Работник — самое слабое звено. Всё, что нужно знать о коммерческой тайне
Что это вообще за тайна?
Каждая организация сама решает, какую информацию она хочет скрыть: от базы данных клиентов до графика работы охраны. Такую информацию и называют коммерческой тайной.
Но не все сведения можно отнести к коммерческой тайне: к примеру, если конкуренты узнают о количестве сотрудников или о том, что они работают с 9 до 18 часов, это ничего не изменит.
Нельзя засекретить учредительные документы и устав, сведения о численности, составе работников, их зарплате и условиях труда, а также о новых вакансиях.
Что касается государственных и муниципальных предприятий, то здесь запрещено засекречивать информацию об имуществе и доходах предприятия.
Как ввести режим коммерческой тайны?
Для начала нужно утвердить положение о конфиденциальной информации — это документ о том, какие именно сведения представляют ценность для предприятия, рассказала «Секрету» ведущий юрист Европейской юридической службы Ольга Широкова.
К примеру, если конкуренты узнают рецепт вашего лимонада, то смогут делать напитки по той же технологии — клиенты переметнутся к ним и информация перестанет быть ценной. Рецепт лимонада и процесс его приготовления может быть коммерческой тайной. Но он должен быть конкретным — расплывчатые формулировки помешают компании в суде.
Что нужно сделать:
- ограничить доступ к информации — то есть определить, кто из сотрудников имеет право доступа, как получить разрешение и пароль
(к примеру, доступ к рецепту лимонада есть у Васи и Пети, а сам он хранится у шефа в сейфе и получить рецепт на руки можно только по его письменному разрешению);
- составить список сотрудников, которые имеют доступ или которым известна секретная информация
(если документы бумажные — заведите журнал доступа, если электронные — выдавайте именные пароли, если информация утекла, список подозреваемых сузится до этого списка);
-
прописать обязанность хранить коммерческую тайну в трудовом договоре, допсоглашении и гражданско-правовых договорах с контрагентами;
-
нанести гриф «Коммерческая тайна» на материальные носители или включить его в реквизиты документов — и указать обладателя информации
(это может быть печать, надпись от руки или наклейка, для юрлиц — полное наименование и место нахождения, для ИП — фамилия, имя и отчество).
Одно из самых сложных требований — маркировка документов и носителей с коммерческой тайной, пояснил «Секрету» Андрей Тимошенко, руководитель практики информационной безопасности компании Accenture в России:
«Особенно если перечень коммерческой тайны составлен таким образом, что к нему можно отнести практически всю информацию, обрабатываемую в организации, что встречается довольно часто».
Если такой маркировки нет, компания не сможет доказать, что работник разгласил именно коммерческую тайну.
Впрочем, если пропустить хотя бы один из других пунктов, суд может решить, что режим коммерческой тайны был оформлен неправильно, и привлечь сотрудника за разглашение не получится.
Как наказывают за разглашение коммерческой тайны?
Режим коммерческой тайны поможет предотвратить утечку информации, а если сотрудник всё же передал сведения — привлечь его к ответственности и взыскать убытки.
При этом привлечь за нарушение режима КТ можно не только работников, но и сторонних консультантов, рассказал «Секрету» Александр Иноядов, адвокат BMS Law Firm. Ответственность — от увольнения до лишения свободы.
Как сотрудник украл секреты и избежал наказания. Реальный кейс
Гражданин устроился на работу к конкурентам и при первой же возможности скопировал все данные на флеш-карту. Специалист по технической защите приостановил первую попытку копирования, но вторая оказалась удачной.
На выходе из здания работника остановили сотрудники охраны — он добровольно отдал им флеш-карту. Но компания не смогла привлечь работника к ответственности: суд не счёл доказанным факт распространения информации, так как она не попала к «неопределённому кругу лиц».
Пример из практики юриста ЕЮС Ольги Широковой
Часто работник разглашает конфиденциальную информацию уже после увольнения. Как привлечь такого человека к дисциплинарной ответственности? Работодатель вправе возместить убытки через суд. Но в таком случае важно, чтобы в положении о коммерческой тайне было условие о неразглашении информации после увольнения, отметила Ольга Широкова.
Как защитить коммерческую тайну?
Когда в компании решили, что относится к коммерческой тайне, в каких документах она содержится, кто с ней может работать и кому и зачем она может передаваться, стоит задуматься о том, как её защищать.
1. Обучать сотрудников
Традиционно работники — слабое звено в защите организации, сказал Андрей Тимошенко. Но это не оттого, что они злостные вредители, многих просто нужно научить работать с коммерческой тайной.
«Сотрудникам нужны простые и понятные инструкции о том, как понять, что ты работаешь с коммерческой тайной, каким атакам можешь подвергаться, как их выявлять и реагировать на них, какие последствия ждут при разглашении тайны, а также как компания следит за сохранностью коммерческой тайны и теми, кто с ней работает», — подчеркнул эксперт.
Как заручиться поддержкой сотрудников
Хороший пример позитивной мотивации — фантомные акции (доли в компании, которые работник может выкупить по заранее согласованной формуле цены): человек уже не работает в компании, а дивиденды по фантомным акциям ему ещё выплачиваются, и ему всё ещё выгодно, чтобы компания процветала и богатела, он остаётся идеологически «своим».
А вот негативную мотивацию нужно создавать путём ознакомления сотрудников с соответствующими правовыми документами и нормативно-правовой, в особенности уголовно-правовой, базой, в том числе статьями 183, 272 УК РФ.
Павел Катков, владелец «Катков и партнёры» (технология KIP MONITOR)
При этом утечки зачастую — дело рук оскорбленных сотрудников, обратил внимание Константин Рензяев, гендиректор CorpSoft24: «Это может быть неудовлетворенность заработной платой, обида на руководителя, убежденность в том, что сотрудника не ценят. Главное — создать атмосферу вовлечённости и взаимопомощи в компании. От конфликтных сотрудников, какими бы они ни были специалистами, лучше вовремя избавляться. При этом расставаться обязательно хорошо, не жалея лишнего оклада при увольнении».
Пример из практики
Американский кикшеринг Bird уволил 30% сотрудников за две минуты через трансляцию видеообращения в Zoom. Оставшиеся 70% сотрудников были в шоке от произошедшего — и втихаря собирали вещи, если вдруг придёт их черёд. Вполне закономерно, что в «кубышку» случайно или не очень могли попасть файлы с конфиденциальной информацией и секретами фирмы.
2. Использовать DLP-системы
Там, где люди ошибаются, их могут подстраховать технологии. Одна из самых популярных — DLP-системы, которые контролируют и предотвращают утечки данных.
Существует два условных подхода — российский и международный, рассказал Андрей Тимошенко: «Российский подход — это контроль за сотрудниками, мониторинг и и сбор данных об их действиях. Такие системы часто уведомляют о произошедшем инциденте утечки. Международный подход нацелен на то, чтобы предотвратить утечку с помощью умных алгоритмов. Они выявляют и перехватывают письма с коммерческой тайной до того, как они попадут на личную почту сотрудника или на условный “Яндекс.Диск” или Dropbox».
Но у DLP систем есть и свои недостатки. «Программа не устанавливается на мобильные телефоны. Сотрудник, который заходит на почту со своего мобильника, может сохранить коммерческую тайну и переслать ее через WhatsApp или Telegram кому угодно. Такого можно избежать с помощью системы защиты мобильных устройств, которая создаёт на смартфоне защищённый контейнер — данные из него невозможно ни скопировать, ни переслать», — подчеркнул Андрей Тимошенко.
3. Установить системы выявления и классификации данных
Российские компании не часто используют такое решение, а зря, посетовал Андрей Тимошенко.
Как оно работает? По заданным алгоритмам система сканирует все серверы и компьютеры компании (даже те, что находятся в облаке) и выявляет места хранения коммерческой тайны. В зависимости от типа информации система выставляет метки: «только чтение», «не пересылать», «только для внутреннего использования» и т. д.
Если вы уверены в своей системе защиты или каких-то инструментах, можно устроить в компании челлендж: поручить сотрудникам найти бреши в защите компании и попробовать унести данные. Тех, кто найдёт такой способ, наградить подарками или премией.
Но есть как минимум один канал утечки, который пока никак нельзя закрыть, рассказал Тимошенко: сотрудник может просто сделать фото с экрана компьютера и делать дальше с этой информацией всё что угодно.
Коллаж: depositphotos.com