Расследование внутреннего инцидента: как законно собрать доказательства против сотрудника

Расследование внутреннего инцидента: как законно собрать доказательства против сотрудника

Представим ситуацию, вы приходите утром в офис, завариваете кофе, открываете дашборд, а там кто-то за ночь вынес пол базы клиентов. Или, что ещё веселее, аккуратно, по чуть-чуть, в течение полугода переправлял исходники конкурентам. Вы знаете, что это кто-то из своих. И вопрос времени, когда стрелка компаса покажет на конкретное имя.

И тут начинается самое интересное, а именно, юридический квест под названием «как собрать доказательства так, чтобы они не рассыпались в суде, а вы сами не стали фигурантом».

Дисклеймер: всё, что написано ниже, основано на российском законодательстве и практике 2025–2026 годов. Это не юридическая консультация, а карта местности с отмеченными минами. Если соберетесь в поход — лучше возьмите с собой юриста.

Особенности внутреннего инцидента

Внешний хакер это довольно понятная история. Взломал, зашифровал, требует выкуп. Внутренний нарушитель это уже совсем другое. У него есть легитимный доступ к ресурсам, он знает внутренние политики безопасности и способы их обхода, а также может попытаться уничтожить или модифицировать цифровые следы своей деятельности.

Ключевая дилемма, стоящая перед специалистами по безопасности, заключается в том, чтобы найти баланс между необходимостью защиты активов и соблюдением прав сотрудников, между оперативным реагированием и сохранением возможности использовать полученные доказательства в суде.

По данным аналитических отчётов, более 60% инцидентов, связанных с утечкой конфиденциальной информации, происходят с участием внутренних нарушителей. При этом лишь малая часть организаций могут вовремя распознать внутренние угрозы.

Предостережения

Прежде чем браться за клавиатуру и начинать «копать», запомните, что работодатель не вправе самостоятельно осуществлять просмотр переписки сотрудника или слежку без его уведомления, если иное не предусмотрено трудовым договором или локальным нормативным актом, с которым сотрудник ознакомлен под роспись.

Трудовой кодекс, кстати, вообще не прописывает процедуру проведения расследования и сбора доказательств. Поэтому всё, что вы делаете, должно опираться на внутренние документы компании, с которыми сотрудник был ознакомлен.

На что можно опираться законно:

  • Трудовой кодекс РФ: ст. 21 (обязанность сотрудника беречь имущество работодателя), ст. 81 (расторжение за разглашение коммерческой тайны), ст. 232–233 (материальная ответственность)
  • Уголовный кодекс РФ: ст. 183 (незаконное получение и разглашение коммерческой, налоговой или банковской тайны), ст. 272 (неправомерный доступ к компьютерной информации)
  • 152-ФЗ «О персональных данных» — при утечке ПДн

Если у вас нет подписанного сотрудником согласия на мониторинг, увы, вы уже на тонком льду. Если нет внутреннего положения о расследовании инцидентов, тут ваши дела совсем плохи.

С чего начинается расследование

Внутреннее расследование — это внутренняя проверка, целью которой является полный, объективный и своевременный сбор и анализ материалов по факту дисциплинарного проступка. Это не просто «быстро уволить и забыть», у всего есть подводные камни и правильный порядок действий.

Шаг 1. Инициируем расследование

Сигнал может поступить от сотрудника, жалобы клиента или внешнего органа. Наша задача зафиксировать точное время обнаружения инцидента. Это важно, поскольку сроки привлечения к дисциплинарной ответственности варьируются от одного месяца со дня обнаружения проступка, но не более шести месяцев со дня его совершения.

Немедленно заблокируйте учётную запись подозреваемого сотрудника (без его уведомления), чтобы не спровоцировать уничтожение улик. И физически изолируй компьютер или ноутбук.

Шаг 2. Формируем комиссию

Издайте приказ о проведении расследования. В приказе определите предмет расследования, сроки, назначьте членов комиссии и установите их полномочия. В комиссию лучше включать доверенных лиц, которые не станут разглашать информацию и не навредят проверке. Полезна помощь сторонних консультантов, например, юристов.

Если расследуете финансовые вопросы, прямо укажи в приказе «проверку финансово-хозяйственной деятельности» — это позволит увеличить срок давности для привлечения нарушителей.

Шаг 3. Собираем доказательства

Вот тут начинается магия. Какие доказательства можно использовать:

  • Электронная переписка — корпоративная почта, логи чатов в корпоративном мессенджере;
  • Журналы доступа — кто, когда и к каким данным обращался;
  • Видеозаписи — с камер наблюдения, а также записи экрана с рабочих станций;
  • Документы финансового учёта;
  • Цифровые следы — подключение USB-накопителей, отправка файлов на личную почту, загрузка в облачные хранилища, печать документов.

Важно соблюдать закон о персональных данных. И помнить, что данные DLP-системы, легитимизированны должным образом, могут стать весомым аргументом в суде.

Кстати, фото и видео из DLP тоже можно использовать как доказательства в суде или по итогам служебных проверок.

DFIR

Экспертиза инцидентов кибербезопасности в методологии DFIR (Digital Forensics and Incident Response) является единственным эффективным инструментом, позволяющим не только восстановить хронологию событий, но и с высокой степенью достоверности установить конкретного сотрудника, его мотивы, способы сокрытия следов и объём похищенных данных.

DFIR-эксперт действует только в рамках легально полученных данных — корпоративные журналы, диски рабочих станций, сетевой трафик, проходящий через корпоративные шлюзы. Никакого самостоятельного «взлома» личных устройств.

Роль DLP и других систем

DLP-система благодаря мониторингу большого количества каналов связи позволяет сформировать более полную картину происходящего. Обогащение данных и подключение дополнительных источников информации помогает точнее восстановить ход событий.

Но есть нюанс. Сервер DLP сам по себе является концентратором критически важной информации. Если его скомпрометируют — все твои доказательства могут стать достоянием общественности.

Кроме DLP, используйте:

  • DAM — мониторинг активности баз данных
  • SIEM — сбор и корреляция событий
  • UEBA — поведенческий анализ пользователей
  • DCAP — контроль данных в состоянии покоя

Документирование

Вся документация должна фиксироваться и храниться в безопасном архиве. Что обязательно нужно оформить:

  • Приказы о создании комиссии и распоряжения о расследовании;
  • Протоколы допросов и опросов участников и свидетелей;
  • Материалы аудита, экспертиз и проверок;
  • Выводы комиссии и рекомендации руководству;
  • Отчёты о принятых мерах.

И не забудьте запросить у сотрудника письменное объяснение — это обязательное требование ТК РФ перед применением дисциплинарного взыскания.

Основные ошибки

Как и везде, есть детали, на которые мы забываем обратить внимание, давайте рассмотрим их до того, как подобные мелочи смогли дискредитировать нас в самый неподходящий момент.

  1. Отсутствие локальных нормативных актов. Если у вас нет положения о мониторинге, режима коммерческой тайны и подписанных сотрудниками согласий, то любые собранные данные могут быть признаны недопустимыми.
  2. Нарушение сроков. Пропустил месяц со дня обнаружения — прощай, дисциплинарное взыскание.
  3. Самостоятельное «расследование» без юриста. Размытые формулировки вроде «обеспечивает защиту информации» не защищают на практике. Если сотрудник пожалуется на вмешательство в личную информацию, то ответственность ляжет на ИБ.
  4. Уничтожение улик. Не дайте сотруднику удалить данные до того, как вы их скопируете.

Заключение

Расследование внутреннего инцидента это про систему, которая работает до, во время и после инцидента.

  • До — понятные политики, подписанные согласия, работающие DLP и SIEM.
  • Во время — быстрая изоляция, правильный сбор доказательств, юридически корректная процедура.
  • После — документирование, выводы, улучшение системы.

Если вы как и многие думаете, что «у нас такого не случится» — статистика говорит об обратном. В 79% компаний внутренняя инфраструктура уязвима для полного захвата злоумышленниками. Наш совет, готовьтесь к расследованию до того, как оно понадобится. Потому что когда оно понадобится, времени на подготовку уже не будет. А если у вас еще остались вопросы, «Астрал. Безопасность» всегда готовы вам с этим помочь!

Автор статьи: Филиппова Анастасия, специалист по информационной безопасности «Астрал. Безопасность».

Астрал.Безопасность
Автор: Астрал.Безопасность
ГК “Астрал” — российская IT-компания, с 1993 года создает и внедряет прогрессивное программное обеспечение и решения на базе искусственного интеллекта. Астрал помогает коммерческим организациям и государственным структурам по всей России выбрать оптимальное ИТ-решение под их бизнес-задачи, бюджет и сроки.
Комментарии: