В результате утечек информации 69% российских компаний несут финансовый или репутационный ущерб. Но возместить его бывает непросто, если изначально не защитить данные по всем правилам.
По разным оценкам, до 65% утечек коммерчески ценной информации происходит не по вине хакеров, а из-за халатности или злого умысла сотрудников. При этом только 9% работодателей в России идут разбираться с виновниками в суде. Это объяснимо: судиться долго, дорого, сложно. Проще тихо уволить сотрудника, а то и вовсе позволить ему уйти «по собственному».
Но иногда из-за кражи информации на кону слишком много: крупные финансовые потери, ущерб репутации, наказание от регуляторов. И если компания решит добиваться компенсации через суд, нужно ожидать, что предстоит проделать большую работу. Давайте разберемся, как подготовиться и выстроить защиту.
Чтобы информация и документы в компании были защищены так же, как поставленное на баланс имущество, их тоже нужно «инвентаризировать». Тогда и сотрудники будут относиться к данным с большим уважением. Кроме того, это необходимые формальные условия, благодаря которым можно будет защитить данные в суде. В противном случае даже если вы за руку поймали сотрудника, который отправлял техническую документацию конкурентам, в суде дело против него рассыплется.
Вот порядок действий по защите данных:
Если вы заподозрили, что в коллективе завелся инсайдер, или даже выявили попытку кражи данных, не спешите «вязать» нарушителя на месте. Проведите внутреннее расследование по всем правилам. Важно документально оформить каждое действие, чтобы в дальнейшем не возникло сомнений в их законности. Бюрократии тут много, но без нее не обойтись.
Грамотно выстроенная процедура разбирательства выглядит так:
На этом этапе важно здраво оценить свои позиции. Например, действительно ли произошедшее в компании «тянет» на разбирательство по статье о разглашении тайны.
Если сотрудник скопировал документы с грифом на флешку, а это запрещено, это будет считаться нарушением политики безопасности компании. Работодатель сможет наказать его самостоятельно, но в суд идти будет бессмысленно. Если нет доказательств, что сотрудник собирался передать документы посторонним, разглашением коммерческой тайны инцидент не признают.
Дело провалится, а то и вовсе обернется против компании – тогда придется компенсировать сотруднику ущерб и восстанавливать на работе. Другой случай, когда налицо свидетельства намерений сотрудника продать скопированные файлы – например, переписка с конкурентом, где обсуждают условия и цену, договариваются о встрече.
Собирать такую информацию можно только в рамках закона. Если вы взломаете аккаунт нарушителя, суд не примет добытую таким образом информацию как доказательство. А сотрудник сможет оспорить сам факт сбора информации о нем, основываясь на ст. 23 и 24 Конституции РФ. Но если данные собрала система контроля, доказательства примут. Главное, чтобы системы были установлены легально, а сотрудники под роспись оповещены, что действуют такие меры. В первую очередь это касается видеонаблюдения и применения DLP. О процедуре легализации последних мы подробно рассказывали здесь.
Если все сделать правильно, шансы на успех возрастают. Вот наглядный пример.
В мае 2012 года компания-производитель удобрений с помощью DLP-системы обнаружила, что один из сотрудников втайне просматривает почтовый ящик начальника управления. Часть писем пересылает конкурентам. В письмах содержались цены и условия контрактов с партнерами, результаты анализа рынка, детали стратегии по продвижению продукции за рубеж. Согласно принятому в компании положению о конфиденциальности, эти сведения составляли коммерческую тайну. Внутреннее расследование показало, что сотрудник занимался этим на протяжении двух лет. В результате конкуренты получили преимущество, а компания стала фиксировать отток клиентов, потеряла рынки сбыта, понесла финансовый и репутационный ущерб.
Нарушителя уволили за грубое нарушение трудовых обязанностей на основании п. «в» ч. 6 ст. 81 ТК РФ (разглашение охраняемой законом коммерческой тайны). Затем на инсайдера подали в суд.
В качестве доказательств в суде представили распечатки писем конкуренту из почтового ящика, который принадлежал обвиняемому. К ним прилагалось подтверждение из DLP о том, что во всех случаях доступ к этому ящику осуществлялся с использованием учетной записи сотрудника.
Также предъявили заявку обвиняемого на право использования электронной почты, где он под подпись предупреждался об ответственности за несанкционированную отправку в интернет конфиденциальных сведений. А заодно соглашался с проведением контроля содержимого его электронной почты специальными программно-техническими средствами. Наконец, представили объяснительную: в ней инсайдер писал, что передавал конфиденциальные данные, потому что рассчитывал получить у конкурентов должность с большей зарплатой.
Гагаринский райсуд Москвы счел аргументы обвинения достаточно убедительными. В июне 2013 года инсайдера признали виновным по ч. 1 и 2 ст. 183 УК РФ (незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну). Наказание – 1 год 9 месяцев исправительных работ с удержанием 15% зарплаты в доход государства.
В 2018 году российские суды рассмотрели всего 23 дела о разглашении коммерческой тайны – и это при том, что с утечками информации сталкивается 66% российского бизнеса. Хотя решения в подавляющем большинстве случаев выносят в пользу пострадавших компаний, судиться решаются не многие. Если все-таки не хочется доводить до суда, спускать инциденты «на тормозах» не стоит – лучше решать дела по обоюдному соглашению. А еще лучше не расследовать и доказывать утечки, а предотвращать их. Благо, защитных решений для бизнеса хватает.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных