Утечка данных через недобросовестных сотрудников компании

Всем привет, меня зовут Андрей Стуколов, я адвокат по уголовно-правовой защите бизнеса. Веду tg-канал «Защита бизнеса» и руковожу Коллегией адвокатов Intelligence. В этой статье мы поговорим про утечку конфиденциальной информации через недобросовестных сотрудников компании и разберем кейс по минимизации этого риска.

У меня есть друг, владелец небольшого бизнеса. Он довольно дотошный парень и любит лично контролировать у себя на предприятии многие бизнес-процессы. Больше всего времени он уделяет контролю отдела продаж. И это логично, так как продажи - основа основ любого бизнеса.

Один из бизнес-процессов, который он никогда не делегирует, это собеседование с кандидатами на позицию менеджера отдела продаж.

На собеседовании мой друг в деталях расспрашивает у кандидатов о нюансах их деятельности на текущем либо прошлом месте работы.

Многие потенциальные работники, желающие получить должность, охотно рассказывают про объем продаж, конверсии, источники трафика, средний чек, используемые скрипты и т.д.

Некоторые из них с гордостью заявляют, что принесут на новое место работы не только свою высокую компетенцию и навыки, но и клиентскую базу предыдущего работодателя.

Иными словами сотрудник сливает конфиденциальную информацию конкурентам. Понято, что такому кандидату мой друг отказывает в приеме на работу.

Но найдется другой человек, который будет не против получить конкурентное преимущество, принимая на работу менеджера по продажам с готовой клиентской базой.

Техническая информация, бухгалтерские и финансовые документы, тендерная документация, наработки и технологии, данные клиентов и сотрудников, настройки и статистика контекстной рекламы, сведения о поставщиках, а также любая другая информация может попасть к третьим лицам через недобросовестных сотрудников компании.

Слив конфиденциальных данных конкурентам - ещё полбеды, хуже если сведения окажутся в руках мошенников. В любом случае утечка информации из компании - это риски и убытки.

Как правило, самые уязвимые места в организации - отделы маркетинга, продаж, снабжения, бухгалтерия.

Рабочие групповые чаты в мессенджерах, переписки сотрудников через личную, а не корпоративную почту, хранение документов компании в облачных сервисах, использование на работе личных компьютеров, ноутбуков, usb-флешек - всё это является благоприятной средой для утечки данных.

Что делать с риском утечки конфиденциальной информации через недобросовестных сотрудников компании?

Нет инструмента, который бы позволил полностью предотвратить данный риск.

При этом не будем забывать, что цель бизнеса - это генерация прибыли, а не тотальная слежка за собственными сотрудниками. Поэтому меры защиты информации должны быть эффективными, но относительно простыми и безболезненными.

В качестве примера расскажу о работе, которую мы проделали на предприятии моего друга с целью минимизации указанного риска.

1. Введен режим коммерческой тайны на предприятии.

Разработано положение о коммерческой тайне, в котором указан перечень конфиденциальных сведений, порядок их учета, хранения и использования.

Все сотрудники компании были ознакомлены с данным положением под подпись. Определен перечень лиц, имеющих доступ к коммерческой тайне и регламентирован порядок доступа к этим сведениям. От сотрудников получены письменные обязательства о неразглашении коммерческой тайны.

Введение режима коммерческой тайны на предприятии позволит привлечь виновных лиц к ответственности за её разглашение.

2. С сотрудниками компании проведена профилактическая беседа и выданы памятки об ответственности за разглашение коммерческой тайны.

Разглашение коммерческой тайны может быть основанием для увольнения сотрудника (п.п. "в" п.6 ст.81 ТК РФ), взыскания с него убытков (п.3 ч.3 ст.11 ФЗ "О коммерческой тайне",ст.15 ГК РФ) и даже привлечения к уголовной ответственности по ст.183 УК РФ.

Подробнее об ответственности сотрудников компании за разглашение коммерческой тайны Вы можете прочитать в моей статье по этой ссылке.

До сотрудников доведена принципиальная позиция работодателя - привлечение к установленной законом ответственности за каждый факт разглашения коммерческой тайны компании.

3. Внедрена DLP-система

Data Leakage Prevention (предотвращение утечки данных) - это специальное программное обеспечение, которое защищает компанию от утечек информации.

Программа контролирует информационные потоки внутри компании (входящий и исходящий трафик, отправку и получение файлов, их содержание), анализирует поведение сотрудников, выявляет и предотвращает потенциальную утечку данных, а также блокирует несанкционированные действия.

На рынке достаточно много различных DLP-систем, рекомендовать кого-либо из них не вижу смысла, поскольку программное обеспечение должно подбираться под запросы конкретной компании и её бюджет.

В завершение хочу сказать, что вышеперечисленные меры не являются стопроцентной защитой от утечек конфиденциальной информации, но существенно снижают данный риск без негативного влияния на бизнес-процессы компании.

Полагаю, что более серьезные меры профилактики отрицательно скажутся на эффективности работы сотрудников и, как следствие, экономических показателях бизнеса. Компании нужно генерировать прибыль и меры безопасности не должны препятствовать этому процессу.

44
14 комментариев

Насчет режима коммерческой тайны:
1. Этот режим должен быть правильно реализован как предписывает закон, иначе работодатель вместе со всеми своими коммерческими якобы тайнами идет по известному адресу.
2. Нужно понимать, что работодатель зачастую пихает в написанные им положения коммерческой тайны много своих личных хотелок, которые ничтожны с точки зрения закона - и по этим хотелкам он тоже идет куда указано в п. 1.

3
Ответить

Режим коммерческой тайны должен вводиться с учетом положений ФЗ "О коммерческой тайне". И действительно не все сведения могут являться коммерческой тайной. Перечень информации, которая не может быть отнесена к коммерческой тайне, перечислен в ст.5 ФЗ "О коммерческой тайне". В любом случае нюансы введения режима коммерческой тайны на предприятии - это тема для отдельного разговора. Подробнее об этом рассказываю в своей статье по этой ссылке https://stukolov.ru/kommercheskaya-tayna

1
Ответить

Я думал ща будет эпопея с выковыриванием USB-разъемов из системных блоков, а тут просто бумажки подписали и фсе..

3
Ответить

Отличная статья! Для тех кто бизнесом занимается важная и ценная информация.

2
Ответить

Да хрень это. Смотрю, уже одну подобную псевдостатью удалили.
Давайте разберемся.
1. "Введен режим коммерческой тайны на предприятии.". Нихрена это не решает. Кому надо - тот вынесет.
2. "Профилактическая беседа" - вообще ересь. Автор статьи с реальным бизнесом сталкивался хоть раз?
3. DLP - да, решение. Пусть и отчасти. Только причем тут юриспруденция - не понимаю.
Критической информации в деятельности фирмы не так-то и много. И не так много должностей, которые имеют к ней полный доступ. Вот тех - надо просто грамотно подбирать. А не успокаивать себя обтекателями типа NDA.

Кстати, что интересно. У меня брат член МОКА. И что-то он не слышал про Intelligence.

1
Ответить

Спасибо за Ваш отзыв.

Ответить

Спасибо за информацию, полезно. Согласен с тем, что меры профилактики должны быть достаточно простыми и эффективными, чтобы не перегружать бизнес-процессы в организации.

1
Ответить