информации, составляющей тайну, для привлечения работника к дисциплинарной ответственности недостаточно."
  • Ответчик не смог доказать, что сообщение отправлял Истец. Показания свидетеля (специалиста ИБ), который не присутствовал в момент передачи сообщения, не знаком и Истцом, и в должностную инструкцию которого не входит контроль Истца, нельзя признать достоверным доказательством.
  • "Ранее истцом уже допускалась пересылка информации путем электронных сообщений на сторонние адреса других банков, но, с учетом заслуг истца, было осуществлено только его депремирование". А еще на него было применено дисциплинарное взыскание в виде выговора. Но Ответчик не смог предоставить доказательства "неоднократности" разглашения.
  • Была нарушена процедура увольнения (не были учтены тяжесть совершенного проступка и обстоятельства, при которых он был совершен). По сути, это и стало причиной победы Истца. "Ответчиком не было представлено суду доказательств того, что мера дисциплинарного взыскания в виде увольнения была применена к истцу с учетом тяжести совершенного проступка и обстоятельств, при которых он был совершен, что также подтверждает вывод суда о незаконности увольнения истца."
  • На мой взгляд, компания "чуть-чуть не дожала до победы". Им надо было ссылаться на внутренние положения о парольной защите (у всех свой логин/пароль и их нельзя передавать), приложить информацию из СКУД и системы видеонаблюдения (о том, что сотрудник во время разглашения был на рабочем месте), пригласить свидетелей, которые могли бы сказать, что сотрудник был на рабочем месте. Также желательно было в протоколах и/или служебных записках зафиксировать, что анализ тяжести проступка и обстоятельств дела проведен, а из DLP сделать выгрузку отчетов, доказывающих неоднократное нарушение правил работы с информацией ограниченного доступа. Этого должно было бы хватить...

3.Решение по делу №2-11976/2014 ~ М-10846/2014, ???ФИО1. против Фонда социального страхования

Суть дела: Сотрудника уволили по статье (разглашение), она обиделась и обратилась в суд с иском о признании приказа об увольнении незаконным, восстановлении на работе, признании записи в трудовой книжки недействительной, оплате время вынужденного прогула, взыскании компенсации морального вреда.

Упомянутое DLP: InfoWatch

Победитель: Компания

Решение суда: Отказано в удовлетворении иска


Чем интересно:
  • Я лично принимал участие в процессе, помогал готовить аргументацию и документы для Ответчика (Компания).
  • Истец вину не признала, "ссылаясь на осуществление над её компьютером удаленного управления".
  • Уволили за разглашение служебной тайны (достаточно было наличия перечня информации ограниченного доступа, режим не нужен).
  • Внутреннее расследование началось с того, что Истец попыталась отключить агента DLP на рабочей станции. Подразделение ИБ заинтересовалось этим, и изъяло ПК сотрудницы, на котором и обнаружилось много информации, к которой она не должна была иметь доступ. В дальнейшем в отчетах DLP были найдены другие факты разглашения информации.
  • Ответчиком была соблюдена процедура увольнения. Доказательство разглашения было приведено в протоколе внутренней комиссии, проводившей проверку по факту инцидента. 

4.Решение по делу №2-283/2015 (2-6150/2014) ~ М-6623/2014, Пономаренко О.А. против ООО Национальная служба взыскания

Суть дела: Сотрудника уволили по статье (разглашение), она обиделась и обратилась в суд с иском о признании приказа об увольнении незаконным, восстановлении на работе, признании записи в трудовой книжки недействительной, оплате время вынужденного прогула, взыскании компенсации морального вреда.

Упомянутое DLP: InfoWatch

Победитель: Компания

Решение суда: Отказано в удовлетворении иска


Чем интересно:
  • Я лично принимал участие в процессе, помогал готовить аргументацию и документы для Ответчика (Компания).
  • Истец скопировала на флешку всю информацию (туда попала и КТ и ПДн), которую смогла достать, и пыталась шантажировать руководство. 
  • Режим КТ в компании не установлен (реализованы не все требования).
  • В итоге уволили за разглашение ПДн и пересылку по электронной почте на личный почтовый ящик (этот факт подтвержден DLP).
  • Ответчик в итоге согласился на мировое соглашение (это при том, что в суде выиграл).

Alt text

Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей. Смотрите новый выпуск на нашем Yotube канале

Andrey Prozorov

Информационная безопасность в России и мире