+7(499)-938-42-58 Москва
+7(800)-333-37-98 Горячая линия

Кража базы данных в компании

Содержание

Кража данных

Кража базы данных в компании

Кража данных – получение доступа к данным путем взлом сетевых ресуров. Объем и ценность информации с каждым годом увеличиваются, а с ними неизбежно растет и число краж ценной информации. Крадут у всех – государственных структур, больших и малых компаний, некоммерческих организаций, частных лиц.

Последствия могут быть самыми разными – от потери деловой репутации до серьезных умышленых утечек и межправительственных скандалов, хотя чаще всего кража информации в конечном итоге означает потерю денег.

Классификация и способы кражи данных

Все хищения данных осуществляются либо перехватом сообщений на линиях связи, либо через воровство носителя информации. Такие кражи, в свою очередь, можно разделить на четыре основные категории:

Кража физического носителя данных

Самый прямой и грубый способ кражи. Большинство современных устройств – ноутбуки, смартфоны, планшеты, а тем более подключаемые внешние диски и флешки столь малы, что украсть их можно мимоходом, пройдя мимо стола, на котором они лежат. Особенно если владелец отлучился на минуту от рабочего места.

У крупных компьютеров можно похитить только жесткие диски. Причем украсть его можно как безвозвратно, так и, скопировав информацию, вернуть на место. Если вытащить жесткий диск уже после окончания рабочего дня и поставить обратно на следующий день рано утром, его владелец даже не догадается о несанционированном доступе к его данным.

Кража при доступе к носителю

При наличии физического доступа к носителю красть его вовсе необязательно – можно поработать в отсутствие хозяина. Обеденный перерыв, длительные совещания, наконец, время после ухода по окончании рабочего дня – у коллеги-злоумышленника немало способов посидеть за чужой клавиатурой.

Так что если пароль на вход слабый, а то и вообще отсутствует – украсть данные сумеет любой, кто работает рядом. И даже очень хороший пароль не всегда спасает, ведь преступник может попросить открыто, сославшись на неисправность собственного компьютера и необходимость срочно отправить письмо или файл.

Далее к компьютеру подключается флешка с файлом и вирусом, который скачивает информацию.

К этой же категории относится возможность подсмотреть информацию. Зачастую множество сотрудников работают в одном большом помещении без перегородок, и соседям хорошо видно, кто что делает. А потому преступник может как наблюдать лично, так и установить небольшую камеру, которая запишет все, что выводилось на экран чужого монитора.

Удаленная кража по сети

Если машина подключена к проводной или беспроводной сети – прямой физический доступ необязателен. В сети растростанены миллионы вирусов, троянов, бэкдоров и прочих вредоносных программ. Помимо этого данные могут быть перехвачены по сети при помощи снифферов, если каналы связи недостаточно защищены.

Кража данных с внешних серверов

Наконец, если данные хранятся в интернете – облачном хранилище, почтовом или ином сервере, преступники могут осуществить туда несанкционированный доступ. Для пользователей такие кражи опасны тем, что, не считая хорошего пароля, никаким другим способом повлиять на сохранность информации они не могут – все программное обеспечение и настройки доступа осуществляет владелец сервиса.

Объекты воздействия

Все объекты воздействия похитителей можно разделить на получение доступа к физическим носителям информации и методы обхода информационных средств безопасности.

Доступ к физическим носителям получается прямой кражей, временным выносом, просьбой к владельцу компьютера ненадолго поработать на его машине. Также злоумышленник может установить с внешнего носителя вредоносные программы, которые крадут и передуют данные по сети на сервер.

Информационное воздействие осуществляется поиском уязвимого, часто устаревшего ПО, незащищенных портов, наконец, подбором логинов и паролей. Последнее, к слову, актуально и в случае хищении носителей, с той разницей, что при краже ноутбука или смартфона преступнику не надо торопиться, тогда как временный либо удаленный доступ подразумевает необходимость взломать систему быстро.

Причины кражи данных

В голливудских фильмах кражи совершают команды крутых профи, каждый выполняет свою задачу, а сложнейший план рассчитан по секундам.

В реальной жизни подавляющее большинство хищений вызваны в первую очередь не мастерством вора, а беспечностью владельца.

Кражи информации не исключение, зачастую пользователь сам предоставляет доступ либо оставляет столь широкие ворота, что войти при желании может практически любой.

В первую очередь это касается серьезного отношения к носителю, который при небольших размерах зачастую лежит вне видимости владельца, отлучившегося в туалет, за чашкой кофе, по вызову начальства, и украсть носитель может любой проходящий мимо.

Так что смартфоны, флешки, внешние накопители лучше всегда носить при себе. Ноутбук, если ненадолго отлучился, отставлять лишь под присмотром надежных друзей.

А стационарный компьютер держать комнате с физической защитой и не оставлять где попало мобильные устроства и внешние носители.

Вход в любую систему только по паролю. А лучше иметь сразу три аккаунта – Администратор с высоким уровнем доступа, Пользователь и Гость с минимальными правами, на случай, когда за вашим компьютером работает другой. Дополнительно можно шифровать особо важные файлы и папки.

Все пароли должны быть сложными – прописные и строчные буквы, цифры, никакой похожести на осмысленные слова, а тем более связанной с владельцем компьютера информации.

Используемые программы должны своевременно обновляться, антивирус обязателен.

По возможности избегать любых сомнительных ресурсов – содержащих взрослый либо любой другой запрещенный контент, сайтов, нелегально распространяющих фильмы, книги, программы, музыку.

Многих привлекает идея скачать все на халяву, однако далеко не все сторонники свободного распространения информации трудятся бесплатно – скрытый в бесплатном файле вирус обойдется пользователям намного дороже официальной покупки.

Также не стоит переходить по ссылкам, как присылаемым с незнакомых адресов или незнакомыми людьми – зачастую они ведут на фишинговые сайты. Особое внимание стоит уделять ссылкам на сайты мобильного банкинга и электронных платежных систем – даже с надежных сайтов переходить на них по ссылкам нельзя. Лучше набрать нужный адрес прямо в браузере.

Наконец, нельзя вестись на методы социальной инженерии.

Если вам звонит незнакомый человек, представляется сотрудником банка или еще кем-то, просит назвать номер счета, PIN-код, CVC или другую конфиденциальную информацию, говорить ничего нельзя, даже когда он пугает, что счет уже заблокирован и ваши данные нужны для разблокировки. В таких случаях необходимо связаться с банком по официальным каналам.

Анализ риска кражи данных

Как уже отмечалось, большинство краж обусловлены не хитроумными планами злоумышленников, а беспечностью пользователей. Не оставляйте без присмотра флешку и смартфон, защищайте сложным паролем ноутбук и компьютер, выходите из системы, даже отлучаясь лишь на пару минут – и шансы преступников резко упадут.

Особую сложность проблема хищения с носителей представляет в крупных компаниях. Сотрудники сидят в одном большом зале, каждому видно происходящее на мониторах соседей, плюс в помещение могут быть вхожи клиенты либо смежники.

Информация кочует с компьютера на компьютер на десятках флешек, а практика посидеть за чужой машиной является нормой. Зачастую имеется несколько стандартных логинов и паролей, которые знают все.

В таких условиях утечки информации неизбежны.

В идеале каждое рабочее место должно быть отгорожено, если же такой возможности нет, отдельные углы должны получить хотя бы те машины, где обрабатывается важная и конфиденциальная информация.

Не должно быть никаких общих, универсальных аккаунтов и кодов доступа, для каждого сотрудника – персональный логин и пароль. Последний должен выдавать администратор, во избежание простых и примитивных. Нужно также следить, чтобы бумажки с паролями не хранились на рабочем месте. Не способен запомнить – пусть хотя бы в бумажнике носит. Их сохранности должное внимание уделяют все.

Желательно приучить всех, что если разрешаешь временно поработать на своей машине коллеге – лучше выйти из системы, и пусть он заходит под своим именем. Так, с одной стороны, удастся избежать получения чужих прав доступа, с другой, проще отследить, кто проявляет подозрительную активность.

Важные и конфиденциальные данные на серверах должны быть запаролены, а еще лучше, когда их видят лишь те, кому разрешен доступ.

В то же время, разрабатывая правила защиты информации, нельзя перегибать палку. Если данные о закупках туалетной бумаги засекречены как устройство ядерной бомбы, сотрудники начинают воспринимать такие меры не как политику информационной безопасности, а дурость начальства. И нарушают везде, где нет прямого надзора.

Также следует учесть, что любое усиление защиты данных имеет свою цену, как прямую – программные и аппаратные продукты, так и косвенную – усложнение работы, снижение производительности. А потому комплекс мер по защите информации следует разрабатывать, соизмеряя затраты с возможным ущербом от их утечки.

Источник: https://www.anti-malware.ru/threats/data-theft

Пустить наутек: ЦБ отрицает риск кражи данных из базы сотовых абонентов

Кража базы данных в компании

В Центробанке и Минкомсвязи, которые продвигают идею создания единой системы проверки сведений о мобильных абонентах, не разделяют опасений операторов связи по поводу массовых утечек.

Во вторник «большая тройка» — МТС, «Мегафон» и «Вымпелком» («Билайн») — направила письмо главе комитета ГД по финансовому рынку Анатолию Аксакову. В своем обращении ведущие игроки рынка предупредили, что с кражей данных могут столкнуться десятки миллионов владельцев сотовых телефонов.

Это произойдет, если депутаты не внесут поправки в законопроект о создании единой системы, второе чтение которого намечено на октябрь. Инициатива призвана пресечь мошенничество с подменой сим-карт, но в его нынешней версии нет требований к безопасности передачи информации, отмечают в компаниях.

Однако в ЦБ утверждают, что оператор информсистемы не будет хранить у себя никаких данных. Эксперты подчеркивают, что безопасных систем не существует и дополнительные меры защиты не помешают.

Принципиальное несогласие

Законопроект, который предусматривает создание Единой информационной системы проверки сведений об абоненте (ЕИС), уже принят в первом чтении.

Через ЕИС кредитные и иные организации будут получать от операторов связи информацию о статусе сим-карты, абонентского договора, а также персональных данных абонентов-физлиц.

Цель инициативы, безусловно, благая — уберечь людей, которые используют упрощенный способ идентификации с использованием мобильного устройства, от действий мошенников, а также недобросовестных взыскателей, терроризирующих новых владельцев номера из-за задолженностей «старых» его владельцев.

Второе чтение планируется, как рассказал «Известиям» Анатолий Аксаков, не раньше второй половины октября этого года после получения и обсуждения правительственных поправок.

Не дожидаясь часа икс, сотовые операторы — «Вымпелком» («Билайн»), МТС и «Мегафон» — во вторник направили письмо (есть у «Известий», первым на него обратил внимание РБК) на имя Анатолия Аксакова.

В нем они отметили актуальность заявленной проектом цели по противодействию мошенническим действиям на финрынке, но при этом указали, что предполагаемый механизм взаимодействия несет ряд существенных рисков.

В частности, операторы считают, что миллионам абонентов грозит утечка данных. «Проект не предусматривает требований к информационной безопасности передаваемых через ЕИС данных либо отсылку к необходимому подзаконному регулированию, это может повлечь утечку данных о нескольких миллионах абонентов», — подчеркивается в письме.

Сотовые операторы считают, что необходимо такие требования установить, а также провести пилотный проект для проверки их соблюдения.

— Безопасных систем не существует. Поэтому без четкого регулирования и услуг третьих организаций, которые смогут проверять систему на защищенность, действительно не обойтись. Потеря такого рода критичных данных, тем более в таких количествах может представлять серьезные риски, — считает старший аналитик компании «Диджитал Секьюрити» Александр Круглов.

В Центробанке и Минкомсвязи, которые поддерживают проект, отрицают такую опасность. Как пояснили «Известиям» в пресс-службе ЦБ, законопроектом предусмотрено создание единого оператора — в правительстве предложили на эту роль Центральный научно-исследовательский институт связи (ФГУП ЦНИИС), — который будет выступать маршрутизатором запросов.

Этот оператор не будет хранить у себя никаких данных, подчеркнули в Центробанке. Но он будет знать, какой сотовой компании запрос направить и какому банку вернуть ответ.

В Минкомсвязи также обратили внимание, что система проверки выполняет исключительно функцию оказания услуг по направлению запросов в адрес операторов связи и передаче пользователям системы полученной от них информации. Без ознакомления с ее содержанием и без ее сохранения в системе.

— Поскольку предполагается, что система будет негосударственной, требований по информационной безопасности к ней не предъявляется, — уточнили в пресс-службе ведомства.

Игра в догонялки

Представители некоторых сотовых операторов и финансовых институтов в принципе считают законопроект утратившим актуальность.

— Сейчас информация о потенциальных мошеннических действиях, в том числе о смене сим-карт, передается операторами банкам на основании двусторонних соглашений, — сообщили «Известиям» в пресс-службе «Мегафона».

Поэтому, делает вывод представитель компании, дополнительное законодательное регулирование таких отношений нецелесообразно.

— На данный момент инициатива потеряла свою актуальность, — соглашается руководитель центра проектов и инноваций «БКС Премьер» Иван Мазов. — Поскольку риск мошенничества с подменой сим-карт и так сведен к минимуму.

При замене карты функция получения всех СМС-сообщений блокируется в среднем на сутки со стороны оператора связи. Таким образом, даже если злоумышленники сделают дубликат «симки», они не смогут получить код подтверждения для списания средств в течение этого времени.

В итоге мошенники теряют интерес к данной схеме, поскольку шансы на успех минимальные.

Сотовые операторы были вынуждены пойти на обмен информацией, поскольку наравне с банками могут нести ответственность за потерю средств клиента, который через суд может добиться возмещения ущерба.

Иван Мазов также рассказал, что уже как минимум четыре-пять лет назад сотовые операторы стали предоставлять банкам дополнительные услуги по мониторингу номеров абонентов.

— У каждой сим-карты есть свой идентификационный номер. И у банка, заключившего договор с оператором связи, появляется возможность получать информацию в том числе о смене карт. В результате сейчас речь идет о том, чтобы на законодательном уровне закрепить то, что и так давно работает на рынке, — считает представитель «БКС Премьер».

Такого же мнения придерживаются и сотовые операторы.

— Законопроект необходимо дорабатывать. В частности, при информационном взаимодействии мы предлагали соблюдение принципа добровольности — прибегать как к услугам Единой информационной системы, так и заключать двусторонние соглашения. В текущей версии законопроекта приоритетным и фактически единственным способом взаимодействия является использование ЕИС, — подчеркнули в пресс-службе МТС.

Проект актуален, поскольку действующие соглашения банков с операторами носят разрозненный характер и, по мнению банков, цены в них завышены, считают в Минкомсвязи.

— Законопроект важен, так как он предусматривает введение дополнительного механизма противодействия мошенничеству на фоне того, что для многих банков идентификатор клиентов в виде номера телефона становится более значимым, — пояснили «Известиям» в пресс-службе Центробанка.

— Для Банка России важно, чтобы все клиенты финансовых организаций находились в одинаковых условиях с точки зрения обеспечения информационной безопасности вне зависимости от того, какой банк и оператор связи их обслуживает.

Законопроект предусматривает, что предоставление данных операторами связи и их использование банками будет обязательным.

Анатолий Аксаков заявил «Известиям», что предложения сотовых компаний будут рассмотрены и внимательно изучены, а после получения правительственных поправок представители мобильных операторов будут приглашены для обсуждения.

Источник: https://iz.ru/923012/anna-kaledina/pustit-nautek-tcb-otritcaet-risk-krazhi-dannykh-iz-bazy-sotovykh-abonentov

Какие ошибки совершают компании в борьбе с воровством данных

Кража базы данных в компании

Почти треть (27%) сотрудников хотя бы раз за карьеру мстили бывшим работодателям – украли рабочие материалы или данные, уничтожили ценные документы либо обнародовали конфиденциальные сведения. Это выяснила софтверная компания ESET, опросив 750 пользователей.

Каждая крупная компания увольняет за кражу конфиденциальной информации по нескольку десятков сотрудников в год, утверждает Андрей Прозоров, руководитель экспертного направления компании Solar Security. Обычно пострадавшие работодатели не доводят подобные истории до суда, опасаясь репутационных рисков, говорит Прозоров.

Это связано и с трудностями сбора доказательств вины сотрудника, отмечает он. Почему же компании столь уязвимы перед действиями недобросовестных сотрудников?

В крупной торгово-производственной компании сотрудники удаляли информацию о продаже товара из базы данных, а вырученные средства похищали. Компании пришлось создать новый отдел информационной безопасности (ИБ) из двух человек, который через полгода вырос в целую службу, рассказывает Сергей Солдатов, руководитель центра мониторинга кибербезопасности «Лаборатории Касперского».

Такой отдел должен быть в любой компании со штатом от 500 человек, особенно если она относится к сектору, где базы данных составляют важную часть бизнеса, – к финансам, телекоммуникациям, здравоохранению, IT, торговле, говорит Денис Королев, партнер EY.

Однако для среднего бизнеса это довольно дорогое удовольствие, считает Алексей Фролов, инвестиционный директор «Инфрафонда РВК». Работодатели предпочитают бывших сотрудников центра информационной безопасности ФСБ, «Лаборатории Касперского» и «Ланита», отмечает Фролов.

Специалист должен иметь навыки программирования и системного администрирования, а также навыки аналитической работы, знания иностранных языков и конкретной отрасли, говорит Королев. Зарплаты таких сотрудников в Москве сейчас составляют в среднем 60 000–85 000 руб. в месяц, но нередко доходят и до 150 000 руб.

Тем не менее спрос на специалистов по информационной безопасности за последний год вырос вдвое, по данным HeadHunter: с 60 вакансий в сентябре 2016 г. до 135 годом позже.

Не следят

Часто утечка информации происходит путем копирования файлов и их пересылки через почту, мессенджеры, файлообменники, соцсети.

Около 20% респондентов ESET хотя бы раз в жизни копировали рабочие материалы, базы клиентов, отчеты, планы и другие документы, чтобы впоследствии использовать их на новой работе или перепродать.

Во многих российских компаниях процесс отслеживания действий сотрудников поставлен плохо, говорит Николай Легкодимов, партнер KPMG. Поэтому очень трудно собрать доказательства нарушения для суда.

Теряют миллионы

11 млн руб. по данным «Лаборатории Касперского», в среднем составляет ущерб от одного нарушения информационной безопасности в крупных российских компаниях. В среднем и малом бизнесе – 1,6 млн руб.

По словам Фролова, расследования по уголовным делам, связанным с хищением данных, обычно ведут сами компании – самостоятельно или нанимают специализированные фирмы.

В правоохранительных органах просто нет специалистов нужного уровня. Зарплаты оперативников из управления «К» МВД составляют 50 000–70 000 руб.

в месяц, а в коммерческой фирме специалисты получают от 120 000 руб. в месяц, замечает Фролов.

В августе 2017 г. суд вынес обвинительный приговор двум мошенникам, похитившим персональные данные части абонентов интернет-провайдера «Акадо телеком», говорится в решении суда. В августе 2016 г. служба безопасности «Акадо» зафиксировала взлом базы данных CRM.

Злоумышленником оказался сотрудник одной из подрядных организаций, которому конкурент «Акадо» пообещал 30 000 руб. за копию клиентской базы. Он обратился к другу, написавшему за 5000 руб. программу для проникновения в систему.

Однако служба безопасности «Акадо» обнаружила факт копирования базы, а также зафиксировала переписку злоумышленника с потенциальным покупателем базы. В ноябре 2016 г. на обоих нарушителей было заведено уголовное дело.

В качестве доказательств хищения данных, а также намерения продать информацию суд принял данные, собранные через IT-систему, рассказывает директор по безопасности «Акадо-Екатеринбург» Андрей Перескоков. Подсудимым был вынесен обвинительный приговор – два года лишения свободы условно. Это первый случай, когда интернет-провайдер в суде доказал факт кражи базы данных, радуется Перескоков.

Не замечают недовольных

Данные чаще крадут в компаниях, которые сами неэтично ведут себя с сотрудниками, говорит Королев. Если компания не платит обещанные бонусы, в ней плохой моральный климат, сотрудники больше склонны к хищению данных, продолжает Королев.

Неудовлетворенность сотрудников работой повышает риск разглашения или утраты конфиденциальной информации, согласен Денис Липов, директор департамента управления рисками Deloitte.

По словам Королева, минимизировать стимулы к воровству помогают достойные зарплаты и соцпакет, а также корпоративная культура, базирующаяся на честности.

Особую группу риска составляют увольняющиеся сотрудники. Так, работница автоцентра отправила конфиденциальные данные с корпоративной почты на личную: персональные данные коллег, клиентов и различную переписку. IT-система зафиксировала этот факт. В объяснительной нарушительница указала, что информация нужна ей для написания диплома.

А через пару дней служба безопасности перехватила письмо, из которого следовало, что сотрудница ведет переговоры о трудоустройстве на новое место – в страховую компанию. И база персональных данных – ее пропуск в эту фирму.

Мошенницу уволили по статье за разглашение коммерческой тайны, рассказал Лев Матвеев, председатель совета директоров компании SearchInform.

При разговоре об увольнении следует напомнить сотруднику о политике безопасности компании и о том, что ему грозит в случае нарушения. Обычно это отбивает охоту прихватить с собой данные, советует Матвеев. Воровство данных – это уголовное преступление согласно ст. 183 УК, максимальный штраф – 1,5 млн руб., нарушителям грозит до семи лет тюремного заключения, добавляет он.

Если руководитель собирается расставаться с работником недружественно, это следует делать быстро – ведь за две недели отработки тот может посеять смуту среди других сотрудников или сказать что-то не то клиенту, а не только украсть базу данных, говорит президент «Экопси консалтинга» Марк Розин.

Никакая не тайна

Игорь Кузьмин, менеджер по продажам техники компании «Белагро-сервис», был уволен за разглашение сведений, составляющих коммерческую тайну, а потом подал в суд на компанию.

Как говорится в решении суда, «Белагро-сервис» обвинил Кузьмина в том, что он собрал данные по 39 потенциальным покупателям сельхозтехники производства компании на выставке «Золотая нива» и по Skype передал их коммерческому директору конкурирующей компании «Агримаркет».

Кузьмин потребовал признать увольнение незаконным и оплатить вынужденный прогул. Суд удовлетворил иск: мол, компания не поставила в известность менеджера при приеме на работу, какие сведения являются коммерческой тайной.

Сейчас «Белагро-сервис» собирается обратиться в правоохранительные органы, чтобы они возбудили уголовное дело против Кузьмина, говорит Владимир Балабанович, директор департамента безопасности ГК «Белагро».

Бонус за безопасность

74,2% утечек данных в России, по данным InfoWatch, происходит неумышленно – из-за того, что сотрудники кликают по ссылкам в фишинговых письмах или теряют флешки со служебными ­документами.

Корпоративная культура должна поощрять соблюдение сотрудниками правил ИБ, говорит Роман Чаплыгин, директор практики информационной безопасности PwC. Он уверяет, что ежемесячные бонусы сотрудникам PwC начисляются только при отсутствии каких-либо нарушений правил ИБ.

Например, если в течение месяца сотрудник ни разу не кликал по подозрительным ссылкам, если передавал конфиденциальную информацию только с использованием специальных средств защиты и блокировал свой компьютер, покидая рабочее место, говорит Чаплыгин.

Если сотрудник знает, что его накажут рублем, он не пройдет по вредоносной ссылке, уверен Чаплыгин

Для введения режима коммерческой тайны нужно выполнить пять шагов, указывает Александр Коркин, руководитель практики трудового и миграционного права «Пепеляев групп». Сначала нужно определить перечень информации, составляющей коммерческую тайну, затем ограничить доступ к такой информации.

После этого нужно вести учет лиц, получивших доступ к такой информации. Работодатель также должен включить в трудовые и гражданско-правовые договоры пункты о порядке обращения с конфиденциальной информацией. Наконец, следует нанести на конфиденциальные документы гриф «Коммерческая тайна».

Большинство дел, по словам Коркина, работодатели проигрывают именно из-за невыполнения этого перечня.

Сами подставляются

Часто компании сами создают благоприятные условия для хищения данных. Например, 7% респондентов ESET рассказали, что даже после увольнения из компании они могли заходить на корпоративные порталы или рабочую почту удаленно. Например, в 2013 г. компания «Фосагро» выиграла суд против бывшего сотрудника Ашота Топчяна.

Она обвинила его в передаче конкуренту – компании Transammonia сведений, составляющих коммерческую тайну. Расследование показало, что Топчян (вначале менеджер по продажам, затем – начальник отдела) просматривал переписку своего начальника с представителями Transammonia, говорится в решении суда.

Оказалось, что доступ к почте руководителя он получил во время его отпуска и потом продолжал просматривать ящик, откуда черпал конфиденциальные сведения о производстве удобрений и условиях поставок на экспорт.

Как сообщила пресс-служба «Фосагро», после этого инцидента компания ввела жесткие регламенты по хранению сведений, содержащих коммерческую тайну.

Михаил Емельянников, глава консалтингового агентства «Емельянников, Попова и партнеры», говорит, что подобные инциденты не происходили бы, если бы у компании была эффективная система контроля доступа к информационным системам.

Источник: https://www.vedomosti.ru/management/articles/2017/10/10/737221-oshibki-v-borbe-s-vorovstvom

Кража базы клиентов – можно ли взыскать убытки?

Кража базы данных в компании

Любой руководитель организации или ИП знает: база клиентов – важнейший актив. Хищение денег или оборудования можно пережить, но если у вас взломали аккаунты базы данных, то это может привести к краху вашего бизнеса. Ситуации, когда сотрудники уходят и «уводят» за собой клиентов, случаются часто. Как быть в таком случае, читайте в нашей статье.

Что делать, если украли клиентскую базу?

Согласно ст. 3 Федерального закона «О коммерческой тайне» от 29.07.2004 № 98-ФЗ под ее разглашением подразумевают действия или бездействие, в результате которых сведения, составляющие коммерческую тайну, в любой возможной форме становятся известны третьим лицам без согласия владельца такой информации вопреки гражданско-правовому или трудовому договору.

Предполагается специальное оформление документации на уровне локальных актов. Если же решение об отнесении той или иной информации к конфиденциальной не принято, режим коммерческой тайны и ответственность не наступает.

Нужно принять три документа:

  • о перечне данных, составляющих коммерческую тайну;
  • о порядке ознакомления с ними;
  • о круге субъектов, имеющих право работать с подобными сведениями.

Требуется ознакомить с ними сотрудников под роспись.

Трудовое соглашение регламентирует отношения с сотрудником. Без него вы не привлечете работника к ответственности. Укажите в договоре пункт о соблюдении коммерческой тайны.

Каждая строчка положения о коммерческой тайне и трудового договора должна опираться на действующее законодательство.

Оформление клиентской базы в качестве нематериального актива

Чтобы защититься от кражи базы клиентов, можно оформить ее как нематериальный актив НМА организации, не имеющий физической формы.

Он признается таковым в том случае, если:

  • его можно выделить из компании и передать, продать, лицензировать, сдать в аренду либо обменять вместе с соответствующим договором или отдельно;
  • возникает при договорных либо иных юридических прав, независимо от того, можно ли их передавать или отделить от организации или от других обязательств;
  • имеется высокая вероятность того, что в будущем от применения актива фирма получит экономическую выгоду;
  • стоимость актива надежно оценят.

Таким образом, в ситуации копирования клиентской базы, которая оформлена в качестве НМА, незаконные действия будут расцениваться как хищение и квалифицироваться по ст. 158 УК РФ. Можно применить и ст. 165 УК РФ «Причинение имущественного ущерба путем обмана или злоупотребления доверием». Наказание по этим нормам уголовного законодательства варьируется от штрафа до 5 лет тюремного срока.

Однако доказать факт хищения и использования клиентской базы в корыстных целях достаточно трудно. Для этого необходимо определить действительный материальный ущерб.

Защитите базу клиентов от копирования

Следует запретить менеджерам вести клиентскую базу данных на личном компьютере. Необходимо установить CRM либо любую иную автоматизированную систему, сведения из которой простому пользователю вряд ли получится скопировать на флеш-карту.

Можно воспользоваться программой MS Access. Большинству менеджеров некоторые ее функции (например, копирование либо удаление профиля клиента) просто недоступны. Также можно ограничить возможность извлечь файлы, отключив CD-ROM или заблокировав USB-порты на рабочих компьютерах сотрудников.

Контроль за уходом либо увольнением

В случае ухода работника из компании необходимо поставить клиента в известность. Происходит это следующим образом: бывший менеджер дозванивается до клиента и объясняет, что он увольняется, и «вести» его будет другой человек. Новый менеджер должен вскоре перезвонить и начать переговоры.

Замкните все контакты на руководителе отдела продаж

Устраивайте неформальные ежемесячные завтраки с важными клиентами для обсуждения текущих дел, а также клубные заседания – создайте отраслевой дискуссионный клуб и позовите на мероприятия ключевых заказчиков и экспертов. С заказчиками можно осуществлять совместные пресс-конференции.

Ответственность за кражу информации о клиентах

Рассмотрим, можно ли наказать за хищение клиентской базы сотрудников компании, а также конкурентов.

Можно ли привлечь к ответственности сотрудника?

Когда кадровые документы подписаны, вы вправе привлечь работника к трудовой, административной, гражданской или уголовной ответственности. Гражданская ответственность предполагает возмещение убытков, понесенных компанией при противоправном распространении ее клиентской базы, и взыскание с правонарушителя установленной судебным органом компенсации.

Вы можете сделать работнику выговор и занести его в трудовую книжку или сразу уволить сотрудника по ст. 81 ТК РФ. Также вы можете подать на служебный персонал в суд, руководствуясь ст. 13.14 КоАП РФ.

Если вас заподозрили в нарушении положения о коммерческой тайне, худший вариант развития событий – это вменение ст. 183 УК РФ. Максимальное наказание по ней – до 5 лет лишения свободы. Мало кто захочет нарушить законодательство, если будет знать об ответственности за данное деяние.

Можно ли привлечь к ответственности конкурента?

Что делать, если сотрудник уволился и использовал базу украденных данных клиентов в собственных интересах, чтобы открыть свой бизнес?

Подобная проблема требует комплексного подхода. Прежде всего стоит заблокировать недобросовестного конкурента. Затем, чтобы избежать повторений таких ситуаций, нужно разработать внутреннюю нормативно-правовую документацию, которую будет подписывать сотрудники, работающие с конфиденциальными сведениями.

Привлечь к ответственности недобросовестного конкурента несложно, достаточно обратиться к администрации хостинга его веб-сайта и всех площадок, на которых размещена информация о нем (социальные сети, поисковики, партнерские ресурсы), с правильно оформленным требованием о блокировке и удалении сведений.

Вы можете потребовать возмещения ущерба, руководствуясь гражданским законодательством, а также привлечь бывшего сотрудника-конкурента к административной либо уголовной ответственности.

Нужно доказать в судебном органе, что он нарушил положение о коммерческой тайне.

Обратите внимание! Фирма имеет право потребовать возмещения нанесенных убытков субъектом, прекратившим с ним трудовые отношения, в ситуации, если это лицо является виновным в разглашении сведений, составляющих коммерческую тайну.

Возможно ли взыскание ущерба?

Если вы хотите получить упущенную выгоду с недобросовестного работника, рекомендуем провести публичное дело, которое станет основанием для будущих разбирательств.

Прежде всего нужно правильно оформить досудебную претензию и произвести сбор доказательной базы, чтобы конкурент не уничтожил улики к началу назначения слушания в суде.

Большинство подобных дел имеют положительный результат для истца. Для недобросовестного бывшего сотрудника это значит ограничение его деятельности, а также взыскание процента с оборота его фирмы и компенсации расходов на услуги юристов.

Специалисты нашей компании дадут подробную консультацию по вопросу хищения клиентской базы. Задать вопрос можно через форму на сайте и по телефону.

Источник: https://vitlprav.ru/articles/krazha-bazy-klientov-mozhno-li-vzyskat-ubytki/

Легко ли украсть у вас клиентскую базу?

Кража базы данных в компании

В VI веке до нашей эры китайцы лишились своей тайны – технологии изготовления шелка – ее выкрали римские шпионы. Это первый известный истории случай коммерческой разведки. Сегодня ничто не вызывает у «разведчиков» таких приступов любопытства, как клиентская база конкурента. И раздобыть ее, как показывает практика, совсем не сложно: 99% способов воровства совершенно законны.

Вряд ли кто-либо пожелает признаться в собственной беспечности. Поэтому достоянием общественности становятся лишь единичные факты воровства у компаний баз данных с информацией о клиентах фирмы.

«Клиентская база как программный продукт, который содержит информацию о контрагентах фирмы, охраняется законом об авторском праве. Но на практике воруют обычно не саму программу, а важную информацию из нее – данные клиентов, цену поставки, предоставляемые скидки.

Эти сведения не являются объектами авторского права», – рассказывает юрист компании «Городисский и партнеры» Роман Головацкий.

Информация о клиентах защищается законом о коммерческой тайне, однако это не спасает базы от посягательств конкурентов. «В судах нет дел по краже клиентских баз, потому что предприниматели понимают, что юридически не оформили охрану важной для фирмы информации и выиграть процесс им не под силу.

Если же на предприятии с сотрудниками заключаются договоры, в которых оговариваются вопросы коммерческой тайны, то вероятность кражи значительно снижается. У работника есть возможность заранее ознакомиться, как в компании работает система наказания за «слив» информации – крупные штрафы, увольнение по статье, возмещение убытков и т. д.

», – полагает патентный поверенный Олег Новосельцев.

Попытка бегства

Впрочем, против самого распространенного способа «увода» клиентских баз – ухода сотрудников вместе с важной информацией – противоядия пока не найдено. Грамотная мотивация и специальные пункты в трудовых договорах снижают риск, но все же не дают гарантии.

Когда рабочий процесс поставлен так, что все зависит от конкретных сотрудников, фирма может оказаться на грани закрытия. Так произошло с компанией Buro-Object (продажа мебели) – все ключевые менеджеры по продажам ушли и создали свою фирму.

Хорошо, что у генерального директора компании хватило смелости поговорить со своими партнерами и предупредить их о неприятной ситуации. Точно такая же неприятность случилась недавно с крупной петербургской компанией – оптовым продавцом мобильных телефонов.

Два сотрудника ушли к конкурентам, прихватив с собой множество деловых контактов с клиентами. Только умение директора договориться с почти уже потерянными партнерами помогло исправить дело.

Ценная беспечность

Часто клиентские базы добывают, пользуясь беспечностью кадров, которых в свою очередь не посчитал нужным проинструктировать руководитель. Представившись работником фирмы по установке справочно-правовых баз, можно легко узнать от сотрудников, какая база уже установлена.

Устроиться в эту фирму менеджером по продажам, прийти на предприятие в качестве настройщика программы («Вася, который всегда обслуживал вас, сегодня заболел») и, получив доступ к компьютеру, скачать базу клиентов.

Такая ситуация не так давно случилась в одной из крупных петербургских энергосбытовых компаний.

Другой вариант беспечного поведения сотрудников, которое способствует краже ценной информации, – оставить ее без внимания. Важные документы, например счета-фактуры, сотрудники забывают убрать со стола, а потом выходят, оставляя посетителя наедине с секретными данными.

Достаточно быть просто наблюдательным, чтобы составить клиентскую базу из полученных сведений. Такими способами промышляют как конкуренты, так и просто желающие «сбыть» базу. В зависимости от рынка и количества сведений цена «заказной» базы составляет не менее $2 тыс.

Еще один законный, самый безобидный и потому пользующийся все большей популярностью способ получения сведений о производимых товарах и клиентах конкурентов – это выставки. Менеджер, представляющий стенд компании, с радостью выдаст все секреты фирмы. Именно таким методом получения информации воспользовалась в свое время известная питерская компания по производству соусов и кетчупов.

Находка для шпиона

Иногда конкуренты применяют незаконные способы «слива» баз, подпадающие под статью Уголовного кодекса о неправомерном доступе к компьютерной информации. Даже выложив свою базу данных на удаленный сервер где-нибудь в США, нельзя быть уверенным, что ее не вскроют, подкупив программиста для ее «взлома».

 Таким образом недавно одна петербургская часовая мастерская своровала базу у своего конкурента. Цена вопроса составила порядка $1 тыс. C помощью банальных жучков за $100, установленных на телефоне в комнате переговоров, или мобильного телефона с диктофоном также можно достигнуть нужного результата.

Совещания, где специалисты по продажам подробно рассказывают о том, что сделано за неделю, с какими клиентами заключены соглашения, – настоящая находка для шпиона.

Защитить клиентскую базу на 100% нельзя

О том, как снизить возможность воровства баз данных о клиентах, корреспондент «ПП» Александра Андреева выясняла у консультанта в области деловой разведки Валерия Афанасьева.

«ПП»: Можно ли в принципе защитить клиентскую базу от кражи?

Валерий Афанасьев (ВА): Если кому-то нужна именно ваша клиентская база, он ее получит. Но можно сделать ее кражу затруднительной. Определить, насколько эти сведения уязвимы, и по возможности усложнить к ним доступ.

Проверить, стоит ли защита на каждом этапе доступа к клиентской базе или охраняется только вход на предприятие? Не упущена ли возможность «прослушки»? Система защиты работает непрерывно или есть время, когда она «отдыхает»? Даже если ответы на эти вопросы вас убедили, расслабляться не стоит – построенной системой надо управлять и контролировать ее работу.

«ПП»: Что может служить сигналом о возможной краже базы?

ВА: Если менеджер по региону А, проявляет интерес к работе менеджера по региону В, присмотрите за таким работником. Если профилактику компьютера обычно проводил Иванов, а в этот раз пришел Сидоров. Системный администратор заметил, что с базой работают не те пользователи, что обычно. Эти сигналы тоже нельзя оставлять без внимания.

«ПП»: А если опасения о том, что информацию хотят похитить, подтверждаются?

ВА: Тогда информацию нужно убрать оттуда, где она обычно находилась. Лучше всего заменить на дезинформацию. Например, изменить цены, условия поставки, имена и фамилии. Можно просто заменить важную информацию на бесполезную. Вместо базы данных подсунуть отчет о посадке деревьев во дворе.

ТЕСТ: Легко ли украсть у вас клиентскую базу?

1. Может ли посторонний человек проникнуть в ваш офис?

  • Да, мы открыты для посетителей – 2 балла
  • Мы ждем только тех, с кем была предварительная договоренность – 1 балл
  • Пройти можно, только имея пропуск с подписью директора и предъявив паспорт – 0 баллов

2. Может ли посторонний человек получить доступ к офисному компьютеру?

  • Нет, потому что все компьютеры защищены паролем – 2 балла
  • Да, если он сотрудник службы поддержки установленных программ или баз – 1 балл
  • Нет, наши сотрудники при посторонних никогда не выходят из кабинета – 0 баллов

3. Может ли любой сотрудник компании получить доступ к клиентской базе?

  • Да, этой базой пользуются все наши сотрудники – 3 балла
  • Нет, доступ к ней есть только на нескольких компьютерах, но иногда по техническим причинам работников приходится пересаживать – 2 балла
  • Нет, она запаролена и лежит только на диске на компьютере директора – 1 балл
  • Нет, база лежит на компьютере-сервере, расположенном запределами офиса – 0 баллов

4. Может ли сотрудник, имеющий доступ к клиентской базе, скопировать, распечатать или отправить ее по электронной почте?

  • Да, все сотрудники пользуются электронной почтой, принтером и т. д.– 2 балла
  • Электронная почта проверяется специальными программами, которые отсеивают подозрительные письма, а доступ на бесплатные почтовые сайты типа mail.ru запрещен – 1 балл
  • Доступ к Интернету есть у сотрудников, не имеющих доступа к базе, все компьютеры лишены СD-ROM-устройств и USB-разъемов, не имеют связи с принтером – 0 баллов

5. Есть ли в трудовом договоре работников пункт об ответственности за разглашение коммерческой тайны?

  • Нет – 3 балла
  • Есть, но конкретный перечень информации, являющейся коммерческой тайной, и ответственность за ее разглашение не прописаны – 2 балла
  • Есть, за разглашение коммерческой тайны в нашей компании увольняют – 1 балл
  • Есть, в договоре сказано, что клиентская база – это коммерческая тайна и за ее «слив» нарушителя ждет судебное разбирательство – 0 баллов

6. Как обычно увольняются ваши сотрудники?

  • Увольняющиеся сотрудники никого не интересуют – 3 балла
  • Увольняющийся передает работу другому сотруднику, который за ним следит – 2 балла
  • Увольняющийся работник не имеет права пользоваться дисками, флэш-картами и электронной почтой – 1 балл
  • Увольняющийся работник не имеет доступа к клиентской базе и обязан при всех по телефону известить клиентов фирмы о своем уходе – 0 баллов

Вы набрали:

12-15 баллов – к сожалению, все, что можно, у вас, скорее всего, уже украли. Если вы не примете меры, можете лишиться своего бизнеса

6-11 баллов – еще не все потеряно. Но если вы будете и дальше смотреть сквозь пальцы на защиту от воров, ваша клиентская база рано или поздно окажется у конкурентов

0-5 баллов – неплохо, но не расслабляйтесь и примите дополнительные меры безопасности. Если вашу базу данных «закажут», существующие системы защиты могут дать сбой.

  А. Андреева

Источник: https://www.itctraining.ru/biblioteka/bezopasnost/bezopasnost-baz-dannyh/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.