Дневник предпринимателя: как у нас украли информацию и чем нам это помогло
В венчурном мире ходит байка про параноидальных стартаперов: прежде чем рассказать инвесторам о своем проекте, они просят их подписать соглашение о неразглашении (NDA). Есть и другая крайность — когда компания уже обзавелась продуктом и клиентами, но совсем не думает о сохранности своих данных. Такое легкомыслие может привести к катастрофе: например, ваш сотрудник уйдет к конкуренту вместе с технологиями и клиентской базой. Мы убедились в этом на собственном опыте. Вот как это было.
Чужой среди своих
Однажды один из моих сотрудников — молодой и перспективный парень — заболел и провел несколько месяцев в больнице. Всё это время я получал от него жуткие фотографии с рассказами об очередной порции трудностей со здоровьем. А потом он вышел на работу и довольно скоро уволился — перешел к нашему конкуренту. Бывает, подумал я, — все ищут лучшие условия.
Правда, вскоре выяснилось, что нашему потенциальному клиенту (с ним мы обсуждали контракт на несколько миллионов рублей) сделал предложение конкурент, работавший до этого в другой нише. Картина полностью прояснилась, когда позвонил один из заказчиков и рассказал, что наш бывший сотрудник еще месяц назад приходил к нему на переговоры — и вел их от лица конкурирующей фирмы.
Знал ли уволившийся всю нашу внутреннюю кухню? Имел ли доступ к «воронке» клиентов? Был ли в курсе наших разработок и методик продаж? Конечно! При этом с юридической точки зрения предъявить ему что-либо оказалось невозможно…
За семью замками
Поскольку мы работаем с данными клиентов, каждый наш сотрудник знакомится с NDA компании-заказчика, а в трудовых договорах прописана ответственность за утечки (вплоть до уголовной). Все наши системы проходят регулярные penetration-тесты, и мы в процессе внедрения ISO 27001. При этом о защите собственных данных: клиентских баз, ТЗ на новые и еще не созданные продукты, документов с описанием наших внутренних процессов, рабочих форм — мы совсем забыли.
Осознать в полной мере свою ошибку нам помог тот самый уволившийся сотрудник. Столкнувшись с таким коварством, мы поняли, что надо что-то менять, и запустили перекройку всех процессов. В компании ввели режим коммерческой тайны: для этого скачали в интернете шаблон соответствующего положения и адаптировали его под наши нужды. Этот документ каждый новый сотрудник подписывает уже при приеме на работу, а трудовой договор содержит кучу выдержек, сносок и отдельный пункт о недопустимости разглашения внутренних данных (раз в полгода всему персоналу об этом напоминаем).
Я зарегистрировал нашу интеллектуальную собственность как нематериальный актив компании и поставил его на баланс. Теперь у любых данных с пометкой «конфиденциально» есть определенная стоимость — их несогласованную передачу третьим лицам можно расценивать как воровство.
Базы, коды, патенты
Какие именно документы надо защищать? У нас в понятие «интеллектуальная собственность» входят:
- клиентская база,
- все наши процессы и планы по проектам,
- шаблоны документов и таблицы,
- финансовые отчеты и модели,
- данные в системах Jira и Trello,
- разработческая документация, код и сама программа,
- патенты,
- IT-решения,
- товарные знаки и обозначение названия компании.
В нашем бизнесе данные — самый ценный актив. Поэтому под охрану попадает любая база, созданная нашими сотрудниками с использованием ресурсов компании. Не менее тщательно мы защищаем все данные, утрата которых несет в себе риски потери интеллектуальной собственности или упущенной выгоды (в случае утечки к конкурентам).
Все наши документы с пометкой «конфиденциально» лежат в специальной директории. Новые сотрудники получают к ней доступ только после подписания всех политик, положений и соглашений о неразглашении.
Прикладная конфиденциальность
Может показаться, что для стартапа все эти сложности с конфиденциальностью — напрасная трата времени, а для сотрудников — лишняя морока с расставлением меток «конфиденциально» по всем документам и презентациям. Но если с самого начала отладить весь процесс, то это только упростит вам жизнь в будущем.
Безусловно, ключевое здесь — сознательность ваших сотрудников: они должны понимать, зачем это все нужно. Важно, чтобы сотрудники не относились к защите данных как к формальности: каждый член команды должен понимать прикладной смысл политики конфиденциальности и использовать ее в своей ежедневной работе.
В нашем случае введение понятной и прозрачной системы работы с данными привело к тому, что у сотрудников, по сути, появилась внятная инструкция. Они четко понимают, где проходит граница безопасности и для компании, и для них самих (чтобы не нарваться на большие штрафы или уголовное преследование).
С экономической точки зрения даже одна «утечка» может обернуться для бизнеса кризисом. И лучшее, что можно сделать, — инвестировать время и деньги в то, что позволит избежать возможных финансовых потерь. Это как с получением патентов на изобретения: если вы придумали уникальный прибор и не потрудились его запатентовать, не удивляйтесь, если кто-то другой начнет продавать его раньше вас.
