Повідомити про помилку або ідею
YouControl
logo youcontrol
УКР
youcontrol youcontrol
0 800 309 077
Дзвінок безкоштовний
УКР

Зареєструйтесь і перевірте 10 компаній безкоштовно, або отримайте консультацію по номеру 0 800 309 077.

Як убезпечити дані компанії від співробітників: способи й механізми

24 листопада 2020 р.

Як убезпечити дані компанії від співробітників: способи й механізми

Втрата даних — явище не нове. Підприємства ще десятки років тому виробили систему захисту інформації, але з розвитком технологій її надійність похитнулася. Тепер уже мало посадити охоронця на прохідній і заборонити колегам розповідати вдома про те, чим вони займаються на роботі.

У цій статті про способи захисту даних в компанії, плюс рекомендації адвоката.

 

 

Статистика інформаційної безпеки в компаніях

 

Загрози інформаційної безпеки від співробітників виросли. Вони здатні завдати підприємству збитків на мільярди доларів.

Бази даних, data mining, обдзвони — поле для втрати даних. А поширення аутсорсингу призводить до того, що інформація стає вразливою ще й через підрядні компанії та сторонні технологічні платформи. Часом не так вже просто з'ясувати, "звідки прийшла біда": зовні або зсередини. Як, наприклад, трапилося з піцерією Mister Cat, клієнти якої нещодавно отримали компрометувальну розсилку.

 

Читати більше: Злочин і покарання: історії про крадіжку корпоративних даних

 

Навіть найбільш лояльні співробітники можуть "перевзутися" за вашою спиною. Згідно з дослідженням InfoWatch, за перше півріччя 2020 року у світі зафіксовано 72 випадки навмисного або випадкового витоку конфіденційної інформації про COVID-19. В результаті скомпрометовано персональні дані 3,43 млн осіб у світі, переважно — пацієнтів. Понад 43% всіх випадків витоку сталися з медичних установ. Головне — понад 75% відбулися в результаті внутрішніх порушень. Причому 20,8% — через месенджери.

 

На частку торгової сфери довелося майже ¾ всіх випадків, друге місце показала сфера громадського харчування — 21,5%, третє — готельно-ресторанний бізнес з часткою 4,9%. Не так уже й важливо, в якій сфері працює ваша компанія, якщо шахраям є чим "поживитися".

 

Ваш співробітник може піти працювати до конкурентів, але по-дружньому продовжити спілкування з колишніми колегами. Це одна з типових передумов для витоку інформації про ваших контрагентів, тендери і стратегічні плани. І цей ризик зростає, якщо зі співробітником розлучилися не "полюбовно", а він звільнився з образою на компанію. Якраз в таких випадках звільнені менеджери "зливають" бази даних або компрометують компанію.

 

 

Стратегія захисту даних

 

Способи захисту даних залежать від галузі, розміру, штату компанії, формату та змісту даних. Наприклад, юридичні компанії мінімізують ризик втрати даних клієнтів, впроваджуючи організаційні рішення: контроль і перевірки персоналу, документів.

 

Страхування відповідальності третіх осіб або відповідальність за кібербезпеку — тренд. У нашій країні ця практика поки застосовується не так часто, як, наприклад, в США, де страхування професійних ризиків розвинене дуже добре.

 

Для захисту даних використовуються технології запобігання втрати даних (Data Leak Prevention; Information Protection and Control; Information Leak Prevention). Деякі з них дозволяють виявити винуватця навіть по скану паперової копії або фотографії документа з екрана комп'ютера.

 

Існують і базові методи захисту — відеокамери в офісі, контроль робочих ПК.

 

Яку стратегію вибрати для компанії? З цим питанням ми звернулися до Данила Глоби — адвоката і заступника директора з правових питань YouControl. За його словами, немає стандартного рішення для всіх ситуацій. Все залежить від критичності даних в діяльності компанії і її цінності в конкурентному середовищі, кола осіб з доступом до неї, можливостей копіювання інформації.

 

Однак в будь-якому випадку, крім технічних, доречно запровадити правові механізми захисту даних:

 

•  затвердити положення про комерційну таємницю і конфіденційну інформацію;

•  внести відповідні норми до посадових інструкцій співробітників і правила внутрішнього трудового розпорядку;

•  укласти договори про нерозголошення конфіденційної інформації зі співробітниками і підрядниками;

•  проводити перевірки та службові розслідування по всіх порушеннях і застосовувати до порушників відповідні стягнення.


 

 

Способи захисту інформації

 

Щоб знизити ступінь ризику від крадіжки інформації потрібно знати й контролювати всі можливі канали передачі інформації в компанії. Можна почати з установки DLP-системи, яка буде контролювати листування співробітників, а при виявленні слів-маркерів подасть сигнал тривоги.

 

Документи про нерозголошення — договір про відповідальність сторін, в такій ситуації роботодавця і працівника.

Передача інформації конкурентам або інші протизаконні дії з нею — це пряме порушення співробітниками своїх зобов'язань. І хоча незнання закону від відповідальності не звільняє, не зайвим буде переконатися, що персонал ознайомлений із забороною на поширення корпоративних даних.

 

Заплануйте регулярний інструктаж співробітників на тему комерційної таємниці. Не завадить також видати внутрішнє положення про відповідальність за розголошення конфіденційних даних.

 

"Для того, щоб після звільнення співробітники не перейшли до конкурентів прямо або побічно (у вигляді своїх знань, досвіду), не передали конфіденційні дані, можна також укласти договори про уникнення конкуренції (NCA). Але в Україні, на відміну від закордонної практики США і ЄС, дотримання умов такого договору буде ґрунтуватися радше на взаємній згоді сторін. Адже чинне законодавство і судова практика кваліфікують це як обмеження права на працю та підприємницьку діяльність", - пояснює Данило Глоба.

 

Якщо ви вибудували систему захисту інформації вашого бізнесу, корисно проводити регулярні аудити, а за їх результатами удосконалювати системи захисту даних. Внутрішній аудит в компанії, особливо в невеликій, можна проводити самостійно, силами керівництва або служби безпеки. Для цього є доступні та ефективні інструменти YouControl для перевірки персоналу, партнерів, контрагентів і клієнтів.

 

Незалежно від розмірів і сфери діяльності компанії, не замислюватися про інформаційну безпеку — все одно що не ставити замок на вхідні двері.

Ми щиро бажаємо вам тільки лояльних і порядних співробітників, що не скасовує різних методів захисту інформації для зниження ризиків.

 

У систему.

Додайте застосунок «Youcontrol» на головний екран
Натисніть load -> ‘Додати на початковий екран’