Утечка важной информации сегодня обходится компаниям дороже, чем кража имущества. По данным Infowatch, самый крупный случай утечки данных организаций в 2016 году произошел в ОАЭ, где сотрудник финансовой компании предположительно нанес ущерб департаменту экономического развития ОАЭ, оценённый в 8,3 млн дирхамов (более 183 млн руб.).
Всего за прошлый год в СМИ были опубликованы данные о 213 случаях утечки информации в российских компаниях и государственных учреждениях. В действительности ситуация является ещё более плачевной, так как далеко не каждая компания способна обнаружить утечку.
Что делать? Шесть шагов
Шаг первый. Прежде всего, следует разработать и внедрить нормативные акты о защите конфиденциальной информации и коммерческой тайны компании.
В этих документах прописать регламент и правила работы с конфиденциальной информацией, а также ответственность сотрудников, в случае её утечки, намеренного разглашения или использования её во вред компании.
Согласно исследованиям, виновными в утечке информации в 68% случаев являются сотрудники, поэтому ещё на этапе приёма на работу проинформируйте персонал о принятых в компании требованиях, включите пункт о соблюдении информационной безопасности в должностную инструкцию.
Каждый сотрудник, имеющий отношение к секретной информации, должен письменно подтвердить ознакомление с положением. Заключайте и храните соглашения о неразглашении конфиденциальной информации с субподрядчиками. Убедитесь, что в документе указаны ответственные лица и стоят их подписи и даты.
Шаг второй. Введите режим коммерческой тайны в соответствии с законом N 98-ФЗ «О коммерческой тайне».
Шаг третий. Разграничьте доступ к информации и полномочия персонала по принципу китайской стены, например, «частная сторона» — сотрудники, которые в силу своих обязанностей имеют доступ к непубличной информации и «публичная сторона» — сотрудники, которые этого доступа не имеют.
Не позволяйте персоналу знакомиться с полной картиной конфиденциальной информации, если это не требуется для выполнения должностных обязанностей. Например, менеджеров, работающих с государственными заказчиками, ограничьте от информации о частных заказчиках, которая не относится к их сфере деятельности, и наоборот.
Шаг четвертый. Поддерживайте корпоративную культуру с нулевой толерантностью к противоправным действиям.
Сотрудники должны понимать, что работа на конкурентном рынке требует от них соблюдения дополнительных правил и условий работы. Доводите до сведения персонала информацию о фактах наказания или увольнения сотрудников, виновных в нарушении положения о защите коммерческой тайны. При этом, чтобы сохранить конфиденциальность, не следует упоминать персональные данные информатора и детали произошедшего.
Шаг пятый. При создании системы информационной безопасности следуйте принципам непрерывности, своевременности и целесообразности.
По опыту, большинство руководителей предпринимают защитные меры только после того, как кризис уже произошел, в то время как принципы непрерывности и своевременности предполагают, что система работает постоянно, анализируется и совершенствуется.
Также не следует забывать об экономической эффективности — затраты на обеспечение безопасности должны быть сопоставимы с суммой возможного ущерба.
Шаг шестой. Если доступ к ценной информации нужен для работы большому количеству людей, дайте задачу ИТ-службе установить фильтры на отправку информации онлайн и сторонние адреса электронной почты: при необходимости вы сможете отследить, какие файлы, кто и куда отправлял. Факты отправки тяжелых файлов на сторонние адреса должны оперативно проверяться.
Правила введения режима коммерческой тайны
Вводить режим коммерческой тайны необходимо в соответствии со строгими правилами, иначе вы рискуете в случае нарушения оставить виновного безнаказанным.
Прежде всего, составьте точный перечень информации, которая является коммерческой тайной именно для вашей компании, например, маркетинговая стратегия, данные о поставщиках и клиентах. Это условие является необходимым для введения режима, а также позволяет облегчить работу как руководителю, так и подчинённым. В противном случае сотрудники смогут раскрыть секретные данные, даже об этом не догадываясь.
Затем подготовьте регламент ограничения доступа к коммерческой тайне, все документы этой категории должны быть промаркированы соответствующим грифом с указанием полного наименования и местонахождения.
Лица, имеющие доступ к коммерческой тайне, должны быть указаны в соответствующем приказе. Не забывайте включать пункт о неразглашении в каждый трудовой договор и контракт с подрядчиками.
Помните, что не вся информация в соответствии с законом может считаться тайной, например, численность персонала, финансовая отчётность, информация о правонарушениях. Это значит, что если конкуренты или бывшие сотрудники предадут её огласке, вы не сможете отстоять свои права в суде.
Если утечка уже произошла
Во-первых, необходимо удостовериться в том, что утечка информации произошла именно в результате действий сотрудника компании. Установите период времени утечки информации, исходя из чего, обозначьте круг лиц, имевших к ней доступ. Далее, по степени вероятности причастности сотрудника к утечке (начиная с наибольшей) проведите тестирование с помощью «полиграфа».
Другой способ, более сложный — предоставить проверяемым сотрудникам индивидуальную информацию и отслеживать, какая новость первой станет известной коллективу.
Параллельно с этим шагом следует проверить, имеется ли доступ к информации извне, чтобы исключить вероятность хакерской атаки.
Чтобы верно принять решение о дальнейшей судьбе виновного в утечке работника, необходимо взвесить реальную стоимость сотрудника для компании и соотнести её с причинённым ущербом.
Мера наказания будет зависеть от того, был ли у информатора умысел или утечка произошла по неосторожности. Как правило, дело заканчивается увольнением, в некоторых случаях — выплатой крупного штрафа.
В случае грамотного введения режима коммерческой тайны, закон всегда находится на стороне компании.
Начать дискуссию