Знал бы, где упасть, соломки бы подстелил.
Народная мудрость
Все имеет свою цену, пока на это находится покупатель, а стоимость коммерческих секретов может быть огромной и достигать десятков и даже сотен миллионов долларов. Для наукоемких производств стоимость информации может значительно превышать ценность материальных активов, обеспечивающих собственно производство. При этом оценить стоимость коммерческих секретов не так просто (в отличие от увесистого оборудования), а сама цель оценки не представляется такой уж ясной. Однако как без ее проведения мы сможем понять свои риски в случае утраты критичных данных и применить защитные механизмы?
Оценка стоимости коммерческого секрета, как и любого другого нематериального актива, – настолько нетривиальная задача, что вернее было бы говорить не об оценке и уж тем более не о расчете, а скорее, о снижении степени неопределенности в отношении предмета наблюдения, выраженном какой-либо цифрой. Существует масса способов такой оценки – от проприетарных, предлагаемых, например Forrester, до российских федеральных и международных стандартов (IAS 38), эта тема заслуживает отдельной статьи или даже их цикла, и здесь мы не будем подробно останавливаться на ней. Однако точным может быть признан только тот анализ стоимости коммерческого секрета, который появился после его оценки рынком, в том числе в случае его кражи.
Так, ущерб от передачи информации, содержащей коммерческую тайну ОАО «Фосагро», партнерам из московского представительства Transammonia AG составил около $2 млн. Другой пример: один из сотрудников JP Morgan сообщил японскому хедж-фонду о выпуске акций Nippon Sheet Glass до официального объявления этой информации. В результате убытки составили $2 млрд. А ущерб Kia Motors, возникший в результате «слива» китайским конкурентам 57 различных технологий процесса сборки автомобилей Kia, сама компания оценила в фантастические $22,3 млрд!
Статистика, представленная в отчетах, свидетельствует о том, что доля утечек коммерчески ценной информации в общей структуре утечек неуклонно растет. Так, их число в 2013 году втрое превысило показатели 2012 года, причем в большинстве случаев были виноваты работники компании, половина из которых действовала умышленно. Чем же может воспользоваться организация для защиты своих данных?
Иллюзия контроля
Один из прогрессивных способов борьбы с утечками в современной компании, где подавляющий объем информации представлен в цифровом виде, – это использование в ключевых точках обработки данных различных систем: разграничения и управления доступом, противодействия утечкам, корреляции событий, мониторинга и др. Основной их задачей является реализация всего комплекса мер предотвращения и выявления утечек информации ограниченного распространения. Эти системы способны ограничить доступ к разным категориям информации, а также «наблюдать» за данными в моменты их «движения» и принимать предопределенные меры: «тормозить» их или сообщать о событии офицеру безопасности.
Тем не менее процессы борьбы с утечками далеко не идеальны и связаны с целым рядом проблем. Здесь и ошибки конфигурирования систем, выражающиеся в избытке прав или недостаточной проработанности правил фильтрации, и несовершенство самих решений, и их принципиальная неприменимость на поздних этапах утечки. Кроме того, наивно было бы полагать, что системы купируют тягу к самим попыткам «вынести» информацию. Как остроумно сформулировал когда-то один мой коллега, «система противодействия утечкам – это средство их вытеснения в неконтролируемые каналы». Халатность или намеренные попытки украсть так или иначе останутся, и если в первом случае технические меры обладают высокой эффективностью, то во втором они помогут далеко не всегда. Мотивированный злоумышленник, в отличие от разгильдяя, – натура деятельная, рано или поздно он найдет возможность «стащить», выбрав иной метод, технологию или носитель.
Последствия зависят исключительно от воли злоумышленника, и в пиковом случае произойдет противоправное деяние, на юридическом языке называемое разглашением и определяемое как действие или бездействие, в результате которых информация становится известной третьим лицам без согласия обладателя (№ 98-ФЗ). И никакие технические меры здесь уже не помогут: они не покрывают полный цикл защиты данных ограниченного распространения и не дают их обладателю никаких преимуществ с точки зрения защиты своих интересов в случае, если разглашение произошло. Ликвидировать последствия допущенной утечки (возместить ущерб, запретить использование украденных данных и т.д.) должен будет обладатель информации, который обязан был это предвидеть и принять превентивные меры.
Знал бы, где упасть…
Введение режима коммерческой тайны (КТ) – единственный правовой механизм, позволяющий обладателю информации отстаивать свои права, та самая «соломка», которую следует подстелить для защиты от несовершенства технических средств. Это тот набор дополнительных мер, который закроет весь цикл защиты коммерческих секретов, дополнив технические меры на «поздних» этапах процесса. Режим КТ и системы защиты – это Инь и Янь борьбы с утечками: одно без другого существовать, конечно, может, но гармонии от однобокого решения не жди – и утечку не предотвратишь, и потерянного не вернешь.
Мы не будем подробно рассказывать о сути режима коммерческой тайны и практических особенностях его введения. Вкратце это набор из 5–8 организационных мер (требований), которые необходимо предпринять обладателю информации для защиты своих интересов, причем реализация этих мер – право, а не обязанность (в отличие от тех же персданных). Эти требования можно выполнить плохо, нагрузив организацию обременительными процессами и наводнив бумажным оборотом, или хорошо. В любом случае пока обладатель не выполнил их в полном объеме, режим считается не установленным. С точки зрения закона информация фактически ничья, любой работник может использовать ее так, как ему заблагорассудится, виновного нельзя будет даже уволить по статье – лишь попробовать предъявить ему гражданский иск о возмещении прямого ущерба, причем обладателю придется обосновать его величину. При таких условиях ответчику не составит особых проблем «отбиться» от обвинения (напомним, что в административном и гражданском праве, в отличие от уголовного, действует презумпция вины). Ни компенсировать ущерб, ни запретить любые формы использования и распространения информации (разумеется, при условии, что она не подпадает под другие категории сведений конфиденциального характера Указа № 188 или действие других областей права, например, патентного) обладатель не сможет.
А между тем возможность компенсировать ущерб и предотвратить причинение дальнейших убытков – это тот результат, который окупает весь банкет и который ждет бизнес от данной защитной меры. Режим коммерческой тайны – прекрасный пример чистой бизнес-услуги, поскольку он нужен в первую очередь не специалистам по ИБ, не бухгалтерам и даже не юристам, а обладателю информации. Основной внутренний потребитель – это бизнес.
Режим КТ, несмотря на критику самого закона, является достаточно мощным и единственным в своем роде правовым инструментом, который может здорово помочь при решении целого ряда проблем.
Среди них:
- рост числа инцидентов, связанных с незнанием работниками и третьими лицами своей ответственности за разглашение коммерческих секретов;
- невозможность привлечения виновных к дисциплинарной и уголовной ответственности, возмещения причиненных убытков;
- низкая общая культура и дисциплина обращения с конфиденциальными сведениями;
- отсутствие законных оснований для введения ограничений доступа к информации для государственных органов, акционеров, СМИ (В отношении акционеров ситуация не столь однозначная. Можно вспомнить прецедент с А. Навальным, который в 2011 г. купил акции «Транснефти» и согласно ФЗ об акционерных обществах стал требовать доступ к протоколам Совета директоров).
Хотелось бы отметить, что особенно полезным он может быть при истребовании причиненных убытков (в последней редакции ст. 11 ФЗ-98 именно «убытков», то есть не только прямого ущерба, но и упущенной выгоды). Можно вспомнить пример ООО «НИЦ "Поиск"» (г. Уфа). Компания занимается исследованиями и производством антикоррозионных материалов. Сам способ производства – рецептура и технология – описывается в технологическом регламенте, который отнесен к режиму коммерческой тайны. Бывшие работники, полностью освоив рецептуру и технологию изготовления, организовали собственное предприятие по выпуску аналогичной продукции, чем причинили ООО «НИЦ "Поиск"» крупный ущерб. По факту обращения истца в суд (Приговор Кировского районного суда г. Уфы 1-19/2013 от 16.01.2013) виновные были осуждены за нарушение изобретательских прав, в пользу истца с осужденных в солидарном порядке была взыскана полная сумма причиненного ущерба.
Кому режим коммерческой тайны точно пригодится? Разумеется, тем компаниям, которые признали свои коммерческие секреты ценным активом, и их существование обуславливает конкурентные преимущества. Например, это представители высокотехнологичных отраслей, имеющие исследовательские подразделения (электроника, фармацевтика и химия, телеком), обладатели клиентских баз и производители уникальных услуг (ритейл, медицина), финансовые организации (банки, лизинг, страхование) – словом, все те компании, интеллектуальный потенциал которых является важным активом. Режим коммерческой тайны поможет им:
- обеспечить возможность привлечения виновных лиц к ответственности (в том числе дисциплинарной и уголовной) и взыскания с них причиненных убытков;
- значительно упростить внедрение специализированных систем защиты и противодействия утечкам информации, оптимизировать работу уже имеющихся;
- существенно уменьшить число инцидентов ИБ, связанных с утечками информации ограниченного доступа, и повысить общую информационную культуру сотрудников;
- ввести законные ограничения на доступ к данным для сотрудников и третьих лиц.
Что же нужно сделать, чтобы внедрить режим КТ и обрести все названные возможности? Казалось бы, просто реализовать перечисленные в законе требования – издать соответствующие приказы и обязать работников их выполнять. Однако давайте трезво смотреть на вещи: на нормальном, «живом» предприятии только директивами ничего не добьешься, даже при авторитарной модели управления. Как только нажим ослабнет, все вернется на круги своя.
Издание Daily Mail смоделировало офисный день среднего клерка: он отправляет и получает до 40 писем в сутки (а каждый двенадцатый работает с сотней посланий в день), проводит за компьютером не менее 7 часов, готовит до 10 отчетов объемом 3–8 страниц, обращается к 50 рабочим файлам. Если на распорядок дня сотрудника еще и наложить обязанности выполнять требования закона – маркировку, учет и т.д., – либо он начнет саботировать и игнорировать («дайте мне спокойно работать» – с этим приходится встречаться постоянно), либо режим существенно затруднит бизнес и снизит его эффективность. Внедрение режима КТ в действующей организации напоминает переборку двигателя на заведенном автомобиле из известного анекдота: задача что-то улучшить не должна поставить под угрозу сам бизнес, при этом улучшения вносятся «на полном ходу». Справедливости ради надо отметить, что если организация внедряла у себя сиcтему противодействия утечкам и подошла к анализу информации и созданию правил серьезно, построение режима коммерческой тайны значительно упрощается.
К сожалению, законодательство о коммерческой тайне проработано не в такой степени, как, например, о персональных данных, и оставляет массу вопросов практической реализации без ответов. Как именно допускается проводить учет субъектов доступа к информации, какие свидетельства будут приняты судом? Как соотносятся требования режима (особенно в части маркировки) с хранением данных в облаке? Каков минимальный и достаточный набор условий, которые должен создать работодатель сотруднику? И так далее...
Трудности перевода
Как уже отмечалось, режим КТ – право обладателя информации, а не обязанность, он запросто может им не пользоваться. Подушка безопасности в автомобиле тоже может никогда не пригодиться, но если аварии не избежать, ничто, никакие компенсирующие меры ее не заменят. В этом смысле режим КТ является подушкой безопасности бизнеса, это вложение в его будущую безопасность.
Режим коммерческой тайны – вполне работоспособный инструмент, со своей сложившейся правоприменительной практикой. Но как и любым другим инструментом, им надо учиться пользоваться. Необходимо понимать сложность проблемы и использовать гибкий подход, не строить «бумажных монстров», а создавать максимально простой и удобный, но вместе с тем легитимный режим, применяя привычные и понятные людям механизмы. Кроме того, необходимо по возможности подходить к проблеме комплексно (как «гуманитарий» и «технарь») и обязательно, непременно изучать реальную судебную практику.
Некоторые организации уже имеют «бумажный» режим – увесистые кирпичи, в которых описаны десятки процессов, так или иначе связанных с обработкой важной информации, к ним приложены формы учета, акты, разделы договоров и пр. Безопасники или юристы бережно хранят эти мертвые бумаги как подотчетные результаты консалтинговых проектов. Но если сотрудники не могут показать ни одного документа с грифом, если они не умеют правильно отправить закрытую информацию подрядчику по электронной почте, а учет ведется в бумажном журнале (причем в нем есть только одна запись, сделанная под сдачу проекта), режим коммерческой тайны, а вместе с ним отчасти и бизнес, нуждаются в срочном оздоровлении.