Бывшие друзья, недовольные сотрудники или хакеры по найму — кто угрожает корпоративной информации?

Сегодня новости о том, что в очередной крупной компании произошла утечка информации, а бывшие партнеры подают друг на друга в суд, чтобы решить, кому принадлежат некогда общие активы, никого не удивляют. И тем не менее, само определение «коммерческая тайна» слишком многие понимают неверно, а тем более не имеют понятия о сопутствующих этому статусу правилах. Специалисты в области ИТ и права совместными усилиями прояснили этот вопрос на примере нескольких дел и допущенных в них довольно распространенных ошибок.

Актуальность вопросов, касающихся основных ошибок в хранении и сбережении коммерческой тайны, подчеркивается тем, что именно о них шла речь в рамках очередной встречи новосибирского Клуба ИТ-директоров. На мероприятии, помимо ИТ-специалистов, присутствовали также представители юридических компаний и фигуранты наиболее ярких дел по рассматриваемому вопросу.  Примером может служить кейс участника встречи, собственника компании по производству одежды и снаряжения для активного отдыха. Случай самый типичный: директор при увольнении счел себя обделенным и обиженным, поэтому решил открыть собственный бизнес. Под этой мотивировкой были скопированы базы данных, лекала и модели, документооборот по наиболее крупным клиентам. А потом ушедшие открыли свое дело, являющееся абсолютной копией того, что они не так давно оставили. Такое тоже случается. Но рассматриваемый кейс выделяется тем, что, по уверениям учредителя, позаимствована была не просто идея, клиентская база или еще что-то, а вообще все, что можно было перенять. Схема производства, образцы продукции, модельные линейки поставщики, клиенты, прайс-структура, ключевые сотрудники. И сделано это, по его словам, было без какой-либо попытки «перекроить» позаимствованное под свое. Более того – ушедшие сотрудники долгое время вводили клиентов в заблуждение, указывая в переписке что они являются сотрудниками старой компании.

На вопрос о том, сколько времени уходит на проектирование и создание новой модели товара,учредитель, немного подумав, ответил, что речь может идти многих месяцах. Новоиспеченные конкуренты же через три дня после регистрации выдали почти три десятка моделей, которые по заверению спикера совпадали с прежними изделиями один к одному: все результаты многомесячных трудов — лекала, списки материалов, фурнитуры и прочего — были позаимствованы простым копированием, без переработки или модного нынче реинжиниринга. Прайс-лист, по словам учредителя, тоже совпадал с исходным даже по дизайну, а 300 проверенных позиций стоили совершенно одинаково. И клиентская база «ушла» — здесь тоже совпадение оказалось полным, даже порядок не изменился. И канал, по которому уходили документы, в том числе под грифом «коммерческая тайна» смогли вычислить.

Ситуацию можно было бы считать прозрачной. Компания подала иски в УФАС и суды, часть заседаний уже выиграны. Более того, по словам бизнесмена, в действиях бывшего директора, как оказалось – содержится состав преступления по статье 183 УК РФ. Как же так получилось?

Во всем виновата жертва?

«Мы занимались этим делом, — рассказала руководитель практики по интеллектуальной собственности юридической компании «Гребнева и партнеры» Анна Войцехович. — И это далеко не первое наше дело по вопросам коммерческой тайны».

В виктимологии есть такой термин — обвинение жертвы. Суть его — в частичном или даже полном перекладывании ответственности за совершенное правонарушение на саму жертву. Чаще всего оно не выходит за рамки общественного мнения. Сколько бы ни говорили: «Сам виноват, что тебя обокрали в метро, нечего было кошелек в заднем кармане носить, да еще в час пик…», карманник, если его вина в совершении кражи будет доказана, получит наказание вне зависимости от того, «спровоцировали» его или нет. Но вот с кражей интеллектуальной собственности ситуация совсем иная. «Статус коммерческой тайны нельзя поставить просто так, как многие думают. Для этого необходимо принять ряд обязательных мер», — пояснила Анна Войцехович.

По ее словам, необходимы следующие меры. Во-первых, документальное подтверждение. Перечень информации, составляющей коммерческую тайну, должен быть строго определен. Анна Войцехович предостерегла от использования расплывчатых формулировок с очень широкой трактовкой, поскольку любое сомнение будет трактоваться в пользу невиновности. Вместо «и так далее», «и иные документы» и прочего она советует использовать определения в стиле «вся информация, касающаяся темы ABC, в том числе…», то есть, от общего к частному, а не наоборот. Таким образом можно сразу обрисовать целевой круг, чтобы потом можно было доказать в суде, что украденная информация к нему относится. И, разумеется, этот круг следует обрисовать с самого начала, а не после того, как кто-то скопировал документы из сейфа. При этом не стоит забывать, что определенные категории информации к коммерческой тайне относить нельзя, их список указан в ст. 5 Закона «О коммерческой тайне».

Во-вторых, обязательное ограничение доступа к данной информации по двум направлениям: учет тех, кто имеет к ней доступ (перечень этих лиц тоже обязательно обозначить в самом начале), и максимально надежная защита от тех, кто не имеет. В этом вопросе у рассматриваемой компании был полный провал: журнал доступа достаточно долгое время не велся вообще, перечень лиц оговорен не был, а документы хранились в отдельно стоящем сейфе, который, при желании, можно было просто унести. По словам Анны Войцехович, судья обязательно поинтересуется, были ли соблюдены все необходимые меры защиты тайны. И если нет, то и защитить права ее обладателя никто не в силах. Что касается электронных носителей, то, по мнению Анны, лучше всего по-настоящему ценную информацию на компьютерах не держать: ни на локальных устройствах, ни в облаке. Просто в силу того, что в ИТ осуществить меры по обеспечению безопасности сложнее, а украсть информацию может быть проще. Любая информация, составляющая коммерческую тайну, должна быть обязательно зафиксирована на бумаге — еще одно условие.

В-третьих, необходимо исключить возможности «случайного и незаконного» ознакомления, пометив все документы соответствующим грифом и ознакомив всех сотрудников с правилами обращения с ними, чтобы сразу осознавали всю ответственность. В этом вопросе рассматриваемая компания сумела доказать свою правоту: грифы поставили, сотрудников ознакомили. И даже несмотря на то, что Лилия Павлова, бывшая на суде ответчиком, заранее, пользуясь директорскими полномочиями, изъяла из сейфа свое подтверждение об ознакомлении, ей это не помогло. Еще осталось немало документов по тому же вопросу, где та же Павлова расписывалась в качестве принимающей стороны. Собственно, этот вопрос — были ли все ознакомлены — должен подниматься еще в самом начале следствия.

Только выполнив все эти меры, можно честно сказать суду: мы сделали все, от нас зависящее.

Как «закладки» и разделение труда спасут ваши данные

«Мы достаточно долго подбирали название нашей встречи, — так начал свое выступление управляющий партнер юридической фирмы «Ветров и партнеры» Виталий Ветров. — И сошлись на том, что риски можно только минимизировать, исключить их на сто процентов нереально. Вопрос в том, что вы можете вернуть, отсудить и так далее». Он тоже привел пример дела о краже интеллектуальной собственности, на этот раз значительно ближе к ИТ-тематике.

В 2005 году группа друзей-программистов открыла компанию по разработке и выпуску ПО достаточно узкой специализации — виртуальных тренажеров. Потом, в 2011-м, после кризиса, в компании между учредителями возник конфликт, в результате один из руководителей оттуда ушел, прихватив имеющиеся разработки, и устроился на теплое место к фирме-конкуренту. Где и продолжал заниматься той же работой, с теми же клиентами. Бывшие партнеры тут же предъявили иск о краже интеллектуальной собственности и к концу года добились запрета на реализацию продукта, С учетом того, что судебный спор занял больше полутора лет, это обернулось для всех серьезными убытками, а судьи отказывались снимать запрет до вынесения вердикта. Наши суды, по словам Виталия Ветрова, не любят таких дел в силу того, что опыта пока мало и каждое дело затягивается надолго— полтора года это еще не самый большой срок.

На что, спрашивается, уходит все это время? На очень большое количество экспертиз. Требовалось сличить все спорные тексты программ, структуры каталогов на жестких дисках, названия и подписи файлов, даты их создания и изменения… Разбирательству подверглись даже служебные обязанности всех сотрудников чуть ли не посуточно — именно это, кстати, и помогло доказать вину плагиатора. Выяснилось, что сам он не принимал участия в разработке, а занимался административной работой, то есть, вынес из общей копилки не свой труд, а чужой.

«Гонка между законодателями и нарушителями такая же вечная, как соревнование меча со щитом, и то, и другое постоянно совершенствуется, — подвел итог Виталий Ветров. — Но стоит помнить, что нерешаемых дел не бывает».

Еще один пример кражи интеллектуальной собственности (и надежный способ ее сохранения) представила Анна Войцехович. Украденной оказалась база лекарственных препаратов, которую в течение восемнадцати лет составляла и пополняла одна частная компания. Как доказать? Сличить все препараты (278 тысяч позиций) с учетом того, что у многих из них несколько названий в разных странах? Юристы поступили проще — попросили истцов найти хотя бы три ошибки в оригинальной базе, которые «косметической» переделкой нельзя вычислить — и сумели таким образом доказать факт кражи. Подобные «закладки» могут стать хорошим спасательным кругом для правообладателя.

С кого взыскать убытки?

Согласно статье 183 п. 2 УК РФ наказанием за незаконное разглашение коммерческой тайны, в зависимости от обстоятельств, может быть как штраф до одного миллиона рублей, так и заключение сроком до трех лет. На практике же, по словам Анны Войцехович, невозможно «повесить» на сотрудника миллионный долг, даже если его вина будет доказана на 100%. Штраф нельзя взыскать даже из суммы, полученной от фирмы-конкурента за совершенное дело. Взыскание такого долга — заведомо проигрышное дело, особенно с учетом нового закона о банкротстве, по которому наследники могут отказаться от наследства, как от «положительного», так и от «отрицательного». Так что единственным наказанием для нарушителя чаще всего становится увольнение, зачастую с жирным пятном в трудовой биографии. И то были случаи, когда уволенный за разглашение тайны работник обращался в Трудовую инспекцию и сам уже становился истцом. Требования варьировались от компенсации до восстановления на рабочем месте, и уже есть прецеденты, когда по этим вопросам выносились положительные решения.

Тем не менее, по словам Анны Войцехович, 90% краж информации, являющейся коммерческой тайной, совершается теми, кто имеет к ней легальный доступ, т. е. топ-менеджерами, переходящими к конкурентам или решившими открыть свое дело.

Утечка клиентов — не главная угроза

После того, как юристы обсудили «болезнь» со всех сторон, настала очередь ее «профилактики», которую стали предлагать специалисты в области информационных технологий.

«Все, о чем мы до сих пор говорили — суды, увольнения, штрафы — следствие ошибок. Не ограничили, не обозначили, не проинформировали, — сообщил начальник отдела продаж новосибирского филиала ФГУП «НТЦ Атлас» Владимир Ермолаев. — Задаваясь вопросом о том, насколько важен этот вопрос на вашем предприятии, посчитайте последствия от его решения или уклонения от него. Насколько ценная информация, во сколько обойдется ее потеря. Утечет часть клиентов — плохо, но не смертельно. Потеряется половина бизнеса — намного хуже».

Довольно часто руководители боятся потерять из-за утечки клиентскую базу, но, по мнению Виталия Ветрова, риски при краже коммерческой тайны здесь несколько преувеличены: «Все клиенты условно делятся на три группы. Первые — «мы работаем с человеком, а не с фирмой». Вторые — «мы работаем с фирмой, а не с человеком». Третьи — «Мы работаем с теми, с кем привыкли, и менять на то же самое не хотим». Даже если конкурент уведет абсолютно весь персонал с собой, за ними последует только первая группа клиентов».

Гораздо проще, считает Владимир Ермолаев, оценить затраты на реагирование, репутационные потери, упущенную выгоду, и из этого можно начать делать выводы.

С чего стоит начать работу?

Первым делом провести полный информационный аудит. Понять, как перетекает информация в структуре предприятия, где хранится, кем обрабатывается. Представить себе облик нарушителя: где он может открыть сейф, сесть за компьютер с конфиденциальными данными. На основании полученных данных составить план развития, вычислить возможные каналы утечки, взять их под контроль — для всего этого уже существуют необходимые технические средства. Вариантов много: хранить на заведомо недоступном извне носителе, делать аварийные копии и, главное, ничего не внедрять — особенно ориентируясь на рекламу — кроме как после личного тестирования.

Во-вторых, везде, где только можно, пользоваться бумажными носителями. Протоколировать все, что только можно.

«Расследование подобных дел — очень сложная вещь. Экспертов по компьютерным утечкам на сегодняшний день очень мало, а еще больше все усложняется контингентом судей, в основном это люди в возрасте, и не всегда успевающими изменениями законов», — резюмирует Владимир Ермолаев.

Тему использования ИТ в расследовании и предотвращении правонарушений раскрыл руководитель направления информационной безопасности компании Axxtel Максим Прокопов. Правильное использование технических средств контроля, по его словам, позволяет предотвратить большинство преступлений и нарушений совершаемых сотрудниками организации (а стопроцентной гарантии, как уже говорилось, не дает ничего).

Как это работает? Системы безопасности в автоматическом режиме на основе преднастроенных правил выявляют инциденты информационной безопасности. Основных направлений три: каналы утечки данных, сотрудники в «зоне риска» и нецелевое использование рабочего времени. Поиск нового места работы, конфликты в коллективе или семье, наличие зависимостей, долгов, судимых родственников, подозрение на коррупцию, слив конфиденциальной информации и т.д. — все это может зафиксировать система. Также в группу риска попадают те, кто регулярно удаленно заходит на сервер компании после рабочего дня, пользуется анонимайзерами, и. т. д., а также лица, находящиеся в крайних эмоциональных состояниях (бешенство, агрессия, апатия, черезмерное возбуждение и .т.д.). Негативные описания в переписке («устал», «ненавижу») в сочетании со словами «босс», «шеф», инициалами или прозвищем руководителя, а также бранью — как пример поиска сотрудников, подпадающих под одну из групп риска. Можно отследить общение сотрудников с конкурентами добавив наименования компаний и доменные адреса конкурентов в правила поиска инцидентов.

И это помогает. В большинстве случаев есть возможность разобраться с инцидентом внутри организации, не вынося его на всеобщее обозрение.  Но в некоторых случаях приходится привлекать и правоохранительные органы. Часто к услугам специалистов по информационной безопасности обращаются и государственные структуры — антикоррупционные проекты (тендеры, конкурсы и т. д.), утечки конфиденциальной информации. Бороться с вирусами и хакерами-самоучками среди сотрудников не так сложно, но вот целенаправленные атаки извне отбивать иногда приходится с участием специалистов или спецслужб. «В случае если вы решили разрешить инцидент информационной безопасности в судебном порядке, потрудитесь и подготовьте всю необходимую правовую базу до начала прецедента», — уточняет Максим Прокопов.

Как проводить расследование в случае, когда часть противоправных деяний совершается за пределами контролируемой зоны организации? Разумеется, отследить все пути документа после того, как он покинул пределы организации, можно только с привлечение правоохранительных органов. Только они, в рамках официального порядка, имею доступ к данным уровня провайдера и данным полученным с использование СОРМ (Система технических средств для обеспечения функций оперативно-розыскных мероприятий — «КС»). Однако можно фиксировать появление вашей документации в открытых источниках с использованием технического инструментария.

«Не все тревоги оказываются подлинными опасностями, — делится Максим Прокопов. — Но периодически удается пресечь и реальные угрозы бизнесу».

Редакция «КС» открыта для ваших новостей. Присылайте свои сообщения в любое время на почту news@ksonline.ru или через наши группы в Facebook и ВКонтакте
Подписывайтесь на канал «Континент Сибирь» в Telegram, чтобы первыми узнавать о ключевых событиях в деловых и властных кругах региона.
Нашли ошибку в тексте? Выделите ее и нажмите Ctrl + Enter

ОСТАВЬТЕ ОТВЕТ