Андрей Андреев: Закрыть брешь. Какие обязательства встают перед компанией после кражи информации
Самый ценный ресурс сегодня — это информация. А то, что ценно, всегда может быть украдено или использовано в корыстных целях. Безопасность внутренних данных и информации о клиентах является одной из приоритетных задач любой компании. К сожалению, какие бы меры ни принимались службой безопасности, какие бы огромные бюджеты ни выделялись ежегодно на защиту корпоративной информации, от ее утечки не застрахован никто.
Каждый день тысячи людей во всем мире оставляют свои телефонные номера, адреса электронной почты, паспортные данные и данные банковских карт, заполняя анкеты в магазинах, покупая товары через интернет, оплачивая счета и билеты на самолет. В руках мошенников эти данные могут быть использованы по-разному: базы телефонных номеров проданы колл-центрам, паспортные данные указаны для получения займа в микрофинансовых организациях, пароль от электронной почты — для получения личной информации и доступа к профилям в социальных сетях, которые представляют сегодня немалую ценность для владельца.
Преданность и лояльность клиентов — ключевой показатель для бизнеса. Но, когда случаются подобные инциденты, у компаний возникают как репутационные, так юридические и финансовые риски.
Ответственность компании
Репутационные потери — первое, с чем столкнется пострадавшая компания. Уменьшение доверия понесет за собой отток клиентов и снижение капитализации. Так, в результате скандала Facebook потерял 60 миллиардов долларов капитализации.
Второе — штраф, предусмотренный Кодексом об административных правонарушениях Российской Федерации. Кодекс содержит несколько составов, общая сумма выплат по которым может доходить до 300 тысяч рублей. И это только для одного субъекта персональных данных, конечный же размер штрафа может быть колоссальным. Подобные санкции применяются и за рубежом. В случае с Facebook Федеральная комиссия по торговле США оштрафовала компанию на 5 миллиардов долларов! Эту огромную сумму выплатили за нарушение хранения персональных данных.
Еще одно последствие халатности при защите внутренней информации — выплата компенсаций клиентам, чьи данные были обнародованы. Но стоит оговориться, что тут финансовые обязательства возникают не сразу. Пострадавший должен в судебном порядке доказать, что претерпел ущерб именно в результате утечки данных конкретной компании.
Экстренные меры
Если компания обнаружила, что внутренняя информация стала доступна третьим лицам, инициируется внутреннее расследование. За него ответственна служба комплаенс — своего рода наблюдательный совет внутри организации, главная цель которого — управление финансовыми рисками. Штрафы, выплаты ущерба или невыполнение контрактов — это все комплаенс-риски, которые могут привести к ухудшению репутации, ограничению возможностей ведения бизнеса или сокращению клиентской базы.
Итак, запускается внутреннее расследование, в ходе которого производится аудиторская проверка, опрос сотрудников и анализ доступной информации, чтобы обнаружить причины утечки данных и устранить их. В первую очередь руководству необходимо найти брешь, через которую уходит информация. Важно понять, угроза исходит с внешней стороны или же изнутри компании. Далее проводится оценка ущерба, его минимизация, разработка мер по предупреждению подобных инцидентов в будущем.
Как компании обезопасить себя?
Утечки клиентских данных происходят по нескольким причинам — это может быть как взлом хакерами извне, так и «слив» недобросовестными сотрудниками.
В официальном пресс-релизе Сбербанка отмечается, что обнародование информации о клиентах произошло как раз из-за действий одного из работников, имевших к ней доступ. Он продал данные учетных записей 5 тысяч кредитных карт уральского отделения банка.
Несмотря на то что персональные данные высоко ценятся на черном рынке, сотрудники не всегда крадут их из-за желания заработать. Зачастую подобные инциденты происходят при массовом увольнении, а публикация используется в качестве мести бывшему работодателю.
Некоторые сотрудники при увольнении копируют себе корпоративные данные, которые используют впоследствии на новом рабочем месте. Это могут быть клиентские и партнерские базы, скрипты, финансовые отчеты и другие документы. Отпустив работника с этой информацией, компания может понести серьезные денежные потери в дальнейшем.
Чтобы избежать подобных ситуаций, необходимо заключать достаточно жесткие соглашения о неразглашении коммерческой тайны. Для этого разрабатывается специальный пакет документов, обязывающий сотрудников сохранять внутреннюю информацию компании: положение о неразглашении коммерческой тайны и соглашение (договор) о коммерческой тайне.
Со стороны работодателя должны быть соблюдены следующие условия:
- информация, отнесенная к тайной, четко обозначена;
- организован контроль и регламент обращения с этими материалами;
- на всех документах и физических носителях (диски, флешки и др.) проставлен гриф «Коммерческая тайна», указан владелец, название и адрес местонахождения для юридических лиц или ФИО и адрес проживания для ИП;
- четко прописана ответственность за разглашение коммерческой тайны.
При подписании договора работник должен ясно понимать, что в случае обнародования информации и причинении этим ущерба компании его могут привлечь к ответственности, вплоть до уголовной.
Работодатель, в свою очередь, должен обеспечить контроль и необходимые условия обращения с информацией, которую он относит к тайной.
Соглашение о заключении коммерческой тайны не является панацеей. Оно не сможет окончательно уберечь компанию от воровства информации. Тем не менее, если сотрудник подписал все бумаги, ему на психологическом уровне сложнее будет совершить данное преступление, ведь он четко осознаёт всю ответственность за свои поступки.
Защититься от внешних атак помогает надежное оборудование и IT-программы. Например, важным элементом защиты являются межсетевые экраны — специальные устройства, осуществляющие контроль и фильтрацию проходящих через них данных. Их главная задача — охрана элементов сети от несанкционированного доступа. Они блокируют подозрительные ресурсы, позволяют отследить нетипичный трафик и выяснить, откуда он исходит. Таким образом можно блокировать и внутренние угрозы безопасности.
Конечно, это только одна из мер предосторожности от возможных угроз. Многие компании имеют целые отделы, где IT-специалисты разрабатывают стратегии защиты и протоколы безопасности. Они отслеживают подозрительный трафик, устраняют уязвимости — иными словами, делают всё, чтобы коммерческая тайна не просочилась наружу, а работа предприятия не пострадала.