Не секрет, что в сфере информационной безопасности особое место занимает мониторинг деятельности работников, включающий в себя электронный мониторинг системных событий и мониторинг контента, порождающий ряд правовых, этических и технических проблем для работодателя. Такие проблемы существуют во всех демократических странах. Несмотря на то, что в одной статье нельзя раскрыть все аспекты данной непростой темы, авторы постарались охватить многие существенные вопросы, включая законодательство, лучшие практики и «подводные камни», на примере США.

Введение

Одной из важных особенностей современных корпоративных сетей является их размер, который зачастую исчисляется тысячами, а и иногда и десятками тысяч компьютеров. При этом деятельность пользователей может быть распределена среди различных компьютеров, а одна и та же проблема часто решается группами пользователей. Важной задачей является контроль работы, как отдельных пользователей, так и групп пользователей.

Основными целями контроля являются: обеспечение информационной безопасности, выявление инцидентов, в том числе выявление случаев некорректного, непрофессионального или нецелевого использования ресурсов, оценка характеристик функционирования корпоративной сети и параметров использования ресурсов.

При этом приоритетной задачей является раннее обнаружение «внутренних вторжений», т.е. выявление действий пользователей, которые могут предшествовать внутренним вторжениям. Чем крупнее организация, тем актуальней является для нее проблема предотвращения внутренних вторжений, в частности кражи и утечки информации, так как именно кража является конечной целью большинства внутренних вторжений. Связано это с тем, что в больших организациях затрудняется контроль над обращением информации и существенно возрастает цена ее утечки. Указанные обстоятельства определяют высокий уровень озабоченности данной проблемой со стороны крупного бизнеса и правительственных структур. Решение данной проблемы заключается в использовании средств электронного мониторинга.

В настоящей статье рассматриваются риски и проблемы, связанные с электронным мониторингом действий работников корпораций в соответствии с законодательством США и сложившейся в этой стране практикой. Цель состоит в том, чтобы повысить осведомленность ИТ и ИБ менеджеров организаций в вопросах применения средств и методов электронного мониторинга и вооружить их лучшими практиками в данной области.

Что включает в себя мониторинг контента?

Мониторинг контента  – это одна из форм электронного мониторинга. Электронный мониторинг охватывает широкий спектр деятельности, включая в том числе: мониторинг контента, мониторинг системных событий, мониторинг действий пользователей компьютерных систем, видеонаблюдение, прослушивание телефонных переговоров и отслеживание местоположения.

Согласно законам Калифорнии (California Senate Bill No. 1841, 2004) «электронный мониторинг» подразумевает сбор информации, позволяющей установить личность работника, получить данные о его деятельности, его электронной переписке или переговорах. При мониторинге контента производится анализ информации на компьютере сотрудника и/или в каналах связи. На практике ИТ и ИБ персонал имеет возможность контролировать практически все аспекты деятельности сотрудников, осуществляемой при помощи электронных устройств, вычислительных и коммуникационных сетей. Отслеживаемая информация может включать в себя:

• Содержимое системных файлов и файлов приложений на компьютере;
• Веб-трафик;
• Электронную почту, хранящуюся в почтовых ящиках пользователей, на внутренних почтовых серверах, и отправляемую по сети на внешние почтовые серверы;
• Все виды сетевого трафика, включая аудио и видео-потоки данных;
• Компьютерный криминалистический анализ содержимого файловых систем, устройств хранения и дампов оперативной памяти;
• Мгновенные сообщения в мессенджерах;
• Снимки экрана, фиксирующие все производимые пользователем действия на компьютере;
• Нажатия клавиш.

Для осуществления данных видов мониторинга применяются специализированные программные средства: системы предотвращения утечек  информации (DLP-системы), системы контроля действий пользователей, системы анализа контента и системы криминалистического анализа (forensics-системы). Для данных систем существуют сетевые, шлюзовые и хостовые решения. Все перечисленные системы в настоящее время достаточно широко распространены.

Традиционными целями мониторинга являются веб-доступ и электронная почта работников. В то время как электронная почта работников с точки зрения мониторинга является относительно простой целью,  мониторинг веб-доступа требует некоторой дополнительной инфраструктуры.

Наиболее распространенным для крупных компаний является сетевое веб-прокси решение. Зашифрованный веб-контент и содержимое внешней электронной почты не могут контролироваться, если в сети не установлен SSL-прокси, который отдельно шифрует сеанс между с клиентом и отдельно с целевой системой, что позволяет отслеживать содержимое всего зашифрованного трафика. Однако это возможно только для сеансов с проверкой подлинности только на сервере. Взаимно аутентифицированные сеансы связи, как правило, не работают через SSL-прокси.

Мониторинг каналов связи обычно осуществляется с помощью сетевого устройства, которое подключается к порту маршрутизатора или коммутатора, на который «зеркалируется» весь сетевой трафик. Данные такого мониторинга могут отображать связь между компьютерами, сетевыми портами, используемые протоколы и передаваемый по ним контент. Они позволяют выявлять различные злоупотребления в использовании сетевых ресурсов, нарушение правил безопасности, утечки информации, сетевые атаки и прочие инциденты безопасности. Впрочем, последнее уже является скорее сферой компетенции систем выявления и предотвращения сетевых атак (NIDS/NIPS-системы), использующих те же принципы мониторинга и анализа контента.

Для мониторинга нажатий клавиш и снимков экрана требуется установка на пользовательский компьютер клиентского агента (обычно маскируемого и работающего в скрытном режиме), который передает данные мониторинга на центральный сервер для хранения и анализа.

Инструменты криминалистического анализа используются постфактум при расследовании компьютерных инцидентов и преступлений, сбора и фиксации свидетельств и доказательств. Они позволяют проводить подробный анализ содержимого жесткого диска и оперативной памяти компьютера, восстанавливать удаленные пользователем или злоумышленником файлы. Эти инструменты, в частности, применялись в процессе против полковника Оливера Норта, который думал, что уничтожил улики по делу Ирана-Контрас, когда он нажал клавишу удаления, но они были восстановлены.  

_______________________

В 1989 г. проходил судебный процесс по делу Оливера Норта по факту нелегальной продажи американского оружия Ирану, в обмен на которое он, помимо получения денег, способствовал освобождению 52 американских заложников, а вырученные деньги отправил на поддержку никарагуанских «контрас». Для уничтожения доказательств, подтверждающие его причастность к нелегальной продаже оружия, Оливер Норт просто нажал кнопку «удалить» файлы. По своей технической наивности он не предполагал, что для безвозвратного удалении файлов этого не достаточно и их резервные копии остаются в других областях памяти и форенсикс-эксперты успешно восстановили эти данные.

____________________________

Весь арсенал современных методов, средств и систем, используемых для мониторинга и анализа контента конечно не исчерпывается перечисленными выше инструментами анализа. В рамках настоящей статьи такая задача и не ставится. Тем не менее, в дополнение к знанию технологической стороны того, как использовать подобные инструменты, не менее важно понимать юридические аспекты и последствия их использования, чтобы не входить в противоречие с действующим законодательством в области защиты тайны переписки и частной жизни.

Федеральное законодательство США о защите частной жизни

Хотя компьютерные преступления и являются относительно новым явлением в правовой сфере, тем не менее, прослушивание телефонных переговоров, аналогичное мониторингу контента, существует уже много десятилетий. Ранние случаи, касающиеся нарушения тайны частной жизни работников, основывались на примерах, полученных из судебного прецедента при прослушивании телефонных разговоров. Например, решение Верховного суда 1929 года Олмстед против Соединенных Штатов, в котором закреплен прецедент о том, что прослушивание телефонных разговоров правительством не нарушило 4-ую поправку к Конституции США.

_____________________________________

Олмстед обвинялся в контрабанде. Чтобы доказать его виновность правоохранительные органы установили прослушивающие устройства у него дома и на работе. Записи его телефонных разговоров были представлены в суде как доказательство против Олмстеда и суд принял такие доказательства. Позже Олмстед обжаловал приговор в Верховном Суде США из-за того, что по его мнению доказательства, полученные методом негласной прослушки его телефонных разговоров были добыты незаконным путем, что нарушает его права. Данное решение впоследствии было отменено по делу Кац против Соединенных Штатов в 1967 году (Олмстед против Соединенных Штатов, 1928).

________________________________________

Большая часть действующего законодательства США, направленная на защиту граждан от «посторонних глаз», касалось в основном прослушки со стороны правительственных структур и не затрагивала частные корпорации. Большинство законов, которые акцентируют внимание на корпорациях, сосредоточены на защите информации о клиентах и пациентах. Например, Закон о защите конфиденциальности детей в Интернете (Children’s Online Privacy Protection Act (COPPA)) и Закон о мобильности и подотчётности медицинского страхования (Health Insurance Portability and Accountability Act (HIPAA)). Но есть еще много областей, которые не рассматриваются судами. Основной набор федерального законодательства, которое имеет отношение к мониторингу контента сотрудников это  4-я поправка к Конституции; Закон о компьютерном мошенничестве и злоупотреблениях (CFAA); Закон о прослушке; Закон о конфиденциальности электронных сообщений.

Четвертая поправка к конституции США

Конституция США не гарантирует «право на неприкосновенность частной жизни», но она устанавливает гарантии защиты от правительственного вторжения в личную жизнь (BBBOnLine, 2008, p. 1). (Разумеется, это не означает, что частные лица могут вторгаться в личную жизнь других лиц, однако в контексте этой статьи данный вопрос не рассматривается). Основной закон в данной сфере – это закон о прослушивании телефонных переговоров и незаконном обыске, который является четвертой поправкой к Конституции США, в котором говорится: «Право народа на охрану личности, жилища, документов и имущества от необоснованных обысков и арестов не должно нарушаться».

Однако Четвертая поправка не всегда применялась к проводной связи. Она начала применяться лишь после того, как Верховный суд вынес решение по делу «Бергер против Нью-Йорка» (1967 г.) относительно применения Четвертой поправки и установлении требований к конституционности приказов о перехвате переговоров Правительством (Monnat & Ethen, 2004, p.12). Данные требования, в частности определяли, что в ордерах должно содержаться подробное описание места, подлежащего обыску, а также лиц или предметов, подлежащих аресту.

Второе решение Верховного суда (Katz v. United States, n.d., para. 1) расширило понимание Четвертой поправки в контексте защиты звонков в телефонных будках от необоснованной прослушки без ордера. Важным в данном деле представляется признание того, что Четвертая поправка защищает людей, независимо от их местопребывания. При этом Четвертая поправка изначально имела прямое отношение только к защите граждан от правительственного вторжения в личную жизнь. Однако на практике она стала распространяться и на случаи корпоративного мониторинга сотрудников. Например, в деле Соединенных Штатов против Саймонса (2000 г.) это было обосновано тем, что политика работодателя в отношении использования Интернета противоречила всем ожиданиям в отношении обеспечения тайны частной жизни (United States v. Simons, н.д., с.1) и подразумевала полный контроль использования сети Интернет. Действие Четвертой поправки было распространено на большинство случаев, связанных с нарушением конфиденциальности персональных данных в рамках обычных бизнес-процессов или перехватов электронных сообщений из взломанной почтовой системы.

Однако закон о прослушивании телефонных разговоров касается электронных средств связи, а не компьютерных данных. Кроме того, он касается передачи данных, а не хранения передаваемых данных. Поэтому, работая для случаев телефонных переговоров, этот закон не может обеспечить защиту данных для случаев мониторинга электронной почты.

Закон о прослушивании

Конгресс принял Раздел III Омнибуса по борьбе с преступностью и Закон о безопасных улицах 1968 года, которые обычно называют федеральным законом о прослушивании телефонных разговоров. Данное законодательство ввело в действие правила прослушивания телефонных разговоров, которые удовлетворяли требованиям Berger v. New York. Указанный закон предусматривает гражданскую и уголовную ответственность за 1) преднамеренное прослушивание проводных, устных или электронных переговоров; 2) попытку использовать устройство прослушивания телефонных разговоров; 3) использование или раскрытие содержания беседы, полученного посредством прослушивания телефонных переговоров; 4) разглашение законно перехваченных сообщений, чтобы воспрепятствовать уголовному расследованию. (Monnat & Ethen, 2004, p.13).

Закон о конфиденциальности электронных коммуникаций

Закон о конфиденциальности электронных коммуникаций 1986 года (ECPA) содержит два основных компонента. Раздел I вносит изменения в федеральный закон о прослушке телефонных переговоров, который касается электронных коммуникации. Второй компонент (Раздел II) называется Законом о сохраненных коммуникациях (SCA). Он регулирует правовой статус данных в промежуточном хранилище. Закон о прослушивании был принят из-за множества судебных дел, связанных с прослушиванием телефонных переговоров. Однако он не решал вопроса относительно общения с помощью сети Интернет. Целью ECPA была модернизация Закона о прослушке для решения современных компьютерных данных.

Закон о компьютерном мошенничестве и злоупотреблениях

Закон о компьютерном мошенничестве и злоупотреблениях (CFAA) был принят в 1986 году, чтобы предусмотреть уголовную ответственность за компьютерные преступления. Он многократно изменялся из-за определения то, что такое «защищенный компьютер». CFAA определяет защищенные компьютеры как те, которые используются исключительно финансовыми учреждения, находятся в системах правительства США, а также те, которые используются в межгосударственной или иностранной торговле или коммуникации. Последняя категория охватывает практически все компьютеры, подключенные к сети Интернет.

Пример из правоприменительной практики

В статье Supreme Court backs police department that read employee’s texts, опубликованной на многих сайтах, рассказывается достаточно поучительная история.

Дело было в городе Онтарио в штате Калифорния. Сержант полиции Джеф Квон, сотрудник американского ОМОНа (у них это называется SWAT team), как и многие смертные, использовал свой служебный пейджер не только для решения важных государственных вопросов, но и для ведения личной переписки с женой (на бытовые темы), с подружкой (по сексуально-эротической тематике) и с коллегами по работе (за жизнь). Дело обычное, как впрочем и то, что шеф департамента полиции в один прекрасный момент заинтересовался нецелевым использованием служебного времени, служебного пейджера и государственных денег, выделяемых на оплату этого удовольствия (встал не стой ноги или с женой поругался, а может и еще что-нибудь). В результате проведенного аудита электронной переписки сотрудников вскрылись не только факты перерасхода и нецелевого использования ресурсов, но, видимо, и некоторые подробности личной жизни сержанта Квона, что и сподвигло его на подачу иска против своего шефа и департамента полиции о вторжении в его личную жизнь.

Известно, что в этом департаменте полиции существовала недокументированная политика, гарантирующая, что сообщения сотрудников не будут просматриваться руководством, в случае, если сотрудники оплачивают превышение установленных лимитов на объем переписки из собственных средств. Лимит был установлен 25000 знаков в месяц. Квон этот лимит регулярно превышал, но и не менее регулярно оплачивал данные превышения. Поэтому у него были определенные основания ожидать сохранения приватности своей личной переписки. Однако целью аудита, проведенного руководством, являлось не нарушение данной негласной политики, а определение того, является ли установленный лимит адекватным для служебный целей.

Не будем глубже вдаваться в подробности этого дела. Во-первых, дело в общем-то понятное, а во-вторых, кому интересно, могут почитать первоисточник. Приведем лишь цитату из постановления Верховного Суда США: “Поскольку изучение переписки было мотивировано занонными служебными целями и поскольку его область не была избыточной, данное исследования является обоснованным”.

Обозреватели сходятся во мнении, что данное судебное решение открывает работодателям широкие возможности на законных основаниях исследовать информацию, хранимую на служебном оборудовании, даже если такая информация рассматривается работником как строго конфиденциальные персональные данные.

Контроль выполнения требований в российской практике

В российском законодательстве очень тонкая грань между мониторингом контента сотрудников организаций и нарушением их тайны переписки, телефонных переговоров, тайны личной жизни. Конституция РФ, УК РФ, УПК РФ, 152-ФЗ «О персональных данных» накладывают серьезные ограничения на мониторинг контента, нарушение которых может повлечь юридическую ответственность вплоть до уголовной.

Поэтому, чтобы не пересечь грань дозволенного при мониторинге контента, необходимо на регулярной основе контролировать  соответствие организации законодательству Российской Федерации в области персональных данных и защиты информации. Проведение такого контроля в форме самооценки, внутреннего или внешнего аудита предписывается в частности ст. 19 и 22.1 ФЗ РФ от 27 июля 2006 г. N 152-ФЗ “О персональных данных”, п. 17 Постановления Правительства РФ от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», п. 9.2 ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», п. 15.2 ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил информационной безопасности», п. 3.24 Специальные требований и рекомендаций по технической защите конфиденциальной информации (СТР-К), а также п. 8.3 ОСТ РО 0043 – 003 – 2012 «Защита информации. Аттестация объектов информатизации. Общие положения».

Оценка и контроль соответствия процессов и информационных систем организации обязательным требованиям действующего законодательства и нормативной базы РФ во многих случаях может осуществляться в форме самооценки. Наиболее эффективно это может быть реализовано путем применения специализированных программных средств автоматизации пероцессов управления соответствием из категории Compliance Management. В частности, российской компанией Протектива был разработан специальный инструмент – экспертная система Менеджер Соответствия Протектива (Protectiva Compliance Manager), реализованный в виде онлайн сервиса оценки соответствия, расположенного по адресу https://protectiva.ru. Данный сервис, в частности, позволяет оператору персональных данных осуществлять контроль выполнения обязательных требований, обеспечивая формирование отчетов о соответствии в автоматическом режиме. Сервис рассчитан на любую квалификацию пользователей и подойдет организациям любого размера и уровня зрелости.

Выводы

На основе всего вышесказанного можно придти к следующим выводам:

1. Мониторинг контента  – это одна из форм электронного мониторинга. Электронный мониторинг охватывает широкий спектр деятельности, включая в том числе: мониторинг контента, мониторинг системных событий, мониторинг действий пользователей компьютерных систем, видеонаблюдение, прослушивание телефонных переговоров и отслеживание местоположения.
2. Все законодательство США, связанное с мониторингом контента было сформировано на основе судебных прецедентов. Законодатели пытаются соблюсти баланс между интересами государства, организаций и неприкосновенностью частной жизни.
3. Судебные прецеденты в целом допускают электронный мониторинг контента со стороны работодателей при условии, что данный мониторинг мотивирован законными служебными целями и не является избыточным.

Библиография

1. California Senate Bill No. 1841. (April 19, 2004). Retrieved on February 8, 2009 from Website: http://www.steptoe.com/publications/315c.pdf
2. CFAA (n.d.). Retrieved February 13, 2009, from Wikipedia: http://en.wikipedia.org/wiki/Computer_Fraud_and_Abuse_Act
3. Children’s Online Privacy Protection Act,http://www.coppa.org/coppa.htm
4. Darryl T Barnes, Content Monitoring Issues Legal and Otherwise,  https://www.sans.org/reading-room/whitepapers/compliance/content-monitoring-issues-legal-33079
5. Electronic Communications Privacy Act of 1986 § 201, 18 U.S.C. § 2701 (1986)
6. Health Insurance Portability and Accountability Act https://aspe.hhs.gov/report/health-insurance-portability-and-accountability-act-1996
7. Katz v. United States. (n.d.). Retrieved November 21, 2008, from Wikipedia: http://en.wikipedia.org/wiki/Katz_v._United_StatesБергер против Нью-Йорка» (1967 г.)
8. Monnat, D.E., & Ethen A.L. (2004). A Primer on the Federal Wiretap Act and Its Fourth Amendment Framework. Journal of the Kansas Lawyers Association, March 2004 Issue, p.12 – p.15Katz v. United States, n.d., para. 1
9. Olmstead v. United States (n.d.). Retrieved February 13, 2009, from Wikipedia: http://en.wikipedia.org/wiki/Olmstead_v._United_States
10. United States v. Simons. (n.d.). Retrieved February 12, 2009, from Website: http://www.cybertelecom.org/SECURITY/privacy.htm
11. Warren Richey, Supreme Court backs police department that read employee’s texts, http://iso27000.ru/blogi/sredstva-zashiti-informacii/sravnenie-sredstv-monitoringa-deistvii-polzovatelei
12. Астахов А.М., Верховный суд США поставил свою точку в споре о перлюстрации электронной переписки работников предприятия, http://iso27000.ru/blogi/aleksandr-astahov/verhovnyi-sud-ssha-postavil-svoyu-tochku-v-spore-o-perlyustracii-elektronnoi-perepiski-rabotnikov-predpriyatiya
13. Астахов А.М., Средства контроля действий пользователей, http://iso27000.ru/blogi/sredstva-zashiti-informacii/sravnenie-sredstv-monitoringa-deistvii-polzovatelei
14. Астахов А.М., Использование Менеджера Соответствия «Протектива» для выполнения требований законодательства в области персональных данных  http://iso27000.ru/blogi/aleksandr-astahov/ispolzovanie-menedzhera-sootvetstviya-protektiva-dlya-vypolneniya-trebovanii-zakonodatelstva-v-oblasti-personalnyh-dannyh

Авторы: Алиса Эткина, Александр Астахов, GlobalTrust

Опубликовано в журнале Директор по безопасности Выпуск 8 (Август), 2019 г.