Утечка данных через недобросовестных сотрудников компании

В этой статье мы поговорим про утечку конфиденциальной информации через недобросовестных сотрудников компании и разберем кейс по минимизации этого риска.

У меня есть друг, владелец небольшого бизнеса. Он довольно дотошный парень и любит лично контролировать у себя на предприятии многие бизнес-процессы. Больше всего времени он уделяет контролю отдела продаж. И это логично, так как продажи - основа основ любого бизнеса.

Один из бизнес-процессов, который он никогда не делегирует, это собеседование с кандидатами на позицию менеджера отдела продаж.

На собеседовании мой друг в деталях расспрашивает у кандидатов о нюансах их деятельности на текущем либо прошлом месте работы.

Многие потенциальные работники, желающие получить должность, охотно рассказывают про объем продаж, конверсии, источники трафика, средний чек, используемые скрипты и т.д.

Некоторые из них с гордостью заявляют, что принесут на новое место работы не только свою высокую компетенцию и навыки, но и клиентскую базу предыдущего работодателя.

Иными словами сотрудник сливает конфиденциальную информацию конкурентам. Понято, что такому кандидату мой друг отказывает в приеме на работу.

Но найдется другой человек, который будет не против получить конкурентное преимущество, принимая на работу менеджера по продажам с готовой клиентской базой.

Техническая информация, бухгалтерские и финансовые документы, тендерная документация, наработки и технологии, данные клиентов и сотрудников, настройки и статистика контекстной рекламы, сведения о поставщиках, а также любая другая информация может попасть к третьим лицам через недобросовестных сотрудников компании.

Слив конфиденциальных данных конкурентам - ещё полбеды, хуже если сведения окажутся в руках мошенников. В любом случае утечка информации из компании - это риски и убытки.

Как правило, самые уязвимые места в организации - отделы маркетинга, продаж, снабжения, бухгалтерия.

Рабочие групповые чаты в мессенджерах, переписки сотрудников через личную, а не корпоративную почту, хранение документов компании в облачных сервисах, использование на работе личных компьютеров, ноутбуков, usb-флешек - всё это является благоприятной средой для утечки данных.

Нет инструмента, который бы позволил полностью предотвратить данный риск.

При этом не будем забывать, что цель бизнеса - это генерация прибыли, а не тотальная слежка за собственными сотрудниками. Поэтому меры защиты информации должны быть эффективными, но относительно простыми и безболезненными.

В качестве примера расскажу о работе, которую мы проделали на предприятии моего друга с целью минимизации указанного риска.

1. Введен режим коммерческой тайны на предприятии.

Разработано положение о коммерческой тайне, в котором указан перечень конфиденциальных сведений, порядок их учета, хранения и использования.

Все сотрудники компании были ознакомлены с данным положением под подпись. Определен перечень лиц, имеющих доступ к коммерческой тайне и регламентирован порядок доступа к этим сведениям. От сотрудников получены письменные обязательства о неразглашении коммерческой тайны.

Введение режима коммерческой тайны на предприятии позволит привлечь виновных лиц к ответственности за её разглашение.

2. С сотрудниками компании проведена профилактическая беседа и выданы памятки об ответственности за разглашение коммерческой тайны.

Разглашение коммерческой тайны может быть основанием для увольнения сотрудника (п.п. "в" п.6 ст.81 ТК РФ), взыскания с него убытков (п.3 ч.3 ст.11 ФЗ "О коммерческой тайне",ст.15 ГК РФ) и даже привлечения к уголовной ответственности по ст.183 УК РФ.

Подробнее об ответственности сотрудников компании за разглашение коммерческой тайны Вы можете прочитать в моей статье по этой ссылке.

До сотрудников доведена принципиальная позиция работодателя - привлечение к установленной законом ответственности за каждый факт разглашения коммерческой тайны компании.

3. Внедрена DLP-система

Data Leakage Prevention (предотвращение утечки данных) - это специальное программное обеспечение, которое защищает компанию от утечек информации.

Программа контролирует информационные потоки внутри компании (входящий и исходящий трафик, отправку и получение файлов, их содержание), анализирует поведение сотрудников, выявляет и предотвращает потенциальную утечку данных, а также блокирует несанкционированные действия.

На рынке достаточно много различных DLP-систем, рекомендовать кого-либо из них не вижу смысла, поскольку программное обеспечение должно подбираться под запросы конкретной компании и её бюджет.

В завершение хочу сказать, что вышеперечисленные меры не являются стопроцентной защитой от утечек конфиденциальной информации, но существенно снижают данный риск без негативного влияния на бизнес-процессы компании.

Полагаю, что более серьезные меры профилактики отрицательно скажутся на эффективности работы сотрудников и, как следствие, экономических показателях бизнеса. Компании нужно генерировать прибыль и меры безопасности не должны препятствовать этому процессу.

Президент Коллегии адвокатов Intelligence Андрей Стуколов.