Утечка данных через недобросовестных сотрудников компании
Всем привет, меня зовут Андрей Стуколов, я адвокат по уголовно-правовой защите бизнеса. Веду tg-канал «Защита бизнеса» и руковожу Коллегией адвокатов Intelligence. В этой статье мы поговорим про утечку конфиденциальной информации через недобросовестных сотрудников компании и разберем кейс по минимизации этого риска.
У меня есть друг, владелец небольшого бизнеса. Он довольно дотошный парень и любит лично контролировать у себя на предприятии многие бизнес-процессы. Больше всего времени он уделяет контролю отдела продаж. И это логично, так как продажи - основа основ любого бизнеса.
Один из бизнес-процессов, который он никогда не делегирует, это собеседование с кандидатами на позицию менеджера отдела продаж.
На собеседовании мой друг в деталях расспрашивает у кандидатов о нюансах их деятельности на текущем либо прошлом месте работы.
Многие потенциальные работники, желающие получить должность, охотно рассказывают про объем продаж, конверсии, источники трафика, средний чек, используемые скрипты и т.д.
Некоторые из них с гордостью заявляют, что принесут на новое место работы не только свою высокую компетенцию и навыки, но и клиентскую базу предыдущего работодателя.
Иными словами сотрудник сливает конфиденциальную информацию конкурентам. Понято, что такому кандидату мой друг отказывает в приеме на работу.
Но найдется другой человек, который будет не против получить конкурентное преимущество, принимая на работу менеджера по продажам с готовой клиентской базой.
Техническая информация, бухгалтерские и финансовые документы, тендерная документация, наработки и технологии, данные клиентов и сотрудников, настройки и статистика контекстной рекламы, сведения о поставщиках, а также любая другая информация может попасть к третьим лицам через недобросовестных сотрудников компании.
Слив конфиденциальных данных конкурентам - ещё полбеды, хуже если сведения окажутся в руках мошенников. В любом случае утечка информации из компании - это риски и убытки.
Как правило, самые уязвимые места в организации - отделы маркетинга, продаж, снабжения, бухгалтерия.
Рабочие групповые чаты в мессенджерах, переписки сотрудников через личную, а не корпоративную почту, хранение документов компании в облачных сервисах, использование на работе личных компьютеров, ноутбуков, usb-флешек - всё это является благоприятной средой для утечки данных.
Что делать с риском утечки конфиденциальной информации через недобросовестных сотрудников компании?
Нет инструмента, который бы позволил полностью предотвратить данный риск.
При этом не будем забывать, что цель бизнеса - это генерация прибыли, а не тотальная слежка за собственными сотрудниками. Поэтому меры защиты информации должны быть эффективными, но относительно простыми и безболезненными.
В качестве примера расскажу о работе, которую мы проделали на предприятии моего друга с целью минимизации указанного риска.
1. Введен режим коммерческой тайны на предприятии.
Разработано положение о коммерческой тайне, в котором указан перечень конфиденциальных сведений, порядок их учета, хранения и использования.
Все сотрудники компании были ознакомлены с данным положением под подпись. Определен перечень лиц, имеющих доступ к коммерческой тайне и регламентирован порядок доступа к этим сведениям. От сотрудников получены письменные обязательства о неразглашении коммерческой тайны.
Введение режима коммерческой тайны на предприятии позволит привлечь виновных лиц к ответственности за её разглашение.
2. С сотрудниками компании проведена профилактическая беседа и выданы памятки об ответственности за разглашение коммерческой тайны.
Разглашение коммерческой тайны может быть основанием для увольнения сотрудника (п.п. "в" п.6 ст.81 ТК РФ), взыскания с него убытков (п.3 ч.3 ст.11 ФЗ "О коммерческой тайне",ст.15 ГК РФ) и даже привлечения к уголовной ответственности по ст.183 УК РФ.
Подробнее об ответственности сотрудников компании за разглашение коммерческой тайны Вы можете прочитать в моей статье по этой ссылке.
До сотрудников доведена принципиальная позиция работодателя - привлечение к установленной законом ответственности за каждый факт разглашения коммерческой тайны компании.
3. Внедрена DLP-система
Data Leakage Prevention (предотвращение утечки данных) - это специальное программное обеспечение, которое защищает компанию от утечек информации.
Программа контролирует информационные потоки внутри компании (входящий и исходящий трафик, отправку и получение файлов, их содержание), анализирует поведение сотрудников, выявляет и предотвращает потенциальную утечку данных, а также блокирует несанкционированные действия.
На рынке достаточно много различных DLP-систем, рекомендовать кого-либо из них не вижу смысла, поскольку программное обеспечение должно подбираться под запросы конкретной компании и её бюджет.
В завершение хочу сказать, что вышеперечисленные меры не являются стопроцентной защитой от утечек конфиденциальной информации, но существенно снижают данный риск без негативного влияния на бизнес-процессы компании.
Полагаю, что более серьезные меры профилактики отрицательно скажутся на эффективности работы сотрудников и, как следствие, экономических показателях бизнеса. Компании нужно генерировать прибыль и меры безопасности не должны препятствовать этому процессу.
Насчет режима коммерческой тайны:
1. Этот режим должен быть правильно реализован как предписывает закон, иначе работодатель вместе со всеми своими коммерческими якобы тайнами идет по известному адресу.
2. Нужно понимать, что работодатель зачастую пихает в написанные им положения коммерческой тайны много своих личных хотелок, которые ничтожны с точки зрения закона - и по этим хотелкам он тоже идет куда указано в п. 1.
Режим коммерческой тайны должен вводиться с учетом положений ФЗ "О коммерческой тайне". И действительно не все сведения могут являться коммерческой тайной. Перечень информации, которая не может быть отнесена к коммерческой тайне, перечислен в ст.5 ФЗ "О коммерческой тайне". В любом случае нюансы введения режима коммерческой тайны на предприятии - это тема для отдельного разговора. Подробнее об этом рассказываю в своей статье по этой ссылке https://stukolov.ru/kommercheskaya-tayna
Я думал ща будет эпопея с выковыриванием USB-разъемов из системных блоков, а тут просто бумажки подписали и фсе..
Отличная статья! Для тех кто бизнесом занимается важная и ценная информация.
Да хрень это. Смотрю, уже одну подобную псевдостатью удалили.
Давайте разберемся.
1. "Введен режим коммерческой тайны на предприятии.". Нихрена это не решает. Кому надо - тот вынесет.
2. "Профилактическая беседа" - вообще ересь. Автор статьи с реальным бизнесом сталкивался хоть раз?
3. DLP - да, решение. Пусть и отчасти. Только причем тут юриспруденция - не понимаю.
Критической информации в деятельности фирмы не так-то и много. И не так много должностей, которые имеют к ней полный доступ. Вот тех - надо просто грамотно подбирать. А не успокаивать себя обтекателями типа NDA.
Кстати, что интересно. У меня брат член МОКА. И что-то он не слышал про Intelligence.
Спасибо за Ваш отзыв.
Спасибо за информацию, полезно. Согласен с тем, что меры профилактики должны быть достаточно простыми и эффективными, чтобы не перегружать бизнес-процессы в организации.