Как вычислить "крысу" в компании

Промышленный шпионаж — распространенное явление в деловой среде Петербурга.

Илон Маск на прошлой неделе обвинил одного из сотрудников компании Tesla Мартина Триппа в крупном шпионаже. По мнению главы компании, в утечке данных могли быть заинтересованы брокеры с Уолл–стрит, крупные автоконцерны и нефтегазовые компании. Неприятная история приключилась и с топ–менеджером энергокомпании "Интер РАО" Кариной Цуркан. Она была арестована по подозрению в шпионаже в пользу бизнесменов, связанных с Румынией.
"ДП" решил узнать, как обезопасить компанию от приема на работу сотрудника, который будет сливать информацию конкурентам, а также как выявить недобросовестного сотрудника, который трудится вовсе не на благо организации, в которой трудится.
Промышленный шпионаж — проблема весьма актуальная.

Троянский конь

Tesla подала судебный иск в адрес Триппа. Он якобы взломал местную операционную систему, похитил секретные данные, а также пересылал третьим лицам фото и видео с производств компании. Судя по документу иска, Трипп работал в Tesla почти 2 года и рассчитывал на повышение. Руководство же, напротив, было недовольно его работой: Трипп часто конфликтовал с коллегами и не справлялся со своими задачами.
В случае с компанией Илона Маска злоумышленник сначала был вполне обычным работником, который перешел на сторону конкурентов по личным причинам, но часто бывает и так, что к вам могут подослать троянского коня под видом обычного соискателя вакансии.
По словам Нелли Бурковой, учредительницы компании "HR–Аналитика", засланные казачки на собеседованиях не редкость.
"Многие недобросовестные конкуренты используют различные средства для получения коммерческой тайны, которая имеет реальную или потенциальную коммерческую ценность. Один из способов ее добыть — отправить своего человека на собеседование к конкуренту. Часто на финальном собеседовании обсуждаются вопросы имеющейся у компании клиентской базы, процентных ставок и индивидуальных условий для ключевых клиентов", — считает эксперт. Она утверждает, что есть способы понять, кто перед вами находится — шпион или обычный соискатель.
"Используйте вопросы–маркеры, которые заставят фальшивого кандидата продемонстрировать дополнительные знания по компаниям–конкурентам, назвать фамилии ключевых менеджеров — игроков рынка. Попросите рекрутера компании осуществить доскональную проверку биографии кандидата, прежних мест работы, наличие рекомендательных писем, личных аккаунтов в социальных сетях и прочего. Вплоть до звонка прежнему руководителю с вопросом: "От вас пришел человек. Что скажете?" — советует она.
Нелли Буркова рекомендует уточнить у кандидата, готов ли он подписать внутренний регламент о неразглашении коммерческой тайны. Также работодатель вправе проверить у кандидата документы, необходимые для дальнейшего трудоустройства, а внутри самой компании установить определенные правила для сотрудников и ответственность за утечку данных.

Корпоративный детектив

Что делать, если вы подозреваете, что "крыса" уже есть среди сотрудников? Вычислить шпиона можно с помощью специалистов. Не обязательно нанимать частного детектива или устраивать допрос сотрудников. Часто утечку данных можно вычислить с помощью технических средств.
По словам Сергея Никитина, эксперта по информационной безопасности и компьютерной криминалистике компании Group–IB, злоумышленники обычно попадаются на мелочах.
"В нашей практике был один интересный кейс, в котором привлекались ресурсы криминалистической лаборатории. Одна компания якобы купила у разработчиков другой компании целиком огромный корпоративный портал. На самом деле разработка была сворована полностью, эти горе–разработчики, выдававшие портал за свой продукт, даже логотипы поменяли не везде".
Существует огромное количество средств по предотвращению утечек информации: DLP–системы, с помощью которых можно фиксировать любую деятельность сотрудника — каждый клик и байт данных. Но, по мнению Сергея Никитина, DLP — далеко не панацея. Главное — правильно ее настроить, чтобы "цифровые следы" злоумышленника правильно фиксировались.
Если обращаться к специалистам не хочется, можно провести собственное расследование, но главное при этом случайно не нарушить права своих же подчиненных.
"Работодатель не ограничен в организации не запрещенных законом мероприятий в отношении работников. Но, если участие в такой процедуре не предусмотрено трудовым договором и должностной инструкцией работника, его нельзя принудительно привлечь к участию в проверке: он будет вправе отказаться от участия", — рассказал юрист Илья Пакконен, который специализируется на корпоративном и интеллектуальном праве.
Кроме того, работодатель при проведении такой проверки может быть ограничен специальным режимом информации, которая входит в предмет расследования. Например, персональные данные работников он вправе использовать только в той мере, в которой работники дали на это предварительное согласие. Также он не вправе нарушать тайну частной жизни.
"Сбор любых личных сведений, а также коммерческую тайну других компаний, банковскую или налоговую тайну работодатель вправе получать только с согласия обладателей такой информации", — объяснил Илья Пакконен.
Также юрист рассказал, что после того, как руководство завершило свое внутреннее расследование и нашло шпиона, оно все равно ограничено в плане наказаний, которые могут к нему применить. Так, штрафовать такого сотрудника по российским законам можно только в размере одной месячной зарплаты. Для взыскания более высокой суммы нужно будет идти в суд.
Но уволить сотрудника за нарушение или сделать выговор никто не мешает.