Разглашение коммерческой тайны сулит компании массу проблем, начиная с потери клиентов и заканчивая негативным новостным фоном в прессе и, как следствие, недоверием со стороны инвесторов и кредиторов. В кризис уберечь тайны намного сложнее. Сокращение штата, снижение зарплат, невыплата бонусов – все это подтолкнет людей искать другие источники дохода, пусть и нелегальные. Какой должна быть политика информационной безопасности в кризис
Скандалы, связанные с разглашением коммерческой тайны предприятий, регулярно появляются на страницах газет. В 2008 году отличились «Объединенные Медиа». Со слов их представителя, компания передала банку «КИТ Финанс» пакет документов, чтобы тот провел оценку стоимости ее активов. В итоге часть данных, имеющих непосредственное отношение к коммерческой тайне медиахолдинга и переданных кредитной организации, была опубликована в прессе. «КИТ Финанс» отрицал свою причастность. Разобраться, кто прав, а кто виноват, сложно. Не говоря уже о том, чтобы каким-либо образом оценить нанесенный ущерб и компенсировать потери.
Риск потери конфиденциальной информации для компаний в период финансового кризиса существенно возрастает. О разработке анти-кризисных мер, включающих масштабное сокращение штата и доходов оставшихся сотрудников, уже заявили руководители большинства российских компаний: «Патэрсон», X5 Retail Group, «ЛУКОЙЛ», «Русгидро», «КамАЗ», «Тройка Диалог», «АнтантаПиоглобал». Побочный эффект борьбы за сокращение издержек – снижение лояльности персонала. Повышается риск, что уволенные сотрудники «невзначай» унесут с собой данные, относящиеся к коммерческой тайне компании, и постараются воспользоваться ими при дальнейшем трудоустройстве или просто продать.
«Отношение к бывшему работодателю у таких сотрудников, мягко говоря, негативное. Вероятность, что обиженный работник унесет с собой и конфиденциальную информацию, с которой раньше работал, очень высока, – предупреждает Игорь, сотрудник детективного агентства. – Столь ценный работник наверняка заинтересует конкурентов по бизнесу. Следует учесть и тот факт, что торговля чужими секретами весьма прибыльное дело, которое вполне компенсирует потерю части бонусов или оклада».
ВРАГ ВНУТРИ
Кризис – уникальная возможность получить контроль над бизнесом конкурентов, в том числе обзавестись привлекательными активами, о покупке которых раньше не приходилось и мечтать. На войне все средства хороши, а потому для поглощения приглянувшейся компании конкуренты не преминут воспользоваться схемами весьма сомнительного характера.
В конкурентной разведке используются любые источники сведений, но максимум полезной информации, как правило, собирается от инсайдеров. Служба безопасности компании, аппаратные и программные средства защиты от этого вида шпионажа практически не спасают. Причем на роль инсайдера подойдет любой сотрудник, начиная от рядового бухгалтера и заканчивая системным администратором. Кстати, чтобы получить конфиденциальные данные о деятельности компании, завербованным сотрудникам совсем не обязательно взламывать информационную систему или пытаться проникнуть в кабинет финансового директора, достаточно воспользоваться способом, получившим название «погружение в мусорные контейнеры».
Руководитель частного детективного агентства поведал историю о том, как, устроив одну из своих сотрудниц на должность уборщицы, за неделю собрал все необходимые документы из мусорного ведра бухгалтерии. Публикация таких данных в средствах массовой информации в сочетании с публичной критикой менеджмента может стать причиной внеплановых налоговых проверок, финансовых претензий со стороны инвесторов и других проблем.
Но наибольшую опасность для бизнеса все же представляют не «вражеские агенты», а вполне лояльные сотрудники, чья халатность становится основной причиной утечек конфиденциальной информации. По данным InfoWatch, среди причин утери конфиденциальных данных лидируют непреднамеренные действия сотрудников (более 50 процентов).
Яркий пример – случай с секретной информацией Министерства внутренних дел Великобритании. Компакт-диск с адресом ведомства и грифом «Совершенно секретно» сотрудникам службы безопасности доставил курьер компьютерной мастерской. История началась с того, что житель городка Уэстхаутон купил на аукционе eBay подержанный ноутбук, в котором вскоре обнаружились неполадки. Когда по просьбе покупателя сотрудники службы сервиса раскрыли корпус компьютера, то обнаружили втиснутый под клавиатуру компакт-диск с надписью «Совершенно секретно», забытый прежним владельцем. Находку сначала сочли чьей-то шуткой, но после проверки накопителя службой безопасности был конфискован и сам ноутбук. Представители министерства подтвердили: на диске действительно находились важные данные.
Человеческий фактор не поддается полноценному контролю, поэтому исключать вероятность неумышленного разглашения данных нельзя. Потеря флэш-карты с данными или ноутбука, на котором, к примеру, бухгалтер сохранил немалый объем данных, чтобы поработать дома, может обернуться для предприятия настоящей катастрофой.
Олег Кузьмин, директор департамента информационной безопасности компании «Ай-Теко», о пробелах в защите:
«Компании зачастую не могут правильно определить, какая именно информация является конфиденциальной. Многие ограничиваются созданием перечня, содержащего абстрактные названия»
УГРОЗА ИЗ СЕТИ
С каждым годом возрастает и число компаний, пострадавших от хакерских атак. В данном случае компании угрожает не только утечка информации, но ощутимые финансовые потери. Так, в сентябре 2008 года хакерской атаке подвергся Уральский банк развития и реконструкции. Со счетов екатеринбургского предприятия, которое обслуживалось через интернет-банкинг, исчезло около 1,5 млн рублей. Решившие пошутить хакеры перевели около 70 тыс. рублей на счет Всемирного фонда охраны дикой природы, еще 400 тыс. рублей – на счет екатеринбургской общественной организации по борьбе с наркотиками. Львиная доля средств была перечислена в Новокузнецк на оплату квартир физическим лицам. Специалисты считают, что виновны бухгалтеры компании, с компьютеров которых при помощи специального вируса хакеры выкрали электронно-цифровую подпись.
БЛИЦИНТЕРВЬЮ
Константин Астафьев,
старший юрист практики «Арбитраж. Конфликты.
Судебные споры» юридической фирмы «Вегас-Лекс»
ШТРАФ НА ТЫСЯЧУ РУБЛЕЙ
Как часто в суде рассматриваются дела, связанные с утечкой коммерческой информации?
Количество подобных исков крайне невелико: рассматриваются дела о привлечении сотрудников к полной материальной ответственности либо о правомерности их увольнения в связи с разглашением коммерческой тайны, еще реже – о взыскании убытков.
Какая ответственность предусмотрена российским законодательством за разглашение коммерческой тайны?
Законом предусмотрено три вида ответственности: гражданско-правовая (компания может потребовать возмещения убытков и морального ущерба), административная (сотрудник может быть оштрафован на сумму от 0,5 тыс. до 1 тыс. рублей). Уголовная ответственность в зависимости от статуса лица, его целей и тяжести наступивших последствий разная – от штрафа до лишения свободы на срок до 10 лет.
Что может предпринять компания заранее, чтобы при необходимости доказать свою позицию в суде?
Работодателю нужно довести до сотрудника, какая информация относится к коммерческой тайне, подписать с работниками соглашения о ее неразглашении. Это может быть отдельный документ либо пункт трудового договора. Это необходимый минимум. Удастся ли доказать свою правоту в суде, будет зависеть в том числе от того, насколько грамотно составлены эти документы.
Что делать, если удалось поймать сотрудника на краже конфиденциальной информации?
Необходимо будет доказать, что данные, разглашенные нарушителем, действительно относятся к коммерческой тайне и утечка информации стала следствием умышленных действий сотрудника.
САМОЕ ГЛАВНОЕ
Сохранение коммерческой тайны – головная боль топ-менеджеров многих российских компаний. Вот только системный подход к защите данных зачастую отсутствует. «Нафаршировов» компьютеры новомодными программами безопасности, менеджмент нередко забывает разработать положение по информационной безопасности и ознакомить с ним сотрудников.
«Главная ошибка, как правило, заключается в неправильном подходе к защите коммерческой тайны, – делится мнением Олег Кузьмин, директор департамента информационной безопасности компании “Ай-Теко”. – Компании зачастую не могут правильно определить, какая именно информация является конфиденциальной, а также обозначить все места ее хранения и обработки. В большинстве случаев они ограничиваются созданием перечня конфиденциальной информации, который содержит абстрактные названия. Привязки к конкретным документам, представленным в электронном виде или на бумажных носителях, зачастую отсутствуют».
Первый шаг на пути к безопасности бизнеса – определение перечня конфиденциальной информации, относящейся к коммерческой тайне. Второй этап – разработка соответствующей политики. «Это очень чувствительная область, которую обязательно нужно документировать. Согласно нашему трудовому договору, нарушение этих правил может служить основанием для увольнения сотрудника, – делится опытом Петр Гринченко, руководитель отдела информационной безопасности консалтинговой группы “Налоговик”. – В разработке документа и процедур участвуют руководители всех отделов, в том числе и финансовый директор, поскольку “безопасники” не всегда могут четко определить ценность и важность информации для компании».
С новыми правилами необходимо ознакомить всех сотрудников компании. «При приеме на работу сотрудники знакомятся с Положением о коммерческой тайне, заключается соглашение о неразглашении в течение трех лет после увольнения с работы», – рассказывает Ирина Михеева, ведущий юрисконсульт юридической фирмы «Прадо».
Необходимо также составить список работников, получивших право пользования закрытой информацией, и тех сотрудников, которым она может быть передана. На соответствующие документы необходимо нанести гриф «Коммерческая тайна» и заказать для их хранения сейф.
БЛИЦИНТЕРВЬЮ
Екатерина Петрова,
финансовый директор
компании «ИВК»
«ОЦЕНКА МАСШТАБОВ ПОТЕРЬ ДЕЙСТВУЕТ КАК ХОЛОДНЫЙ ДУШ»
Какие документы отнесены к коммерческой тайне компании?
Все финансовые документы, включая договоры, ведомости поставки и исполнения, конкурсные предложения и спецификации. Это не значит, что вся информация секретна, просто она доступна ограниченному кругу лиц. Некоторые компании идут дальше и применяют грифы для разделения уровней секретности. Как правило, для оптимального баланса между точностью классификации и удобством работы достаточно от пяти до семи различных грифов. Наша компания также использует систему грифов.
Как разграничиваются права доступа к ERP-системе?
В ИВК ряд объектов, например серверы и компьютеры топ-менеджеров, относятся к высшей категории защиты. К ним ограничен не только фактический, но и сетевой доступ. Для некоторых подразделений существуют ограничения или запрет на прямой выход в интернет. В установке запретов помогло внедрение интегрированной системы управления предприятием на базе Microsoft Navision. В ИВК эта система охватывает все виды деятельности и все бизнес-процессы. Соответственно с системой работают все сотрудники, при этом каждому доступны только те функции, которые напрямую связаны с его должностными обязанностями. Выйти за эти границы сотрудники практически не могут.
Какими правилами информационной безопасности руководствуется финансовый директор?
Например, переворачивать документы лицевой стороной вниз; запирать кабинет, даже если выходишь на пару минут; полностью уничтожать черновые редакции документов. Многолетняя привычка довела их выполнение до автоматизма.
НАЧНИТЕ С СЕБЯ
Повышение прозрачности компании вовсе не означает стремления к 100-процентному раскрытию информации. У любого предприятия существуют данные, которые нужно беречь от посторонних глаз. В большинстве случаев такие сведения доступны топ-менеджерам и в первую очередь финансовому директору. Во избежание кражи или случайной огласки конфиденциальных данных финансовому директору необходимо придерживаться элементарных правил информационной безопасности. На рабочем компьютере, подключенном к интернету, должен быть установлен антивирус и антишпион. А в идеале, если такое возможно, лучше вообще отказаться от использования интернета или заказать специально для выхода в глобальную сеть еще один компьютер, на котором не будет никаких рабочих документов.
«У финансового директора не должно быть прав администратора компьютера, – уверен Николай Зенин, руководитель направления защиты коммерческих тайн LETA IT-company. – Шпионские программы, даже если попадут на компьютер, смогут принести гораздо меньше вреда, если не получат административных привилегий».
Не лишним будет закрыть доступ к компьютеру паролем, не известным даже сотрудникам IT-службы, и обновлять его не реже чем один раз в месяц. «Если во время работы оставляешь свое рабочее место, необходимо закрыть все файлы в компьютере, желательно заблокировать клавиатуру. Если пользуешься накопителем информации, должен быть пароль на открытие папки с файлами, ненужные документы необходимо своевременно уничтожать, – рекомендует Елена Кудоярова, заместитель финансового директора компании «Данвита». – Ни в коем случае не позволяйте себе использовать бумажные носители информации в качестве черновика, хотя, насколько я знаю, у некоторых подобные записи накапливаются годами».
Обеспечить защиту конфиденциальной информации, доступной сотрудникам финансового департамента, поможет запрет на вынос документов из офиса. «Это всегда риск, мы стараемся избегать подобных ситуаций, ну а если появляется производственная необходимость, то ответственность на руководителе подразделения», – делится опытом Елена Кудоярова.
Некоторые компании в своем стремлении уберечь коммерческую информацию от посторонних глаз применяют методы контроля, граничащие с нарушением прав человека. Например, устанавливают видеонаблюдение за сотрудниками, проверяют почту и прослушивают телефонные переговоры. «Обратная сторона тотального контроля – высокая стоимость. Кроме того, весь массив получаемой информации необходимо систематизировать и анализировать. Поэтому перед принятием решения об установке конкретных систем информационной безопасности и контроля необходимо определится, какая информация представляет интерес для руководства и кем она будет анализироваться», – резюмирует Петр Гринченко.
ТЕХНИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ ФИНАНСИСТА
Для того чтобы уберечь финансовые секреты компании от посторонних глаз, главному финансисту совсем не обязательно превращать свой кабинет в неприступную крепость. Достаточно выполнения простых правил.
1. Для печати документов используйте только тот принтер, который установлен в вашем кабинете. Известны случаи, когда финансовый отдел и его руководитель печатали документы на так называемом общем принтере, установленном в коридоре, и соответственно все документы становились достоянием общественности.
2. Заведите себе привычку всю выбрасываемую бумагу пропускать через шредер. Не произойдет ничего страшного, если в один прекрасный момент вы поймаете себя на том, что тщательно измельчаете, например, газету. Но будет гораздо хуже, если из вашей корзины для бумаг важный договор попадет в руки конкурентов или рейдеров.
3. Выходя из кабинета, пусть и на несколько мгновений, блокируйте компьютер и закрывайте дверь на ключ.
4. Не берите работу домой, лучше задержитесь на несколько часов на работе. Кстати, семья будет вам за это только благодарна.
5. Закажите себе ноутбук, который никогда не будет использоваться для работы в интернете, а вход в него будет максимально защищен. На этом компьютере можно будет хранить резервные копии и данные, которые вы не решаетесь доверить серверу и основному рабочему компьютеру. Вот только не стоит его носить домой, а лучше хранить в сейфе.
6. Составьте список ответственных за хранение финансовых документов. Иначе проконтролировать, кто и что взял для работы в бухгалтерии, невозможно. А в идеале заведите журнал предоставления оригиналов документов тем сотрудникам, которые имеют к ним право доступа.
