Как защитить бизнес от утечки данных

И почему это важно делать даже владельцам некрупных компаний

С каждым годом происходит все больше случаев утечек данных. Это касается как компаний-гигантов, так и менее крупных организаций. Согласно отчету «Лаборатории Касперского», в 2023 году большинство утечек было зафиксировано именно в сегменте малого и среднего бизнеса. Похитить могут не только персональные данные, но и остальную конфиденциальную информацию.

Так, сотрудник может подсмотреть бизнес-модель и разработки компании, а затем уйти в «свободное плавание» и построить свой бизнес по чужим наработкам, использовав ноу-хау бывшего работодателя. А новый менеджер по продажам – внезапно пропасть, поработав перед этим «как следует» с клиентской базой.

Кирилл Акборисов
адвокат Юридической группы «Совет»

Как защитить коммерческие данные

Обычно жаждущих наживы на разработках и связях чужой компании интересуют такие сведения, как секрет производства (ноу-хау), базы поставщиков, базы клиентов, сведения из базы 1С:Бухгалтерия, чертежи, лекала, скрипты. Все это позволяет бизнесу прирастать в доходе, сохранять позиции на рынке и эффективно развиваться.

Обеспечить полную защиту конфиденциальной информации практически невозможно. Но большинство рисков, которые связаны с действиями ненадежных сотрудников, нивелирует установленный в компании режим коммерческой тайны.

Чтобы режим коммерческой тайны заработал, нужно:

  • Определить, какие сведения в компании могут быть отнесены к конфиденциальной информации;
  • Отметить грифом «Коммерческая тайна» все материальные носители конфиденциальной информации, на каждом носителе указать данные правообладателя;
  • Установить порядок обращения с засекреченной информацией и зафиксировать его в Положении о коммерческой тайне;
  • Определить список лиц, которые имеют доступ к коммерческой тайне компании, и подписать с ними документы, предусматривающие ответственность за разглашение конфиденциальной информации.

Статус конфиденциальной информации присваивается самим работодателем. Чаще всего такой статус получают сведения, разглашение которых может привести к снижению прибыли или потери возможности компании вести свою деятельность.

Но помните, что кое-что засекретить нельзя по закону: это документы, подтверждающие предпринимательскую деятельность, количество сотрудников, уровень заработной платы, условия труда и ряд других сведений.

Коммерческая тайна: что изменится для сотрудников?

Чаще всего Положение о коммерческой тайне предусматривает для сотрудников:

  • Запрет на раскрытие и передачу коммерческой тайны без согласия руководства компании. Подробное описание того, что именно понимается под разглашением и какие действия сотруднику разрешено совершать по отношению к засекреченной информации, убережет от недоразумений;
  • Запрет на использование конфиденциальной информации в другой деятельности, если это нанесет вред компании-правообладателю. Например, сотрудник не может пользоваться клиентской базой компании, чтобы построить свой бизнес;
  • Обязанность сотрудника уведомить руководство и обратиться в полицию в случае попытки шпионажа или шантажа с целью получения секретной информации;
  • Обязанность сообщить об утечке или риске разглашения данных – сразу же по факту возникновения инцидента;
  • Условия и сроки неразглашения информации в случае увольнения сотрудника или его выхода на пенсию.

В Положении также прописывают наказание за нарушение коммерческой тайны. Недобросовестного сотрудника можно привлечь к ответственности:

  • Дисциплинарной, где в качестве самой жесткой меры здесь может быть увольнение;
  • Материальной – в виде компенсации ущерба, причиненного сотрудником компании;
  • Уголовной – вплоть до лишения свободы.

Зафиксировать перечень конфиденциальной информации и положение о коммерческой тайне нужно приказом директора. Важно чтобы каждый сотрудник, который будет иметь доступ к засекреченным сведениям, внимательно ознакомился с документами под роспись.

Что делать, если утечка уже произошла?

Если стало известно о разглашении сотрудником коммерческой тайны, необходимо назначить ему соответствующее наказание и, в случае необходимости, обратиться в суд.

Придерживайтесь следующего порядка действий:

  1. Зафиксируйте факт нарушения. Чтобы доказать разглашение секретной информации конкретным сотрудником, можно использовать данные с камер видеонаблюдения либо показания других работников.

  2. Запросите у сотрудника письменные объяснения. Если он не готов составить объяснительную записку, нужно оформить письменное требование объяснений и вручить его под расписку;

  3. Как можно быстрее соберите комиссию по расследованию конкретного случая, в состав комиссии должны входить не менее трех работников с нужными компетенциями, не заинтересованных в исходе разбирательства;
  4. Составьте акт проверки. Акт должен содержать все имеющиеся сведения об инциденте, расследовании и предлагаемые меры наказания. Документ подписывают все члены комиссии и передают на ознакомление под роспись обвиняемому сотруднику;
  5. Решите вопрос о принятии мер реагирования и привлечения сотрудника к ответственности (дисциплинарной, административной, уголовной).

Если бизнес пренебрегает защитой информации, в какой-то момент коммерчески значимые сведения утекают “не в те руки”. Тогда появляются конкуренты, работающие по вашим наработкам, к конкурентам уходят любимые клиенты, и вполне возможно – эффективные сотрудники. Даже если в вашей компании работают всего 10-20 человек, будьте бдительны и защищайте свое дело.

А если вы хотите больше контента про юридическую защиту бизнеса — подписывайтесь на наш Telegram-канал. Будем на связи.

5
7 комментариев

Оттого, что вы напишете бумажку об ответственности сотрудников, данные никак не защитятся от утечки)

1
Ответить

К сожалению, если сотрудник захочет слить данные, он их сольёт. Вопрос в ответственности за это действие: она может предотвратить первый и последующие подобные случаи.

Ответить

Чтобы защитить бизнес от утечки данных, надо защитить его не от сотрудников, а от утечки данных. Вы понимаете?
От тех. средств снятия электромагнитных, акустических утечек.
И только после этого заниматься персоналом. Эти средства дешевле, чем 1-2 зарплаты.

Ответить

Тех. средства, как правило, тоже устанавливают сотрудники либо, как минимум, отвечают за их установку. И они могут не оценивать реальные риски для бизнеса. Поэтому важно проводить работу с персоналом компании, информируя его об ответственности за свои действия.

1
Ответить

Организационные меры самые дешевые, но тяжело реализуемые из-за человеческого фактора. DLP, все по белому списку, обсуждения в защищаемом помещении. Прием после психологического тестирования на склонности. Ну и руководству не быть гондольерами.

Ответить