База клиентов: как защититься от кражи
Согласно исследованию DeviceLock DLP, именно на август приходится пик попыток сотрудников прочесть или скопировать документы, составляющие коммерческую тайну. В этом месяце происходит почти 20% таких атак, что почти втрое превышает среднемесячный объем по году. Дело и в сокращении общей деловой активности и, соответственно, рабочей нагрузки на сотрудников — многим банально нечем заняться из-за традиционного снижения деловой активности, — а также в ослаблении контроля за работниками со стороны руководителей. Но главное — осенью многие сотрудники меняют место работы и часть из них таким образом готовится к переходу. Защитить корпоративные данные от копирования непросто, но возможно.
Чаще всего копируются базы клиентов, которые затем используются конкурентами или попадают на рынки спама, на втором месте тексты и программный код, на третьем — финансовые документы. Больше всего утечек происходит в сфере сервиса, где потери данных носят повсеместный характер, потому что их практически не охраняют, — большинство компаний относятся к малому бизнесу и не имеют ни бюджета, ни компетенций для их защиты. Часто сотрудник при переходе на новое место работы копирует всю базу клиентов — с фамилиями, телефонами и e-mail. При этом большинство сотрудников даже не считает это нарушением.
Хищение клиентских баз носит повсеместный характер не только в России, но и во всем мире. По данным исследования Symantec, еще 5 лет назад половина сотрудников уже крала корпоративные данные и почти столько же планировали использовать их на новой работе после увольнения. Согласно собственным данным DeviceLock, не менее 60% сотрудников российских компаний при увольнении пытаются сделать копию данных, с которыми работают.
Для работодателя утечка клиентской базы может иметь 2 неприятных последствия: во-первых, банальный переход клиентов к конкуренту, особенно если базу забирает с собой бывший сотрудник, уходящий на аналогичную должность. Но еще хуже, если клиенты начнут возмущаться, на каком основании с ними контактирует компания, которой они не передавали свои данные и не давали разрешения на их обработку. Чтобы пожаловаться в Роскомнадзор, нужно просто заполнить форму на сайте, а проверка ведомства довольно быстро выявит виновного, тем более что его новый руководитель будет валить все на него и говорить, что ничего не знал об украденной базе клиентов. В итоге виноватыми окажутся как недобросовестный продавец, так и его бывший работодатель, допустивший хищение данных. И хотя российское законодательство не предусматривает ответственность за утечки при автоматизированной обработке персональных данных, очень небольшая доля компаний в своих процессах полностью соблюдает 152-ФЗ «О персональных данных» и проверка Роскомнадзора обязательно выявит то, что обернется для бизнеса неприятностями.
Как защитить клиентскую базу от сотрудников
1
В первую очередь, нужно определиться, какие именно данные о клиентах вы хотите защитить (списки, финансовую информацию, проектную документацию) и где эти данные фактически находятся (база 1C, CRM-система, общие файлы). Подходить к этому вопросу стоит адекватно: нет смысла прятать, например, список клиентов, если он есть на сайте. Составленный список пригодится вам как для понимания ситуации, так и для использования на следующем шаге.
2
Напишите «положение о сведениях, составляющих коммерческую тайну», — это крайне важно для любых последующих юридических действий, в том числе в отношении недобросовестных сотрудников. Без такого документа вы не сможете не то что подать в суд на сотрудника, скопировавшего коммерческую информацию, но даже уволить его.
Образцы таких положений можно найти в сети, а в вашем документе обязательно должно быть указано, какая именно информация относится к коммерческой тайне, и прописаны:
обязанность работника хранить эту тайну;
право компании использовать технические средства охраны тайны.
Сотрудники компании должны быть ознакомлены с этим положением под роспись.
3
Проверьте облачные ресурсы, на которых хранятся файлы, используемые в работе с клиентами и подрядчиками. Открытая всем и индексируемая поисковиками «помойка» в публичных папках — просто тренд этого сезона. Кроме Google.docs и Яндекс-диска, есть еще облака Apple, mail.ru, Amazon и даже Adobe. Mногие компании используют собственные ftp-серверы, а также «невидимые» папки на веб-сайте, которые также необходимо проверить.
4
Настройте разделение доступа к корпоративным системам. Несмотря на то что большинство баз данных имеют широкие возможности выдачи полномочий различным пользователям и группам, чаще всего доступ дается всем и ко всем данным сразу. А в мелких фирмах часто сотрудники вообще используют один и тот же логин и пароль.
5
Установите DLP-систему. DLP (data loss prevention) — специальный программный комплекс, контролирующий перемещение информации и соответствие этого перемещения правилам. Такая система позволяет, например, запретить копирование файлов на внешние накопители или подать сигнал при попытке выгрузить список клиентов на облачный диск. Конечно, ее внедрение потребует инвестиций и работы по настройке, но она точно позволит контролировать доступ к данным и запретить их копирование или пересылку. При этом сложившиеся процессы не будут нарушены, а IT-инфраструктуру не придётся перестраивать. В DLP-системах обязательно используйте:
запрет копирования любых данных на внешние носители;
контроль вложений в письма по электронной почте, в том числе по ключевым словам;
контроль записи данных в облачные хранилища, в том числе по ключевым словам и «цифровым отпечаткам».
Не забывайте просто информировать сотрудников о том, что копирование корпоративной информации незаконно и будет иметь негативные правовые последствия. Вы будете удивлены, но немалая часть из них до сих пор этого не знает, предполагая, что раз они участвовали в их создании во время работы, то права на эти данные они имеют не меньшие, чем работодатель.
