Авторские блоги и комментарии к ним отображают исключительно точку зрения их авторов. Редакция ЛІГА.net может не разделять мнение авторов блогов.
06.05.2020 12:31

Риски слива конфиденциальной информации – кто съест вершки бизнеса!

Директор проекта HR-SECURITY

Почему конфиденциальная информация и коммерческая тайна так манят многих ними завладеть? Ответ простой – в умелых руках, эта информация быстро превращается в деньги.

Конфиденциальная и коммерческая информация компании всегда манят к себе конкурентов и других лиц ею завладеть. Почему же всегда такой к ним интерес? Все просто и сложно одновременно! Например, компания продает продукцию разным компаниям, успешнее, чем конкуренты. И у многих возникает вопрос, как же они это делают, почему же у них получается, а у нас нет? И многие на рынке и так знают, кто у кого покупает. НО, не это же интересует охотников за СЛИВКАМИ, их волнует какие конкретные условия продаж работают – какая скидка, какие объемы, какие группы товара, как часто идут поставки, через кого договорились, что стало главным фактором при принятии решения, какие условия отгрузки и т.д. И когда, в очередной раз, видят аналитику рынка по продажам и понимают, что конкурент сильнее, тогда возникает непреодолимое желание все узнать, и начинаются действия – поиск источников через кого все разузнать и разведать!

Прежде, давайте более точно разберемся, чем отличаются Конфиденциальная информация и коммерческая тайна, они на первый взгляд схожи, но есть существенные различия.

Конфиденциальная информация (КИ) – это данные о физическом лице (персональные данные), а также информация, доступ к которой ограничен физическим или юридическим лицом и которая может распространяться по желанию (согласию) соответствующего лица в определенном им порядке и на установленных им условиях.

К конфиденциальной информации относится – данные об условиях работы с персоналом, условия мотивации, особенности управленческой системы в компании и т.д.

Обычно фиксируется в соглашении о неразглашении КИ (NDA).

Коммерческая тайна (КТ):

- уровень прибыли и ценовая политика;

- финансовые и административные планы развития организации;

- сведения о заключенных или запланированных контрактах;

- данные о контрагентах (поставщиках и клиентах).

- собственные изобретения и рационализаторские предложения, которые еще не защищены авторским или патентным правом;

- собственные аналитические обзоры рынка, маркетинговые исследования

и другое.

Почему КИ и КТ так манят многих ними завладеть?

Ответ простой – в умелых руках, эта информация быстро превращается в деньги. Те, кто завладел вашей КИ – получают доходы, при этом те, у кого утекла информация – получает убытки и становятся слабее.

Кто владеет вашей информацией, тот владеет и вашим проектом. 

За какой информацией чаще всего охотятся корпоративные мошенники и конкуренты (с помощью корпоративных мошенников)?

Из нашей практики можем выделить такие основные виды:

1. База данных по клиентам, с конкретными данными (фио, № тел., эл. почта, какие услуги/товары покупает, как часто, на какие суммы, какая действует скидка и т.д.)

Кейс 1 – одна из компаний, после 18.03.2020г., как ввели карантин, перешли на работу в удаленном формате, и практически сразу произошел слив КИ – 50% всех клиентов прозвонили конкуренты и предложили свои услуги. По итогам проверок выяснилось, что накануне начала карантина из компании были уволены несколько сотрудников, которые имели доступ к базе клиентов и могли ее слить. Также, многим действующим сотрудникам, конкуренты предлагали «продать» базу клиентов за вознаграждение, кто-то сообщил руководству о таких возможностях, а некоторые умолчали, чем неприятно удивили собственника компании. По итогам проверок были приняты ряд кадровых решений и усилена защита сети и девайсов тех сотрудников, кто имеет полный доступ к базам данных и работает удаленно.

2. Специфика по создаваемому проекту – фишки ИТ-проекта.

Такие факты характерны, в большей степени, для ИТ-сферы, где бюджет на создание 1 проекта может измеряться от 30 000 долл. США до 1 млн. и более. Что же интересует Заказчиков информации - в чем сама бизнес-идея, как будет строиться система продаж, на какой объем рынка нацеливаются, бизнес-показатели проекта, как будет проходить продвижение и т.д. Грубо, та информация, которая составляет нефть проекта.

КЕЙС 2 – в одной из ИТ-компаний, которые активно создавали проект для геймеров, потратили на него около 2,5 мес. и ожидали заработать неплохую сумму. НО, каково же было удивление собственника, когда через 1,5 недели после того, как проект был представлен аудитории, в сети появился точно такой же, только с другим дизайном, но все структурные элементы были идентичными. По итогам проверок выяснили, что были ряд недовольных сотрудников, которые работая в этой ИТ-компании на 50-70% занятости, работали на компанию-конкурента и передавали свои знания, умения, информацию и делились тем, что получали в ходе своей деятельности. В результате принятых верных кадровых решений, работа ИТ-компании была налажена и усилена защита данных, внедрили более тщательный отбор сотрудников в компанию.

3. Персональные данные сотрудников и собственников – фото, переписки в мессенджерах, видео, документы, внутренние совещания, результаты внутренних расследований, аналитические отчеты и т.д. Все то, что не должно быть достоянием общественности.

КЕЙС 3 – У специалистов безопасности ИТ-компании, появилась информация, что кто-то из сотрудников мониторит переписку руководства, сотрудников компании, скачивает личную информацию с компьютеров, с виртуальных дисков, с гаджетов (смартфоны, планшеты) – личные фото, видео, посты в социальных сетях.

После проведенной работы, сотрудники СБ определили круг из 2 сисадминов, которые возможно могут иметь к данным действиям отношение.

Нашим экспертам-полиграфологам была поставлена задача выяснить 2 вопроса:

1. Подтвердить данный факт сбора информации;

2. Если такие факты есть, то с какой целью совершались и передавали ли информацию 3-м лицам.

После подготовки и проведенных проверок, удалось выяснить следующее:

- Старший системный администратор – не имеет отношения к сбору и сливу информации. При этом, был уличен в получении откатов от связанных с ним компаний-подрядчиков – при покупке оборудования, заправки картриджей, проведении сервисных услуг.

- Другой же системный администратор – был причастен к сбору информации. Системно собирал данные про сотрудников на протяжении 6-8 мес., смотрел личную переписку, фотографии, видео, посты в соц. сетях, скачивал и у себя накапливал, но не передавал 3-м лицам.

На вопрос, с какой целью совершал данные действия - для собственного любопытства, из личного интереса, что может использовать сеть компании для своих нужд. Таким образом, он тренировал свои навыки. Кроме того, данный сотрудник был также причастен к получению откатов при работе с подрядчиками.

Полученная информация позволила прекратить данную практику и руководству принять соответствующие кадровые решения

4. Особенности работы компании, план размещения рабочих мест, где находятся сейфы, в которых периодически хранятся ценности и любая другая внутренняя ценная информация.

За такой информацией чаще всего охотятся криминальные лица, с целью совершить ограбление. Если у Вас в коллективе есть сотрудники с криминальным прошлым или те, у кого в окружении есть правонарушители, которые захотели во время карантина и кризиса «поживиться» за Ваш счет, то получив более подробную информацию о системах охраны, сигнализации, физической защиты, где размещены видеокамеры и как они работают, будут готовить «приход к Вам в гости» тогда, когда Вы их не ждете. 

Рекомендации, которые помогут снизить риски СЛИВа КИ и КТ, как в условиях карантина, так и после:

1. Если у Вас в компании ранее не было прописано, что относится к КИ и КТ – сделайте это сейчас. Каждый сотрудник, который работает с данной информацией, как действующий, так и вновь пришедший, должен понимать, с чем он работает, и какая есть ответственность за нарушения режима конфиденциальности.

2. Если у этих сотрудников не подписан договор о неразглашении КИ (NDA) – сделайте это сейчас. Проектов договор в сети предостаточно.

3. Уделяйте всегда особое внимание тем подразделениям, где концентрируется ваша КИ и КТ (администрирование баз данных, отделы продаж, отдел по работе с персоналом, финансовый отдел и т.д.). Обращайте всегда особое внимание на атмосферу внутри их коллективов – насколько эти люди лояльны к Вам (как Собственнику или руководителю), насколько они воспринимают своего непосредственного руководителя, насколько справедливо происходит распределение премий/бонусов и других бенефитов внутри отдела. Помните, что любое притеснение или несправедливая оценка работы, которые повторяется неоднократно, может послужить причиной (мотивом) для совершения слива КИ, как конкурентам, так и правоохранительным/силовым органам. Главными мотивами слива КИ зачастую выступают – желание заработать, и также, отомстить за обиды, притеснение, скажем так, восстановить справедливость.

4. Обращайте всегда внимание на бэкграунд, как ваших сотрудников, так и кандидатов на вакансии – были ли ранее факты сбора и слива КИ, на криминальное прошлое, отношение к противоправным поступкам, наличие дружественных и деловых контактов с криминальными лицами и теми, кто регулярно совершает противоправные поступки, наличие дружественных и деловых контактов с правоохранителями и силовиками, какие мотивы приема к Вам на работу, нет ли там приказа от конкурентов, какое отношение к наркотикам имеет кандидат. В этом могут сильно помочь – проверки на полиграфе, если такие факты были выявлены и есть негативные контакты, продолжайте поиск новых сотрудников, более безопасных.

5. Уделите достаточно внимания работе ключевых людей в компании, особенно тех, кто имеет доступ к финансовым операциям и критическим данным. Вплоть до того, что отправьте к ним домой системного администратора для проверки настроек сети, домашних устройств, корпоративного VPN.

6. Пересмотрите существующие доступы сотрудников ко всем данным и сервисам, запретите все, что не является «первой необходимостью», и предоставляйте доступ только в случае аргументированного запроса.

7. Проведите работу с сотрудниками по части безопасности их удалённого рабочего места. Многие привыкли к свободному режиму использования программного обеспечения и онлайн-сервисов из дома. Теперь же там находится периметр вашей компании, поэтому правила временно нужно изменить.

8. Проводите сотрудникам тренинги по личной кибергигиене. Объясните на примерах для чего использовать сложные пароли, двухфакторную аутентификацию (одноразовые временные пароли), обновлять программы, использовать защищенные коммуникации (безопасно обмениваться секретной информацией), делать резервные копии и т.д.

9. Проводите регулярно онлайн-совещания с сотрудниками, чтобы все были в тонусе и понимали, что рабочий ритм никуда не пропал, что есть контроль, общайтесь чаще с сотрудниками.

10. Обратитесь к экспертам, которые помогут вам советом и опытом при таких изменениях в работе. На сегодняшний день есть большая потребность в:

- Помощи с переводом бизнес-процессов в режим удалённого офиса;

- Быстрой оценке рисков во время перевода и после него, а также управлении ними на данный момент и в долгосрочной перспективе. 

Берегите Ваши КИ и КТ!

Если Вы заметили орфографическую ошибку, выделите её мышью и нажмите Ctrl+Enter.
Последние записи
Контакты
E-mail: [email protected]