Какие ошибки совершают компании в борьбе с воровством данных
Каждый третий российский работник крадет у нанимателя конфиденциальную информацию
Почти треть (27%) сотрудников хотя бы раз за карьеру мстили бывшим работодателям – украли рабочие материалы или данные, уничтожили ценные документы либо обнародовали конфиденциальные сведения. Это выяснила софтверная компания ESET, опросив 750 пользователей. Каждая крупная компания увольняет за кражу конфиденциальной информации по нескольку десятков сотрудников в год, утверждает Андрей Прозоров, руководитель экспертного направления компании Solar Security. Обычно пострадавшие работодатели не доводят подобные истории до суда, опасаясь репутационных рисков, говорит Прозоров. Это связано и с трудностями сбора доказательств вины сотрудника, отмечает он. Почему же компании столь уязвимы перед действиями недобросовестных сотрудников?
Нет людей
В крупной торгово-производственной компании сотрудники удаляли информацию о продаже товара из базы данных, а вырученные средства похищали. Компании пришлось создать новый отдел информационной безопасности (ИБ) из двух человек, который через полгода вырос в целую службу, рассказывает Сергей Солдатов, руководитель центра мониторинга кибербезопасности «Лаборатории Касперского».
Такой отдел должен быть в любой компании со штатом от 500 человек, особенно если она относится к сектору, где базы данных составляют важную часть бизнеса, – к финансам, телекоммуникациям, здравоохранению, IT, торговле, говорит Денис Королев, партнер EY. Однако для среднего бизнеса это довольно дорогое удовольствие, считает Алексей Фролов, инвестиционный директор «Инфрафонда РВК». Работодатели предпочитают бывших сотрудников центра информационной безопасности ФСБ, «Лаборатории Касперского» и «Ланита», отмечает Фролов. Специалист должен иметь навыки программирования и системного администрирования, а также навыки аналитической работы, знания иностранных языков и конкретной отрасли, говорит Королев. Зарплаты таких сотрудников в Москве сейчас составляют в среднем 60 000–85 000 руб. в месяц, но нередко доходят и до 150 000 руб. Тем не менее спрос на специалистов по информационной безопасности за последний год вырос вдвое, по данным HeadHunter: с 60 вакансий в сентябре 2016 г. до 135 годом позже.
Не следят
Часто утечка информации происходит путем копирования файлов и их пересылки через почту, мессенджеры, файлообменники, соцсети. Около 20% респондентов ESET хотя бы раз в жизни копировали рабочие материалы, базы клиентов, отчеты, планы и другие документы, чтобы впоследствии использовать их на новой работе или перепродать. Во многих российских компаниях процесс отслеживания действий сотрудников поставлен плохо, говорит Николай Легкодимов, партнер KPMG. Поэтому очень трудно собрать доказательства нарушения для суда.
Теряют миллионы
11 млн руб. по данным «Лаборатории Касперского», в среднем составляет ущерб от одного нарушения информационной безопасности в крупных российских компаниях. В среднем и малом бизнесе – 1,6 млн руб.
По словам Фролова, расследования по уголовным делам, связанным с хищением данных, обычно ведут сами компании – самостоятельно или нанимают специализированные фирмы. В правоохранительных органах просто нет специалистов нужного уровня. Зарплаты оперативников из управления «К» МВД составляют 50 000–70 000 руб. в месяц, а в коммерческой фирме специалисты получают от 120 000 руб. в месяц, замечает Фролов.
В августе 2017 г. суд вынес обвинительный приговор двум мошенникам, похитившим персональные данные части абонентов интернет-провайдера «Акадо телеком», говорится в решении суда. В августе 2016 г. служба безопасности «Акадо» зафиксировала взлом базы данных CRM. Злоумышленником оказался сотрудник одной из подрядных организаций, которому конкурент «Акадо» пообещал 30 000 руб. за копию клиентской базы. Он обратился к другу, написавшему за 5000 руб. программу для проникновения в систему. Однако служба безопасности «Акадо» обнаружила факт копирования базы, а также зафиксировала переписку злоумышленника с потенциальным покупателем базы. В ноябре 2016 г. на обоих нарушителей было заведено уголовное дело. В качестве доказательств хищения данных, а также намерения продать информацию суд принял данные, собранные через IT-систему, рассказывает директор по безопасности «Акадо-Екатеринбург» Андрей Перескоков. Подсудимым был вынесен обвинительный приговор – два года лишения свободы условно. Это первый случай, когда интернет-провайдер в суде доказал факт кражи базы данных, радуется Перескоков.
Не замечают недовольных
Данные чаще крадут в компаниях, которые сами неэтично ведут себя с сотрудниками, говорит Королев. Если компания не платит обещанные бонусы, в ней плохой моральный климат, сотрудники больше склонны к хищению данных, продолжает Королев. Неудовлетворенность сотрудников работой повышает риск разглашения или утраты конфиденциальной информации, согласен Денис Липов, директор департамента управления рисками Deloitte. По словам Королева, минимизировать стимулы к воровству помогают достойные зарплаты и соцпакет, а также корпоративная культура, базирующаяся на честности.
Особую группу риска составляют увольняющиеся сотрудники. Так, работница автоцентра отправила конфиденциальные данные с корпоративной почты на личную: персональные данные коллег, клиентов и различную переписку. IT-система зафиксировала этот факт. В объяснительной нарушительница указала, что информация нужна ей для написания диплома. А через пару дней служба безопасности перехватила письмо, из которого следовало, что сотрудница ведет переговоры о трудоустройстве на новое место – в страховую компанию. И база персональных данных – ее пропуск в эту фирму. Мошенницу уволили по статье за разглашение коммерческой тайны, рассказал Лев Матвеев, председатель совета директоров компании SearchInform.
При разговоре об увольнении следует напомнить сотруднику о политике безопасности компании и о том, что ему грозит в случае нарушения. Обычно это отбивает охоту прихватить с собой данные, советует Матвеев. Воровство данных – это уголовное преступление согласно ст. 183 УК, максимальный штраф – 1,5 млн руб., нарушителям грозит до семи лет тюремного заключения, добавляет он.
Если руководитель собирается расставаться с работником недружественно, это следует делать быстро – ведь за две недели отработки тот может посеять смуту среди других сотрудников или сказать что-то не то клиенту, а не только украсть базу данных, говорит президент «Экопси консалтинга» Марк Розин.
Никакая не тайна
Игорь Кузьмин, менеджер по продажам техники компании «Белагро-сервис», был уволен за разглашение сведений, составляющих коммерческую тайну, а потом подал в суд на компанию. Как говорится в решении суда, «Белагро-сервис» обвинил Кузьмина в том, что он собрал данные по 39 потенциальным покупателям сельхозтехники производства компании на выставке «Золотая нива» и по Skype передал их коммерческому директору конкурирующей компании «Агримаркет». Кузьмин потребовал признать увольнение незаконным и оплатить вынужденный прогул. Суд удовлетворил иск: мол, компания не поставила в известность менеджера при приеме на работу, какие сведения являются коммерческой тайной. Сейчас «Белагро-сервис» собирается обратиться в правоохранительные органы, чтобы они возбудили уголовное дело против Кузьмина, говорит Владимир Балабанович, директор департамента безопасности ГК «Белагро».
Бонус за безопасность
74,2% утечек данных в России, по данным InfoWatch, происходит неумышленно – из-за того, что сотрудники кликают по ссылкам в фишинговых письмах или теряют флешки со служебными документами.
Корпоративная культура должна поощрять соблюдение сотрудниками правил ИБ, говорит Роман Чаплыгин, директор практики информационной безопасности PwC. Он уверяет, что ежемесячные бонусы сотрудникам PwC начисляются только при отсутствии каких-либо нарушений правил ИБ. Например, если в течение месяца сотрудник ни разу не кликал по подозрительным ссылкам, если передавал конфиденциальную информацию только с использованием специальных средств защиты и блокировал свой компьютер, покидая рабочее место, говорит Чаплыгин. Если сотрудник знает, что его накажут рублем, он не пройдет по вредоносной ссылке, уверен Чаплыгин
Для введения режима коммерческой тайны нужно выполнить пять шагов, указывает Александр Коркин, руководитель практики трудового и миграционного права «Пепеляев групп». Сначала нужно определить перечень информации, составляющей коммерческую тайну, затем ограничить доступ к такой информации. После этого нужно вести учет лиц, получивших доступ к такой информации. Работодатель также должен включить в трудовые и гражданско-правовые договоры пункты о порядке обращения с конфиденциальной информацией. Наконец, следует нанести на конфиденциальные документы гриф «Коммерческая тайна». Большинство дел, по словам Коркина, работодатели проигрывают именно из-за невыполнения этого перечня.
Сами подставляются
Часто компании сами создают благоприятные условия для хищения данных. Например, 7% респондентов ESET рассказали, что даже после увольнения из компании они могли заходить на корпоративные порталы или рабочую почту удаленно. Например, в 2013 г. компания «Фосагро» выиграла суд против бывшего сотрудника Ашота Топчяна. Она обвинила его в передаче конкуренту – компании Transammonia сведений, составляющих коммерческую тайну. Расследование показало, что Топчян (вначале менеджер по продажам, затем – начальник отдела) просматривал переписку своего начальника с представителями Transammonia, говорится в решении суда. Оказалось, что доступ к почте руководителя он получил во время его отпуска и потом продолжал просматривать ящик, откуда черпал конфиденциальные сведения о производстве удобрений и условиях поставок на экспорт. Как сообщила пресс-служба «Фосагро», после этого инцидента компания ввела жесткие регламенты по хранению сведений, содержащих коммерческую тайну.
Михаил Емельянников, глава консалтингового агентства «Емельянников, Попова и партнеры», говорит, что подобные инциденты не происходили бы, если бы у компании была эффективная система контроля доступа к информационным системам.