Со щитом или на щите2

Сегодня вы познакомили нового сотрудника с бизнес-планом компании, а завтра конкуренты неожиданно начали наступать вам на пятки - словно заранее узнали все ваши идеи. Ваши сотрудники - бомба замедленного действия. Как сделать так, чтобы этот «детонатор» не сработал?

Совершенно секретно

На рынках, где существует острая конкуренция, стремление узнать секреты успешной компании-конкурента – явление обычное. Утечка важной информации чревата большими финансовыми потерями или испорченной репутацией, поэтому задача руководства – не допустить того, чтобы секретные сведения о компании попали в руки конкуренту.

Основные признаки коммерческой тайны – коммерческая ценность информации, ее закрытость и охраняемость. В разных компаниях коммерческую ценность может составлять информация об инновациях, ноу-хау, технологиях компании, партнерах, маркетинговых и рекламных идеях. И, конечно, к подобной информации могут иметь доступ многие сотрудники организации.

«Любая компания должна защитить себя юридически, - говорит Павел Тибеньков, имеющий большой опыт работы в IT-компаниях, ныне руководящий группой PR компании НЭТА. - Прежде всего, это грамотно составленный договор и его дополнительная часть, регламентирующая все отношения между компанией и сотрудником по поводу интеллектуальной собственности компании и передачи прав на изобретения, созданные работником. Очевидно, что наличие толкового и профессионального юриста - основа деятельности компании».

Подобный договор подписывают все сотрудники компании SWSoft. «При приеме на работу мы заключаем договор о неразглашении конфиденциальной информации (Confidentiality and proprietary rights agreement), регулирующий права и обязанности работника и компании в отношении конфиденциальной информации и прав собственности компании, - комментирует Юлия Белова, руководитель отдела персонала компании "SWSoft - Новосибирск". - Согласно данному договору, работник принимает на себя обязательство не разглашать и не способствовать разглашению конфиденциальной информации какому-либо физическому или юридическому лицу без предварительного письменного согласия компании. Компания, в свою очередь, обязуется уважать право работника на его собственные изобретения, если они не были изобретены с использованием средств компании и/или в рабочее время».

Зачастую наши предприниматели стараются засекретить как можно больше информации, предпочитая перестраховаться.

Конечно, далеко не все сведения могут представлять интерес для конкурентов. Однако зачастую наши предприниматели стараются засекретить как можно больше информации, предпочитая перестраховаться. В приложении к трудовому договору менеджера низшего звена одной новосибирской компании есть перечень сведений, составляющих коммерческую тайну работодателя. Перечень состоит из 14 пунктов. Так, согласно этому перечню, коммерческую тайну составляют сведения о структуре производства, управлении, планах расширения или свертывания производства, сведения о совещаниях, финансах, методах изучения рынка, партнерах и т.д. При этом сотрудник не смог бы выдать эту информацию, даже если бы захотел, просто потому, что доступа к большинству сведений он не получает по работе.

Конечно, защита информации должна быть целесообразной. Можно потратить кучу денег на установку дорогостоящего оборудования видеонаблюдения для контроля на производстве, при этом более важная – например, финансовая – информация поступит к конкурентам от главного бухгалтера. Нужно постараться четко понять, что является «слабым звеном» в системе безопасности информации.

Где протекает?

В деле защиты информации о компании человеческий фактор очень важен. Самые современные системы безопасности и наблюдения не помогут, если сотрудник слишком сильно разоткровенничается. В жизни люди часто разговаривают о работе с друзьями и приятелями и порой выдают важную информацию, не преследуя никаких целей. Они просто не задумываются о последствиях своих действий.

В жизни люди часто выдают важную информацию, не преследуя никаких целей.

Халатность - распространенная причина утечки. В одной из новосибирских IT-компаний «внутренняя утечка» информации произошла именно из-за безалаберности сотрудника. Один клиент постоянно подгонял менеджера компании с выполнением заказа. После очередного подобного разговора менеджер, разозленный поведением клиента, написал электронное письмо одному из программистов своего отдела с описанием требуемых клиентом изменений в проекте. В конце письма была приписка, в которой говорилось примерно следующее: «Только отправь ему побыстрее, а то он всех уже достал. Его здесь многие ненавидят». По какой-то нелепой случайности программист переслал письмо клиенту, в результате чего разразился большой скандал.

Еще одну потенциальную опасность для работодателя таят в себе блоги. В последние годы сервис интернет-дневников стал очень популярен, россияне пристрастились изливать душу в сети. В блогах сотрудники часто в красках описывают и свою работу. В прошлом году большую огласку получил такой случай. Девушка работала в компании, которая организовывала крупную конференцию для редакторов российских глянцевых журналов. В своем дневнике сотрудница детально описывала встречу, не скупясь на подробности и нелестные эпитеты в адрес участников. Начальство очень быстро обо всем узнало, и девушку уволили. Помимо просто беспечных сотрудников есть работники, которые могут продать важную информацию конкурентам. Они особенно опасны. В мае этого года многие СМИ сообщали об очень крупной утечке технологических сведений у южнокорейского автогиганта KiaMotors. В краже подозреваются 9 бывших и настоящих сотрудников компании, которые по электронной почте переслали конкурентам больше 50 различных секретных технологий. Убытки компании исчисляются миллиардами долларов.

Часто утечка сведений происходит из-за уязвимостей в системе защиты электронных данных. Сейчас для обмена внутрикорпоративной информацией часто используется интернет, например, FTP-серверы, которые могут подвергаться атакам злоумышленников. Так, в июне этого года был взломан Web и FTP сервер компании Elcomsoft, в результате чего стали доступны все новые релизы программных продуктов и регистрационные ключи пользователей.

Лучший способ защиты

«Как правило, защищаться от неблагонадежных сотрудников компания начинает еще до принятия их в штат, - говорит Елена Шестак, территориальный директор международной рекрутинговой компании Kelly Services. - Первый, кто дает оценку кандидату, – HR-менеджер. Уже на стадии собеседования можно понять, что стояло за переходом кандидата из одной компании в другую. Сомнение может вызвать прямой переход к конкурентам или слишком частая смена работы. На финальном этапе принятия решения по кандидату часто используются рекомендации с прежних мест работы. Если потенциальный сотрудник неблагонадежен, это обязательно «всплывет» при проверке рекомендаций».

В некоторых компаниях – банках, финансовых структурах - в работу включается служба безопасности, которая может проверить «скрытую» историю кандидата на предыдущих местах работы. «Косвенный метод предотвращения HR-менеджером утечки информации – хорошо продуманная система мотивации и развитие патриотического типа корпоративной культуры, чтобы сотрудники сами не хотели этой утечки, - считает Антон Метелев, специалист центра «Профессиональное развитие», ведущий консалтинговый проект по построению службы персонала в ГК "Обь-Регион". - Пожалуй, больше от HR ничего не зависит. Основную же работу по этому направлению должен вести тандем службы безопасности и IT-служба».

Если сотрудник провоцирует утечку информации, компания вправе подать на него в суд.

«В одной компании внедрена система видеонаблюдения, - говорит Елена Шестак. - Она активируется при включении компьютера и выключается вместе с ним. Такой подход достаточно эффективен, так как вся основная информацию хранится на компьютере. Дополнительную безопасность обеспечивает системный администратор, ограничивая или предоставляя право доступа к сетевым ресурсам».

«В компаниях могут использоваться различные технические способы защиты информации, - говорит Павел Тибеньков. – Устанавливаются пароли на компьютер, систему, вводится запрет на вынос информации на съемных носителях, производится шифрование и разделение информации на части, осуществляется регулярный просмотр исходящих сообщений, ведется проверка логов разговоров ICQ. И это нормально».

Если сотрудник нарушает правила безопасности и провоцирует утечку информации, компания вправе подать на него в суд. Российским законодательством предусматривается уголовная ответственность за разглашение секретных сведений. Однако юристы отмечают, что доказать вину человека в раскрытии важной информации зачастую почти невозможно. Да и оценка причиненного ущерба тоже проблема.

Не стоит забывать, что сотрудники – важная часть компании. Правильное, справедливое отношение к ним, сформированная корпоративная культура помогут защитить компанию от утечки информации.

Комментарии

Виктория Кочеткова
Хочется поделится своим опытом, при проверке многих организаций столкнулась с тем, что да, компании подписывают со своими сотурдниками Обязательство или договор о неразглашении коммерческой тайны, но забывать, чтобы этот Договор или Обязательство из бумажки превратилось в документ, необходимо соблюдать следующие условия:
1. обязанность не разглашать такую тайну прямо предусмотрена трудовым договором работника.

(на деле же в трудовом договоре, нет ни каких упоминаний о соблюдении коммерческой тайны, о каком то локальном нормативном акте, который регламентирует защиту коммерческой тайны)

2. когда есть точный перечень какие конкретно сведения, содержащие коммерческую тайну, работник обязуется не разглашать.

(на деле же такого перечня нет, нет и перечня, который определяет, какие же сведения не могут составлять коммерческую тайну)
3. если сотрудник ознакомлен с данным локальным нормативным актом (Положение о защите коммерческой тайны) и подписал Обязательство о неразглашении коммерческой тайны, приказом опеределены должности, которые имеют допуск к коммерческой тайне.

(на деле же такой нормативный локальный акт отсутствует, если он есть, то он не введен в действие как установлено законом, т.е. приказом, не определен список должностей, которые имеют допуск к коммерческой тайне).

И 4. если коммерческая тайна стала известна работнику в связи с исполнением им трудовой функции и сведения, которые в соответствии с трудовым договором он обязуется не разглашать, согласно действующему законодательству могут быть отнесены к сведениям, составляющим коммерческую тайну.

Вывод такой, что во многих организациях, сотрудники, подписавшие обязательство или договор о неразглашении коммерческой тайны, на самом деле подписывают бумажку, по которой ответственности ни какой нести не будут. Совет такой, необходимо грамотно оформлять такие документы и правильно проводить процедуру ввода их в действие и подписание, и ознакомление с сотрудниками.

И еще один момент, во многих договорах или обязательствах как правило пишут, что в течении такого то времени после увольнения нельзя трудоустравиться в компании со схожим бизнесом. Должна разочаровать работодателей, это нарушение Трудового Кодекса РФ и Конституции РФ. Можно взять только обязательство не разглашать такие сведения в течении такого то периода времени после увольнения, как показывает практика и скорость развития бизнеса, то хватает и одного года. Ответить
Вообще, как специалист по информационной безопасности, могу сказать, что статья очень даже грамотная, но недостаточно освещены технические моменты. Потому что от халатности не спасут никакие подписанные бумаги - мы все люди, сами понимаете. Так что нужно ставить специальный софт, систему защиты от утечек информации, или, проще говоря, DLP-шку. Причём обязательно такую, чтобы охватывала все каналы коммуникаций (e-mail, ICQ, HTTP, Skype, печать, запись на флэшки), чтобы была автоматическая система обнаружения конфиденциальных данных в перехваченной информации, чтобы поиск был хороший, чтобы интегрировалось с доменной структурой Windows (потому что иначе трудно будет пользователя найти в случае той же ICQ)... Такие DLP-системы есть, но тут я их рекламировать не буду, сами с помощью Яндекса быстро найдёте. Ответить

Добавить комментарий