Кража базы данных в компании

Сегодня предлагаем вниманию статью на тему: "Кража базы данных в компании". Мы попытались полностью раскрыть тему, а наш специалист Сергей Шевцов поделится важными комментариями основанными на опыте работы.

Воровство клиентских баз данных

Продолжим начатый в главе 1 разговор о воровстве клиентских баз данных. Несмотря на то, что достоянием гласности являются только единичные факты воровства клиентских баз данных, количество даже известных широкой публике случаев за последнее время значительно выросло. Для нас наиболее интересно то, что большинство хищений информации связано с использованием методов социальной инженерии.

Примечание

Причина того, что достоянием гласности становится лишь малый процент таких хищений в том, что фирмы, естественно, не желают портить свою репутацию, признаваясь в собственной беспечности.

Наиболее просто добыть клиентские базы данных — это воспользоваться беспечностью сотрудников, работающих на предприятии. Нередко счета фактуры и прочие документы валяются на столах у сотрудников, которые еще имеют привычку выходить из своего кабинета минут на 10–30, так что, если и не надо, со скуки все пересмотришь. В некоторых магазинах, допустим по продаже офисной техники, мебели и т. д., многие продавцы оформляют счета, отвернувшись к своему компьютеру, а то, что я, к примеру, могу быть сотрудником конкурирующей фирмы, и мне ничто не мешает постоять за спиной и посмотреть список клиентов, это никого не волнует. Однажды одной даме, которая слишком долго оформляла мою покупку (в компьютерном магазине), я сказал: “Девушка, я вижу, что вы еще не очень освоились с 1С-предприятием, давайте, я вам помогу”. Девушка с удовольствием приняла мою просьбу, встала из-за компьютера и …вообще ушла на 15 минут. Вероятно, пить чай. Что еще интереснее, ни один из сотрудников, которые туда-сюда сновали мимо меня (ее компьютер стоял в центре магазина), не поинтересовался, чего это собственно я (посторонний человек) за ним сижу.

Видео (кликните для воспроизведения).

Случаи, когда похищаются клиентские базы данных, пользуясь беспечностью работающих на предприятии кадров, очень нередки.

К примеру, для начала можно представиться сотрудником фирмы, которая устанавливает базы данных, и, проникнув таким образом за компьютер, или просто спросив у сотрудников, узнать, какие базы данных уже установлены на пользовательских машинах. А если повезет, то заодно их и скачать.

Можно поступить так, как было в одной энергетической компании Санкт-Петербурга (этот случай мы описывали в главе 1), когда человек, представившись другом заболевшего сотрудника (системного администратора), сказал, что друг попросил его сегодня заменить. Хотя выяснить, друг попросил или кто-то еще, можно очень просто: позвонив своему сотруднику и перепроверив информацию. Правда, можно поступить хитрее и действительно сделать так, что друг подтвердит эту информацию. Можно ведь просто стать на некоторое время другом системного администратора. Пусть и не лучшим. Главное, чтобы этой дружбы было достаточно для того, что когда он действительно заболеет (или просто по каким-то причинам не сможет прийти на работу), он обратился за помощью к кому нужно. К другу, то есть, который только этого и ждет. Или не просто ждет, а пытается форсировать ситуацию. К примеру, вам вдруг неожиданно пришла повестка в военкомат, и, надо же какое совпадение, в тот вечер, когда вы обнаружили ее в своем ящике, вы как раз шли к себе домой вместе с другом попить пивка.

— Ой, е…, — говорите вы “другу”, — мне же завтра обязательно нужно быть на работе. Чего же делать то…

А друг он на то и друг, чтобы подстраховать товарища в нужную минуту.

— Да ерунда, — говорит он вам, — дел-то на три копейки. Давай я завтра вместо тебя схожу и все сделаю. Позвони своему боссу, предупреди, что, так, мол, и так, у меня такая ситуация и вместо меня придет мой хороший товарищ.

И, радуясь, как удачно все разрешилось, вы вместе с “другом” со спокойной душой идете пить пиво.

Можно на месяц устроиться в фирму, у которой надо украсть базы, менеджером по продажам. И уйти из нее на второй день, сказав, что не устроил коллектив вообще и директор в частности.

Примечание

Один из самых простых способов своровать нужную базу данных. Таким образом одна московская часовая мастерская своровала клиентскую базу данных у своего конкурента. Цена вопроса составила около $1500.

Ну и, наконец, самый распространенный тип кражи баз данных, это их “уход” с предприятия вместе с сотрудниками, как это произошло некоторое время назад с одной московской фирмой по продаже мебели, когда все ключевые менеджеры ушли и открыли свое дело. Аналогичная ситуация случилась недавно в Санкт-Петербурге у крупной компании, занимающейся продажей сотовых телефонов. В обоих случаях только умение директоров договариваться с партнерами, которым они объяснили ситуацию, помогло спасти дело. Известен случай в Новосибирске, когда из компании, занимающейся корпоративной поставкой компьютеров, ушли ключевые менеджеры и создали собственную фирму, естественно, под работу с теми клиентами, которых они обслуживали, трудясь в прежней организации. Примеры приводить можно долго.

Как же защититься от воровства клиентских баз? Самое простое — соблюдать те правила защиты, о которых мы говорили в предыдущем разделе, дополнив их еще несколькими. Итак.

• Ни один из сотрудников предприятия не должен знать больше, чем ему полагается знать по должности.

• В трудовом контракте с сотрудником обязательно должен быть прописан пункт о том, что за разглашение коммерческой информации сотрудника ждет ответственность вплоть до уголовной.

Примечание

Видео (кликните для воспроизведения).

• Посторонние люди не должны иметь простого доступа в офис.

• Если в комнате находятся посторонние, сотрудники ни при каких условиях не должны выходить из комнаты.

• Нередко бывает так, что доступ к клиентской базе имеет практически любой сотрудник, так как база лежит на общем Doc-сервере, к которому не имеет доступа разве что уборщица. Конечно, такого быть не должно. Доступ к клиентской базе данных должны иметь только те служащие, которым это положено по должности. Это всем известное правило, согласно которому, чем меньше лиц имеет доступ к конфиденциальной информации, тем меньше вероятность, что эта самая информация “уйдет на сторону”.

Читайте так же:  Имущество супругов, раздел имущества

Замечание

Многие эксперты в области конкурентной разведки приводят еще правило, согласно которому все компьютеры, которые имеют доступ к клиентской базе, не должны иметь выхода в Интернет, быть без дисководов, приводов CD- и DVD-ROM, USB-входов, с них нельзя ничего распечатать и т. д. На наш взгляд, это правило, во-первых, не реальное, так как подобные меры просто очень сильно затруднят работу, а, во-вторых, ни к чему не приводящее, поскольку в этом случае компьютеры тогда должны быть еще и без мониторов, чтобы нельзя было перефотографировать информацию с экрана монитора. В настоящее время некоторые эксперты склоняются к тому, что уменьшить потери от воровства клиентских баз с компьютеров поможет внедрение систем CRM (систем управления и учета взаимоотношений с клиентами).

Изображение - Кража базы данных в компании proxy?url=http%3A%2F%2Fvitlprav.ru%2Fmedia%2Fcache%2Ffd%2F4f%2Ffd4facc3ae0202bac9f4faeb7bfb2205

Любой руководитель организации или ИП знает: база клиентов – важнейший актив. Хищение денег или оборудования можно пережить, но если у вас взломали аккаунты базы данных, то это может привести к краху вашего бизнеса. Ситуации, когда сотрудники уходят и «уводят» за собой клиентов, случаются часто. Как быть в таком случае, читайте в нашей статье.

Согласно ст. 3 Федерального закона «О коммерческой тайне» от 29.07.2004 № 98-ФЗ под ее разглашением подразумевают действия или бездействие, в результате которых сведения, составляющие коммерческую тайну, в любой возможной форме становятся известны третьим лицам без согласия владельца такой информации вопреки гражданско-правовому или трудовому договору.

Предполагается специальное оформление документации на уровне локальных актов. Если же решение об отнесении той или иной информации к конфиденциальной не принято, режим коммерческой тайны и ответственность не наступает.

Нужно принять три документа:

  • о перечне данных, составляющих коммерческую тайну;
  • о порядке ознакомления с ними;
  • о круге субъектов, имеющих право работать с подобными сведениями.

Требуется ознакомить с ними сотрудников под роспись.

Трудовое соглашение регламентирует отношения с сотрудником. Без него вы не привлечете работника к ответственности. Укажите в договоре пункт о соблюдении коммерческой тайны.

Каждая строчка положения о коммерческой тайне и трудового договора должна опираться на действующее законодательство.

Оформление клиентской базы в качестве нематериального актива

Чтобы защититься от кражи базы клиентов, можно оформить ее как нематериальный актив НМА организации, не имеющий физической формы.

Он признается таковым в том случае, если:

  • его можно выделить из компании и передать, продать, лицензировать, сдать в аренду либо обменять вместе с соответствующим договором или отдельно;
  • возникает при договорных либо иных юридических прав, независимо от того, можно ли их передавать или отделить от организации или от других обязательств;
  • имеется высокая вероятность того, что в будущем от применения актива фирма получит экономическую выгоду;
  • стоимость актива надежно оценят.

Таким образом, в ситуации копирования клиентской базы, которая оформлена в качестве НМА, незаконные действия будут расцениваться как хищение и квалифицироваться по ст. 158 УК РФ. Можно применить и ст. 165 УК РФ «Причинение имущественного ущерба путем обмана или злоупотребления доверием». Наказание по этим нормам уголовного законодательства варьируется от штрафа до 5 лет тюремного срока.

Однако доказать факт хищения и использования клиентской базы в корыстных целях достаточно трудно. Для этого необходимо определить действительный материальный ущерб.

Следует запретить менеджерам вести клиентскую базу данных на личном компьютере. Необходимо установить CRM либо любую иную автоматизированную систему, сведения из которой простому пользователю вряд ли получится скопировать на флеш-карту.

Можно воспользоваться программой MS Access. Большинству менеджеров некоторые ее функции (например, копирование либо удаление профиля клиента) просто недоступны. Также можно ограничить возможность извлечь файлы, отключив CD-ROM или заблокировав USB-порты на рабочих компьютерах сотрудников.

В случае ухода работника из компании необходимо поставить клиента в известность. Происходит это следующим образом: бывший менеджер дозванивается до клиента и объясняет, что он увольняется, и «вести» его будет другой человек. Новый менеджер должен вскоре перезвонить и начать переговоры.

Замкните все контакты на руководителе отдела продаж

Устраивайте неформальные ежемесячные завтраки с важными клиентами для обсуждения текущих дел, а также клубные заседания – создайте отраслевой дискуссионный клуб и позовите на мероприятия ключевых заказчиков и экспертов. С заказчиками можно осуществлять совместные пресс-конференции.

Рассмотрим, можно ли наказать за хищение клиентской базы сотрудников компании, а также конкурентов.

Когда кадровые документы подписаны, вы вправе привлечь работника к трудовой, административной, гражданской или уголовной ответственности. Гражданская ответственность предполагает возмещение убытков, понесенных компанией при противоправном распространении ее клиентской базы, и взыскание с правонарушителя установленной судебным органом компенсации.

Вы можете сделать работнику выговор и занести его в трудовую книжку или сразу уволить сотрудника по ст. 81 ТК РФ. Также вы можете подать на служебный персонал в суд, руководствуясь ст. 13.14 КоАП РФ.

Если вас заподозрили в нарушении положения о коммерческой тайне, худший вариант развития событий – это вменение ст. 183 УК РФ. Максимальное наказание по ней – до 5 лет лишения свободы. Мало кто захочет нарушить законодательство, если будет знать об ответственности за данное деяние.

Что делать, если сотрудник уволился и использовал базу украденных данных клиентов в собственных интересах, чтобы открыть свой бизнес?

Подобная проблема требует комплексного подхода. Прежде всего стоит заблокировать недобросовестного конкурента. Затем, чтобы избежать повторений таких ситуаций, нужно разработать внутреннюю нормативно-правовую документацию, которую будет подписывать сотрудники, работающие с конфиденциальными сведениями.

Читайте так же:  Какой срок гарантии устанавливается на обувь по закону

Привлечь к ответственности недобросовестного конкурента несложно, достаточно обратиться к администрации хостинга его веб-сайта и всех площадок, на которых размещена информация о нем (социальные сети, поисковики, партнерские ресурсы), с правильно оформленным требованием о блокировке и удалении сведений.

Вы можете потребовать возмещения ущерба, руководствуясь гражданским законодательством, а также привлечь бывшего сотрудника-конкурента к административной либо уголовной ответственности. Нужно доказать в судебном органе, что он нарушил положение о коммерческой тайне. Обратите внимание! Фирма имеет право потребовать возмещения нанесенных убытков субъектом, прекратившим с ним трудовые отношения, в ситуации, если это лицо является виновным в разглашении сведений, составляющих коммерческую тайну.

Если вы хотите получить упущенную выгоду с недобросовестного работника, рекомендуем провести публичное дело, которое станет основанием для будущих разбирательств.

Прежде всего нужно правильно оформить досудебную претензию и произвести сбор доказательной базы, чтобы конкурент не уничтожил улики к началу назначения слушания в суде.

Большинство подобных дел имеют положительный результат для истца. Для недобросовестного бывшего сотрудника это значит ограничение его деятельности, а также взыскание процента с оборота его фирмы и компенсации расходов на услуги юристов.

Специалисты нашей компании дадут подробную консультацию по вопросу хищения клиентской базы. Задать вопрос можно через форму на сайте и по телефону.

Здравствуйте. На работе сложилась такая ситуация: Меня обвиняют, что я украла у компании базу клиентов, но никаких доказательств не предоставляют, основываясь на ложных обвинениях другого сотрудника. Я написала заявления на увольнение по собственному желанию и по истечении отработанных мною 2х недель и перед расчетом и получением трудовой книжки предъявляют обвинения, а так же грозят беседой под протоколом. Как правильно поступить в такой ситуации? Заранее спасибо за ответ.

Если у Вас остались вопросы, то обратитесь за консультацией к нашим юристам.

Для того что бы понять, как действовать в вашем случае, пожалуйста заполните форму обратной. Кратко опишите Вашу ситуацию укажите Ваше Имя город и номер телефона отправьте заявку и получите консультацию в течении 10 минут.

Изображение - Кража базы данных в компании proxy?url=https%3A%2F%2Fincrussia.ru%2Fwp-content%2Fthemes%2Finc%2Fimg%2Fshare%2Ftwitter

Изображение - Кража базы данных в компании proxy?url=https%3A%2F%2Fincrussia.ru%2Fwp-content%2Fthemes%2Finc%2Fimg%2Fshare%2Ffacebook

Изображение - Кража базы данных в компании proxy?url=https%3A%2F%2Fincrussia.ru%2Fwp-content%2Fthemes%2Finc%2Fimg%2Fshare%2Fvk

Изображение - Кража базы данных в компании proxy?url=https%3A%2F%2Fincrussia.ru%2Fwp-content%2Fthemes%2Finc%2Fimg%2Fshare%2Fok

Изображение - Кража базы данных в компании proxy?url=https%3A%2F%2Fincrussia.ru%2Fwp-content%2Fthemes%2Finc%2Fimg%2Fshare%2Fflip

Изображение - Кража базы данных в компании proxy?url=https%3A%2F%2Fincrussia.ru%2Fwp-content%2Fthemes%2Finc%2Fimg%2Fshare%2Fgplus

  • Изображение - Кража базы данных в компании proxy?url=https%3A%2F%2Fcdn.incrussia.ru%2Fwp-content%2Fuploads%2F2018%2F05%2FOganesyan_f-150x150Ашот Оганесян основатель и технический директор DeviceLock DLP

Изображение - Кража базы данных в компании proxy?url=https%3A%2F%2Fcdn.incrussia.ru%2Fwp-content%2Fuploads%2F2018%2F08%2Fsecurity_cover

Согласно исследованию DeviceLock DLP, именно на август приходится пик попыток сотрудников прочесть или скопировать документы, составляющие коммерческую тайну. В этом месяце происходит почти 20% таких атак, что почти втрое превышает среднемесячный объем по году. Дело и в сокращении общей деловой активности и, соответственно, рабочей нагрузки на сотрудников — многим банально нечем заняться из-за традиционного снижения деловой активности, — а также в ослаблении контроля за работниками со стороны руководителей. Но главное — осенью многие сотрудники меняют место работы и часть из них таким образом готовится к переходу. Защитить корпоративные данные от копирования непросто, но возможно.

Чаще всего копируются базы клиентов, которые затем используются конкурентами или попадают на рынки спама, на втором месте тексты и программный код, на третьем — финансовые документы. Больше всего утечек происходит в сфере сервиса, где потери данных носят повсеместный характер, потому что их практически не охраняют, — большинство компаний относятся к малому бизнесу и не имеют ни бюджета, ни компетенций для их защиты. Часто сотрудник при переходе на новое место работы копирует всю базу клиентов — с фамилиями, телефонами и e-mail. При этом большинство сотрудников даже не считает это нарушением.

Хищение клиентских баз носит повсеместный характер не только в России, но и во всем мире. По данным исследования Symantec, еще 5 лет назад половина сотрудников уже крала корпоративные данные и почти столько же планировали использовать их на новой работе после увольнения. Согласно собственным данным DeviceLock, не менее 60% сотрудников российских компаний при увольнении пытаются сделать копию данных, с которыми работают.

Изображение - Кража базы данных в компании proxy?url=https%3A%2F%2Fcdn.incrussia.ru%2Fwp-content%2Fuploads%2F2018%2F08%2Fblockchain_rm

Для работодателя утечка клиентской базы может иметь 2 неприятных последствия: во-первых, банальный переход клиентов к конкуренту, особенно если базу забирает с собой бывший сотрудник, уходящий на аналогичную должность. Но еще хуже, если клиенты начнут возмущаться, на каком основании с ними контактирует компания, которой они не передавали свои данные и не давали разрешения на их обработку. Чтобы пожаловаться в Роскомнадзор, нужно просто заполнить форму на сайте, а проверка ведомства довольно быстро выявит виновного, тем более что его новый руководитель будет валить все на него и говорить, что ничего не знал об украденной базе клиентов. В итоге виноватыми окажутся как недобросовестный продавец, так и его бывший работодатель, допустивший хищение данных. И хотя российское законодательство не предусматривает ответственность за утечки при автоматизированной обработке персональных данных, очень небольшая доля компаний в своих процессах полностью соблюдает 152-ФЗ «О персональных данных» и проверка Роскомнадзора обязательно выявит то, что обернется для бизнеса неприятностями.

Изображение - Кража базы данных в компании proxy?url=https%3A%2F%2Fceditor.setka.io%2Fclients%2FhZuv3ETo7FHtWkW7c--tXJPt_h-tF8rn%2Fcss%2Fassets%2F9493%2Fimg%2F1_DUp7Cg

Как защитить клиентскую базу от сотрудников

В первую очередь, нужно определиться, какие именно данные о клиентах вы хотите защитить (списки, финансовую информацию, проектную документацию) и где эти данные фактически находятся (база 1C, CRM-система, общие файлы). Подходить к этому вопросу стоит адекватно: нет смысла прятать, например, список клиентов, если он есть на сайте. Составленный список пригодится вам как для понимания ситуации, так и для использования на следующем шаге.

Напишите «положение о сведениях, составляющих коммерческую тайну», — это крайне важно для любых последующих юридических действий, в том числе в отношении недобросовестных сотрудников. Без такого документа вы не сможете не то что подать в суд на сотрудника, скопировавшего коммерческую информацию, но даже уволить его.

Образцы таких положений можно найти в сети, а в вашем документе обязательно должно быть указано, какая именно информация относится к коммерческой тайне, и прописаны:

Изображение - Кража базы данных в компании proxy?url=https%3A%2F%2Fceditor.setka.io%2Fclients%2FhZuv3ETo7FHtWkW7c--tXJPt_h-tF8rn%2Fcss%2Fassets%2F9493%2Fimg%2F_dot-_J8Y-kw

обязанность работника хранить эту тайну;

Изображение - Кража базы данных в компании proxy?url=https%3A%2F%2Fceditor.setka.io%2Fclients%2FhZuv3ETo7FHtWkW7c--tXJPt_h-tF8rn%2Fcss%2Fassets%2F9493%2Fimg%2F_dot-_J8Y-kw

право компании использовать технические средства охраны тайны.

Сотрудники компании должны быть ознакомлены с этим положением под роспись.

Читайте так же:  Образец приказа о замещении отсутствующего работника

Проверьте облачные ресурсы, на которых хранятся файлы, используемые в работе с клиентами и подрядчиками. Открытая всем и индексируемая поисковиками «помойка» в публичных папках — просто тренд этого сезона. Кроме Google.docs и Яндекс-диска, есть еще облака Apple, mail.ru, Amazon и даже Adobe. Mногие компании используют собственные ftp-серверы, а также «невидимые» папки на веб-сайте, которые также необходимо проверить.

Настройте разделение доступа к корпоративным системам. Несмотря на то что большинство баз данных имеют широкие возможности выдачи полномочий различным пользователям и группам, чаще всего доступ дается всем и ко всем данным сразу. А в мелких фирмах часто сотрудники вообще используют один и тот же логин и пароль.

Установите DLP-систему. DLP (data loss prevention) — специальный программный комплекс, контролирующий перемещение информации и соответствие этого перемещения правилам. Такая система позволяет, например, запретить копирование файлов на внешние накопители или подать сигнал при попытке выгрузить список клиентов на облачный диск. Конечно, ее внедрение потребует инвестиций и работы по настройке, но она точно позволит контролировать доступ к данным и запретить их копирование или пересылку. При этом сложившиеся процессы не будут нарушены, а IT-инфраструктуру не придётся перестраивать. В DLP-системах обязательно используйте:

Изображение - Кража базы данных в компании proxy?url=https%3A%2F%2Fceditor.setka.io%2Fclients%2FhZuv3ETo7FHtWkW7c--tXJPt_h-tF8rn%2Fcss%2Fassets%2F9493%2Fimg%2F_dot-_J8Y-kw

запрет копирования любых данных на внешние носители;

Изображение - Кража базы данных в компании proxy?url=https%3A%2F%2Fceditor.setka.io%2Fclients%2FhZuv3ETo7FHtWkW7c--tXJPt_h-tF8rn%2Fcss%2Fassets%2F9493%2Fimg%2F_dot-_J8Y-kw

контроль вложений в письма по электронной почте, в том числе по ключевым словам;

Изображение - Кража базы данных в компании proxy?url=https%3A%2F%2Fceditor.setka.io%2Fclients%2FhZuv3ETo7FHtWkW7c--tXJPt_h-tF8rn%2Fcss%2Fassets%2F9493%2Fimg%2F_dot-_J8Y-kw

контроль записи данных в облачные хранилища, в том числе по ключевым словам и «цифровым отпечаткам».

Не забывайте просто информировать сотрудников о том, что копирование корпоративной информации незаконно и будет иметь негативные правовые последствия. Вы будете удивлены, но немалая часть из них до сих пор этого не знает, предполагая, что раз они участвовали в их создании во время работы, то права на эти данные они имеют не меньшие, чем работодатель.

Изображение - Кража базы данных в компании proxy?url=http%3A%2F%2Fi.parma-legal.ru%2Fu%2Fpic%2F8a%2F05061c202b11e3ae513186f3284aaa%2F-%2F%25D1%2583%25D0%25B2%25D0%25B5%25D0%25BB%25D0%25B8_%25D0%25BA%25D0%25BB%25D0%25B8%25D0%25B5%25D0%25BD%25D1%2582%25D1%2581%25D0%25BA%25D1%2583%25D1%258E_%25D0%25B1%25D0%25B0%25D0%25B7%25D1%2583_2

Продолжение статьи о способах противодействия в случае хищения и использования бывшим работником клиентской базы Вашей компании.

Ранее мы остановились на Вашем праве обратиться в Управление Федеральной антимонопольной службы с заявлением о возбуждении в отношении конкурента, созданного бывшим менеджером по продажам, дела по признакам нарушения п.5 ч.1 ст.14 Федерального закона от 26.07.2006г. № 135-ФЗ «О защите конкуренции» в части недобросовестной конкуренции, связанной с незаконным получением, использованием, разглашением информации, составляющей коммерческую тайну. Остановимся подробнее на этой процедуре

Заявление подается в письменной форме и должно содержать следующие сведения:

1) сведения о заявителе (наименование и место нахождения для юридического лица);

2) имеющиеся у заявителя сведения о лице, в отношении которого подано заявление;

3) описание нарушения антимонопольного законодательства;

4) существо требований, с которыми заявитель обращается;

5) перечень прилагаемых документов.

К заявлению прилагаются документы, свидетельствующие о признаках нарушения антимонопольного законодательства. В случае невозможности представления документов указывается причина невозможности их представления, а также предполагаемые лицо или орган, у которых документы могут быть получены.

Перед обращением в антимонопольный орган (а также в органы, указанные ниже) рекомендуется иметь в своём распоряжении хотя бы минимальный объём доказательств, позволяющих прийти к выводу о противоправности действий виновного.

В частности, доказыванию подлежат:

факт включения клиентской базы в перечень информации, отнесённой к коммерческой тайне Вашей организации.

факт ознакомления Вашего менеджера с Положением о коммерческой тайне и перечнем отнесённой к ней информации.

факт предоставления бывшему менеджеру доступа к клиентской базе — можно подтвердить должностной инструкцией, актом передачи логина и пароля для ПО, содержащего сведения клиентской базы и пр.

факт завладения менеджером клиентской базой Вашей компании и способ такого завладения (копирование на флеш-накопитель, пересылку по электронной почте на внешний адрес, распечатку на бумажном носителе и пр.) – можно подтвердить журналами электронной почты, логами операционной системы и пр.

факт создания бывшим менеджером организации-конкурента — можно подтвердить выпиской из Единого государственного реестра юридических лиц.

факт нахождения Вашей компании и организации бывшего менеджера в конкурентных отношениях на соответствующем товарном рынке (осуществления предпринимательской деятельности на том же рынке в тех же географических границах) и предложения конкурентом товаров/услуг Вашим клиентам — можно подтвердить копиями договоров, протоколов разногласий, актов, писем из переписки Ваших клиентов с конкурирующей фирмой, служебными записками Ваших сотрудников, письменными пояснениями Ваших клиентов и пр.

схожесть форм договоров и иных документов, используемых Вашим конкурентом, с Вашими формами — подтверждается копиями соответствующих форм документов.

Для получения доказательств потребуется вступить в переговоры с контрагентами — для выяснения их отношений с конкурентом, получения копий договоров и переписки с конкурентом; воспользоваться помощью ИТ-специалистов — для выяснения и закрепления способа копирования клиентской базы; отобрать письменные пояснения у своих сотрудников (служебные записки) — для закрепления известных им сведений о противоправном поведении бывшего менеджера.

3. Уголовная ответственность бывшего работника.

В соответствии с ч.2 ст.183 Уголовного кодекса РФ (далее — УК РФ) предусмотрена уголовная ответственность на незаконные разглашение или использование сведений, составляющих коммерческую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе.

За совершение названного преступления предусмотрено наказание в виде: штрафа в размере до ста двадцати тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо исправительные работы на срок до двух лет, либо принудительные работы на срок до трех лет, либо лишение свободы на тот же срок.

Несмотря на трудность доказывания по таким делам, в настоящее время в открытом доступе имеется информация о вынесенных приговорах в отношении ряда физических лиц, использовавших клиентскую базу бывшего работодателя в целях развития собственного бизнеса 2 .

Необходимо отметить, что в рамках уголовного преследования значительно проще доказать вину бывшего работника, поскольку поиск и закрепление доказательств производится правоохранительными органами с использованием средств и методов государственного принуждения. Кроме того, в уголовном процессе активно и достаточно эффективно используется такой вид доказательств, как свидетельские показания.

Читайте так же:  Консультация юриста по медицинским вопросам

В целях привлечения бывшего менеджера к уголовной ответственности необходимо обратиться в Отдел Полиции по месту нахождения Вашей организации с письменным заявлением о возбуждении уголовного дела по признаками преступления, предусмотренного ч.2 ст.183 УК РФ.

Орган внутренних дел обязан проверить сведения, содержащиеся в заявлении в срок от 3-х до 10-ти дней, и принять решение по вопросу возбуждения уголовного дела с вынесением соответствующего постановления.

Отказ в возбуждении уголовного дела может быть обжалован прокурору, руководителю следственного органа или в суд в порядке, установленном статьями 124 и 125 Уголовно-процессуального кодекса РФ.

4. Взыскание убытков с виновного лица.

В соответствии с пунктом 1 статьи 15 Гражданского кодекса Российской Федерации (далее – ГК РФ) лицо, право которого нарушено, может требовать полного возмещения причиненных ему убытков, если законом или договором не предусмотрено возмещение убытков в меньшем размере.

Доказав вину бывшего менеджера, имеется возможность взыскать с него убытки (в том числе упущенную выгоду).

Вместе с тем, бремя доказывания наличия и размера убытков относится на истца, который в силу положений статьи 15 Гражданского кодекса Российской Федерации должен подтвердить, что он мог получить определенные доходы от своей предпринимательской деятельности, а неправомерные действия ответчика послужили причиной возникновения убытков в виде упущенной выгоды.

Для взыскания убытков с бывшего работника необходимо составить исковое заявление в письменном виде, которое может быть подано и рассмотрено в рамках уголовного дела (см. п.3 настоящей консультации), либо отдельно — в рамках гражданского судопроизводства в районном суде по месту жительства ответчика.

В исковом заявлении должны быть указаны:

1) наименование суда, в который подается заявление;

2) наименование истца, его место нахождения, а также наименование представителя и его адрес, если заявление подается представителем;

3) ФИО ответчика, его место жительства;

4) в чем заключается нарушение либо угроза нарушения прав, свобод или законных интересов истца и его требования;

5) обстоятельства, на которых истец основывает свои требования, и доказательства, подтверждающие эти обстоятельства;

6) цена иска, если он подлежит оценке, а также расчет взыскиваемых или оспариваемых денежных сумм;

7) перечень прилагаемых к заявлению документов.

В заявлении могут быть указаны номера телефонов, факсов, адреса электронной почты истца, его представителя, ответчика, иные сведения, имеющие значение для рассмотрения и разрешения дела, а также изложены ходатайства истца.

его копии в соответствии с количеством ответчиков и третьих лиц;

документ, подтверждающий уплату государственной пошлины;

доверенность или иной документ, удостоверяющие полномочия представителя истца;

документы, подтверждающие обстоятельства, на которых истец основывает свои требования, копии этих документов для ответчиков и третьих лиц, если копии у них отсутствуют;

расчет взыскиваемой или оспариваемой денежной суммы, подписанный истцом, его представителем, с копиями в соответствии с количеством ответчиков и третьих лиц.

В крупной торгово-производственной компании сотрудники удаляли информацию о продаже товара из базы данных, а вырученные средства похищали. Компании пришлось создать новый отдел информационной безопасности (ИБ) из двух человек, который через полгода вырос в целую службу, рассказывает Сергей Солдатов, руководитель центра мониторинга кибербезопасности «Лаборатории Касперского».

Такой отдел должен быть в любой компании со штатом от 500 человек, особенно если она относится к сектору, где базы данных составляют важную часть бизнеса, – к финансам, телекоммуникациям, здравоохранению, IT, торговле, говорит Денис Королев, партнер EY. Однако для среднего бизнеса это довольно дорогое удовольствие, считает Алексей Фролов, инвестиционный директор «Инфрафонда РВК». Работодатели предпочитают бывших сотрудников центра информационной безопасности ФСБ, «Лаборатории Касперского» и «Ланита», отмечает Фролов. Специалист должен иметь навыки программирования и системного администрирования, а также навыки аналитической работы, знания иностранных языков и конкретной отрасли, говорит Королев. Зарплаты таких сотрудников в Москве сейчас составляют в среднем 60 000–85 000 руб. в месяц, но нередко доходят и до 150 000 руб. Тем не менее спрос на специалистов по информационной безопасности за последний год вырос вдвое, по данным HeadHunter: с 60 вакансий в сентябре 2016 г. до 135 годом позже.

Часто утечка информации происходит путем копирования файлов и их пересылки через почту, мессенджеры, файлообменники, соцсети. Около 20% респондентов ESET хотя бы раз в жизни копировали рабочие материалы, базы клиентов, отчеты, планы и другие документы, чтобы впоследствии использовать их на новой работе или перепродать. Во многих российских компаниях процесс отслеживания действий сотрудников поставлен плохо, говорит Николай Легкодимов, партнер KPMG. Поэтому очень трудно собрать доказательства нарушения для суда.

11 млн руб. по данным «Лаборатории Касперского», в среднем составляет ущерб от одного нарушения информационной безопасности в крупных российских компаниях. В среднем и малом бизнесе – 1,6 млн руб.

По словам Фролова, расследования по уголовным делам, связанным с хищением данных, обычно ведут сами компании – самостоятельно или нанимают специализированные фирмы. В правоохранительных органах просто нет специалистов нужного уровня. Зарплаты оперативников из управления «К» МВД составляют 50 000–70 000 руб. в месяц, а в коммерческой фирме специалисты получают от 120 000 руб. в месяц, замечает Фролов.

В августе 2017 г. суд вынес обвинительный приговор двум мошенникам, похитившим персональные данные части абонентов интернет-провайдера «Акадо телеком», говорится в решении суда. В августе 2016 г. служба безопасности «Акадо» зафиксировала взлом базы данных CRM. Злоумышленником оказался сотрудник одной из подрядных организаций, которому конкурент «Акадо» пообещал 30 000 руб. за копию клиентской базы. Он обратился к другу, написавшему за 5000 руб. программу для проникновения в систему. Однако служба безопасности «Акадо» обнаружила факт копирования базы, а также зафиксировала переписку злоумышленника с потенциальным покупателем базы. В ноябре 2016 г. на обоих нарушителей было заведено уголовное дело. В качестве доказательств хищения данных, а также намерения продать информацию суд принял данные, собранные через IT-систему, рассказывает директор по безопасности «Акадо-Екатеринбург» Андрей Перескоков. Подсудимым был вынесен обвинительный приговор – два года лишения свободы условно. Это первый случай, когда интернет-провайдер в суде доказал факт кражи базы данных, радуется Перескоков.

Читайте так же:  Новый правовой институт в сфере наследования в россии

Данные чаще крадут в компаниях, которые сами неэтично ведут себя с сотрудниками, говорит Королев. Если компания не платит обещанные бонусы, в ней плохой моральный климат, сотрудники больше склонны к хищению данных, продолжает Королев. Неудовлетворенность сотрудников работой повышает риск разглашения или утраты конфиденциальной информации, согласен Денис Липов, директор департамента управления рисками Deloitte. По словам Королева, минимизировать стимулы к воровству помогают достойные зарплаты и соцпакет, а также корпоративная культура, базирующаяся на честности.

Особую группу риска составляют увольняющиеся сотрудники. Так, работница автоцентра отправила конфиденциальные данные с корпоративной почты на личную: персональные данные коллег, клиентов и различную переписку. IT-система зафиксировала этот факт. В объяснительной нарушительница указала, что информация нужна ей для написания диплома. А через пару дней служба безопасности перехватила письмо, из которого следовало, что сотрудница ведет переговоры о трудоустройстве на новое место – в страховую компанию. И база персональных данных – ее пропуск в эту фирму. Мошенницу уволили по статье за разглашение коммерческой тайны, рассказал Лев Матвеев, председатель совета директоров компании SearchInform.

При разговоре об увольнении следует напомнить сотруднику о политике безопасности компании и о том, что ему грозит в случае нарушения. Обычно это отбивает охоту прихватить с собой данные, советует Матвеев. Воровство данных – это уголовное преступление согласно ст. 183 УК, максимальный штраф – 1,5 млн руб., нарушителям грозит до семи лет тюремного заключения, добавляет он.

Если руководитель собирается расставаться с работником недружественно, это следует делать быстро – ведь за две недели отработки тот может посеять смуту среди других сотрудников или сказать что-то не то клиенту, а не только украсть базу данных, говорит президент «Экопси консалтинга» Марк Розин.

Игорь Кузьмин, менеджер по продажам техники компании «Белагро-сервис», был уволен за разглашение сведений, составляющих коммерческую тайну, а потом подал в суд на компанию. Как говорится в решении суда, «Белагро-сервис» обвинил Кузьмина в том, что он собрал данные по 39 потенциальным покупателям сельхозтехники производства компании на выставке «Золотая нива» и по Skype передал их коммерческому директору конкурирующей компании «Агримаркет». Кузьмин потребовал признать увольнение незаконным и оплатить вынужденный прогул. Суд удовлетворил иск: мол, компания не поставила в известность менеджера при приеме на работу, какие сведения являются коммерческой тайной. Сейчас «Белагро-сервис» собирается обратиться в правоохранительные органы, чтобы они возбудили уголовное дело против Кузьмина, говорит Владимир Балабанович, директор департамента безопасности ГК «Белагро».

74,2% утечек данных в России, по данным InfoWatch, происходит неумышленно – из-за того, что сотрудники кликают по ссылкам в фишинговых письмах или теряют флешки со служебными ­документами.
Корпоративная культура должна поощрять соблюдение сотрудниками правил ИБ, говорит Роман Чаплыгин, директор практики информационной безопасности PwC. Он уверяет, что ежемесячные бонусы сотрудникам PwC начисляются только при отсутствии каких-либо нарушений правил ИБ. Например, если в течение месяца сотрудник ни разу не кликал по подозрительным ссылкам, если передавал конфиденциальную информацию только с использованием специальных средств защиты и блокировал свой компьютер, покидая рабочее место, говорит Чаплыгин. Если сотрудник знает, что его накажут рублем, он не пройдет по вредоносной ссылке, уверен Чаплыгин

Для введения режима коммерческой тайны нужно выполнить пять шагов, указывает Александр Коркин, руководитель практики трудового и миграционного права «Пепеляев групп». Сначала нужно определить перечень информации, составляющей коммерческую тайну, затем ограничить доступ к такой информации. После этого нужно вести учет лиц, получивших доступ к такой информации. Работодатель также должен включить в трудовые и гражданско-правовые договоры пункты о порядке обращения с конфиденциальной информацией. Наконец, следует нанести на конфиденциальные документы гриф «Коммерческая тайна». Большинство дел, по словам Коркина, работодатели проигрывают именно из-за невыполнения этого перечня.

Часто компании сами создают благоприятные условия для хищения данных. Например, 7% респондентов ESET рассказали, что даже после увольнения из компании они могли заходить на корпоративные порталы или рабочую почту удаленно. Например, в 2013 г. компания «Фосагро» выиграла суд против бывшего сотрудника Ашота Топчяна. Она обвинила его в передаче конкуренту – компании Transammonia сведений, составляющих коммерческую тайну. Расследование показало, что Топчян (вначале менеджер по продажам, затем – начальник отдела) просматривал переписку своего начальника с представителями Transammonia, говорится в решении суда. Оказалось, что доступ к почте руководителя он получил во время его отпуска и потом продолжал просматривать ящик, откуда черпал конфиденциальные сведения о производстве удобрений и условиях поставок на экспорт. Как сообщила пресс-служба «Фосагро», после этого инцидента компания ввела жесткие регламенты по хранению сведений, содержащих коммерческую тайну.

Михаил Емельянников, глава консалтингового агентства «Емельянников, Попова и партнеры», говорит, что подобные инциденты не происходили бы, если бы у компании была эффективная система контроля доступа к информационным системам.

Изображение - Кража базы данных в компании 3456363343
Автор статьи: Сергей Шевцов

Добрый день! Я уже чуть более 11 лет предоставляю услуги юридической помощи свои клиентам. Считая себя профессионалом, хочу научить всех посетителей сайта решать разнообразные задачи. Все материалы для сайта собраны и тщательно переработаны с целью донести в удобном виде всю нужную информацию. Перед применением описанного на сайте всегда необходима консультация с профессионалами.

Обо мнеОбратная связь
Оцените статью:
Оценка 4.6 проголосовавших: 10

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here