secretmag.ru
Мнения

Почему работник-должник — угроза для бизнеса

И как его вычислить

ФСБ намерена обязать новых сотрудников отчитываться о крупных долгах и о браках близких родственников с гражданами других стран, чтобы исключить проникновение в свои ряды шпионов. Странно, что ведомство не занималось этим раньше — в частных компаниях такие проверки уже давно в порядке вещей.

Отдать долг за чужой счёт

В проекте поправок к соответствующему приказу ФСБ отмечает, что «иностранными спецслужбами усилены операции по проникновению в состав ФСБ» и что «процедура признания сотрудника банкротом может создать угрозу раскрытия ведомственной принадлежности (персональные данные банкротов подлежат огласке. — Прим. «Секрета») и дополнительные условия для вербовочных подходов со стороны иностранных спецслужб или криминальных группировок». Всё так. Должник — лёгкая добыча для злоумышленников. В случае с силовиками это другие силовики, в бизнесе — конкуренты.

Приведу пример из личного опыта. Сотрудница тендерного отдела одного из наших клиентов, производственной компании, не рассчитала собственные финансовые возможности, оформив ипотеку и взяв кредит на ремонт квартиры. Она часто обсуждала свои проблемы с коллегами в интернете. Это привлекло внимание службы безопасности, и позже её сотрудникам удалось помешать должнице передать конфиденциальные данные конкурентам. В ходе расследования выяснилось, что ей обещали помочь погасить кредиты в обмен на информацию о торгах.

Клиенты делились с нами и другими захватывающими историями. Был и шпионаж на другую страну, и промышленный шпионаж со стороны подсадного сотрудника (работник пришёл в компанию, уже будучи агентом фирмы-конкурента), и систематическое вредительство одного из топ-менеджеров, и, разумеется, банальные кражи. Все эти истории объединяет одно — долги сотрудников.

По оценке Национального бюро кредитных историй, за прошедший год число просроченных ссуд выросло в России на 30%. Думаю, дальше будет ещё хуже, и советую предпринимателям быть начеку — продажа конфиденциальной информации может легко решить финансовые затруднения некоторых граждан. Вопрос сейчас стоит острее, чем в спокойные времена. Должники ищут не «прибавку к зарплате», а пытаются обеспечить безопасность и благополучие своих семей. Иногда долг — это вообще дело жизни и смерти.

Шпион, выйди вон

Если соискатель чист на момент заключения трудового договора, это не значит, что он не обзаведётся долгами в процессе работы. Необязательно перед банками, которые делятся этой информацией с бюро кредитных историй. Кроме того, сотрудники могут скрывать свои проблемы, и часто так и происходит. Как в таком случае работодателю выяснить, что у кого-то из персонала есть серьёзные финансовые затруднения?

Есть специальный софт — так называемые DLP-системы, которые фильтруют переписку работников на предмет опасных слов и словосочетаний: «нет денег», «просроченная оплата», «проценты», «долги», «штраф», «ипотека», «кредит», «санкции банка» и т. д. За теми, кто находится в группе риска, нужно установить самый тщательный контроль: к какой информации имеют доступ, кому её передают, с кем поддерживают связь и т. д. Задача отдела информационный безопасности компании не сводится к расследованию уже случившихся инцидентов — он должен находить и ликвидировать потенциальные угрозы.

Принципам, которые я приведу ниже, обязаны следовать все компании, которые хоть сколько-нибудь заботятся о безопасности своей информации.

● Обеспечьте соблюдение правил работы с конфиденциальной информацией. Как хранить такие данные и работать с ними, должно быть понятно каждому сотруднику. Также любой сотрудник должен знать, что перемещение данных отслеживается и за их кражей последуют серьёзные санкции.

● Создайте службу информационной безопасности, если у вас её до сих пор нет. Пускай она работает на опережение. В любой компании хватает работников, которые относятся к той или иной группе риска. Это и уже упомянутые должники, и азартные игроки, люди, зависимые от алкоголя или наркотиков, недовольные начальством и работой специалисты.

● Используйте современные средства защиты информации: систему видеонаблюдения, СКУД, DLP-систему, SIEM и т. д. Пускай служба информационной безопасности обеспечит контроль максимально возможного количества каналов передачи информации — не только почтовых сервисов.

● Контролируйте, чтобы контроль не был формальным. Установки даже самой дорогой системы защиты и приглашения лучших специалистов мало. Нужно обеспечить сохранность конфиденциальной информации. Все настройки, регламенты, правила должны быть в актуальном состоянии. Не стоит дожидаться инцидента, чтобы определить, где есть брешь.

Сотрудники-должники — это только одна из головных болей руководителя. На крючок могут попасть и вполне благополучные специалисты. Рядовой менеджер начал вдруг интересоваться виллами, дорогими часами и люксовыми авто, которые ему явно не по карману? Служба безопасности должна к нему присмотреться. Возможно, им движет не праздное любопытство, он уже получил подарок от конкурентов и готовится оказать им фатальную для вашего бизнеса услугу.

Фотография на обложке: Flickr / blazer8696 / CC BY-SA 3.0