Привет! Меня зовут Иван Преображенский, более 15 лет я не перестаю удивляться многогранности юридической профессии и роли, которую могут играть юристы в современном бизнесе. Я работал в крупных международных компаниях из разных сфер бизнеса — от розничных продаж и FMCG до фармацевтики и цифровых платформ.

Сейчас я руковожу группой молодых и талантливых юристов, отвечающих за операционное направление в Positive Technologies. Любой коллега может прийти к нам за правовой помощью или советом: какой договор необходимо использовать для защиты компании и работников, нужно ли согласовывать использование того или иного визуала с правообладателем, как правильно соблюдать конфиденциальность в работе с заказчиком, где и какой потребуется добавить дисклеймер. И вопросов этих становится все больше с каждым даже не годом, а месяцем. Неудивительно, что в этом году на киберфестивале Positive Hack Days было принято решение созвать целую панель юристов, задействованных в сфере IT.

Так с коллегами-юристами мы смогли обсудить на большой сцене важные и актуальные вопросы и юридические тонкости в сфере информационной безопасности. Я хотел кратко уложить наши ключевые тезисы в этой статье.

Почему без юриста в IT уже нельзя и немодно

Долгое время IT было таким островком безопасности, где можно достаточно свободно творить в плохом и хорошем смысле слова, и рука закона до этого островка не дотягивались. Но прорывные технологии прорывными технологиями, свобода творчества — это свобода творчества, а все-таки управлять — и управлять с помощью юридических приемов — сферой IT потребность назрела. Юристы появились на стороне регуляторов. А как известно, если ты не юрист, а в споре с тобой оппонент прибегает к юридической помощи, становится сразу неловко и страшно за результат. Юридические споры и регулирование — игра, в которую можно играть вдвоем. Сейчас в каждой крупной технологической компании вы найдете целый штат юристов, по крайней мере часть из которых — специалисты именно по IT-профилю. А что же компании поменьше или вообще стартапы? В США и Европе на этот вопрос ответили утвердительно, юрист нужен, да еще и должен он помогать уже с нулевой стадии проекта — с идеи и ее защиты, не говоря уже о полноценной работе. И да, все эти популярные ESOP (программа мотивации сотрудников акциями), вестинги акций, IPO, SPAC — это все работа, где без юристов не обойтись. То есть руки юристов сейчас отвечают не только за кнут (запретительные меры) и защиту от него, но еще и за пряник (как в случае с ESOP). Юристов в сфере IT стало так много и они стали так популярны и востребованы, что попали даже на экраны: фильмы и сериалы про современных айтишников редко обходятся без юристов. Вспомним, например, фильм «Социальная сеть» 2010 года, где юристы появляются в кадре и представляют интересы главных героев, или сериал «Кремниевая долина», где юристы и компанию помогают создавать, и в судебном споре участвуют.

Если мы посмотрим на правовое регулирование последних лет, то четко заметим один тренд: большинство ключевых нормативных актов, меняющих правила игры для бизнеса, принимается в IT или областях, связанных с IT. Когда вы сталкиваетесь со сложным регулированием, когда вам нужно построить стабильный бизнес, когда вам нужно защитить свои активы — вам неминуемо потребуется классный юрист, а если бизнес немаленький — целая команда. Лучше, если вы придете к юристам раньше, поскольку часть ошибок начального этапа, к сожалению, затереть уже нельзя. Береги честь смолоду — и бери юриста снову, так я бы перефразировал пословицу. Без этого уже нельзя, американские кинематографисты здесь не промахнулись.

Погоня за хайпом может закончиться в зале суда

Я поднял тему чести, и если в стародавние времена этот вопрос решали в основном на дуэли, то теперь — в зале суда. С юридической точки зрения у компаний нет чести, у них есть деловая репутация, и защищать ее компании стали чаще. Порочащие компанию сведения раньше искали в газетах и журналах, судились с редакциями, теперь упоминания о компании можно легко и автоматизированно собрать из интернета, а уж найти ответчика и подать в суд — проще простого.

Мы живем в мире новостей, их столько, что обычный человек все не посмотрит, а значит, писатели этих самых новостей должны подкидывать людям максимально горячие, «кликбейтные» новости. Интересно, что контент сейчас пишут не столько журналисты, сколько самые обычные пользователи. Я не буду приводить примеры передергивания фактов и вырывания из контекста в погоне за лайками и просмотрами (их сейчас все больше), я хочу заострить внимание на том, что за контент надо отвечать и перед публикацией проверять. Потому что от нажатия кнопки «Отправить» до нажатия на ручку двери в зал судебных заседаний всего лишь один маленький шаг. Иногда такие незатейливые писатели рискуют потащить в пучину спора о деловой репутации не только себя, но и своего работодателя. А это, согласитесь, уже другая и точно не самая приятная история.

Какие советы мы, юристы, можем дать авторам контента:

• Все, что публикуется вами в интернете, в том числе комментарии чужих новостей, может стать поводом для судебного спора. Просто примите это.

• Не пишите лишнее, не оперируйте сведениями, в которых вы не уверены.

• То, что для вас выглядит как аналитика и советы по теме, для других может выглядеть как полоскание грязного белья.

• Не концентрируйтесь на негативе, концентрируйтесь на пользе. Дать вашим читателям максимум пользы из сообщения — это и должно быть его целью.

• Перечитайте несколько раз то, что вы пишете, а желательно представьте, что сообщение завирусилось и завтра его обсуждают все.

• Отделяйте себя от своего работодателя, если вы публикуете что-то от своего имени и нет прямого согласия писать от имени компании.

• В погоне за хайпом не попадите в суд, а если уверены в себе и попали — стойте за себя вместе с хорошим юристом.

• Не забывайте про юристов. Это не значит, что нужно каждый раз держать под рукой специалиста по делам о защите деловой репутации, но в сложных ситуациях его совет точно не будет лишним. И да, совета лучше просить до нажатия кнопки «Отправить» и до похода по инстанциям.

Влияние юридических документов на цвет хакера

От репутации и гражданских споров я хочу перейти к более острой и опасной теме — уголовной ответственности тех, кто занимается вопросами кибербезопасности. Последние события наглядно показали, что так называемые черные хакеры усиливают свои атаки и, к сожалению, достигают своих целей, затрудняя или вообще парализуя деятельность компаний. А отбиваться от них помогают как раз так называемые белые хакеры, хотя мне больше нравится термин «исследователи» (или «этичные исследователи»).

Можно сто раз посмотреть ролики по самообороне, но без реальной отработки приемов в случайной уличной драке вас с очень высокой вероятностью постигнет разочарование. Как компания может отработать приемы защиты в реальной жизни? Путем выхода на пентест или программу багбаунти. К счастью, программ таких сейчас много, как и этичных исследователей, в них участвующих. Но вот незадача, цвет хакера или компании, на которую он работает в рамках программ, простите, зависит от тех документов и тех артефактов, которые он соберет. А где документы и правильные формулировки — там юристы. Ведь черный цвет — это уголовная ответственность, вплоть до реального тюремного заключения, лет на семь, как гласит Уголовный кодекс Российской Федерации.

Что нужно сделать этичному исследователю, чтобы оставаться на белой, безопасной стороне? Вот советы из нашей повседневной жизни:

• Внимательно прочитайте условия программы багбаунти или условия договора на пентест. В них описаны границы дозволенного при работе и ваши прямые обязательства. Сохраняйте условия программы и тем более договоры.

• Убедитесь, что вы получили все необходимые согласия на работу по поиску уязвимостей и эти согласия даны уполномоченными лицами.

• Не стесняйтесь задавать заказчику уточняющие вопросы по программе или договору.

• Не заходите за рамки дозволенного программой или договором. Любой выход за рамки делает вашу деятельность неправомерной, а значит создает риски уголовной ответственности.

• Внимательно относитесь к чужим персональным данным. Если программа багбаунти или пентест предполагают скачивание базы с персональными данными — подумайте дважды. Обычно в рамках программ достаточно доказать лишь реальность доступа к соответствующим базам, но не их скачивание.

• Не сохраняйте у себя материалы багбаунти и пентеста дольше, чем это предусмотрено программой или договором.

• Сохраняйте подтверждение приемки ваших услуг со стороны заказчика. Это подтверждение того, что вы делали все правильно.

• Соблюдайте все положения о конфиденциальности. Не делитесь материалами багбаунти и пентеста ни с кем, кроме заказчика, если это только прямо не установлено договором.

За это тоже сажают. О чем помнить при работе с коммерческой тайной

Раз уж речь зашла об этике, стоит написать и об этичной работе с информацией, которую компания доверяет своему работнику или внешнему консультанту. И в первую очередь речь, конечно, о коммерческой тайне. Для установления такого режима конфиденциальности компании надо принять целый ряд мер, но, честно, задача это посильная. Поэтому если вы подписали соглашение о конфиденциальности (non-disclosure agreement, NDA), внутренние акты компании о коммерческой тайне и документы по вашему допуску к ней, стоит отнестись к тому, что и как вы делаете с попадающей в ваше поле зрения информацией, как минимум с удвоенным вниманием. Прямо здесь и сейчас к ответственности за разглашение именно коммерческой тайны многие относятся с определенной беспечностью, и это легко понять. Судебная статистика по статье 183 Уголовного кодекса РФ («Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну») и правда не впечатляет простого человека: всего полсотни обвинительных приговоров в год. Для контраста по «компьютерной» статье 272 Уголовного кодекса РФ («Неправомерный доступ к компьютерной информации») — более 200. Но тут важен тренд, все чаще и компании, и правоохранительные органы начинают давать делам ход. Так, в 2023 году по 183-й статье было осуждено 36 человек, а в 2024-м уже 50 человек. Еще и законодатель усилил с 1 июля этого года ответственность по самой «популярной» части третьей статьи 183 УК РФ — за незаконное получение и разглашение сведений, составляющих коммерческую тайну, если деяния совершены группой лиц или с использованием служебного положения: здесь введен нижний порог наказания в виде лишения свободы от 2 до 5 лет с одновременным установлением дополнительного наказания в виде штрафа в размере до 5 миллионов рублей.

Тренды явно тревожные для всех, кто работает с коммерческой тайной, особенно с учетом того, что реальные сроки заключения были и до ужесточения правил. Так, работника одного из крупных банков приговорили к двум годам лишения свободы за незаконное использование охраняемой законом информации.

Совет простой: внимательно прочитайте все, что вы подписали в рамках своей работы по коммерческой тайне, и соблюдайте принятые правила. А чтобы было еще проще — относитесь ко всей рабочей информации с презумпцией ее конфиденциальности. Есть же у нас принцип zero trust, пусть будет и zero disclosure.

Отделяем этично рабочее от личного

От этики при работе с информацией перейдем к этике при конфликте интересов. Недавно я видел смешное видео, в котором показывали жилье айтишника, работающего на удаленке. Одна интересная деталь: в единственной по сюжету комнате было все, кроме кровати. Айтишники не спят, они работают, и часто не только над проектами одного работодателя, но и над сторонними личными проектами. Лексикон, который мы употребляем, очень четко описывает время, в котором мы живем, его особенности. Думаю, многие знают, что для описания вот таких сторонних проектов уже появился специальный термин — pet project, пет-проект. А если есть термин, значит само явление уже имеет масштаб. Итак, вы решили начать или уже ведете пет-проект? Прочитав предыдущие фрагменты моей статьи можете задуматься: а законно ли это? Не может ли работодатель это запретить? Сразу скажу, в свободное от работы время это законно. А в несвободное — тут есть нюансы. Один системный администратор из Rambler создал веб-сервер с открытым кодом, в 2011 году основал компанию Nginx, а чуть позже — получил иск от своего работодателя. Дело закончилось хеппи-эндом (не зря сегодня упоминали фильмы), почитать о нем можно в интернете, а мне здесь хотелось бы подсветить ключевые советы, связанные с пет-проектами:

• Внимательно прочитайте свой трудовой договор, в том числе должностную инструкцию. Эти документы определяют, что от вас может законно потребовать работодатель.

• Внимательно смотрите на все документы, которые вы подписываете в процессе работы.

• Если ваш пет-проект пересекается с рабочими задачами, лучше открыто сказать о нем работодателю, и сделать это в формализованной в форме. При спорах может очень сильно пригодиться.

• Не делайте свой пет-проект в рабочее время.

• Не используйте ресурсы и продукты (даже незаконченные) вашего работодателя для пет-проекта. Речь в том числе о вычислительных мощностях, оборудовании, информации и наработках.

Если вы читаете эти строки, спасибо! Уровень юридической грамотности повышен.

Повторю ключевые выводы:

✅ Читайте то, что собираетесь написать в сети.

✅ Фокусируйтесь на пользе.

✅ Отделяйте свои публикации от деятельности работодателя.

✅ Внимательно читайте условия программы багбаунти или пентеста.

✅ Получайте и сохраняйте все согласия, требуемые для багбаунти или пентеста.

✅ Не делитесь с третьими лицами данными, полученными в рамках багбаунти и пентеста.

✅ Читайте условия своих трудовых договоров и NDA.

✅ Исходите из презумпции конфиденциальности рабочей информации.

✅ Отделяйте пет-проекты от работы. Это ваша самостоятельная деятельность в свободное от работы время с использованием сторонних ресурсов, а не ресурсов работодателя.

✅ Соблюдайте профессиональную этику.

Заходите к юристам. Они помогают. Правда.

Если такой формат вам понравился, я продолжу делиться мыслями о правовом регулировании IT. Интересные темы вы можете предложить в комментариях.