среда, 19 февраля 2014 г.

Трудная дорога в "облака". Часть 2: ущерб.

Смысл любой безопасности, ее высшая и единственная цель заключается в предотвращении ущерба. Понятно, что эта цель недостижима в своем абсолютном выражении и тот, кто задумывается о безопасности, всегда идет на компромисс, защищая самое важное - то, на что хватает ресурсов. Ошибки выбора вектора приложения усилий и распределения ресурсов приводят к тому, что безопасность становится неэффективной: она не предотвращает ущерб, полностью или частично. Отношение предотвращенного ущерба к затратам на безопасность - единственный объективный критерий ее эффективности. Отношение предотвращенного ущерба к прогнозируемому - единственный объективный критерий эффективности "безопасников".

"Нематериальный" характер защищаемого объекта является причиной того, что в информационной безопасности и числитель, и знаменатель в последней дроби - величины почти всегда субъективные. Отсюда и трудности с подсчетом ущерба, особенно в результате разглашения или утечки чего-нибудь "конфиденциального", и с переводом размера ущерба в денежный эквивалент, и с его компенсацией. Эти вопросы регулируются законодательством и договором между обладателем информации и потенциальным "ущербоприносителем", поэтому, как вы помните из предыдущей части, тексты последних я и запросил.

Дабы не соваться в непролазные юридические дебри, разросшиеся из различных областей законодательства, экспертных мнений и судебной практики, остановлюсь только на одном аспекте: информации, составляющей коммерческую тайну. Для меня, представителя реального сектора экономики, законодательство о коммерческой тайне является чуть ли не единственным инструментом, позволяющим хоть как-то защитить интересы бизнеса в информационной сфере и компенсировать ущерб, "... нанесенный случайными или преднамеренными действиями сотрудников, конкурентов и третьих лиц ..." в судебном, разумеется, порядке. Есть, конечно, Закон "О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком" - но у него несколько другое назначение, да и сведения, составляющие коммерческую тайну прежде, чем смогут быть отнесены к "инсайдерской информации", должны таковыми стать после принятия соответствующих режимных мер.

Итак, "коммерческая тайна" - тема, давно знакомая мне и набирающая в последнее время небывалую популярность в ИБ-кругах, защищающих различного рода бизнесы. "Сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны". Обрабатываются ли такие сведения в информационной системе их обладателя - предприятия, установившего требуемый законодательством режим? Как правило - да. Передает ли обладатель эти самые сведения другому юридическому лицу - контрагенту - при организации "облачного" ИТ-сервиса в его (контрагента) инфраструктуре? Все зависит от сервиса, но мы рассматриваем именно такой случай.

Могут ли сотрудники "облачного" провайдера - контрагента - получить доступ к сведениям, составляющим коммерческую тайну их обладателя? Да, конечно - более того, в ряде случаев такой доступ необходим для качественного оказания "облачных" услуг по договору. И мне, как обладателю этих сведений, потратившему немало ресурсов на их защиту в своей инфраструктуре, очень не хотелось бы, чтобы какой-нибудь безалаберный сотрудник (которых и у меня самого хватает) провайдера своими действиями свел все мои усилия "на нет". А если это вдруг произойдет - то мне бы очень хотелось, чтобы провайдер понес ответственность и компенсировал ущерб.

Посмотрим, что на эту тему говорит законодательство. Помимо собственно Федерального закона, вопросы коммерческой тайны регулируются Гражданским кодексом РФ, поэтому в главу 75 его 4 части мы и заглянем. Статья 1465 относит "сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны" к "секрету производства (ноу-хау)" и в дальнейшем оперирует этим понятием. А вот ст. 1472 - именно то, что нам нужно: в соответствии с ней нарушитель исключительного права на секрет производства, в том числе лицо, которое неправомерно получило сведения, составляющие секрет производства, и разгласило или использовало эти сведения, а также лицо, обязанное сохранять конфиденциальность секрета производства обязано возместить убытки, причиненные нарушением исключительного права на секрет производства, если иная ответственность не предусмотрена законом или договором с этим лицом. Кроме того, это самое "лицо" не несет никакой ответственности, если оно использовало секрет производства, но не знало и не должно было знать о том, что его использование незаконно, в том числе в связи с тем, что оно получило доступ к секрету производства случайно или по ошибке.

Таким образом, для исполнения моего желания об ответственности и ущербе нужно выполнить всего лишь два условия: первое - провайдер должен знать, что в его "облаке" обрабатывается мой "секрет производства", второе - договор с провайдером не должен предусматривать никакой "иной ответственности", кроме как компенсации ущерба в полном объеме, включая не только прямые убытки (которые, как известно, в нашем случае очень трудно посчитать), но и опосредованные (в том числе упущенную выгоду, прерывание деятельности, ухудшение имиджа и репутации и т.д.).

Если вы думаете, что провайдеры "облаков" стремятся выполнять желания клиентов в части компенсации ущерба - вы глубоко заблуждаетесь: все хотят денег, но никто не хочет ответственности. Свидетельство тому - договоры, которые мне удалось изучить. Самый простой способ - это исключение в договоре всех видов опосредованных убытков, связанных с нарушением провайдером требований по охране конфиденциальности полученных сведений. Такое очень часто встречается в договорах с российскими провайдерами.

"Забугорные" провайдеры используют другой подход. За границей РФ нет никакой "коммерческой тайны" в нашем понимании, поэтому они используют термин "конфиденциальная информация". Так же, как и отечественные провайдеры, они могут исключить опосредованные убытки (которых за рубежом великое множество) из области ответственности (оставляя при этом ответственность за неисполнение SLA, в котором нет ни слова о конфиденциальности) но чаще - просто ограничивают ее суммой контракта. Например, если вы платите "облачному" провайдеру за его услуги 5000$ в месяц - то и ответственность за нарушение конфиденциальности данных не может превышать 5000$.

И только один провайдер меня лично порадовал: он оказался настолько уверен в себе, что был готов признать любую информацию конфиденциальной и компенсировать любые убытки от любых неправомерных действий с ней, в том числе в досудебном порядке, не ограничивая ответственность фиксированной суммой. Выпучив от радости глаза, я обратился за консультацией к профессионалам и те, снисходительно сославшись на мое незнание судебной практики, охладили мой пыл.

Как и во всех остальных случаях, в этом для компенсации ущерба подтвердить факт получения провайдером конфиденциальной информации и посчитать убытки было недостаточно: необходимо было доказать правильность их расчета (причем в суде иностранной юрисдикции), а самое главное - доказать, что компания понесла их в результате неправомерных действий либо в результате несоблюдения провайдером требований по охране их конфиденциальности (целостности, доступности, что там еще...).

Если считать убытки - не совсем мое дело, то собирать доказательства - как раз моя задача. И я, еще больше погрузившись в детали "бумажной безопасности", перешел к активному общению с авторами "бумажек".

Продолжение следует...

Комментариев нет :

Отправить комментарий