"ДП" решил выяснить, как случайно не нанять на работу "засланного казачка", который будет сливать информацию конкурентам, и как вычислить недобросовестного сотрудника, который явно не намерен трудиться на благо вашей компании.
Промышленный шпионаж – проблема весьма актуальная. На прошлой неделе Илон Маск обвинил одного из сотрудников компании Tesla, которая в последнее время терпит неудачу за неудачей и даже намерена сократить бизнес, в крупном шпионаже. По мнению главы компании, в утечке данных могли быть заинтересованы брокеры с Уолл-стрит, крупные автоконцерны и нефтегазовые компании.
Неприятная история приключилась для энергетической компании "Интер РАО", топ-менеджер которой Карина Цуркан была арестована по подозрению в шпионаже в пользу бизнесменов, связанных с Румынией.
Троянский конь
Tesla подала судебный иск в адрес Мартина Триппа, того самого шпиона. Он взломал местную операционную систему, похитил секретные данные, а также пересылал третьим лицам фото и видео с производств компании. Судя по документу иска, Трипп работал в Tesla почти 2 года и рассчитывал на повышение. Руководство же, напротив, было недовольно его работой: Трипп часто конфликтовал с коллегами и не справлялся со своими задачами.
Промышленный шпионаж сотрудника юристы Tesla связывают с его обидой на компанию и местью руководству. Трипп признал свою вину.
В случае с компанией Илона Маска злоумышленник сначала был вполне обычным работником, который перешел на сторону конкурентов по личным причинам, но часто бывает и так, что к вам могут подослать "троянского коня" под видом обычного соискателя вакансии.
По словам Нелли Бурковой, учредительницы компании "HR-Аналитика", промышленный шпионаж встречается в деловой среде Петербурга довольно часто и "засланные казачки" на собеседованиях тоже не редкость.
"Многие недобросовестные конкуренты используют различные средства для получения коммерческой тайны, которая имеет реальную или потенциальную коммерческую ценность, которая дает ее обладателю преимущество перед конкурентами. Один из способов "добыть" такую тайну – это отправить своего человека на собеседование в компанию-конкурент. Зачастую именно на финальном собеседовании обсуждаются вопросы имеющейся у компании клиентской базы, процентных ставок и индивидуальных условий для ключевых клиентов", – считает эксперт. Но она также утверждает, что есть способы понять, кто перед вами находится – вражеский шпион или обычный соискатель.
"Используйте вопросы-маркеры, которые заставят фальшивого кандидата продемонстрировать дополнительные знания по компаниям-конкурентам, назвать фамилии ключевых менеджеров – игроков рынка. Попросите рекрутера компании осуществить доскональную проверку биографии кандидата, прежних мест работы, наличие рекомендательных писем, личных аккаунтов в социальных сетях и пр. Вплоть до звонка прежнему руководителю с вопросом: "От вас пришел человек. Что скажете?" – советует она.
Также она рекомендует уточнить у кандидата его готовность подписать при трудоустройстве внутренний регламент о неразглашении коммерческой тайны. Посмотреть на поведенческую реакцию "соискателя" и уточнить причину отказа. Также работодатель вправе проверить у кандидата документы, необходимые для дальнейшего трудоустройства, а внутри самой компании установить определенные правила для сотрудников и ответственность за утечку данных.
"Безусловно, часто это вызывает негативную реакцию со стороны 80% коллектива, но вопрос коммерческой безопасности является одним из важнейших в построении системы конкурентоспособности фирмы. Не будет лишним повторить известную всем современную истину: "Кто владеет информацией, тот владеет всем миром", – считает эксперт.
Корпоративный детектив
Что делать, если вы подозреваете, что "крыса" уже есть среди сотрудников? Один из вариантов вычислить шпиона – обратиться к специалистам. Для этого не обязательно нанимать частного детектива или устраивать сотрудникам допрос. Часто утечку данных можно обнаружить с помощью технических средств.
По словам Сергея Никтина, эксперта по информационной безопасности и компьютерной криминалистике компании Group-IB, злоумышленники часто попадаются на мелочах.
"В нашей практике был один интересный кейс, в котором привлекались ресурсы криминалистической лаборатории. Одна компания якобы купила у разработчиков другой компании целиком огромный корпоративный портал. На самом деле разработка была сворована полностью, эти горе-разработчики, выдававшие портал за свой продукт, даже логотипы поменяли не везде".
Существует огромное количество средств по предотвращению утечек информации – DLP-системы, с помощью которых можно фиксировать любую деятельность сотрудника – каждый клик и байт данных. Но, по мнению Никитина, DLP далеко не панацея. Главное – правильно ее настроить, чтобы "цифровые следы" злоумышленника правильно фиксировались.
Если обращаться к специалистам не хочется, можно начать свое собственное внутреннее расследование, но главное при этом случайно не нарушить права своих же подчиненных.
"Работодатель не ограничен в организации не запрещенных законом мероприятий в отношении работников. Но, если участие в такой процедуре не предусмотрено трудовым договором и должностной инструкцией работника, его нельзя принудительно привлечь к участию в проверке: он будет вправе отказаться от участия", – рассказал юрист Илья Пакконен, который специализируется на корпоративном и интеллектуальном праве.
Кроме того, работодатель при проведении такой проверки может быть ограничен специальным режимом информации, которая входит в предмет расследования. Например, персональные данные работников он вправе использовать только в той мере, в которой работники дали на это предварительное согласие. Также он не вправе нарушать тайну частной жизни.
"Сбор любых личных сведений, а также коммерческую тайну других компаний, банковскую или налоговую тайну работодатель вправе получать только с согласия обладателей такой информации", – объяснил Пакконен.
Также юрист рассказал, что после того, как руководство завершило свое внутреннее расследование и нашло шпиона, оно все равно ограничено в плане наказаний, которые может к нему применить. Так, штрафовать такого сотрудника по российским законам можно только в размере одной месячной зарплаты. Для взыскания более высокой суммы нужно будет идти в суд. Но уволить сотрудника за нарушение или сделать выговор никто не мешает.