Компании порой губит не пиво… а слив коммерческой информации...

- Случалось ли вам быть свидетелем ситуации, связанной с проблемой коммерческой тайны? Что за проблема и как ее решали?

- Да, наличие специально устроившегося инсайдера, сливавшего конкурентам базу данных с ценами. И как результат — демпинговые предложения и потеря рынка. Поиск происходил следующим образом: звонки ушедшим клиентам с целью выявления конкурирующей организации, анализ личных дел сотрудников, анализ информации из соцсетей на предмет общения с сотрудниками конкурирующей организации, установка на ПК систем контроля над действиями сотрудников, вброс различной ложной информации сотрудникам для выявления утечек. Контроль местонахождения сотрудников при помощи корпоративных телефонов.

- Если бы Wikiliks начала скачивать секретную информацию у наших компаний, как бы ей это удалось?

- Доступ к информации, содержащей коммерческую тайну, возможен в следующих случаях:

а) наличие инсайдера, который сливает информацию напрямую (копии документов, баз, скачивание файлов с закрытых серверов ДСП);

б) вирусная активность, специально или случайно зараженная сеть компании;

в) хакерская атака на ресурсы компании;

г) «Болтун — находка для шпиона»: на различных мероприятиях возможен сбор информации от нетрезвых сотрудников.

- Что обычно является секретной коммерческой информацией?

- Клиентская база с ценами на продукцию (если это дилеры). Бухгалтерский учет (если компания работает в серую схему), а также база, в которой ведется бухучет (независимо от цвета бухучета). Персональные данные сотрудников компании. Сведения личного характера ключевых сотрудников компании.

- Как ее надо беречь от той части персонала, которой нельзя ее доверить?

...

Вячеслав Крылов, начальник службы персонала ООО «Управляющая компания «ВСВ».

------------------------------------------------------

Случалось ли вам стать свидетелем проблем, связанных с коммерческой тайной? Что за проблемы и как их решали?

- За 20 лет работы в HR я не раз сталкивалась с проблемой несоблюдения коммерческой тайны. В секторе FMSG возникала следующая ситуация: наша компания разрабатывала уникальные продукты (косметика, товары для здоровья) в сотрудничестве с французской лабораторией. Было очень важно, чтобы на рынок не поступила информация о наших исследованиях, и не только сама формула (мы предоставляли технологам такие условия, что они были заинтересованы в сохранении своей должности), но и направление наших интересов. То есть было важно, чтобы маркетологи не передали на сторону информацию, какую линейку продуктов мы будем разрабатывать. У нас была ситуация, когда полгода работы над косметикой с уникальным элементом закончились ничем, так как компания-конкурент выпустила на рынок продукт именно с этим элементом на 2 недели раньше нашего старта, и мы вытягивали продажи уже не самим продуктом, а только маркетинговыми программами.

Когда работала в ресторанном бизнесе, коммерческой тайной были... рецепты блюд и календарь рекламных акций. Решали во всех случаях одинаково: подписание договора о неразглашении, подписание договора, что человек не должен трудоустраиваться в компанию-конкурент в течение года (в противном случаем мы дадим отрицательную рекомендацию, а на таких позициях обычно идет обзвон предыдущих работодателей). Старались подчеркнуть значимость этих «тайно-коммерческих» людей для компании, предоставить им условия, которые должны повысить их лояльность нам. Наилучшую защиту внутренних данных я наблюдала во время работы в Домодедово, где контролирующие органы не столько регламентируют доступы к информации, сколько ограничивают возможность ее выноса из компании (почти не используются внешние носители информации, есть постоянный контроль за потоком).

- Если бы Wikiliks начала скачивать секретную информацию у наших компаний — как бы ей это удалось?

- Система защиты нашей коммерческой тайны является коммерческой тайной компании. Я не могу ее раскрывать даже такому уважаемому изданию, как журнал «Управление персоналом».

- Что обычно является важной секретной коммерческой информацией?

Вячеслав Крылов, начальник службы персонала ООО «Управляющая компания «ВСВ».

- Клиентская база с ценами на продукцию (если это дилеры). Бухгалтерский учет (если компания работает в серую схему), а также база, в которой ведется бухучет (независимо от цвета бухучета). Персональные данные сотрудников компании. Сведения личного характера ключевых сотрудников компании.

Мария Воронова, ведущий специалист по информационной безопасности InfoWatch, руководитель отдела аналитики и специальных проектов.

- Состав того, что входит в коммерческую тайну, каждая компания вправе определить для себя самостоятельно. Но, как правило, перечни достаточно стандартны. Информация о стратегическом планировании деятельности, протоколы собраний акционеров и руководства, информация о коммерческой деятельности и маркетинговых исследованиях, бизнес-планы, сведения об IT-инфраструктуре и состоянии информационной безопасности компании, штатное расписание и должностные обязанности, организация и режим работы охраны. Если компания занимается секретными разработками ноу-хау, то это в обязательном порядке включается в состав коммерческой тайны.

Если следовать классическому определению из закона 98-ФЗ «О коммерческой тайне», то информация, составляющая коммерческую тайну — это сведения любого характера (производственные, технические, экономические, организационные и другие). В том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании. И в отношении которых обладателем таких сведений введен режим коммерческой тайны. То есть при соблюдении перечисленных выше условий практически любой вид информации в организации при необходимости можно сделать коммерческой тайной, если это не будет противоречить законодательству РФ.

Юлия Шугайлова, директор по персоналу компании «Тип-Топ Индустриальные решения».

- Коммерческой тайной для компании является информация, утечка которой может нанести ущерб бизнесу. Она может быть как стратегической, так и просто оперативной. В ресторанном холдинге к праздникам запускают рекламные акции для гостей. Например, праздник Октоберфест привлекает гостей конкурсами, подарками, розыгрышем мотоцикла и бокалом пива на входе. Достаточно конкуренту узнать об этом заранее, и тогда ресторан-конкурент скорректирует свою рекламную акцию и завлечет гостей двумя бокалами пива на входе и розыгрышем автомобиля. В компаниях, где важную роль играют продажи услуг, основной коммерческой тайной является база данных клиентов, еще больше — с историей их закупок. 

- Как сберечь чувствительную информацию от той части персонала, у которой нет к ней доступа?

Вячеслав Крылов, начальник службы персонала ООО «Управляющая компания «ВСВ».

- Наличие уровней доступа и допуска к различной информации, наличие персональных паролей (в идеале — персональных электронных ключей), разграничение информационных ресурсов, где хранится информация, контроль или запрет: скачивания, пересылки, печати. Запрет на использование личных почтовых ящиков, блокировка соцсетей, контроль активности мессенджеров.

Мария Воронова, ведущий специалист по информационной безопасности InfoWatch, руководитель отдела аналитики и специальных проектов.

- В любой компании, которая хоть как-то заботится о защите своих активов, в том числе и информационных, должен был введен принцип управления доступом «need-to-know» (дословно — «необходимо знать»). Он заключается в том, что сотрудник не может иметь доступа к информации, системам и сервисам шире, чем ему требуется в связи с выполнениями своих должностных обязанностей. Если сотрудник работает только со своими клиентами или же, предположим, клиентами отдельного филиала, ему не нужен доступ ко всей базе данных, или если руководитель не входит в число стейкхолдеров компании, он не должен иметь доступ к стратегическим материалам ни в каком виде.

Для этого вводится целый процесс управления доступами, разрабатываются роли и ролевые модели доступа к системам, создаются матрицы доступов, в соответствии с которыми сотруднику определенной должности в компании по умолчанию выдаются требуемые доступы, и не шире. Если сотрудник запрашивает информацию вне разрешенного доступа, запрос в обязательном порядке должен быть согласован его непосредственным руководителем, куратором бизнес-процесса, в рамках которого требуется доступ, и службой информационной безопасности.

Также важно позаботиться о так называемой политике «чистого стола» — не оставлять важную документацию в открытом виде на рабочих местах. Кроме того, необходимо контролировать, чтобы после конфиденциальных совещаний все используемые, но оставшиеся на столах материалы, были своевременно собраны и уничтожены.

Юлия Шугайлова, директор по персоналу компании «Тип-Топ Индустриальные решения».

- Мне кажется, наиболее эффективным является грамотное хранение этой информации. Информация должна быть защищена от копирования и скачивания, доступ к ней должен фиксироваться через индивидуальный электронный ключ. Если информация запаролена, то пароль должен быть известен только проверенным людям, непосредственно задействованным в процессе, и меняться в определенное время, чтобы список имеющих доступ к информации был актуальным.

- Потенциально болтливые кандидаты видны на входе? Как и чем выдают себя?

Вячеслав Крылов, начальник службы персонала ООО «Управляющая компания «ВСВ».

- При проведении глубокого, подготовленного интервью болтливость выявляется. Главное — разговорить. Однако это неприменимо к профессиональным инсайдерам. Тут необходим психологический портрет. Профессиональные инсайдеры часто меняют работу. Обратите внимание на наличие или же отсутствие записей в трудовой книжке, совершите обязательные звонки на прошлое место работы (желательно позвонить в несколько мест), сравните ответы на вопросы о причинах ухода.

Юлия Шугайлова, директор по персоналу компании «Тип-Топ Индустриальные решения».

- Потенциально болтливые кандидаты видны на собеседовании, и мы стараемся их не брать. Во-первых, они о предыдущих работодателях рассказывают все и сразу: имена, связи (часто — включая личные), заходы на тендеры. Если задаешь вопрос о достижении цели, то получаешь ответ со всеми подробностями, даже теми, которые тебе знать необязательно. Есть кандидаты (чаще всего в коммерческий департамент), которые являются уже с флэшкой в кармане и открыто говорят, что приходят со своими базами и кого из клиентов мы можем заполучить, приняв их на работу. Мы не делаем предложение таким кандидатам, потому что понимаем, что на следующей его флэшке при следующем трудоустройстве уже будет и наша база данных.

- Скрытые «разведчики»?

- Скрытые разведчики стараются войти в любой бизнес. Обычно это кандидаты из компании-конкурента, они выше по квалификации, чем нам необходимо по позиции. Они презентуют себя — как они хороши, хотя мы понимаем, что их бывшие требования и наши возможности не совпадают. Часто такой вариант заканчивается именно тем, что кандидат выходит, понимает суть нашего предложения на тендер и уходит с информацией или даже просто ее сливает.

При запуске продуктов мы не раз сталкивались с кандидатами на позицию ассистента отдела запуска, которые готовы были выходить на любые условия. В ресторанном бизнесе на разработку технологических карт уходит много времени целой команды кухни: повара, технологи, бухгалтеры-калькуляторы. Многочисленные пробы, поиск нужных продуктов и поставщиков. Технологические карты запрещалось выносить, они всегда лежали на видном месте (чтобы их нельзя было перефотографировать). Информация делилась (закупки имели доступ только к информации по поставкам, кухня — к технологическим процессам), но, к сожалению, срабатывали схемы, когда люди уходил командой (су-шеф, закупщик, бухгалтер), и тогда результат кропотливого труда оказывался у конкурентов.

- Как лидеру скрыть от топов суперсекретную информацию?

Вячеслав Крылов, начальник службы персонала ООО «Управляющая компания «ВСВ».

- Наличие программно-аппаратного комплекса или же облачных хранилищ с ограничением доступа только лидера.

- Если им доверять, то как и почему?

Просчет рисков, возможных последствий, дозировано выдавать информацию, необходимую для эффективной работы, стимулирование материально и морально.

Мария Воронова, ведущий специалист по информационной безопасности InfoWatch, руководитель отдела аналитики и специальных проектов.

- Возникает справедливый вопрос — а с какими целями что-то скрывать от топов? По идее, кому, как не топ-менеджменту быть доверенными лицами в компаниях? С другой стороны, всегда можно реализовать так называемый контроль информационных потоков — то есть создать в организации понимание, какая информация где должна храниться, как, кем и при каких условиях обрабатываться, а также куда она может передаваться и куда нет. И вообще — насколько она ценна. Для этого следует категорировать виды информации с целью выделения очень секретной — например, С1, С2, С3 и так далее, где С1 — самая секретная, а остальные менее значимые с точки зрения критичности категории данных.

Затем необходимо обеспечить мониторинг перемещения данных этих самых категорий. Для этого успешно применяются специализированные средства в области защиты информации от утечек — DLP-системы (Data Loss Prevention — предотвращение утечек информации). Использование DLP-систем может обеспечить полную прозрачность перемещения информации внутри организации и создать представление о том, как и у кого из сотрудников информация хранится, к кому она уходит. И правильно ли это с точки зрения построения бизнес-процессов (осуществляется в соответствии с политиками настройки системы или нет).

В случае любых отклонений от некоторой принятой нормы, если информация выходит за грани разрешенного периметра, это сразу же удастся обнаружить и при необходимости предотвратить.

Юлия Шугайлова, директор по персоналу компании «Тип-Топ Индустриальные решения».

- Суперсекретную информацию лидеру от топов можно скрыть, если не фиксировать ее нигде, а только озвучивать очень узкому кругу лиц и не всем сразу, а наедине, чтобы каждый понимал, что знает только он. И что если информация пойдет дальше, то только от него. В этом случае каждому из топов (например, 5 участников процесса) надо доносить ту часть информации, которая касается его, или давать ту деталь, при всплытии которой будет понятен источник.

- Если им доверять, то как и почему?

- Доверять топам надо, потому что без этого не будет команды, а один в поле не воин. И порядочных людей вокруг много, и среди топов их не меньше. Лучше один раз обжечься, чем постоянно оглядываться и искать врагов.

- Как бы вы изменили ТК РФ в плане защиты компании от воровства информации?

Вячеслав Крылов, начальник службы персонала ООО «Управляющая компания «ВСВ».

- Воровство относится к УК РФ. Считаю нужным ввести ответственность, вплоть до уголовной, в зависимости от нанесенного ущерба. Также внес бы в ТК дополнительные права работодателя на проведение проверочных мероприятий в отношении сотрудников. Добавил бы право работодателя на применение полиграфа.

Мария Воронова, ведущий специалист по информационной безопасности InfoWatch, руководитель отдела аналитики и специальных проектов.

- Сейчас в случае необходимости защиты компании от кражи информации широко распространены увольнения по 81 статье ТК РФ п.6 (в) «Расторжение трудового договора по инициативе работодателя»: разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей. В том числе разглашение персональных данных другого работника. Это наиболее простой способ. Службы работы с персоналом совместно со службами информационной безопасности давно его применяют.

Однако, на мой взгляд, в ТК РФ не хватает более четкой формулировки прав работодателя на защиту своей информации (коммерческой тайны и других видов тайн). Например, использования методов мониторинга и контроля в отношении тех корпоративных и служебных ресурсов, которыми работник пользуется для выполнения своих должностных обязанностей.

Юлия Шугайлова, директор по персоналу компании «Тип-Топ Индустриальные решения».

- Я не вижу возможностей изменения ТК для бОльшей защиты компании от воровства информации, потому что существует много неофициальных способов, позволяющих обойти официальные запреты. 

Беседовала Елена Плужникова