Історія упіймання шпигуна

Матеріал написаний за умов анонімності. Автор просив не розкривати своє ім'я та назву компанії, в якій «завівся» шпигун — слідство ще продовжується. Наш співрозмовник розповів про те, як близько 3 місяців колишній співробітник провадив клієнтів до конкурентів, і які кроки компанія робить зараз із захисту інформації та клієнтської бази.

- Компанія у нас невелика - штатних співробітників близько 30 осіб. Ми займаємося продажем інженерного обладнання та інструментів, і кожен наш спеціаліст має персональний доступ до програми, в якій менеджери ведуть складський облік та торгівлю, планують закупівлю, контролюють фінанси, працюють з базою клієнтів, готують документи тощо.

Нам подобається, що з програмою можна працювати онлайн – для співробітників, які виїжджають оформляти замовлення клієнтам, це дуже зручно. Але саме можливість входити в програму через Інтернет, слабкий рівень безпеки, погана організація своєчасної зміни паролів доступу до програм призвели до того, що нашою базою клієнтів користувалися конкуренти.

Як ми знайшли шпигуна

Щомісяця, як у компанії закривається попередній бухгалтерський період, головний бухгалтер просить всіх «вийти» з програми. І коли співробітники відзвітували, що зробили це, то у програмі залишився «висіти» невідомий абонент.

Хто крав інформацію

Все виявилося досить банально — тією людиною, яка незаконно підключалася до програми та використовувала нашу клієнтську базу, був звільнений майже півроку тому співробітник.

Співробітник компанії залишив доступ до програми з базою клієнтів — після звільнення його обліковий запис не відключили. Йому навіть не потрібно булодокладати зусиль, щоб бути шпигуном.

Ця людина пропрацювала в організації більше 3 років, дуже добре знала організацію процесу роботи в компанії, бачила слабкі сторони процесу роботи та контролю доступу до програм. Це і дало можливість користуватися клієнтською базою даних і бачити замовлення організації.

Що кажуть дослідження витоків інформації

  • За даними щорічного дослідження аналітичного центру Zecurion, рік тому було відзначено рекордну шкоду від витоків інформації — понад $29 млрд.
  • Найбільше від цього постраждали компанії в США, Великій Британії, Канаді та Україні — у 2015 році там зареєстровано 49 масштабних публічних випадків витоку інформації та пов'язаних з ними великих збитків.
  • Майже в 20% випадків «шпигуни» цікавляться фінансовими даними фізосіб
  • У найбільшій зоні ризику — держустанови, банки та сектор роздрібної торгівлі
  • Економічна криза та нестабільна ситуація на ринку праці збільшили кількість випадків, коли співробітники починають копіювати доступну їм конфіденційну інформацію «про всяк випадок», нерідко без злого наміру, що не зменшує ризику потрапляння цієї інформації до конкурентів або її публічного оприлюднення
  • Ринок систем безпеки протягом останніх 2 року зріс, т.к. компанії стали активніше інвестувати у захист інформації

Які кроки ми зробили

Засновники вирішили притягнути колишнього співробітника до відповідальності за несанкціоноване підключення до інформаційної бази організації.

Насамперед ми звернулися до РУВС, де нам роз'яснили ч. 2 ст. 349 КК "Несанкціонований доступ до комп'ютерної інформації".

Яка відповідальність передбачена ч. 2, ст. 349 КК

За несанкціонований доступ до комп'ютерноїінформації, незалежно від того, хто і з якої причини цей злочин скоїв, передбачено:

  • Штраф
  • Позбавлення права обіймати певні посади
  • Позбавлення права займатися певною діяльністю
  • Арешт терміном від 3 до 6 місяців
  • Обмеження волі терміном до 2 років або позбавлення волі той самий термін

РУВС передало наші матеріали до відділу Слідчого комітету одного з районів Мінська, звідки протягом місяця надійшов лист із роз'ясненнями прав та порядку подання позовної заяви про відшкодування матеріальних збитків на 10 аркушах з витягами з Кримінального та Цивільного кодексів.

У ході слідства за матеріалами кримінальної справи встановлено, що організації могли бути завдані матеріальні збитки. Також відповідно до ст. 149 КПК «Подання цивільного позову» ми маємо право пред'явити цивільний позов до обвинуваченого до закінчення судового розгляду.

Але як оцінити свої матеріальні збитки, як визначити, що той чи інший клієнт відмовився від замовлення і став співпрацювати з конкурентом саме через наш випадок — питання поки що відкрите.

Підготувати позовну заяву і зібрати документи, що підтверджують наявність і розмір завданих матеріальних збитків — наступний наш крок, щоб розібратися з неприємною ситуацією, що склалася. Зараз справа ще в процесі, зараз триває аналіз заподіяної компанії матеріальної шкоди.

інформації
Зображення має ілюстративний характер. Фото із сайту img.nnov.org

На що варто звернути увагу

  • Організація, яка постраждала від несанкціонованого доступу до комп'ютерної системи, повинна сама довести, що вона постраждала
  • Незважаючи на те, що ми за фактом знаємо, хто користувався нашою інформацією, у листах Слідчогокомітету наш колишній працівник називається «невстановлена ​​особа»
  • У ході розгляду офіційно з'ясовано, що нами не вжито належних заходів щодо захисту інформації. І тепер ми зобов'язані організувати контроль за співробітниками та проводити регулярний моніторинг (та інші заходи) для посилення інформаційної безпеки
  • За відсутності штатних фахівців, які мають займатися посиленням інформаційної безпеки в компанії, ми маємо залучати сторонніх — до цього зобов'язала нас ст. 199 КПК «Уявлення про усунення порушень закону, причин та умов, що сприяли вчиненню злочину»

Які висновки ми зробили

Так як наша компанія невелика, то раніше нам здавалося, що вести контроль за співробітниками просто. Це розслабило керівництво. Ситуація, що трапилася з нами, показала, що низький рівень безпеки у компанії — наша слабка ланка.

Інцидент показав, що необхідно посилити організацію контролю у компанії. Для цього ми вирішили:

1. Проводити регулярне профілактичне обговорення питань безпеки зі співробітниками компанії. Як варіант — скласти протокол і по ньому прописати всі питання та дії, які мають бути закриті під час прийому та звільнення працівника. Має бути чіткий розподіл обов'язків та чітке визначення зон відповідальності. У нашому випадку це не було зроблено, хоча завдання до неподобства просте.

2. Встановити програми для стеження за діями співробітників під час роботи на комп'ютері та періодично вибірково їх перевіряти. Співробітники можуть також копіювати робочу інформацію на флешки або відправляти її собі на електронну пошту — у цьому випадку програма інформуватиме нас про це.

3. Щомісяця оновлювати пароли.

4. Ретельноопрацювати документи, що регламентують роботу співробітників з информацией. У першу чергу нам потрібно доопрацювати договір про комерційну таємницю, в якому зараз не обумовлено суму штрафу в грошах. Психологічний ефект відповідальності спрацьовує, коли працівник бачить конкретну суму штрафу, а чи не абстракцію як посилання на законодавство, як було в нас.

5. Періодично нагадувати співробітникам про укладену угоду про комерційну таємницю і термін, протягом якого вся інформація про роботу в компанії залишається закритою. Ми зіткнулися з тим, що працівники, пропрацювавши кілька років, забували, що коли вони підписували при прийомі на роботу.

Також при звільненні ми нагадуватимемо працівникам про те, скільки років на них поширюються положення про комерційну таємницю компанії.

історія
Зображення має ілюстративний характер. Фото із сайту uploadcare.cmtt.ru