Людмила Белова,
директор по Казахстану кадрового холдинга АНКОР
В настоящее время системы защиты и предотвращения утечки информации существуют в том или ином виде в большинстве компаний. Однако вопрос их эффективности весьма сомнителен, так как всегда найдется способ хищения конфиденциальных файлов в обход стандартных мер. Понимание же источников рисков поможет эффективно выстроить способы защиты корпоративных секретов внутри каждой отдельной организации.Эффективность систем предотвращения утечек конфиденциальной информации
Эффективность систем предотвращения утечек конфиденциальной информации
В настоящее время система защиты и предотвращения утечки информации в компаниях налажена достаточно хорошо. Но прежде чем принимать какие-либо действия по защите конфиденциальной информации, нужно понять, кто имеет к ней доступ. Один из самых надежных и распространенных методов – заключение соглашения о неразглашении информации, которое прилагается к трудовому договору. Подписывая его, сотрудник соглашается, что за ним будет вестись наблюдение (проверка служебной переписки, видеонаблюдение и т.д). Безусловно, важно разъяснить, что именно подпадает под запрет, поэтому нужно предоставить работнику в приложении к договору или отдельному соглашению список тем, подлежащих неразглашению. Некоторые компании строго ограничивают число лиц, владеющих секретной информацией. Все чаще работодатели прибегают к методу контроля служебной переписки. Вопрос эффективности очень сомнителен, поскольку сотрудник, желающий передать секретную информацию, скорее всего, воспользуется резервными накопителями, мобильными устройствами и другими способами, избегая риска быть замеченным. В этом случае используется метод закрытия usb-портов, в результате чего сотрудник не может копировать информацию на носитель.
Угрозы и возможные последствия утечки информации
В зону риска попадают как международные, так и локальные компании. Есть несколько основных видов утечки информации: хищение непосредственно с носителя, распечатка и вынос конфиденциальной информации, передача информации через неохраняемые носители. И это только самые распространенные способы передачи информации. Угроза, которую может нести утечка информации, разделяется по степени нанесения вреда в зависимости от объема информации и целей, для которых она будет использована. Ущерб от несанкционированного разглашения может нести для компании серьезные убытки, подрывать ее имидж, тем самым оказывая влияние на лояльность не только клиентов, но и потенциальных заказчиков. Порой ущерб исчисляется миллионами долларов. Некоторые компании в течение длительного времени ощущают на себе последствия нарушения. Конфиденциальную информацию все чаще предпочитают кодировать, обычно эта задача лежит на IT-департаменте. Проведенное в 2009 году исследование АНКОР среди IT-специалистов показало, что около 40% из них никогда не подписывали документы о неразглашении информации конфиденциального характера. Примерно 13% сотрудников отдела IT сталкивались с предложениями о продаже интеллектуальной собственности, почти 10% при переходе на другое место работы забирают с собой данные, принадлежащие работодателю, а 48% – свои собственные разработки.
Интересным фактом является то, что чаще всего информация утекает через сотрудника из-за халатности или непреднамеренно, гораздо реже сотрудник совершает нарушение умышленно.
Насколько эффективны документы о неразглашении коммерческой тайны?
Соглашение о неразглашении нередко вызывает сомнение в эффективности. Иногда его отказываются подписывать, ссылаясь на то, что трудно понять, какая информация считается секретной и какие компании являются прямыми конкурентами. При грамотном составлении соглашения у сотрудника не должно возникать подобных вопросов. Ответственность сотрудника должна быть доходчиво прописана. Все чаще компании привлекают к составлению соглашения опытных специалистов из юридической и IT-служб.
Какая информация в большей степени подвержена утечке?
Чаще всего объектом утечки информации выступают персональные данные, несмотря на то что коммерческие секреты, интеллектуальная собственность представляют не меньшую ценность. Промышленный шпионаж также набирает силу благодаря своей специфичности. Все чаще компании в борьбе за конкурентное преимущество «прикладывают» руки к новейшим разработкам, схемам.
Кто нарушает конфиденциальность?
Существует несколько причин, которые толкают сотрудника на нарушение. Очень важно различать преднамеренное нарушение и обычную безалаберность. При умышленной передаче конфиденциальной информации сотрудник руководствуется несколькими целями: получить дополнительный заработок (в том числе от конкурентов), желание нанести ущерб компании. Основные мотивирующие факторы – корысть, месть, тщеславие. Порой сотрудник, склонный к авантюрам, воспринимает действия по нарушению как игру. В некоторых случаях работник пытается таким образом самоутвердиться и реализовать свои идеи и цели. Как бы то ни было, во многих случаях часть вины за разглашение конфиденциальности лежит именно на работодателе, который в свое время в письменном виде не донес до сотрудника степень важности для компании той или иной информации.
Обзор информационного законодательства РК. Чьим интересам оно служит?
Безусловно, законодательство направлено и на работодателя, и на работника. С одной стороны, закон предупреждает сотрудника, что при правонарушении он будет обязан возместить компании причиненный ущерб, с другой стороны, дает компании понять, что информация будет считаться секретной только в том случае, если осуществляется ее защита. В статье 126 Гражданского кодекса Республики Казахстан «Служебная и коммерческая тайна», четко указано, что информация будет защищена законом только в том случае, если она имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Лица, разгласившие служебную или коммерческую тайну, будут обязаны возместить причиненный ущерб. Сегодня компании начинают осознавать, насколько важно осуществлять защиту конфиденциальных сведений. Необходимо понимать, что помимо заключения соглашения о неразглашении информации нужно принимать и другие меры по предотвращению и уменьшению риска утечки информации, внедрять новые стандарты, системы, проводить на постоянной основе тщательный отбор сотрудников.
© National Business №85 (2011)