Алгоритм конфиденциальности: как цифра NDA бережет
Подписание NDA — универсальная практика, когда речь идет о передаче конфиденциальной информации. Самый массовый случай — соглашения о неразглашении коммерческой тайны с сотрудниками. Но часто это становится формальностью: у компаний нет реальных инструментов, чтобы уследить за соблюдением оговоренных условий и доказать, что соглашение было нарушено.
Бумажная безопасность?
Коммерческая тайна — серьезная штука и охраняется законом. За ее разглашение грозит ответственность вплоть до уголовного преследования (по ст. 183 УК РФ), самая мягкая санкция — по ТК: выговор или увольнение. Однако и строгость наказания часто не останавливает нарушителей. Дело в том, что без должного оформления режим коммерческой тайны не работает, а значит, нарушения как бы «не считаются».
Чтобы по-настоящему защитить конфиденциальные данные, компаниям нужно предпринять следующие шаги:
- Определить перечень конфиденциальной информации. Это могут быть ноу-хау, если компания занимается разработками, или клиентские базы — действительно критичная информация, от которой зависит жизнеспособность бизнеса. Встречаются и более общие подпункты, например, размер заработных плат. При этом засекретить размеры долгов по зарплате уже нельзя, это запрещает все тот же закон о КТ.
- Максимально конкретизировать перечень и зафиксировать в NDA с каждым сотрудником. Часто руководство компаний имеет соблазн сформулировать описание коммерческой тайны очень обтекаемо. Я, например, встречал такую формулировку: сведения, полученные на совещаниях у руководства, составляют коммерческую тайну. Это создает путаницу. Для сотрудников — потому что они не понимают, как себя вести, и для службы безопасности — нет четкого объекта контроля.
- Установить правила работы с критичными сведениями: маркировать закрытые документы грифом «КТ», на каждом указать владельца и тех, кто имеет право с ним работать. Текст NDA сотрудники забудут через час, если не будут встречать гриф «коммерческая тайна» в своей практике. Маркировка дисциплинирует и наглядно указывает, как обращаться с секретами фирмы. Больше того, без грифа и указания, кому принадлежит материал, не доказать секретность сведений, если произойдет утечка.
Сбор доказательств — в принципе самое сложное в делах о нарушении NDA. Во-первых, дело состоится только если компания понесла убытки. При этом российские суды не воспринимают понятия «недополученная прибыль» и «репутационные потери», а ведь это одни из самых распространенных последствий утечек.
Во-вторых, предполагается, что разбирательству предшествует служебное расследование. Но даже если в его ходе нашлись «железные» подтверждения утечки, их могут не принять, если процедура внутреннего разбирательства не была оформлена в рамках режима КТ. При каждом инциденте должен выпускаться приказ по служебному расследованию, собираться комиссия, причастные должны написать объяснительные.
Только соблюдая все процедуры, можно пошагово зафиксировать факт утечки. Но даже если чувствительная информация явно просочилась наружу, предстоит убедить суд, что виноват в этом конкретный сотрудник.
Защита виртуальная/реальная
Несоблюдение одного или нескольких приведенных выше пунктов делает соглашение о конфиденциальности просто «бумажкой». Конечно, это мало мотивирует его соблюдать. Другое дело, если за документом стоят четкие выполняемые регламенты.
Дополнительный вес NDA придают инструменты, которые позволяют реально отслеживать его выполнение. Сегодня это DLP — системы предотвращения утечек. Программы контролируют все передвижения документов и коммуникации в коллективе, так что попытки «сливов» не пройдут незамеченными. Кроме того, фиксируются все действия за компьютером каждого сотрудника. В случае нарушений система сразу указывает, кто их допустил.
Помимо удобства организации контроля DLP дают еще одно важное преимущество: собранную системами информацию в качестве доказательств принимают суды.
Вот как это выглядит на практике.
Сотрудник одной из подрядных организаций с подельником решили похитить данные абонентов «АКАДО-Екатеринбург» для дальнейшей перепродажи. При этом подрядчик был связан соглашением о конфиденциальности и знал, что базы клиентов составляют коммерческую тайну компании-нанимателя.
Злоумышленники написали специальную программу для проникновения в корпоративную систему и даже сумели скачать часть данных. Но взлом зафиксировала DLP: сработали политики безопасности на несанкционированный доступ и все действия нарушителей были записаны. Воспользоваться украденными данными они уже не смогли.
Суд прислушался к результатам внутреннего расследования, проведенного с помощью системы, и в августе 2017 года вынес обвинительный приговор. Подельникам присудили 2 года условно по двум статьям, в т.ч. по 183 УК РФ («Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну»).
Другой пример: в компании-производителе удобрений сотрудник втайне просматривал корпоративную почту начальника управления и пересылал отдельные письма конкурентам. Часть информации в этих письмах — цены и условия контрактов для клиентов, данные об остатках продукции на складах, детали переговоров о расширении компании за рубеж — составляла коммерческую тайну. Через DLP служба безопасности вычислила нарушителя, им оказался начальник отдела продаж.
Компания обратилась в суд, и в 2013 году инсайдера признали виновным по ст. 183 УК РФ. Ему назначили наказание в виде 1 года и 9 месяцев исправительных работ с удержанием 15% зарплаты в пользу государства. Кроме того, компания разорвала с ним отношения по самому жесткому сценарию, предусмотренному ТК: уволила за грубое нарушение трудовых обязанностей на основании п. «в» ч. 6 ст. 81 ТК РФ с соответствующей отметкой в трудовой книжке.
Но основное преимущество даже не в том, что действия потенциальных нарушителей оказываются на виду. В ряде DLP можно настроить автоматическое разграничение доступов к отдельным документам или хранилищам с закрытой информацией. Таким образом, системы могут буквально «обслуживать» NDA, автоматически пресекая «сливы».
Удачная комбинация
Функционал DLP шире, чем просто защита коммерческой тайны. В то же время ПО не заменяет службу безопасности в деле полного обеспечения защиты. Например, вне оформленного режима КТ в компании DLP сложно внедрить и настроить — систему тоже предстоит научить, что не подлежит разглашению, а значит, сначала придется определиться с корпоративными регламентами. Да и данные, которые собирает DLP, будут бесполезны в суде, если в компании не действует режим.
А вот использование системы в рамках режима коммерческой тайны убивает сразу двух зайцев. Во-первых, сам факт официального действия режима отрезвляет тех, кто взаимодействует с конфиденциальной информацией. Тех, кто не настроен на намеренные злодеяния, подписанное соглашение NDA будет дисциплинировать. Во-вторых, наличие реальных инструментов контроля заставит задуматься тех, кто потенциально готов на инсайдерство — возможно, на нарушение они не решатся. В противном случае DLP обеспечит расследование инцидента и поможет найти виновных.
Иван Бируля, директор по безопасности «СёрчИнформ»
Полный текст статьи читайте на Компьютерра