Согласно исследованию InfoWatch за 2023 год объем скомпрометированных персональных данных в 2023-м году увеличился в 2,5 раза, и это при том, что годом ранее из российских компаний утекли данные 75% всех российских пользователей.
С одной стороны, это говорит о том, что самих данных, которые мы считаем персональными, стало больше, с другой — о том, что самые современные технологии защиты имеют предел прочности. Каждая громкая утечка затрагивает отдел кадров и может обернуться серьезными проблемами с законом.
Часто утечку информации или клиентских данных из компании ассоциируют со взломом. Злые хакеры, сидящие в темной комнате, пишут хитроумную программу, которая за минуту обходит систему защиты сервера и на экране появляется полоска загрузки — все данные украдены… это все киношные штампы.
На практике утечки почти всегда происходят через сотрудников. Либо из-за чьей-то невнимательности: нажал на ссылку в фишинговом письме, ввел данные на подозрительном сайте, сохранил файл со всеми паролями в личной почте и так далее. Либо при прямом участии работников, когда они продают данные компании злоумышленникам, — выносят на флэшках, пересылают по почте, отдают свой пароль и логин. Никаких фантастических технологий.
Причем от такого предательства не застрахованы ни банки с зеленым логотипом, ни поисковик с красной буквой в названии. Расследования утечек показывают, что за каждой из них стоит сотрудник компании. И все эти расследования, всегда проходят при участии отдела кадров. Сначала приходят для того, чтобы узнать, кто имел доступ, а потом для того, чтобы собрать документы для правоохранительных органов или суда. И вот тут-то может оказаться, что в компании просто нет документов, запрещающих сотрудникам воровать данные.
Существует мнение, что штрафы за утечку данных не так велики (недавняя утечка данных 58 тысяч клиентов обошлась «Яндекс. Еде» в рубль на клиента — штраф составил 60 тысяч рублей), чтобы заморачиваться с правильным хранением данных. Но Минцифры хорошо знает о проблеме и давно проводит закон об оборотных штрафах (3–6% от годового борота) за утечку личных данных. Когда такой закон будет принят, внедрять политику информационной безопасности нужно будет срочно.
СКУЧНЫЕ БУМАЖКИ
Несмотря на повальную цифровизацию и внедрение на предприятиях колоборативных роботов, в трудовом распорядке некоторых заводов до сих пор можно найти ссылки на «Кодекс законов о труде» (КЗОТ), принятый ВС РСФСР 9 декабря 1971 года. Такая документальная отсталость является уязвимостью предприятия, поскольку нельзя наказать человека по закону, который утратил силу 30 лет назад.
Так что фундамент информационной безопасности — это самые скучные и нелюбимые кадровиками бумажки — трудовой распорядок и должностные инструкции. И в этих документах должны быть прописаны обязанности сотрудника по соблюдению информационной безопасности.
В некоторых случаях в должностные обязанности стоит добавить пункт об обязательном прохождении тренингов по информационной безопасности.
Вообще документооборотом пренебрегать опасно: если в компанию нагрянет проверка или, того хуже, проверка в масках, и бухгалтерия, и отдел кадров должны иметь возможность быстро объяснить происхождение и путь каждого документа, хранящегося в компании.
ПОЛИТИЧЕСКИЙ ВОПРОС
Отдельно все требования и процедуры по соблюдению секретности должны быть собраны в документ под названием «Политика информационной безопасности». Этот документ должен содержать как бы идеальную модель того, как должны протекать рабочие процессы с точки зрения сохранения конфиденциальной информации в конфиденциальном виде. Составляя этот документ, нужно стремиться к лаконичности — большой объем читать не станут: только цель, метод достижения и ответственность за нарушение.
Обязательно должны быть прописаны запреты на установку любого стороннего ПО, посещение токсичных и подозрительных сайтов с рабочих компьютеров и, конечно, использование флешек. Стоит также записать, что корпоративная почта является собственностью компании и может быть проверена в любой момент. На всякий случай стоит также предусмотреть техническую возможность премодерации почты, с тем чтобы в случае конфликта с работником он не мог на прощание скинуть себе клиентскую базу или что-то в этом роде.
Но не нужно думать, что политика безопасности — это какой-то технический документ, который должен быть написан на языке сисадминов и касаться только компьютерных вопросов. В нем должны быть пункты про запрет на разглашение зарплат, обсуждение внутренних вопросов компании с посторонними, нехрание важных бумаг на столе и другие поведенческие рекомендации.
ТАИНСТВЕННЫЙ СПИСОК
Второй документ, обязательный для сохранения коммерческой тайны, — это перечень документов и информации, составляющих коммерческую тайну. Этот формальный документ должен содержать список данных, не подлежащих разглашению, и образец маркировки документов, которые эти данные содержат. Важно помнить, что информация, которую компания собирается отнести к коммерческой тайне, должна представлять ценность или конкурентное преимущество. Можно засекретить рецепт или процедуру проверки клиента, но не нельзя график работы или штатную численность.
Установите порядок обращения с такой информацией и контроль за соблюдением такого порядка. Сделать это нужно документально — устные указания здесь не работают. Проще всего прописать это в отдельным приказе, распоряжении или положении — в зависимости от того, как это принято в вашей компании. Там нужно очертить круг людей, имеющих доступ к коммерческой тайне, пофамильно или по должностям. Отдельно указать способ и место хранения этой информации.
Организуйте учет лиц, получивших доступ к информации, составляющей коммерческую тайну. Если документы бумажные, можно завести специальный журнал. Получил человек документ —расписался в журнале. Сдал — ответственный за хранение ставит свою подпись о приеме. Если информация существует в электронном виде, можно ограничить приказом доступ к компьютеру, на котором она хранится, установить на нем пароль и выдавать его пользователям под подпись. А еще в этом случае очень хорошо помогает видеокамера, контролирующая доступ к компьютеру, главное — предупредить об этом сотрудников.
Пропишите все, что связано с коммерческой тайной, в трудовых договорах работников, их должностных инструкциях и в гражданско-правовых договорах контрагентов. Каждый работник, допущенный к коммерческой тайне, должен не просто знать об этом. Его нужно ознакомить под подпись со всеми документами, где описан этот порядок: должностными инструкциями, положениями и дополнительными соглашениями.
Нанести на носители с информацией, составляющей коммерческую тайну, специальный гриф «Коммерческая тайна» и указать обладателя такой информации. Для юридических лиц это полное наименование и местонахождение. Для ИП — фамилия, имя, отчество и место жительства. Способ нанесения грифа в законе не описан. Это может быть печать, надпись от руки, наклей- ка — если гриф проставляется, например, на флешке или жестком диске компьютера. А еще его можно печатать сразу на бланк документа. Главное, чтобы было видно, что информация на носителе относится к коммерческой тайне и кто ее владелец.
Анна Иванова, руководитель практики трудового права BGP Litigation
— Очень важно прописывать прямой запрет на отправку коммерческой тайны на личный ящик. У нас несколько лет назад Конституционный суд сказал, что если работник отправляет коммерческую тайну с корпоративного ящика на свой личный ящик (Mail, Google, Yahoo и Yandex и прочее) то он нарушает, потому что информация, которая ушла из корпоративного ящика на личный, становится вне зоны контроля работодателя. Но работает это с одним условием: если вы работнику прямо сказали, что это делать нельзя. Казалось бы, всего одно предложение, но насколько оно вас защищает.
ЗНАТЬ И ПРАКТИКОВАТЬ
Сисадмины и айтишники зачастую думают, что если разослать письмо с предупреждением типа «так делать нельзя», то все сотрудники тут же перестанут так делать. Это не так.
В январе 2023 года после масштабной утечки данных целого ряда своих сервисов (в том числе умной колонки Алиса, которая, оказывается, сохраняет все запросы), компания Яндекс заявила о том, что возобновляет работу по формированию принципов и стандартов техноэтики и инфобезопасности. Это значит, что даже в этой компании нашлись работники, которые забили на правила и допустили утечку. И так будет в любой другой компании, где о правилах рассказывают только один раз — при устройстве на работу.
ЧЕМ ОПАСНА УТЕЧКА ДАННЫХ?
Еще десять лет назад к личным данным относились паспортные данные, номера банковских карт и телефонов, адреса, номера автомобилей и так далее. Сегодня к ним прибавились данные о заказах в интернет-магазинах, службах доставки, поездках на такси, денежных переводах, звонках, трафике. Согласуя между собой данные из нескольких источников, можно восстановить жизнь почти любого человека, восстановить и украсть.
В основном, украденные личные данные используются мошенниками — все звонки из службы безопасности банка, в ходе которых сотрудник называет номера ваших карт, имена родственников и знакомых, остаток средств на счете и прочие непубличные данные, возможны только благодаря утечкам.
Таким образом одной из задач отдела кадров становится создание системы, которая бы постоянно напоминала работникам о необходимости соблюдения политики информационной безопасности. Это могут быть обязательные тренинги, периодическое тестирование, аттестация при повышении и т. д. Главное, чтобы это не превращалось в формальность.
Чаще всего объектом краж становится база клиентов, но в настоящее время утечка личных данных работников тоже станет серьезной проблемой для работодателя. И не только из-за штрафов. Сотрудники могут стать жертвами мошенников, могут получить прямое предложение от конкурента, а то и попасть в более опасную ситуацию, учитывая текущую внешнеполитическую ситуацию.
Печальный опыт 2023-го года подсказывает, что многим людям незнакомы простые правила, помогающие уберечь себя и своих близких от мошеннических звонков. Распространить такую памятку среди работников будет правильным решением и в 2024-м.