Всем привет, меня зовут Андрей Стуколов, я адвокат по уголовно-правовой защите бизнеса. Веду tg-канал «Защита бизнеса» и руковожу Коллегией адвокатов Intelligence. В этой статье мы поговорим про утечку конфиденциальной информации через недобросовестных сотрудников компании и разберем кейс по минимизации этого риска.
У меня есть друг, владелец небольшого бизнеса. Он довольно дотошный парень и любит лично контролировать у себя на предприятии многие бизнес-процессы. Больше всего времени он уделяет контролю отдела продаж. И это логично, так как продажи - основа основ любого бизнеса.
Один из бизнес-процессов, который он никогда не делегирует, это собеседование с кандидатами на позицию менеджера отдела продаж.
На собеседовании мой друг в деталях расспрашивает у кандидатов о нюансах их деятельности на текущем либо прошлом месте работы.
Многие потенциальные работники, желающие получить должность, охотно рассказывают про объем продаж, конверсии, источники трафика, средний чек, используемые скрипты и т.д.
Некоторые из них с гордостью заявляют, что принесут на новое место работы не только свою высокую компетенцию и навыки, но и клиентскую базу предыдущего работодателя.
Иными словами сотрудник сливает конфиденциальную информацию конкурентам. Понято, что такому кандидату мой друг отказывает в приеме на работу.
Но найдется другой человек, который будет не против получить конкурентное преимущество, принимая на работу менеджера по продажам с готовой клиентской базой.
Техническая информация, бухгалтерские и финансовые документы, тендерная документация, наработки и технологии, данные клиентов и сотрудников, настройки и статистика контекстной рекламы, сведения о поставщиках, а также любая другая информация может попасть к третьим лицам через недобросовестных сотрудников компании.
Слив конфиденциальных данных конкурентам - ещё полбеды, хуже если сведения окажутся в руках мошенников. В любом случае утечка информации из компании - это риски и убытки.
Как правило, самые уязвимые места в организации - отделы маркетинга, продаж, снабжения, бухгалтерия.
Рабочие групповые чаты в мессенджерах, переписки сотрудников через личную, а не корпоративную почту, хранение документов компании в облачных сервисах, использование на работе личных компьютеров, ноутбуков, usb-флешек - всё это является благоприятной средой для утечки данных.
Что делать с риском утечки конфиденциальной информации через недобросовестных сотрудников компании?
Нет инструмента, который бы позволил полностью предотвратить данный риск.
При этом не будем забывать, что цель бизнеса - это генерация прибыли, а не тотальная слежка за собственными сотрудниками. Поэтому меры защиты информации должны быть эффективными, но относительно простыми и безболезненными.
В качестве примера расскажу о работе, которую мы проделали на предприятии моего друга с целью минимизации указанного риска.
1. Введен режим коммерческой тайны на предприятии.
Разработано положение о коммерческой тайне, в котором указан перечень конфиденциальных сведений, порядок их учета, хранения и использования.
Все сотрудники компании были ознакомлены с данным положением под подпись. Определен перечень лиц, имеющих доступ к коммерческой тайне и регламентирован порядок доступа к этим сведениям. От сотрудников получены письменные обязательства о неразглашении коммерческой тайны.
Введение режима коммерческой тайны на предприятии позволит привлечь виновных лиц к ответственности за её разглашение.
2. С сотрудниками компании проведена профилактическая беседа и выданы памятки об ответственности за разглашение коммерческой тайны.
Разглашение коммерческой тайны может быть основанием для увольнения сотрудника (п.п. "в" п.6 ст.81 ТК РФ), взыскания с него убытков (п.3 ч.3 ст.11 ФЗ "О коммерческой тайне",ст.15 ГК РФ) и даже привлечения к уголовной ответственности по ст.183 УК РФ.
Подробнее об ответственности сотрудников компании за разглашение коммерческой тайны Вы можете прочитать в моей статье по этой ссылке.
До сотрудников доведена принципиальная позиция работодателя - привлечение к установленной законом ответственности за каждый факт разглашения коммерческой тайны компании.
3. Внедрена DLP-система
Data Leakage Prevention (предотвращение утечки данных) - это специальное программное обеспечение, которое защищает компанию от утечек информации.
Программа контролирует информационные потоки внутри компании (входящий и исходящий трафик, отправку и получение файлов, их содержание), анализирует поведение сотрудников, выявляет и предотвращает потенциальную утечку данных, а также блокирует несанкционированные действия.
На рынке достаточно много различных DLP-систем, рекомендовать кого-либо из них не вижу смысла, поскольку программное обеспечение должно подбираться под запросы конкретной компании и её бюджет.
В завершение хочу сказать, что вышеперечисленные меры не являются стопроцентной защитой от утечек конфиденциальной информации, но существенно снижают данный риск без негативного влияния на бизнес-процессы компании.
Полагаю, что более серьезные меры профилактики отрицательно скажутся на эффективности работы сотрудников и, как следствие, экономических показателях бизнеса. Компании нужно генерировать прибыль и меры безопасности не должны препятствовать этому процессу.
Насчет режима коммерческой тайны:
1. Этот режим должен быть правильно реализован как предписывает закон, иначе работодатель вместе со всеми своими коммерческими якобы тайнами идет по известному адресу.
2. Нужно понимать, что работодатель зачастую пихает в написанные им положения коммерческой тайны много своих личных хотелок, которые ничтожны с точки зрения закона - и по этим хотелкам он тоже идет куда указано в п. 1.
Режим коммерческой тайны должен вводиться с учетом положений ФЗ "О коммерческой тайне". И действительно не все сведения могут являться коммерческой тайной. Перечень информации, которая не может быть отнесена к коммерческой тайне, перечислен в ст.5 ФЗ "О коммерческой тайне". В любом случае нюансы введения режима коммерческой тайны на предприятии - это тема для отдельного разговора. Подробнее об этом рассказываю в своей статье по этой ссылке https://stukolov.ru/kommercheskaya-tayna
Я думал ща будет эпопея с выковыриванием USB-разъемов из системных блоков, а тут просто бумажки подписали и фсе..
Отличная статья! Для тех кто бизнесом занимается важная и ценная информация.
Да хрень это. Смотрю, уже одну подобную псевдостатью удалили.
Давайте разберемся.
1. "Введен режим коммерческой тайны на предприятии.". Нихрена это не решает. Кому надо - тот вынесет.
2. "Профилактическая беседа" - вообще ересь. Автор статьи с реальным бизнесом сталкивался хоть раз?
3. DLP - да, решение. Пусть и отчасти. Только причем тут юриспруденция - не понимаю.
Критической информации в деятельности фирмы не так-то и много. И не так много должностей, которые имеют к ней полный доступ. Вот тех - надо просто грамотно подбирать. А не успокаивать себя обтекателями типа NDA.
Кстати, что интересно. У меня брат член МОКА. И что-то он не слышал про Intelligence.
1. Режим коммерческой тайны вводится для того, чтобы защитить определенную информацию компании в правовом поле. Без введения режима коммерческой тайны нельзя привлечь работника к ответственности за её разглашение. Вы не сможете ссылаться на то, что сотрудник разгласил ноу-хау/иные важные сведения и причинил ущерб компании, если в организации не был введен режим коммерческой тайны.
2. Профилактические беседы с сотрудниками на предмет правовых рисков - это золотой стандарт собственной безопасности компании. Может быть Вам для начала следует изучить вопрос, почитать специальную литературу, пообщаться с компетентными специалистами, а уже потом делать выводы?
3. DLP помимо прочего фискирует цифровые следы утечки информации от конкретного сотрудника, что в последующем позволит доказать этот факт при обращении в компетентные органы для защиты нарушенных прав. Именно при этом здесь юриспруденция.
4. На чем основан Ваш вывод о том, что в компаниях не так много конфиденциальной информации? Исследования может быть какие то проводили, анализ, анкетирование представителей отрасли, изучали судебную практику? Если нет, то Ваше утверждение является голословным.
5. Информация обо всех адвокатах и адвокатских образованиях открытая и Вы можете ее проверить через соответствующие реестры и получить необходимую информацию. Ваш довод - "мой брат не слышал об Intelligence" довольно странный. В России действует около 26 тысяч адвокатских образований. По памяти всех должны знать? Может быть и реестр юрлиц тоже следует выучить?
6. Мне очень приятно, что мои статьи Вам откликаются, но может быть стоит сопровождать свои комментарии под ними более конструктивной критикой, а изложенные доводы обосновывать и мотивировать? Подумайте над этим в будущем.
Но я на этом нашу дискуссию считаю оконченной.
ОК. Отвечаю по пунктам.
1. Режим коммерческой тайны с т.з. юриспруденции, разумеется, нужен. Ни от чего он не спасет, но, в случае чего, будет хотя бы теоретическая вероятность работника за задницу взять. Тут согласен.
2. Профилактические беседы - полная чушь. Мне не нужно "почитать специальную литературу, пообщаться с компетентными специалистами", я в более чем серьезных бизнесах работал. Профилактическая беседа уместна только в случае общения с ССБ, но тогда это просто запугивание.
3. Нормально настроенная DLP... Ну, вероятно, бывает. Тут собеседник писал про отключения USB портов. Но и это не вполне спасает. Прочитайте про Риэлити то ли Винтер, то ли Виннер (не помню)
4. На практике. То, что нужно знать - конкуренты и так знают. А вот финотчетность (управленческую) и особенности... эээ... политики - им знать не надо.
5. Коллегия - это, по сути, особо ничего не обозначает. Два адвоката - уже коллегия. Просто звучит красивше, чем просто "бюро" или "кабинет".
6. Ну вроде, смотивировал. :)
Если честно, я тоже не разбираюсь в юриспруденции.🙂 Всегда слушаю что говорят и никогда не верю слепо. Привичка такая. Просто отбираю оттуда полезное. И всё.
Спасибо за Ваш отзыв.
Спасибо за информацию, полезно. Согласен с тем, что меры профилактики должны быть достаточно простыми и эффективными, чтобы не перегружать бизнес-процессы в организации.
Есть успешные случаи привлечения к ответственности по указанным статьям?
Случаев привлечения к ответственности за разглашение коммерческой тайны достаточно много и анализ судебной практики позволит в этом убедиться.
Чем больше непрозрачного бардака в компании, тем более параноидальные меры в отношении NDA, договоров с клиентами и поставщиками, а так же в личных обязательствах работников по неразглашению.
В духе... не имеете права 100 лет после увольнения и далее 100 пунктов что именно не имеете и что обязуетесь.
В отношении технических контролей - хочешь контролировать - контролируй, но найми квалифицированных людей которые сделают тебе это профессионально и незаметно для персонала в работе и бесчисленных "подтвердите что вы действительно без преступного умысла отправляете файл премии2021.xls на печать". А так же без экс-силовиков в СБ ведущих профилактические беседы в духе - "вилки и глаза а так же филейной части и вероятностей проникновения".
Поэтому предупреди людей цивилизовано с ознакомлением и бумажками что сори ребята есть контроли, не говорите что вы не знали и делай это на фоне не мешая и не нагнетая атмосферу застенок.
Да ладно! Вы что, смеетесь!!?? Всё же просто: