Горьким поучительным уроком для рекламной фирмы из Тюменской области стала история с остановочными павильонами. Их эскизы разработали дизайнеры компании под перспективный муниципальный контракт. Но победу на торгах одержала другая фирма, которая возвела в городе 31 конструкцию, как две капли воды похожую на ту, что разработали и запатентовали проигравшие. Для них сумма ущерба превысила 59 миллионов рублей. Как у конкурента появился чертеж, неизвестно, зато понятно другое: рекламная компания поплатилась за беспечность. Ее исковое требование о сносе павильонов арбитраж отклонил, посчитав, что таким образом будут нарушены публичные интересы (муниципалитет ответчиком по делу не являлся). То есть пострадавшая сторона должна представить доказательства, как именно вторая фирма заполучила проект, и уже к ней предъявлять иск.
Без полноценной тактики защиты данных такие доказательства не получить и недобросовестного сотрудника, сливающего корпоративные секреты, за руку не поймать. Поэтому многие предприятия последние десять лет активно меняют подход к чувствительной информации и учатся ее защищать. Для этого необходимы три взаимодополняющие составляющие.
- Федеральный закон "О коммерческой тайне" позволяет ее обладателю избежать неоправданных расходов, сохранить положение на рынке и получить выгоду. Поэтому самый простой инструмент защиты - локальный нормативный акт, в котором указан перечень информации, относящейся к коммерческой тайне или конфиденциальной информации, - подсказывает партнер юридической фирмы INTELLECT Анна Устюшенко. - Важное дополнение к нему - подписанное работником соглашение о неразглашении с перечнем доступной ему охраняемой информации. Когда новый сотрудник ознакомился с правилами компании и поставил подпись в документе, он начинает понимать степень своей ответственности. Третья важная составляющая защиты - технические средства, позволяющие определить, кто именно получил информацию, а также когда и куда она была передана.
Что же представляют собой такие системы защиты и действительно ли этот инструмент может обеспечить как минимум доказательства для суда?
Трудовой кодекс (статья 214.1) позволяет работодателю устанавливать технические средства контроля и вести видеонаблюдение за сотрудниками в офисе или на производстве, за исключением мест отдыха. В эту категорию попадают не только сами камеры, но и ПО, с помощью которого контролируют цифровые "шаги" персонала внутри локальной сети. Специальные программы мониторинга отслеживают, в какие сетевые папки заходит пользователь, какие файлы и кому высылает. Как правило, такие системы внедряют предприятия, которые хорошо знают цену коммерческой тайне. Ну а ужесточение штрафных санкций за утечку персональных данных еще больше подстегнуло компании внедрять средства контроля. Например, в банковском секторе, где серьезный инцидент может просто уничтожить бизнес, защитные системы используются давно.
- Цены систем контроля утечек информации сильно отличаются: от нескольких сотен тысяч рублей до десятков миллионов. На стоимость влияет разница между продуктами. Рынок до сих пор не сформировал некий "стандартный" запрос, поэтому производители экспериментируют и ищут свои ниши, - поясняет замдиректора по проектной деятельности учебно-научного центра "Информационная безопасность" УрФУ Николай Домуховский. - Если речь идет просто о приобретении некоей "серебряной пули", то лучше даже не начинать: Брюс Шнайер (известный американский специалист по компьютерной безопасности. - Прим. ред.) очень давно подметил, что безопасность - это процесс, а не продукт. Даже самое совершенное средство защиты окажется абсолютно бесполезным, если его не будут правильно эксплуатировать.
Как поясняет Домуховский, контроль утечек предполагает, что на предприятии очень четко определены санкционированные каналы информационного обмена, любое отклонение в которых станет маркером возможной утечки. Вот только компаний, которые могут похвастать тем, что у них детально документированы информационные потоки, крайне мало.
Предположим, бизнес не экономит на средствах защиты и с их помощью обнаружил утечку данных. Выявили виновника и готовы предъявить доказательства. Есть ли у работодателя шанс наказать такого сотрудника, действующего или бывшего?
- Дисциплинарной ответственности - скажем, увольнения - такой человек не боится. Он и так скорее всего уходит на новое место, поэтому и решил забрать весь свой "опыт" на флешке, - рассуждает Анна Устюшенко. - Но, если сотрудникам отдела безопасности удалось зафиксировать процесс вывода информации за контур компании - на чужую почту, в собственные мессенджеры или иными способами, предприятие при должном оформлении режима коммерческой тайны вправе требовать возбуждения уголовного дела. Об ответственности специалиста предупреждали еще в момент трудоустройства, поэтому такой спор может перерасти в полноценное следствие и судебное разбирательство.
Понятно, что добиться в суде реального срока за такой проступок вряд ли удастся. Юрист напоминает: на страже сведений, составляющих коммерческую, налоговую или банковскую тайну, стоит 183-я статья УК РФ, предусматривающая штраф до 500 тысяч рублей или взыскание дохода с осужденного за период до одного года. Впрочем, сама угроза понести уголовное наказание может действовать как эффективный устрашающий механизм: устроиться на работу с таким пунктом биографии будет сложнее. Но важно, чтобы компании не пренебрегали защитой информации и не оставляли подобные случаи безнаказанными, резюмирует Анна Устюшенко.