В результате утечек информации 69% российских компаний несут финансовый или репутационный ущерб. Но возместить его бывает непросто, если изначально не защитить данные по всем правилам.

По разным оценкам, до 65% утечек коммерчески ценной информации происходит не по вине хакеров, а из-за халатности или злого умысла сотрудников. При этом только 9% работодателей в России идут разбираться с виновниками в суде. Это объяснимо: судиться долго, дорого, сложно. Проще тихо уволить сотрудника, а то и вовсе позволить ему уйти «по собственному». 

Но иногда из-за кражи информации на кону слишком много: крупные финансовые потери, ущерб репутации, наказание от регуляторов. И если компания решит добиваться компенсации через суд, нужно ожидать, что предстоит проделать большую работу. Давайте разберемся, как подготовиться и выстроить защиту.

Шаг 1. Убедитесь, что данные защищены

Чтобы информация и документы в компании были защищены так же, как поставленное на баланс имущество, их тоже нужно «инвентаризировать». Тогда и сотрудники будут относиться к данным с большим уважением. Кроме того, это необходимые формальные условия, благодаря которым можно будет защитить данные в суде. В противном случае даже если вы за руку поймали сотрудника, который отправлял техническую документацию конкурентам, в суде дело против него рассыплется. 

Вот порядок действий по защите данных:

• Издать приказ о введении режима коммерческой тайны (КТ). В него включают требования по оповещению сотрудников о режиме КТ и оформлению договоренностей о неразглашении. А в приложения – самое важное: перечень информации, которая составляет тайну, и сотрудников, которые ответственны за ее сохранение и/или имеют право с ней работать. Также перечисляют меры и инструменты для охраны конфиденциальной информации и инструкции по работе с ней.
• Подписать с сотрудниками соглашение о неразглашении (NDA) в дополнение к трудовому договору. В нем нужно указать, что сотрудник обязан сохранять коммерческую тайну, а также принимает ответственность, которая наступит при нарушении: например, по ст. 183 УК РФ или пп. «в» п. 6 ч. 1 ст. 81 ТК РФ. Иногда уже на уровне NDA прописывают наказания для сотрудников за разглашение тех или иных сведений. Например, за слив базы конкурентам – штраф в 10 млн рублей. Для наших судов это не аргумент, но как профилактика такое устрашение работает. 
• Оповестить сотрудников о мерах контроля. Подготовьте соглашение о том, что компания может контролировать компьютеры персонала. Укажите, зачем это делается: например, чтобы исполнить требования регулятора, следить за соблюдением трудового распорядка, сохранностью имущества компании (рабочих ПК). Со всеми в штате такую бумагу нужно подписать индивидуально. Так сотрудники будут знать, что информация на их компьютерах просматривается, а работодатель не нарушит права работников, даже если они решат хранить на рабочем месте личные данные.
• Составить регламент работы с конфиденциальной информацией. Регламент должен содержать правила хранения, учета, уничтожения и оборота таких данных. Например, требования помечать специальным грифом каждую копию документа, составляющего коммерческую тайну, нумеровать экземпляры таких документов, указывать, кому они принадлежат и что вправе с ними делать те или иные сотрудники. 
• Обеспечить выполнение этого регламента. Разграничить доступы к информации: бумаги запирать в сейфы, в Active Directory распределить права сотрудников, чтобы файлы и папки с критичным содержанием могли просматривать только те, кто указан в приказе. Следить, все ли конфиденциальные сведения учтены и размечены грифом – например, с помощью систем файлового аудита. Контролировать, как сотрудники соблюдают режим коммерческой тайны: не отправляют ли внутренние данные посторонним, не проявляют ли халатность в их защите – скажем, оставляют рабочее место, не заблокировав компьютер. Для этих целей подходят DLP-системы (системы защиты от утечек информации).

Шаг 2. Расследуйте инцидент и соберите доказательства

Если вы заподозрили, что в коллективе завелся инсайдер, или даже выявили попытку кражи данных, не спешите «вязать» нарушителя на месте. Проведите внутреннее расследование по всем правилам. Важно документально оформить каждое действие, чтобы в дальнейшем не возникло сомнений в их законности. Бюрократии тут много, но без нее не обойтись. 

Грамотно выстроенная процедура разбирательства выглядит так: 

• Зафиксировать факт инцидента или подозрения в том, что инцидент произошел. Для этого на имя руководства составляют служебную записку, в которой описывают, что произошло. Обычно это делает служба безопасности, если ее нет – любой в штате, кто стал свидетелем нарушения. Это послужит толчком к началу официального расследования.
• Создать комиссию по расследованию инцидента. В нее должны входить минимум три человека, обычно – по одному сотруднику от службы безопасности и отдела кадров, плюс непосредственный руководитель или коллега предполагаемых нарушителей.
• Собрать доказательства инцидента, чтобы установить, в чем именно состояло нарушение, когда оно произошло и кто его спровоцировал. Доказательствами послужит информация из СКУД, систем видеонаблюдения, контроля рабочего времени, DLP. В последних логируются все действия пользователей за ПК. Например, как из-под учетной записи менеджера Иванова в 13:45 12 октября зашли в Telegram и отправили документ с грифом «Коммерческая тайна» в групповой чат. Если возникнут сомнения, что действовал именно Иванов, можно просмотреть контрольные снимки с веб-камеры и идентифицировать нарушителя.
• Зафиксировать размер ущерба и результаты расследования. Чтобы оценить убытки, привлекают внешних аудиторов для экспертизы. Ее выводы включают в акт, который составляется по результатам расследования. Этот документ подписывают члены комиссии и заверяет руководитель организации. На все по ТК отводится месяц: за это время нужно успеть провести все проверки и оформить документы. 
• Ознакомить сотрудника с результатами работы комиссии и потребовать письменного объяснения. На это ему дается два рабочих дня. Если сотрудник отказывается или не предоставляет объяснительную вовремя, составляется акт за подписями всех членов комиссии. Сотрудник и его законные представители имеют право получить доступ и к этому акту, и к результатам служебной проверки. Препятствовать им противозаконно. 
• Потребовать возмещения ущерба. Если сотрудник откажется, можно применить дисциплинарные меры по ст. 192-193 ТК РФ – проще говоря, сделать выговор или уволить. Или лишить премии, если это предусмотрено корпоративными правилами. О любом наказании нужно составить приказ, ознакомить с ним работника под роспись в течение трех рабочих дней, при отказе подписывать – составить акт. Когда этого мало, с материалами расследования и экспертизы о размере ущерба обращаются в полицию или сразу в суд. 

Шаг 3. И только теперь готовьте иск

На этом этапе важно здраво оценить свои позиции. Например, действительно ли произошедшее в компании «тянет» на разбирательство по статье о разглашении тайны. 

Если сотрудник скопировал документы с грифом на флешку, а это запрещено, это будет считаться нарушением политики безопасности компании. Работодатель сможет наказать его самостоятельно, но в суд идти будет бессмысленно. Если нет доказательств, что сотрудник собирался передать документы посторонним, разглашением коммерческой тайны инцидент не признают. 

Дело провалится, а то и вовсе обернется против компании – тогда придется компенсировать сотруднику ущерб и восстанавливать на работе. Другой случай, когда налицо свидетельства намерений сотрудника продать скопированные файлы – например, переписка с конкурентом, где обсуждают условия и цену, договариваются о встрече. 

Собирать такую информацию можно только в рамках закона. Если вы взломаете аккаунт нарушителя, суд не примет добытую таким образом информацию как доказательство. А сотрудник сможет оспорить сам факт сбора информации о нем, основываясь на ст. 23 и 24 Конституции РФ. Но если данные собрала система контроля, доказательства примут. Главное, чтобы системы были установлены легально, а сотрудники под роспись оповещены, что действуют такие меры. В первую очередь это касается видеонаблюдения и применения DLP. О процедуре легализации последних мы подробно рассказывали здесь. 

Если все сделать правильно, шансы на успех возрастают. Вот наглядный пример.

В мае 2012 года компания-производитель удобрений с помощью DLP-системы обнаружила, что один из сотрудников втайне просматривает почтовый ящик начальника управления. Часть писем пересылает конкурентам. В письмах содержались цены и условия контрактов с партнерами, результаты анализа рынка, детали стратегии по продвижению продукции за рубеж. Согласно принятому в компании положению о конфиденциальности, эти сведения составляли коммерческую тайну. Внутреннее расследование показало, что сотрудник занимался этим на протяжении двух лет. В результате конкуренты получили преимущество, а компания стала фиксировать отток клиентов, потеряла рынки сбыта, понесла финансовый и репутационный ущерб.

Нарушителя уволили за грубое нарушение трудовых обязанностей на основании п. «в» ч. 6 ст. 81 ТК РФ (разглашение охраняемой законом коммерческой тайны). Затем на инсайдера подали в суд.

В качестве доказательств в суде представили распечатки писем конкуренту из почтового ящика, который принадлежал обвиняемому. К ним прилагалось подтверждение из DLP о том, что во всех случаях доступ к этому ящику осуществлялся с использованием учетной записи сотрудника. 

Также предъявили заявку обвиняемого на право использования электронной почты, где он под подпись предупреждался об ответственности за несанкционированную отправку в интернет конфиденциальных сведений. А заодно соглашался с проведением контроля содержимого его электронной почты специальными программно-техническими средствами. Наконец, представили объяснительную: в ней инсайдер писал, что передавал конфиденциальные данные, потому что рассчитывал получить у конкурентов должность с большей зарплатой.

Гагаринский райсуд Москвы счел аргументы обвинения достаточно убедительными. В июне 2013 года инсайдера признали виновным по ч. 1 и 2 ст. 183 УК РФ (незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну). Наказание – 1 год 9 месяцев исправительных работ с удержанием 15% зарплаты в доход государства.

Постфактум. Делайте выводы

В 2018 году российские суды рассмотрели всего 23 дела о разглашении коммерческой тайны – и это при том, что с утечками информации сталкивается 66% российского бизнеса. Хотя решения в подавляющем большинстве случаев выносят в пользу пострадавших компаний, судиться решаются не многие. Если все-таки не хочется доводить до суда, спускать инциденты «на тормозах» не стоит – лучше решать дела по обоюдному соглашению. А еще лучше не расследовать и доказывать утечки, а предотвращать их. Благо, защитных решений для бизнеса хватает.