История поимки шпиона — как уволенный сотрудник 3 месяца воровал информацию у компании

Материал написан на условиях анонимности. Автор просил не раскрывать свое имя и название компании, в которой «завелся» шпион — следствие еще продолжается. Наш собеседник рассказал о том, как около 3 месяцев бывший сотрудник уводил клиентов к конкурентам, и какие шаги компания предпринимает сейчас по защите информации и клиентской базы.

— Компания у нас небольшая — штатных сотрудников около 30 человек. Мы занимаемся продажами инженерного оборудования и инструментов, и каждый наш специалист имеет персональный доступ к программе, в которой менеджеры ведут складской учет и торговлю, планируют закупки, контролируют финансы, работают с базой клиентов, готовят документы и т.д.

Нам нравится, что с программой можно работать онлайн — для сотрудников, выезжающих оформлять заказы к клиентам, это очень удобно. Но именно возможность входить в программу через Интернет, слабый уровень безопасности, плохая организация своевременного изменения паролей доступа к программам, привели к тому, что нашей базой клиентов пользовались конкуренты.

Как мы обнаружили шпиона

Каждый месяц, когда в компании закрывается предыдущий бухгалтерский период, главный бухгалтер просит всех «выйти» из программы. И когда сотрудники отчитались, что сделали это, то в программе остался «висеть» неопознанный абонент.

ИТ-специалист определил, что IP-адрес этого абонента не принадлежит никому из наших сотрудников. Вот так по случайному стечению обстоятельств мы выявили, что информацией из клиентской базы компании пользуются не только наши сотрудники.

Кто воровал информацию

Все оказалось достаточно банально — тем человеком, который незаконно подключался к программе и использовал нашу клиентскую базу, был уволенный почти полгода назад сотрудник.

У сотрудника компании остался доступ к программе с базой клиентов — после увольнения его учетную запись не отключили. Ему даже не нужно было прикладывать усилия, чтобы быть шпионом.

Этот человек проработал в организации более 3 лет, очень хорошо знал организацию процесса работы в компании, видел слабые стороны процесса работы и контроля доступа к программам. Это и дало ему возможность пользоваться клиентской базой данных и видеть заказы организации.

Что говорят исследования утечек информации

• По данным ежегодного исследования аналитического центра Zecurion, год назад был отмечен рекордный ущерб от утечек информации — более $ 29 млрд
• Больше всего от этого пострадали компании в США, Великобритании, Канаде и России — в 2015 году там зарегистрировано 49 масштабных публичных случаев утечки информации и связанных с ними крупных убытков
• Почти в 20% случаев «шпионы» интересуются финансовыми данными физлиц
• В наибольшей зоне риска — госучреждения, банки и сектор розничной торговли
• Экономический кризис и нестабильная ситуация на рынке труда увеличили количество случаев, когда сотрудники начинают копировать доступную им конфиденциальную информацию «на всякий случай», нередко без злого умысла, что не уменьшает риска попадания этой информации к конкурентам или ее публичного обнародования
• Рынок систем безопасности за последние 2 года вырос, т.к. компании стали активнее инвестировать в защиту информации

Какие шаги мы предприняли

Учредители приняли решение привлечь бывшего сотрудника к ответственности за несанкционированное подключение к информационной базе организации.

Первым делом мы обратились в РУВД, где нам разъяснили ч. 2 ст. 349 УК «Несанкционированный доступ к компьютерной информации».

Какая ответственность предусмотрена ч. 2, ст. 349 УК

За несанкционированный доступ к компьютерной информации, независимо от того, кто и по какой причине это преступление совершил, предусмотрены:

• Штраф
• Лишение права занимать определенные должности
• Лишение права заниматься определенной деятельностью
• Арест на срок от 3 до 6 месяцев
• Ограничение свободы на срок до 2 лет или лишение свободы на тот же срок

РУВД передало наши материалы в отдел Следственного комитета одного из районов Минска, откуда в течение месяца пришло письмо с разъяснениями прав и порядка подачи искового заявления о возмещении материального ущерба на 10 листах с выписками из Уголовного и Гражданского кодексов.

В ходе следствия по материалам уголовного дела установлено, что организации мог быть причинен материальный ущерб. Также в соответствии со ст. 149 УПК «Предъявление гражданского иска» мы вправе предъявить гражданский иск к обвиняемому до окончания судебного разбирательства.

Но как оценить свой материальный ущерб, как определить, что тот или иной клиент отказался от заказа и стал сотрудничать с конкурентом именно из-за нашего случая — вопрос пока открытый.

Подготовить исковое заявление и собрать документы, подтверждающие наличие и размер причиненного материального ущерба — следующий наш шаг, чтобы разобраться со сложившейся неприятной ситуацией. Сейчас дело еще в процессе, в настоящий момент идет анализ причиненного компании материального ущерба.

На что стоит обратить внимание

• Пострадавшая от несанкционированного доступа к компьютерной системе организация должна сама доказать, что она пострадала
• Несмотря на то, что мы по факту знаем, кто пользовался нашей информацией, в письмах Следственного комитета наш бывший работник называется «неустановленное лицо»
• В ходе разбирательства официально выяснено, что нами не приняты должные меры по защите информации. И теперь мы обязаны организовать контроль за сотрудниками и проводить регулярный мониторинг (и другие меры) для усиления информационной безопасности
• При отсутствии штатных специалистов, которые должны заниматься усилением информационной безопасности в компании, мы должны привлекать сторонних — к этому нас обязала ст. 199 УПК «Представление об устранении нарушений закона, причин и условий, способствовавших совершению преступления»
  
  Мы должны принять меры по устранению нарушений закона, причин и условий, которые способствовали совершению преступления, а также обязательно уведомить следственные органы о принятых нами мерах в месячный срок со дня получения представления
• Не принятие мер по устранению причин и условий, способствующих совершению преступления, а также несвоевременный ответ грозят нам штрафом в размере от 6 до 10 базовых величин (на 17.01.2017 базовая величина равняется 23 руб. — прим. «Про бизнес.»).

Какие выводы мы сделали

Так как наша компания — небольшая, то раньше нам казалось, что вести контроль за сотрудниками просто. Это расслабило руководство. Ситуация, которая случилась с нами, показала, что низкий уровень безопасности в компании — наше слабое звено.

Инцидент показал, что необходимо усилить организацию контроля в компании. Для этого мы решили:

1. Проводить регулярное профилактическое обсуждение вопросов безопасности с сотрудниками компании. Как вариант — составить протокол и по нему прописать все вопросы и действия, которые должны быть закрыты при приеме и увольнении работника. Должно быть четкое распределение обязанностей и четкое определение зон ответственности. В нашем случае это не было сделано, хотя задача до безобразия простая.

2. Установить программы для слежения за действиями сотрудников при работе на компьютере и периодически выборочно их проверять. Сотрудники могут также копировать рабочую информацию на флешки или отправлять ее себе на электронную почту — в этом случае программа будет нас информировать об этом.

3. Раз в месяц обновлять пароли.

4. Тщательно проработать документы, регламентирующие работу сотрудников с информацией. В первую очередь нам нужно доработать договор о коммерческой тайне, в котором сейчас не оговорена сумма штрафа в денежном выражении. Психологический эффект ответственности срабатывает, когда работник видит конкретную сумму штрафа, а не абстракцию в виде отсылки на законодательство, как было у нас.

5. Периодически напоминать сотрудникам о заключенном соглашении о коммерческой тайне и сроке, в течение которого вся информация о работе в компании остается закрытой. Мы столкнулись с тем, что работники, проработав несколько лет, забывали, что и когда они подписывали при приеме на работу.

Также при увольнении мы будем напоминать работникам о том, сколько лет на них распространяются положения о коммерческой тайне компании.