Я была главой небольшого рекламного агентства. У меня было много клиентов, которые доверяли мне. Дела шли прекрасно, ведь у меня был стабильный доход и я обеспечивала хорошую жизнь нам с дочерью. Но всему хорошему приходит конец. Я столько лет была в бизнесе, отдавала работе всю себя, доверяла своим сотрудникам и подчиненным. Возможно, именно это и привело к ужасным последствиям.
В прошлом году все мои клиенты перестали со мной сотрудничать, заказы сократились, работники начали увольняться. Я не могла выплатить им зарплату, ведь мое дело практически не приносило прибыли. пришлось взять крупный кредит, чтобы оплатить все услуги своих работников. Я долго искала ответы, изучала статистику, расспрашивала клиентов, почему они бросили меня. И вот я выяснила: одна из моих сотрудниц просто взяла мою идею для бизнеса и создала такую же фирму, но с более выгодными условиями для клиентов и работников. То есть она украла мою базу клиентов, которую я нарабатывала годами
Сделать с этим ничего нельзя, все-таки это бизнес. Кампания распалась, никто больше не собирался со нами сотрудничать. Я продала офис и устроилась на обычную работу. Закрыла все кредиты. Дочь устроилась на работу, чтобы хоть как-то помогать мне с финансами, забросив учебу. Нам пришлось переехать в квартиру поменьше, а прежнюю продать. Мы стали жить очень скромно. Вся жизнь пошла под откос.
Вот так один сотрудник разрушил не только мой бизнес, но и наши с дочерью жизни. Денег совсем мало, весь мой труд пропал зря, все мечты и планы рухнули. Даже не знаю, что нас ждёт дальше.
Здравствуйте. Весьма интересная история. Но к сожалению, не редкая. Сотрудники, которые крадут клиентов, встречаются довольно часто. Причины данного явления могут быль как техническими, так и психологическими.
К психологическим можно отнести, так называемые, типовые мотивы злоумышленников, такие как.
1. Финансовая выгода.
2. Шпионаж в пользу третьего лица, например, конкурентов.
3. Хвастовство.
4. Месть.
5. Бывшие сотрудники.
6. Интерес. Но в данном случае имеются ввиду случаи из серии. А могу ли я это сделать.
При этом среди мотивов финансовая выгода и шпионаж встречаются наиболее часто, но остальные мотивы тоже встречаются крайне не редко. Как правило данные мотивы сложно контролировать внутри компании, особенно если размер компании превышает определённый порог. Поэтому без технических средств защиты, в общем случае не обойтись.
Технические причины.
Технические причины, указывают в первую очередь на возможность совершения данного хищения, а во вторую очередь, позволяют выявить факт хищения и определить лицо к хищению причастное. Наиболее часто сотрудники средней компании могут украсть данные следующим образом.
1. Банальной отправкой рабочих данных на собственную электронную почту. Как правило в крупных компаниях должен присутствовать собственный сервер электронной почты, который обслуживает почтовые адреса компании. При этом у каждого сотрудника должен быть собственный почтовый ящик на данном сервере, с помощью которого он должен будет вести деловую переписку. Однако в мелких компаниях данные сервера защищают очень редко, и поэтому ничто не запретит сотруднику отправить с данного почтового ящика данные на личную почту.
2. Сотрудник может просто взять и отправить базу данных клиентов при помощи собственной электронной почты на другую электронную почту.
3. Вынос базы данных клиентов на сменном носителе. Просто сотрудник может взять и скопировать файл базы данных клиентов на собственный носитель, например, USB флеш карту и вынести его за пределы офиса.
4. Отправка файла базы данных клиентов в собственное облачное хранилище. Сотрудник может просто загрузить файл базы данных клиентов в свое персональное облако, например, Яндекс.Диск и в любом месте и в любое время вне пределов компании получить доступ к данному файлу.
5. Распечатать базу данных клиентов и вынести из офиса под видом договоров или бумажного мусора.
6. Сфотографировать базу данных клиентов себе на телефон и восстановить её дома по фотографиям.
7. Если база данных клиентов находится в CRM, то для её копирования нужно использовать возможности экспорта данных CRM в файл формата Excel или CSV, или просто скопировать файл данных, которые данная CRM создаёт и в дальнейшем просто привязать файл резервной копии данных, сформированный CRM к CRM установленной дома. Данный способ может быль сложен для рядового сотрудника, не обладающего техническими знаниями, а вот для администратора системы воспользоваться им не составит труда.
8. Если база данных клиентов хранится в Excel файле, то скопировать и унести его сможет любой сотрудник.
9. Сотрудник может просто работать за переносным компьютером, на котором находится база данных клиентов и по производственной необходимости просто вынести базу данных клиентов вместе с компьютером.
10. Кража данных при помощи специально написанных вирусов и троянских программ.
11. Кража данных при помощи удалённого управления компьютером. Данный способ характерен для администраторов и бывших сотрудников, так как он позволяет украсть данные без физического присутствия в офисе. Возможна работа в команде. Сотрудник из офиса ставить приложение, злоумышленник за пределами компании скачивает нужную информации.
12. Более подробно возможные способы кражи данных описаны в одной из статей, в подготовке которой, я принимал участие. https://salesap.ru/blog/kak-ponyat-chto-dannye-kompanii-ukrali/ из Сочи. Если вы напишете в комментариях, что вам интересна данная тема, я напишу в блоге отдельную статью, посвящённую данной теме.
Как видим – существует просто масса способов выноса необходимых материалов. При этом от каждого способа кражи, существуют свои способы защиты, но как правило данные мероприятия могут стоить очень дорого. Давайте рассмотрим наиболее общие из них.
1. Досмотр сотрудников и их личных вещей до и после работы. Данный способ практикуется в крупных компаниях высокого уровня защищённости, например, госсектор, оборонная промышленность, крупные производственные площадки. Для мелких компаний может быть просто не эффективен, так как снижает уровень доверия внутри коллектива и просто не может быть проведён. Защищает только от физического проноса данных через КПП.
2. Установка систем, контролирующих работу сотрудников, или DLP систем. Данные системы позволяют отслеживать информацию отправленную сотрудниками с электронной почты, а так же информацию, которую сотрудники копируют на флешкарты.
3. Системы обнаружения вторжений и защиты. Данные системы позволяют отражать традиционные сетевые атаки и блокировать попытки удалённого подключения к вашим компьютерам.
4. Межсетевые экраны. Блокируют попытки несанкционированного подключения к сети компании и позволяют блокировать посещение вашими сотрудниками определённых сайтов и ресурсов.
5. Мандатный доступ пользователей. Суть данного метода заключается в том, что пользователь получает, только те права, которые ему необходимы для работы ни больше ни меньше. Например, сотрудник может смотреть базу данных клиентов, а скопировать не может. Или ещё лучше сотрудник видит только тех клиентов, за работу с которыми он отвечает и просто не видит других.
6. Доверенная загрузка. Заключается в настройке компьютеров таким образом, чтобы пользователь видел только свой набор папок и мог запускать только предназначенные для него приложения и никакие другие.
7. Разделение сети на поддомены и защищённые узлы. Настройка DMZ, VLan и VPN. Необходимо для организации защищённой сети между различными филиалами компании.
8. Установка антивирусного ПО на рабочих местах сотрудников. Защита от кражи данных, осуществляемой как при помощи вирусов, так и при помощи фишинговых атак.
9. Настройка почтовых серверов таким образом, чтобы они не отдавали полный список всех почтовых адресов при запросе данных.
10. Регламентирование работы сотрудников в социальных сетях.
11. Грамотное составление договоров, в которых прописаны санкции за воровство информации.
12. Написание протоколов и систематизации регламентов в области защиты данных, или составление так называемой политики безопасности, которую должны соблюдать все сотрудники компании.
13. Прочие мероприятия и средства защиты информации.
Как мы видим арсенал средств защиты довольно обширен, но стоимость некоторых их них может быть непомерно высокой. Как правило, на защиту данных выделяют не более 20% от стоимости возможных потерь информации, поэтому именно в данном случае можно было порекомендовать следующее.
1. Законодательно запретить сотрудникам компании заниматься рекламной деятельностью определённое время после увольнения и прописать это в трудовом договоре. Обычно полгода. Год. В данном случае вы сможете хоть что-то предъявить сотруднику, укравшему у вас базу данных клиентов.
2. Так как компания маленькая, то список клиентов известен. В случае если клиент отказался от сотрудничества с агентством, нужно было ему просто задать вопрос, почему вы отказались с нами сотрудничать? Или хотели ли вы воспользоваться услугами других рекламных агентств? Какая сумма для вас была бы актуальной? Цель данного интервью просто узнать мотив отказа. Если не получилось явно, то просто посмотреть название компании, с которой клиент стал сотрудничать. И по названию компании найти список ваших сотрудников, которые работают в ней и понять, кто из них мог украсть ваши данные.
Это было одной из главных ошибок героини истории, она слишком поздно это поняла.
3. Зафиксировать круг лиц, которые работают с базой данных клиентов и при увольнении каждого из данных сотрудников – блокировать ему доступ к базе данных клиентов.
4. Ротировать менеджеров, которые общаются с вашими клиентами. Цель привязать клиента к компании, а не к менеджеру.
5. В случае, если ваши сотрудники недовольны заработной платой, просто измените систему премий, таким образом, чтобы их доход зависел от стоимости, выполненными ими договоров.
6. Установите антивирусное программное обеспечение на компьютеры всех ваших сотрудников. После его установки вы сможете отследить установку несанкционированной флешки и частично сможете просмотреть факты отправки сообщений при помощи электронной почты.
7. Контролируйте сообщения, отправленные вашими сотрудниками, если они отправляют личные сообщения с рабочей почты – просто штрафуйте их.
8. Ограничьте работу сотрудников в социальных сетях, если это не отвечает интересам компании.
9. В идеальном случае установить систему обнаружения вторжений и межсетевой экран, если будет возможность. В случае, если вы работаете в компании, не попавшей в перечень критически важной инфраструктуры, а так же не относящейся к определённому классу секретности и не работаете с персональными данными, то возможна установка бесплатных решений. Но помните, использование бесплатных систем обнаружения вторжения и межсетевых экранов в общем случае является незаконным. Их ставят по принципу, лучше они, чем вообще ничего. Однако в случае проведения проверок, на компанию, их использующую данные решения, может быть наложен штраф.
10. Смотрите за жизнью и состоянием дел ваших бывших сотрудников в социальных сетях. Как правило, если они увели у вас клиентов, они об этом напишут в социальных сетях в целях рекламы и выдадут себя.
11. Если вы уже потеряли базу данных клиентов, просто обзвоните их всех и перезаключите с ними договора на лучших для них условиях на срок от одного года до трёх лет. Как правило, данного срока будет достаточно, для того, чтобы информация о базе данных клиентов устарела. Вернее устарела не информация, а клиент просто забыл того менеджера, который похитил её. Более того в таком случае, сотрудник-злоумышленник, конкурировать с вами в финансовом плане будет просто не способен.
