На какие махинации с данными пускаются сотрудники

В 2019 г. российские суды вынесли 371 решение по искам работодателей к недобросовестным сотрудникам за манипуляции с данными, подсчитала компания SearchInfоrm по материалам опубликованных дел на сайте суд.рф. Сотрудники-нарушители передавали сторонним лицам персональные данные о клиентах и их счетах, переоформляли сим-карты и снимали деньги со счетов абонентов, изменяли лимиты выдачи средств по банковским картам, прослушивали разговоры абонентов или искали о них данные в базах, пересылали конфиденциальные документы конкурентам по корпоративной почте, меняли записи в базах или удаляли информацию с сайтов компаний. Больше всего судебных процессов вели телекоммуникационные компании (70% судебных решений) и банки (12% решений). Однако выявленных нарушений на порядок больше, чем судебных процессов. По данным опроса 1052 компаний, проведенного той же компанией SearchInform, только 12% респондентов подают на злоумышленников в суд. Остальные стараются не выносить сор из избы. «Ведомости» выясняли, как компании наказывают сотрудников за нарушения, связанные с данными.

Коварная сим-карта

По числу рассмотренных в судах дел в 2019 г. лидировала статья 272, предусматривающая привлечение к ответственности за неправомерный доступ к компьютерной информации.

В 2019 г. по этой статье суды рассмотрели 187 дел, 47 было прекращено, по 77 вынесены приговоры, остальные дела находятся на стадиях обжалования или были возвращены правоохранительным органам.

Нарушения закона, связанные с данными, подпадают под четыре статьи Уголовного кодекса (УК).

Самый распространенный случай 2019 г. – внесение изменений в базы данных с целью замены сим-карты (часто для последующего вывода денег со счета абонента).

В июле 2019 г. Автозаводский районный суд Тольятти приговорил к двум годам условно с испытательным сроком продавца Поволжского филиала «Мегафона». По материалам дела, тот 160 раз входил в единую систему управления бизнесом (Single Business Management System, SBMS), чтобы перевыпустить сим-карты и затем снять деньги с лицевых счетов абонентов. Сотрудник подделывал заявления абонентов, изменял данные в базе, затем брал новенькие сим-карты, подделывал заявления, будто абонент сам просил привязать дополнительную сим-карту к своему лицевому счету, и потом привязывал эту карту к лицевому счету абонента. Затем вставлял ее в служебный телефон и направлял поручение о снятии денежных средств со счета абонента и переводе их на банковскую карту. Всего сотрудник снял таким образом 500 669 руб., принадлежавших абонентам «Мегафона». Представитель компании сообщил, что по всем выявленным правонарушениям, связанным с незаконным доступом и передачей персональных данных клиентов, «Мегафон» направляет информацию в правоохранительные органы и идет на активное сотрудничество со следствием. А трудовые отношения с сотрудником расторгаются, пояснил представитель.

Поправки в базах

Почти столь же популярна статья 159.6 ч. 3 УК, которая предусматривает наказание за мошенничество с компьютерной информацией с использованием служебного положения, в особо крупном размере или сопровождающееся хищением денег с банковского счета.

По ст. 159.6 ч. 3 проходят сотрудники банков, промышленных предприятий, госструктур. Самым заметным из опубликованных оказалось дело о преступлении, которое совершил экономист регионального отделения крупного банка. В программе для работы с кредитными картами он несколько раз увеличивал лимит по собственной карте, а потом по карте знакомого. Сначала суммы были небольшими, а потом выросли до 25,9 млн руб. Экономист получил 5 лет и 3 месяца лишения свободы и штраф. Всего по этой статье в прошлом году было вынесено 79 приговоров.

Кто таков и сколько должен

Статья 183 ч. 2 и 3 занимает третье место по числу судебных процессов в 2019 г.: 63 рассмотренных дела, 19 приговоров. По этой статье в одинаковой степени обвинялись сотрудники телекоммуникационных компаний и банков. Статья применяется к тем, кто незаконно получил и разгласил сведения, составляющие коммерческую, налоговую или банковскую тайну. Типичный случай – передача на сторону персональных данных клиентов, сведений о состоянии их счетов.

В мае 2019 г. в городе Краснокаменске Забайкальского края районный суд вынес приговор по ст. 183 ч. 2 УК (незаконное получение и разглашение сведений) сотруднице Байкальского банка Сбербанка. Согласно материалам дела, опубликованным на сайте суда, эта сотрудница, старший менеджер по обслуживанию, распечатывала на рабочем компьютере информацию об операциях, вкладах и счетах клиентов и потом передавала ее третьим лицам. Суд обязал ее выплатить штраф в 30 000 руб. и лишил ее права занимать в течение года должности, требующие соблюдения режима коммерческой банковской тайны. Сбербанк от комментариев отказался.

По этой же статье работодатели подавали иски против сотрудников, раскрывших производственные секреты предприятия, но исков о разглашении коммерческой тайны среди опубликованных дел только два: за передачу сведений конкурентам были осуждены сотрудники страховой и производственной компаний.

Пробить абонента

На четвертом месте находились иски по ст. 138 ч. 2 УК – за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений.

В основном обвинялись сотрудники телекоммуникационных компаний. Типичный случай – незаконная передача детализации звонков посторонним. К сотруднику салона связи или оператора обращается знакомый, который по дружбе или за вознаграждение в несколько тысяч рублей просит информацию о переговорах того или иного абонента. В 2019 г. по этой статье в российских судах было рассмотрено 42 дела и вынесено 16 приговоров, 17 дел были прекращены.

Большое число уголовных дел на сотрудников банков и телекоммуникационных компаний вполне ожидаемо, убежден Лев Матвеев, председатель совета директоров SearchInform. На выписки с кредитных карт и счетов, истории телефонных переговоров и перемещений абонентов высокий спрос, эти данные легко монетизировать, говорит Матвеев.

Отделаться легким испугом

Закон предусматривает реальные сроки по всем четырем статьям, но самым распространенным решением по всем статьям (кроме ст. 272) было прекращение дела и назначение штрафа в 8000–110 000 руб., показал анализ всех судебных решений (371 решение). Чаще всего суд освобождал от уголовной ответственности обвиняемых по ст. 138 ч. 2 – нарушение тайны переписки. Обычно им назначался штраф, в редких случаях штраф сопровождался запретом занимать определенные должности.

Самые крупные штрафы судьи назначали по делам с финансовым ущербом, нанесенным компании-истцу (по ст. 183, 272 и 159.6). Хотя штрафы были меньше максимума, допускаемого законом. Например, на внештатного сотрудника крупной телекоммуникационной компании был наложен штраф в 250 000 руб. – за копирование из корпоративной базы данных персональной информации абонентов. В 12% ситуаций судьи налагали на сотрудника запрет занимать должности, связанные с доступом к конфиденциальной информации.

Почти в трети случаев обвиняемые получили условный срок – в основном речь шла о преступлениях по ст. 272. К реальным срокам судьи приговорили только нескольких обвиняемых по ст. 159.6 ч. 3 и 272 ч. 2. Например, на 4 года лишения свободы был осужден сотрудник таможни, который внес изменения в базу данных. А банковский служащий, увеличивший себе лимиты по картам, получил 5 лет и 3 месяца колонии общего режима со штрафом в 250 000 руб.

«Ведомости» опросили 13 крупных компаний (банки, операторов связи, страховые компании), как они привлекают к ответственности сотрудников за нарушения, связанные с данными. Ответил только «Росгосстрах». По словам представителя компании, в 2019 г. в «Росгосстрахе» произошло два нарушения в сфере информационной безопасности. Один бывший работник компании был признан виновным по ст. 183 ч. 3 за незаконное получение и разглашение сведений, составляющих коммерческую тайну. Суд присудил ему год лишения свободы условно с испытательным сроком в 1,5 года. Второй сотрудник был осужден по ст. 272 за неправомерный доступ к компьютерной информации. Суд оштрафовал его на 20 000 руб. Служба безопасности «Росгосстраха», сообщил представитель компании, постоянно борется со страховыми мошенничествами, в том числе с участием межрегиональных организованных преступных групп, и ведет работу по защите данных, обнаружению и предотвращению утечки коммерческой информации.

Четыре компании из 13 сообщили, что у них есть внутренние нормативы по работе с корпоративными информационными системами и документы, определяющие порядок доступа и правила работы с конфиденциальной информацией. «Ростелеком» заключает с работниками соглашения о неразглашении конфиденциальной информации и разъясняет им порядок соблюдения указанных требований, в компании также утверждены правила использования внешних сервисов (электронной почты, файлообменных ресурсов), сообщил представитель компании. В «Мегафоне» тоже действуют локальные акты, которые регламентируют правила информационной безопасности и работы с информационными системами, утверждает Дмитрий Чибрин, руководитель информационной безопасности «Мегафона».

ВТБ ведет учет работников, имеющих доступ к защищаемой информации, и использует технические средства контроля потенциальных каналов утечки информации, сообщил представитель банка. По его словам, банк внимательно следит за действиями работников, получивших доступ к конфиденциальным данным, в том числе за действиями IT-специалистов.

Не пойман – не вор

Внутренней информацией, говорит Денис Королев, партнер и руководитель практики форензик консалтинговой компании EY, пользуется узкий круг лиц, что осложняет раскрытие манипуляций. Особенно непрозрачны схемы, когда сотрудник использует доступ к данным клиентов, чтобы отслеживать их деятельность и связи в интересах своего заказчика.

По данным доклада о состоянии преступности в России, опубликованного ВНИИ МВД, раскрываемость выявленных киберпреступлений (а выявляется лишь малая часть таких злоупотреблений) не превышает 5%. К сложно раскрываемым можно отнести нарушения по всем четырем вышеперечисленным статьям, говорит Андрей Тузов, старший юрист уголовно-правовой практики адвокатского бюро «Егоров, Пугинский, Афанасьев и партнеры» (ЕПАМ).

О какой бы статье ни шла речь, следователь вынужден тщательно собирать доказательства: искать цифровой след, IP-адреса, журналы операций и т. п. Цифровая активность сотрудника обычно вызывает подозрения, когда он повторно использовал базу в течение определенного времени, входил туда через личные устройства, копировал данные или часто скачивал информацию, в том числе в нерабочее время, объясняет Королев.

Круговорот нарушителей

В суд компании обращаются, когда информация об инциденте уже получила огласку, репутация компании пострадала, продажи стали падать, говорит Алексей Фролов, гендиректор компании Forensic Solutions.

По данным SearchInform, 59% работодателей просто увольняют провинившихся сотрудников без судебного преследования и требования возместить ущерб, 41% выносят им выговоры, а 37% лишают премии или штрафуют.

Трудовой кодекс предусматривает возможность увольнения за разглашение сведений, представляющих коммерческую тайну (это считается грубым нарушением дисциплины), но при условии, что работодатель докажет, что у него введен режим защиты данных и были приняты меры для их сохранности, объясняет Мария Фомина, юрист практики трудового и миграционного права ЕПАМ.

Чаще всего сотрудников увольняют по соглашению сторон и дают несколько окладов за молчание, рассказывает Королев. Между тем нарушители, чья вина не доказана, без осложнений устраиваются на работу в другие компании в той же отрасли. У потенциального работодателя нет никаких легальных способов узнать что-либо о прошлом сотрудника, так как составление любых реестров или черных списков провинившихся сотрудников запрещено по закону, говорит он. Единственный способ что-либо узнать – это связаться по личным каналам со службой безопасности прошлого работодателя, объясняет Фролов.