Сотрудники каждой второй российской компании крадут данные
Утечки секретов чаще всего случаются в компаниях, где к работникам относятся неуважительноСлучаи воровства корпоративной информации в 2015 г. зафиксировали 52% российских компаний, показало исследование компании SearchInform. Авторы опросили 1700 специалистов служб безопасности из 25 городов России. Предотвратить утечку конфиденциальных данных не удалось, несмотря на то что почти все работодатели (84%) заставляют сотрудников при найме на работу подписывать договоры о неразглашении данных, а 72% проводят с сотрудниками инструктаж по информационной безопасности.
Список украденной информации в 2015 г. заметно расширился. Это проектные документы, сведения об инвестициях, коммерческие предложения, персональные данные сотрудников, информация о движениях на счетах клиентов и проч. Сейчас сотрудников интересует все, на чем можно заработать или что можно использовать в качестве бонуса на собеседовании, предупреждают исследователи.
Чаще всего секреты пытались украсть линейные менеджеры: с такими мошенничествами сталкивались 31% участников опроса. На втором месте в этом антирейтинге оказались руководители подразделений и менеджеры высшего звена, их обвинили в краже данных 19% респондентов. Они имеют доступ к наиболее секретной информации – договорам с поставщиками, договорам собственности, реестрам акционеров и т. п. – и потому наносят компаниям максимальный ущерб.
Фактор обиды
У тех, кто ворует информацию, две тактики – одни просто пользуются ситуацией, другие тщательно планируют мошенничество. В первом случае новый сотрудник замечает возможность украсть, а моральные принципы ему не мешают, поясняет Кирилл Медведев, HR-директор SearchInform. Или специалист работает несколько лет, но не получает такого признания, на которое рассчитывал, поэтому испытывает недовольство. Совершая кражу данных, он пытается восстановить справедливость, добавляет Медведев.
Самый известный пример спланированного воровства данных – промышленный шпионаж. Но бывает, что сотрудник готовит кражу информации из мести, уточняет Медведев. Он четко планирует каждый шаг, ему знакомы внутренние протоколы безопасности, и он знает, как его будут ловить. Такие случаи раскрывать особенно сложно, убежден Медведев.
И чем хуже относятся к сотрудникам в компании – обманывают с зарплатой, практикуют неадекватные нагрузки или эмоциональный прессинг, – тем больше вероятность сливов, ведь срабатывает фактор мести, убежден Роман Ромачев, гендиректор компании «Р-техно» и эксперт по экономической безопасности. Корпоративная культура, которая держится на пренебрежении к людям, – один из факторов риска. И поэтому если приходит новый директор-тиран, то число утечек ценной информации заметно увеличивается, утверждают эксперты.
Примерно 80% сотрудников готовы к краже конфиденциальной информации, говорит Ромачев, ссылаясь на данные разных исследований, в том числе в США. И станет ли человек вором, во многом зависит от вышестоящих. «Я знавал начальника административно-хозяйственного отдела, порядочного человека, который никогда не был замечен ни в каких утечках. Но потом он устроился на работу в компанию, где начальство стало его третировать. От обиды он начал продавать данные о новых контрактах и контрагентах фирмы конкурентам, поскольку у него был доступ к паролям сотрудников. В результате контракты стали утекать к конкурентам, которые предлагали меньшие цены», – рассказывает Иван Осипов, гендиректор рекрутингового агентства iChar. По его мнению, довольный и лояльный сотрудник не станет воровать информацию, даже если такой запрос ему поступит. Историй утечек, организованных из мести, немало, говорит Осипов. Например, в прошлом году российское рекрутинговое агентство наняло специалиста на Украине, чтобы тот набрал сотрудников в региональный офис. Он работу выполнил, но компания открывать офис передумала, а рекрутеру не заплатила. Тогда он выложил в сеть базу данных клиентов и кандидатов, даже сделал ролик в YouТube, и конкуренты его с интересом изучили, рассказывает Осипов.
Вычислить шпиона
Первый шаг профилактики утечек – проанализировать все должности в компании, выделив самые критичные с точки зрения доступа к важной информации, рекомендует Медведев. И сосредоточить профилактические меры на них, не распыляясь на всех. Например, у менеджера по продажам есть доступ только к той части клиентской базы, с которой он работает, и воровство этого куска не критично, считает он. А вот специалист по логистике знает гораздо больше. И поэтому уже на собеседовании стоит обратить внимание на его мотивацию: если логист говорит, что склонен искать новые способы повышения дохода, от его услуг лучше отказаться, говорит Медведев.
Самое простое – обучить менеджеров по персоналу диагностике глубинных мотивов людей, причем делать это надо не только на этапе приема на работу, а постоянно, убежден Медведев. Стоит обратить внимание на сотрудников, склонных часто менять работу, говорит он: «Среди таких может оказаться как раз тот, кто каждый год меняет работу, чтобы его не успели поймать на воровстве. А иногда склонность к частой перемене мест лишь безобидное свойство нервной системы, человек просто не может долго высидеть на одном месте». И знание глубинной психологии поможет отличить потенциального вора от неусидчивого перебежчика.
Работодатели не должны забывать и о некоторых очевидных вещах. Например, если человек на собеседовании упоминает, что у него есть база данных от предыдущего работодателя, то точно так же он украдет базу у вас, предупреждает Ромачев. Такая фраза должна стать индикатором для отсева потенциальных злоумышленников, особенно в случае критически значимых должностей, считает он.
Слежка в открытую
По данным SearchInform, 18% респондентов сообщили, что в 2015 г. у них не стало меньше корпоративных утечек по сравнению с предыдущим годом, у 4% респондентов случаи краж данных, наоборот, участились. Сотрудники находятся в стрессе из-за вероятной потери работы, поэтому подыскивают запасные варианты трудоустройства и новые способы заработка, отмечают авторы исследования. Правда, такие инциденты чаще происходят в маленьких фирмах, где больше лазеек для мошенников, убежден Медведев.
Крупные компании занимаются профилактикой утечек: 21% компаний взяли под контроль внешние носители информации, говорится в исследовании. Многие защищают электронную почту (32%). А вот за серфингом сотрудников в интернете следят всего 19% компаний. И самое удивительное, что 9% компаний контролируют документы, передаваемые на печать, видимо предполагая, что мошенники XXI в. выносят секреты в распечатанном виде.
Методы слежения за сотрудниками нужны, но подавать их стоит правильно, считает Осипов. Не следует объявлять: «Мы вам не доверяем, поэтому будем контролировать почту и выход в интернет». Лучше, например, встроить проверку почтовых ящиков и посещений сайтов в программы, помогающие контролировать рабочее время, и объяснить сотрудникам, что это нужно для повышения эффективности труда. На деле мало кто так поступает, говорит Осипов. Согласно исследованию SearchInform, 20% компаний вообще не сообщают сотрудникам, что они контролируют все информационные потоки.