Когда речь заходит об информационной безопасности, утечках данных и охоте на комтайну чаще всего представляются корпорации с многомиллионными оборотами и тысячами сотрудников. Однако жизнь проще и прагматичнее – где есть выгода, там злоумышленники и действуют. И их внимание могут привлечь небольшие фирмы со скромным штатом без громкого имени. А значит, закрывать глаза на риски ИБ даже малому и среднему бизнесу опрометчиво. Чтобы не быть голословными, мы нашли и разобрали несколько судебных дел, где мошенники, кстати зачастую собственные сотрудники, «атаковали» бизнес вполне успешно. Хотя все же были выявлены и привлечены к ответственности.
1. Как инсайдер обокрал работодателя на 12 млн рублей
Приговор Октябрьского районного суда г. Владимира по делу № 1-5/2024
История
Компания «А», производитель тахографов и других устройств для автомобилей, взяла на работу инженера-программиста. Отработав несколько лет, этот сотрудник получил сразу несколько выгодных, но незаконных предложений от компаний «Б» и «В», которые планировали начать работу на рынке автомобильных приборов. И решил не упускать выгоду.
Сначала действия нарушителя ограничивались передачей конкурентам конфиденциальной коммерческой информации. Сотрудник выгружал с рабочего компьютера данные о поставщиках компании, конструкторскую и эксплуатационную документацию на изделия, исходный код ПО, разработанного работодателем.
Аппетиты росли, и заказчики этой информации предложили инсайдеру проводить со своего рабочего аккаунта заказы на комплектующие для приборов от имени работодателя: самостоятельно собирать и программировать их, и далее сдавать на реализацию конкурентам.
В компании не применялись технические средства защиты информации, поэтому руководство заподозрило утечку информации только когда продажи стали ощутимо снижаться. Кроме того, выяснилось, что на рынок вышли предприятия «Б» и «В», которые предлагали продукцию, аналогичную изделиям компании «А». Решили провести служебную проверку и изучить рабочий ноутбук нашего «героя». Нарушитель в это время находился дома, но компьютер передавать отказался. Представителям работодателя пришлось получить ноутбук через родственников инсайдера. На устройстве были обнаружены переписка с конкурентами и поставщиками, сведения о поступлениях денежных средств и другие данные, которые доказывали причастность сотрудника к нарушениям.
Виновник был уволен из компании за разглашение коммерческой тайны, информация о преступлении передана в СК РФ для возбуждения уголовного дела. Ущерб от действий сотрудника оценен в более, чем 12 миллионов рублей. Работодатель как потерпевший в рамках дела потребовал от виновника компенсировать нанесенный вред. Суд, несмотря на отказ нарушителя признать вину, приговорил его к 1,5 годам заключения условно, но требование компании-работодателя о выплате компенсации отклонил.
Комментарий
Эта история – пример того, что режим коммерческой тайны, не обеспеченный средствами технической защиты, далеко не всегда помогает компании защитить свои активы и интересы. В этом случае компания не смогла пресечь инцидент на ранней стадии, поэтому нарушитель успел нанести серьезный ущерб, а конкуренты получили ценную информацию. Вопрос о возмещении вреда был вынесен на рассмотрение суда. В таких случаях на 100% гарантировать, что решение будет принято в пользу бизнеса, невозможно: играют роль и процессуальные вопросы, и наличие доказательств, подтверждающих факт нанесения ущерба и его объем.
2. Опасные бывшие: уволились, вынесли комтайну и увели клиентов
Решение Мытищинского городского суда Московской области, апелляционное определение Московского областного суда, определение Первого кассационного суда общей юрисдикции по делу № 2-6046/2022, апелляционное определение Московского городского суда по делу № 02-11455/2022, постановление Арбитражного суда Московского округа по делу № А40-77461/2022.
История
Несколько сотрудников компании «А» из сферы ИТ-услуг, уволились и унесли с собой информацию о клиентах и потенциальных заказчиках предприятия. Один из уволившихся, кроме того, «забрал» рабочий компьютер и периферийные устройства. Бывшие работники создали собственное предприятие «Б», чтобы предоставлять те же ИТ-услуги, что и их бывший работодатель.
Новый конкурент «перехватил» контракты компании «А» с несколькими крупными клиентами. Сумма убытков составила более 5,4 млн рублей. Компания «А» обратилась в суд с исками как к заказчикам ИТ-услуг, так и к своим бывшим сотрудникам.
От клиентов компания «А» потребовала возместить убытки, нанесенные их «уходом» к конкуренту – компании «Б». Требования были аргументированы тем, что условием договоров компании «А» с ее заказчиками был отказ от заключения сделок с ее сотрудниками. Суд отказал в иске, поскольку представители компании «Б» на тот момент уже не работали в компании «А», а новое предприятие, как и его заказчики, согласно общим правилам законодательства, вольны в выборе контрагентов.
От бывших сотрудников компания «А» требовала возместить ущерб, нанесенный неправомерным использованием коммерческой тайны – сведений о действующих и потенциальных клиентах. Суд также отказал в иске, поскольку работодателем не были представлены доказательства, подтверждающие принятие мер по защите коммерческой тайны, а также причинно-следственной связи между действиями бывших работников и возникновением убытков.
Комментарий
Очень часто информация утекает через бывших сотрудников. Если специалист при увольнении «забирает» корпоративные сведения, то компания полностью теряет контроль над ними, а доказать факт их неправомерного использования очень трудно. Поэтому важно проследить, чтобы ценные сведения не попадали в руки работников, с которыми компания расстается, своевременно ограничить доступ к корпоративным данным.
3. «Ты здесь хозяин, а не гость…»
*Решение Бутырского районного суда г. Москвы, определение Московского городского суда по делу № 02-1732/2024
История
Сотрудник уволился с должности менеджера по продажам на арматурном заводе. Работодатель допустил критическую ИБ-ошибку – не заблокировал бывшему работнику доступ к корпоративной электронной почте. В итоге бывший сотрудник составлял от имени компании коммерческие предложения в адрес потенциальных заказчиков, а заявку на особенно крупный заказ «забрал» себе, переслав письмо от клиента на личную почту. Нарушения не были вовремя обнаружены, компания понесла значительные убытки и обратилась через суд к бывшему работнику с требованием о выплате компенсации.
Суд решил, что нарушение было допущено по вине бывшего работодателя, не принимавшего достаточных мер к защите коммерческой тайны. В силу этого, по мнению суда, компания не имеет права на компенсацию убытков в случае утечки ценной информации.
Комментарий
Приведенная ситуация характерна для компаний, не имеющих собственных ИБ-служб. Недобросовестные бывшие сотрудники нередко сохраняют доступ к корпоративным системам и пользуются информацией из них в своих интересах. По данным нашего исследования, электронная почта стабильно лидирует среди каналов утечки данных – на нее приходится 52% всех сливов. Тем более доступа к ней не должно быть у работников, которые покинули компанию.
4. Как сотрудник нарушил регламент ИБ и премию отсудил
*Решение Октябрьского районного суда г. Иркутска, определение Иркутского областного суда Определение Восьмого кассационного суда общей юрисдикции по делу № 2-46/2023
История
Сотрудник службы экономической безопасности в добывающей компании переслал с рабочего устройства на личный почтовый ящик незащищенные документы, содержащие критичные сведения о сотрудниках предприятия (персональные данные, штатное расписание, информацию о зарплатах). Компания провела по факту инцидента служебное расследование, по итогам которого работник получил выговор и был лишен премии.
Сотрудник обратился в суд с требованием отменить наложенные на него взыскания и выплатить премию. Компания аргументировала свою позицию тем, что работник нарушил внутренние регламенты информационной безопасности, согласно которым передача персональных данных и любых других закрытых сведений из корпоративной инфраструктуры допускается только по защищенным корпоративным каналам связи.
Суд счел, что переданные сведения, в силу положений закона о коммерческой тайне, не относятся к конфиденциальной информации, а персональные данные в данном случае являются общедоступными. Решение районного суда об отмене дисциплинарных взысканий и приказа о снижении премии сотруднику было поддержано вышестоящими инстанциями.
Комментарий
Утечки, произошедшие по причине неосторожности или из-за ошибки сотрудников составляют 66% от всех внутренних ИБ-инцидентов. Несмотря на то, что злого умысла в действиях работника из истории выше не было, у бизнеса возникают серьезные риски.
Например, если данные персонала утекут с ресурсов, принадлежащих работнику, это может стать поводом для административного дела как в отношении этого работника, так и компании. Даже за единственную утечку небольшого объема персональных данных штраф сейчас доходит до 150 000-300 000 руб. Необычное решение суда в приведенной ситуации оставляет компанию без возможности контролировать и защищать сведения о своих сотрудниках и, вместе с этим, создает риск штрафа в случае дальнейшей передачи или публикации этих сведений.
Информация о зарплатах и штатном расписании компании, хотя и не может являться коммерческой тайной, представляет интерес для конкурентов. Ее передача или публикация чревата негативными последствиями: от снижения лояльности и ухода сотрудников до ущерба репутации бизнеса. Такие риски особенно опасны для малых и средних предприятий.
Быть ли ИБ в МСБ?
Эти истории указывают на прямые риски для бизнеса от утечек, мошенничества и других нарушений со стороны сотрудников. Снизить угрозу можно только обеспечив информационную защиту компании. В частности, с помощью специализированных технических средств, таких как системы класса DLP и DCAP. С их помощью можно выявить подозрительные действия сотрудников, обнаружить инцидент на ранних стадиях, пресечь его и снизить ущерб.
В организациях из описанных историй скорее всего не было выделенной службы информационной безопасности. И это типичная ситуация для небольшого бизнеса. У них банально не хватает средств, специалистов, компетенций для организации защиты собственными силами. Решение – использовать аутсорсинг информационной безопасности – сервис «под ключ» от специализированной компании. В таком случае заказчик получает полноценную защиту от внутренних угроз (утечек данных, воровства, мошенничества и пр.) и при этом существенно экономит время и деньги. В рамках сервиса внештатные ИБ-специалисты с помощью современных технических средств обеспечат контроль за всем происходящим в компании заказчика, будут выявлять нарушения, подозрительные действия сотрудников, критичные ситуации, предотвращать инциденты.
Мы видим, что суды не всегда встают на сторону компании, поэтому надежнее не доводить ситуацию до разбирательств, а изначально организовать защиту данных и бизнеса. Собственными силами или передав ее на аутсорсинг каждый решает сам.
Предлагаем вам проверить бизнес на риски от внутренних угроз с помощью короткого теста.
А подробнее узнать про аутсорсинг информационной безопасности можно, запросив консультацию у наших специалистов.