Журнал "Information Security/ Информационная безопасность" #1, 2018

Федеральный суд по трудовым спорам Германии постановил, что информация, собранная работодателем с помощью кей- логгеров и других программ ана- логичного характера, не может использоваться в целях уволь- нения сотрудника, поскольку такое наблюдение нарушает лич- ные права работников. "Герой" этого дела, уволенный сотрудник, работал Web-разра- ботчиком в медиаагентстве в Северном Рейне – Вестфалии с 2011 г. Его работодатель пись- менно уведомил своих сотруд- ников в 2015 г. о том, что исполь- зование корпоративной техники для личных целей запрещено, а использование Интернета и ком- пьютеров компании будет отсле- живаться. Для этого агентство установило на компьютерах сотрудников специализирован- ную программу для отслежива- ния всех действий, производимых сотрудниками компании на кла- виатуре, и регулярного снятия скриншотов экранов. Менее чем через месяц упомянутый выше сотрудник был вызван руковод- ством, выслушал обвинения в работе на другую компанию в рабочее время и был уволен в тот же день. Однако уволенный сотрудник не сдался и подал на работода- теля в суд. В иске он утверждал, что занимался разработкой ком- пьютерной игры исключительно во время перерывов в работе. Кроме того, он заявил о неза- конности использования инфор- мации, собранной с помощью кейлоггера, в качестве основания для его увольнения Федеральный суд по трудовым спорам согласился с этим аргу- ментом, заявив в постановлении, что программное обеспечение такого рода, как кейлоггеры, является незаконным способом контроля над сотрудниками 2 . Судьи добавили, что использо- вание такого программного обес- печения может быть законным только в случае, если у работо- дателя есть предварительное подозрение в уголовном преступ- лении или серьезном нарушении служебных обязанностей. Попросту говоря, желание про- сто следить за своими сотрудни- ками таким примитивным спосо- бом, как непрерывный монито- ринг рабочей активности, не является достаточным для закон- ного применения. Более того, практика непрерывного монито- ринга даже под прикрытием таких аргументов, как желание тотально контролировать исполь- зование корпоративной техники и каналов связи, выявлять неэффективных сотрудников и контролировать производитель- ность труда, опираясь на анализ использования программ и запись снимков экранов, на самом деле не имеет ничего общего с задачей обеспечения информационной безопасности, если говорить о защите органи- зации от утечки корпоративных данных. Но вот в силу отсутствия технического различия личного и служебного использования ком- пьютеров, каналов передачи дан- ных и собственно данных такие продукты действительно могут нарушать личные права граждан, будучи неспособными отделять личное от служебного в принци- пе. Для выявления правонару- шений с помощью такого про- граммного обеспечения обяза- тельно требуется участие чело- века – администратора или сотрудника СБ, что автоматиче- ски означает получение ими допуска к сведениям о личной жизни сотрудников и нарушение их прав. Российский рынок ПО Если обратить теперь взгляд на российский рынок ПО, то у нас таких продуктов довольно много. Повсеместно внедряют- ся программные кейлоггеры и средства снятия скриншотов экранов, и что особенно печально – они подаются потребителю под соусом DLP. Будем откровенны – подобные решения не способны останав- ливать утечки информации, разве что за счет страха конт- ролируемых сотрудников. Дей- ствительно, решения класса UAM (User Activity Monitoring) записывают всю активность пользователей на компьютере посредством регулярных сним- 38 • ТЕХНОЛОГИИ DLP vs кейлоггеры = обеспечение безопасности vs нарушение прав граждан июле 2017 года Федеральный суд по трудовым спорам Германии опубликовал судебный вердикт 1 , довольно интересный в плане легального практического использования специфических программных продуктов, реализующих функции отслеживания действий сотрудников через запись нажатий на клавиатуре (кейлоггер) и регулярного снятия снимков экрана. Суд постановил, что использование программного кейлоггера для скрытого наблюдения и контроля недопустимо в соответствии с законом и нарушает право заявителя на информационное самоопределение, которое гарантируется как часть общего права на неприкосновенность частной жизни при том, что работодатель не имел никаких обоснованных подозрений в совершении серьезных нарушений обязанностей сотрудником. В 1 http://juris.bundesarbeitsgericht.de/zweitesformat/bag/2017/2017-09-29/2_AZR_681-16.pdf 2 http://juris.bundesarbeitsgericht.de/cgi-bin/rechtsprechung/document.py?Gericht=bag&Art=pm&Datum= 2017&nr=19403&pos=0&anz=31&titel=%DCberwachung_mittels_Keylogger_-_Verwertungsverbot Сергей Вахонин, директор по решениям DeviceLock, Inc. (“Смарт Лайн Инк")