Сбербанк

«Делойт» в новостях

Какие ошибки совершают компании в борьбе с воровством данных

Каждый третий российский работник крадет у нанимателя конфиденциальную информацию

Почти треть (27%) сотрудников хотя бы раз за карьеру мстили бывшим работодателям — украли рабочие материалы или данные, уничтожили ценные документы либо обнародовали конфиденциальные сведения. Это выяснила софтверная компания ESET, опросив 750 пользователей. Каждая крупная компания увольняет за кражу конфиденциальной информации по нескольку десятков сотрудников в год, утверждает Андрей Прозоров, руководитель экспертного направления компании Solar Security. Обычно пострадавшие работодатели не доводят подобные истории до суда, опасаясь репутационных рисков, говорит Прозоров. Это связано и с трудностями сбора доказательств вины сотрудника, отмечает он. Почему же компании столь уязвимы перед действиями недобросовестных сотрудников?

Нет людей

В крупной торгово-производственной компании сотрудники удаляли информацию о продаже товара из базы данных, а вырученные средства похищали. Компании пришлось создать новый отдел информационной безопасности (ИБ) из двух человек, который через полгода вырос в целую службу, рассказывает Сергей Солдатов, руководитель центра мониторинга кибербезопасности «Лаборатории Касперского».

Такой отдел должен быть в любой компании со штатом от 500 человек, особенно если она относится к сектору, где базы данных составляют важную часть бизнеса, — к финансам, телекоммуникациям, здравоохранению, IT, торговле, говорит Денис Королев, партнер EY. Однако для среднего бизнеса это довольно дорогое удовольствие, считает Алексей Фролов, инвестиционный директор «Инфрафонда РВК». Работодатели предпочитают бывших сотрудников центра информационной безопасности ФСБ, «Лаборатории Касперского» и «Ланита», отмечает Фролов. Специалист должен иметь навыки программирования и системного администрирования, а также навыки аналитической работы, знания иностранных языков и конкретной отрасли, говорит Королев. Зарплаты таких сотрудников в Москве сейчас составляют в среднем 60 000–85 000 руб. в месяц, но нередко доходят и до 150 000 руб. Тем не менее спрос на специалистов по информационной безопасности за последний год вырос вдвое, по данным HeadHunter: с 60 вакансий в сентябре 2016 года до 135 годом позже.

Не следят

Часто утечка информации происходит путем копирования файлов и их пересылки через почту, мессенджеры, файлообменники, соцсети. Около 20% респондентов ESET хотя бы раз в жизни копировали рабочие материалы, базы клиентов, отчеты, планы и другие документы, чтобы впоследствии использовать их на новой работе или перепродать. Во многих российских компаниях процесс отслеживания действий сотрудников поставлен плохо, говорит Николай Легкодимов, партнер KPMG. Поэтому очень трудно собрать доказательства нарушения для суда.

По словам Фролова, расследования по уголовным делам, связанным с хищением данных, обычно ведут сами компании — самостоятельно или нанимают специализированные фирмы. В правоохранительных органах просто нет специалистов нужного уровня. Зарплаты оперативников из управления «К» МВД составляют 50 000–70 000 руб. в месяц, а в коммерческой фирме специалисты получают от 120 000 руб. в месяц, замечает Фролов.

В августе 2017 года суд вынес обвинительный приговор двум мошенникам, похитившим персональные данные части абонентов интернет-провайдера «Акадо телеком», говорится в решении суда. В августе 2016 года служба безопасности «Акадо» зафиксировала взлом базы данных CRM. Злоумышленником оказался сотрудник одной из подрядных организаций, которому конкурент «Акадо» пообещал 30 000 руб. за копию клиентской базы. Он обратился к другу, написавшему за 5000 руб. программу для проникновения в систему. Однако служба безопасности «Акадо» обнаружила факт копирования базы, а также зафиксировала переписку злоумышленника с потенциальным покупателем базы. В ноябре 2016 года на обоих нарушителей было заведено уголовное дело. В качестве доказательств хищения данных, а также намерения продать информацию суд принял данные, собранные через IT-систему, рассказывает директор по безопасности «Акадо-Екатеринбург» Андрей Перескоков. Подсудимым был вынесен обвинительный приговор — два года лишения свободы условно. Это первый случай, когда интернет-провайдер в суде доказал факт кражи базы данных, радуется Перескоков.

Не замечают недовольных

Данные чаще крадут в компаниях, которые сами неэтично ведут себя с сотрудниками, говорит Королев. Если компания не платит обещанные бонусы, в ней плохой моральный климат, сотрудники больше склонны к хищению данных, продолжает Королев. Неудовлетворенность сотрудников работой повышает риск разглашения или утраты конфиденциальной информации, согласен Денис Липов, директор Департамента управления рисками, руководитель Группы по оказанию услуг, связанных с управлением рисками использования новейших технологий и автоматизации бизнеса, компании «Делойт», СНГ. По словам Королева, минимизировать стимулы к воровству помогают достойные зарплаты и соцпакет, а также корпоративная культура, базирующаяся на честности.

Особую группу риска составляют увольняющиеся сотрудники. Так, работница автоцентра отправила конфиденциальные данные с корпоративной почты на личную: персональные данные коллег, клиентов и различную переписку. IT-система зафиксировала этот факт. В объяснительной нарушительница указала, что информация нужна ей для написания диплома. А через пару дней служба безопасности перехватила письмо, из которого следовало, что сотрудница ведет переговоры о трудоустройстве на новое место — в страховую компанию. И база персональных данных — ее пропуск в эту фирму. Мошенницу уволили по статье за разглашение коммерческой тайны, рассказал Лев Матвеев, председатель совета директоров компании SearchInform.

При разговоре об увольнении следует напомнить сотруднику о политике безопасности компании и о том, что ему грозит в случае нарушения. Обычно это отбивает охоту прихватить с собой данные, советует Матвеев. Воровство данных — это уголовное преступление согласно ст. 183 УК, максимальный штраф — 1,5 млн руб., нарушителям грозит до семи лет тюремного заключения, добавляет он.

Если руководитель собирается расставаться с работником недружественно, это следует делать быстро — ведь за две недели отработки тот может посеять смуту среди других сотрудников или сказать что-то не то клиенту, а не только украсть базу данных, говорит президент «Экопси консалтинга» Марк Розин.

Никакая не тайна

Игорь Кузьмин, менеджер по продажам техники компании «Белагро-сервис», был уволен за разглашение сведений, составляющих коммерческую тайну, а потом подал в суд на компанию. Как говорится в решении суда, «Белагро-сервис» обвинил Кузьмина в том, что он собрал данные по 39 потенциальным покупателям сельхозтехники производства компании на выставке «Золотая нива» и по Skype передал их коммерческому директору конкурирующей компании «Агримаркет». Кузьмин потребовал признать увольнение незаконным и оплатить вынужденный прогул. Суд удовлетворил иск: мол, компания не поставила в известность менеджера при приеме на работу, какие сведения являются коммерческой тайной. Сейчас «Белагро-сервис» собирается обратиться в правоохранительные органы, чтобы они возбудили уголовное дело против Кузьмина, говорит Владимир Балабанович, директор департамента безопасности ГК «Белагро».

Для введения режима коммерческой тайны нужно выполнить пять шагов, указывает Александр Коркин, руководитель практики трудового и миграционного права «Пепеляев групп». Сначала нужно определить перечень информации, составляющей коммерческую тайну, затем ограничить доступ к такой информации. После этого нужно вести учет лиц, получивших доступ к такой информации. Работодатель также должен включить в трудовые и гражданско-правовые договоры пункты о порядке обращения с конфиденциальной информацией. Наконец, следует нанести на конфиденциальные документы гриф «Коммерческая тайна». Большинство дел, по словам Коркина, работодатели проигрывают именно из-за невыполнения этого перечня.

Сами подставляются

Часто компании сами создают благоприятные условия для хищения данных. Например, 7% респондентов ESET рассказали, что даже после увольнения из компании они могли заходить на корпоративные порталы или рабочую почту удаленно. Например, в 2013 году компания «Фосагро» выиграла суд против бывшего сотрудника Ашота Топчяна. Она обвинила его в передаче конкуренту — компании Transammonia — сведений, составляющих коммерческую тайну. Расследование показало, что Топчян (вначале менеджер по продажам, затем — начальник отдела) просматривал переписку своего начальника с представителями Transammonia, говорится в решении суда. Оказалось, что доступ к почте руководителя он получил во время его отпуска и потом продолжал просматривать ящик, откуда черпал конфиденциальные сведения о производстве удобрений и условиях поставок на экспорт. Как сообщила пресс-служба «Фосагро», после этого инцидента компания ввела жесткие регламенты по хранению сведений, содержащих коммерческую тайну.

Михаил Емельянников, глава консалтингового агентства «Емельянников, Попова и партнеры», говорит, что подобные инциденты не происходили бы, если бы у компании была эффективная система контроля доступа к информационным системам.

9.10.2017

Ведомости

Эта информация была полезна для вас?