Чужой среди своих | Большие Идеи

? Управление изменениями

Чужой
среди своих

Крупный системный интегратор «ЛанФорс» терпит убытки из-за постоянных утечек информации. Руководитель компании пытается вычислить виновных.

Автор: Доля Алексей

Чужой среди своих

читайте также

Выход есть: краткий путеводитель для руководителей и рядовых сотрудников

Юрий Мурадян

Притча о кошке

Протасов Максим

Управление рисками: новые принципы

Анетт Майкс,  Роберт Каплан

Как спастись от выгорания одиноким работающим родителям

Бриджид Шульте,  Ставрула Пабст

Александр Шестаков был «жаворонком» поневоле. Чтобы избежать вечных московских пробок, он выезжал из дома ни свет ни заря и, как правило, появлялся на работе за час-полтора до прихода подчиненных. Летом, когда рано светало, он распахивал огромное окно в своем кабинете, подкатывал к нему кресло, садился и читал утренние газеты. Компания «ЛанФорс», генеральным директором которой был Шестаков, занимала три этажа офисного здания в престижном районе на окраине Москвы. Из окон открывался превосходный вид на парк с прудами и разветвленной системой асфальтированных дорожек, по которым прогуливались женщины с колясками.

В тот июньский день Шестаков вошел в офис в приподнятом настроении. Открыв окно, он набрал полную грудь теплого воздуха и зажмурился от яркого утреннего солнца. Из небольшого леса, с двух сторон окаймляющего парк, доносились соловьиные трели. Шестаков налил себе кофе, придвинул кресло к окну, взял со стола свежий номер еженедельника «IT-Life» и углубился в чтение. Перевернув очередную страницу, он чуть не поперхнулся: в одном из заголовков фигурировало название его компании. Как выяснилось, статья была посвящена единственному проекту, который «ЛанФорс» не смогла довести до конца. Это при том, что более чем за 10 лет своего сущест­вования системный интегратор «ЛанФорс» автоматизировал сотни предприятий и сумел завоевать превосходную репутацию.

Шестаков прекрасно помнил тот проект. Пару лет назад к нему обратились представители крупного химического комбината из небольшого уральского городка. «ЛанФорс» давно хотела выйти на этот сегмент рынка, но все что-то не складывалось. Доказать консервативным заказчикам, что у компании есть все необходимые ресурсы для автоматизации химических предприятий, было очень сложно, а быть тем самым «первым блином» для отработки технологий никто, понятно, не хотел. И вот появился этот уральский комбинат: с его помощью «ЛанФорс» планировала завоевать доверие химической отрасли.

Сначала все шло гладко: инженеры «ЛанФорс» приехали на комбинат, утвердили техническое задание и начали внедрять пилот. Но тут сменилось руководство предприятия. Новые собственники стали закручивать гайки и, как они выражались, сокращать издержки. Проект «ЛанФорса» стал медленно загибаться.

Шестаков прочитал статью и отложил журнал. Здесь было о чем подумать. Первое, что пришло ему в голову: это черный пиар. Однако материал был правдивым — в нем не содержалось ложных сведений или необоснованных обвинений. Более того, автор проявил исключительную осведомленность и указал точную стоимость и сроки проекта. Значит, конкуренты тут ни при чем. Но дело было даже не в этом: кто бы ни заказал статью, сейчас она могла сильно повредить компании. Завтра у Шестакова намечалась встреча с директором одного из крупнейших химических комбинатов, и эта публикация могла его спугнуть.

Крыса в компании

Хотя в деловом центре, где работал Шестаков, было несколько закусочных, обедать он предпочитал в одном из ближайших ресторанов. На этот раз он выбрал маленькое итальянское кафе, популярное среди сотрудников «ЛанФорс». Войдя в зал, Шестаков заметил за одним из столиков Ирину Журавлеву — в его компании она отвечала за связи с общественностью. Ирину нельзя было назвать красавицей, но благодаря своему обаянию она нравилась всем мужчинам без исключения. Эта особенность позволяла ей успешно общаться с журналистами и клиентами, не подвергаясь назойливым приставаниям и ухаживаниям.

Увидев шефа, Журавлева помахала ему рукой и пригласила занять свободное место за ее столиком. Как только Шестаков сделал заказ, Ирина взволнованным голосом спросила:

— Саш, ты последний «IT-Life» внимательно читал?

— Очень даже внимательно. Как раз думал с тобой сегодня встретиться и обсудить эту статью. Как она вообще там появилась?

Журавлева удовлетворенно кивнула — было видно, что она и сама собиралась идти к Шестакову с этим разговором. По ее словам выходило, что журнал опубликовал материал самостоятельно, не поставив «ЛанФорс» в известность. Увидев, что статья не подписана, она поняла: ее подготовил кто-то из редакции. Но откуда у них такая точная информация? Как получилось, что они прекрасно осведомлены о деталях проекта? Чтобы во всем ­разобраться, Ирина позвонила в редакцию, но ее, мягко говоря, послали.

Тем временем официант принес салат и две бутылки газированной воды. Сделав несколько глотков, Журавлева вынесла казавшееся ей логичным предложение: урезать бюджет на рекламу в «IT-Life».

— Ирина, ну зачем так сразу, — возразил Шестаков. — Люди делают свое дело — и неплохо делают. Ты же видишь, статья объективная. Нам надо было раньше шевелиться, еще до публикации материала. Теперь все это бесполезно. Давай ты подготовишь сегодня официальные комментарии…

За столом воцарилось молчание. Было видно, что Журавлева о чем-то глубоко задумалась.

— Ты знаешь, — с сомнением в голосе сказала она. — У меня ­такое чувство, что все это уже когда-то было… Недавно, примерно за месяц до открытия нашего офиса в Астане, в одной газете появилась маленькая заметка — там было сказано, что «ЛанФорс» будет работать в Казахстане. Мы не давали эту информацию прессе, однако она активно циркулировала внутри компании. Симптомы абсолютно те же самые.

— Ты думаешь, в нашей компании завелась крыса? — перебил ее Шестаков.

— Похоже на то…

Тут пришла очередь соображать Шестакову. Он вспомнил еще об одной странности, которой он во­время не придал значения. Пару месяцев назад «ЛанФорс» хотел купить небольшого дальневосточного интегратора и даже провел с ним предварительные ­переговоры. Сделка была выгодна обеим сторонам, но в последний момент все сорвалось — интегратора перекупил один из конкурентов. Шестаков помнил, что, несмотря на все попытки обеспечить секретность сделки, в компании о ней знал каждый второй сотрудник. Сопоставив факты, Шестаков пришел к очевидному выводу.

— А ведь наша крыса стучит не только прессе, — твердо заключил Шестаков и жестом подозвал официанта.

Вернувшись в офис, Шестаков закрылся в кабинете. Он хотел спокойно все обдумать и разобраться в ситуации, которая сразу показалась ему абсурдной. Он всегда считал, что ему удалось создать настоящую команду, но жизнь развеяла все иллюзии. Александр не мог понять, зачем кому-то потребовалось сливать информацию на сторону. Этот сотрудник работает в успешной компании, получает хорошие деньги и, судя по его осведомленности, занимает достаточно высокий пост, не ниже руководи­теля проектов, и вдруг он стал рубить сук, на котором сам же и сидит. Получалось как-то нелогично…

Попробуем разобраться…

На следующий день Шестаков вызвал к себе Федора Громова, главного силовика «ЛанФорса». В Громове удивительным образом сочеталась сила, присущая представителям советских правоохранительных органов, с гибкостью современных бизнесменов. Шестаков доверял Громову и считал, что лучшего специалиста ему не найти.

Громов прошел Афган, затем работал в контрразведке. После распада СССР он с друзьями открыл охранное предприятие, которое динамично развивалось и приносило стабильный доход. Через пять лет Громов поругался с партнерами и ушел из собственного бизнеса. Тогда-то его и «подобрал» Шестаков.

Громов выслушал Шестакова и задумался. Раньше он не сталкивался с кражей информации — обычно его занимали вопросы физической безопасности. Но профессионал — он во всем профессионал, и Громов быстро и четко сформулировал свой вариант решения проблемы:

— Для начала необходимо выяснить, кто из сотрудников обладал пропавшей информацией. Дальше будем действовать по ситуации, в зависимости от количества подозреваемых. А пока определим, какие конкретно данные пропали. Александр, у тебя сохранился тот журнал?

Громов прочитал статью, и его лицо просветлело.

— Слушай, я, кажется, начинаю понимать, — медленно произнес он. — Ты ведь заметил, что в статье приведены точные данные?

— Да, и о чем же это говорит? — Александр Шестаков удивленно пожал плечами.

— Я думаю, наш воришка передавал информацию не на словах, а с помощью современных средств связи. Не удивлюсь, если у нас ­в сети валяется какой-нибудь отчет со всеми этими сведениями. Надо бы поговорить с Ильиным.

Вопросительно взглянув на Шес­такова, Громов протянул руку к телефонному аппарату на его столе и набрал номер. Через несколько минут в кабинет зашел специалист по информационной ­безопасности Сергей Ильин. Он подчинялся Громову и постоянно просил у него денег на развитие своего подразделения, чем страшно раздражал начальника. Федор Громов, конечно,­ пони­мал, что бизнес системного интегратора завязан на информации, которую необходимо тщательно охранять, — а значит, требования Ильина вполне резонны.

Но даже осознание правоты подчиненного не мешало Громову периодически с ним конфликтовать.

Кроме того, Ильин раньше тоже был военным, но никогда не участвовал ни в каких боевых действиях. Окончив престижный институт, он долгое время занимался разработкой секретных военных систем. Поэтому Громов считал его «интеллигентишкой», а Ильин, в свою очередь, называл Громова за глаза неотесанным воякой.

— Сережа, помнишь тот проваленный проект с химзаводом? — Шестаков начал издалека.

— Такое не забывается, — хмуро ответил Ильин.

— Да уж, — буркнул Шестаков. — Ну так вот, обычно мы по каждому проекту делаем отчет со всеми цифрами. Он у тебя есть?

— Конечно, отчеты всегда сбрасываются на сервер департамента продаж. Показать?

— Не стоит, — оборвал его Шестаков. — Лучше скажи, мог ли этот отчет покинуть пределы нашей организации?

Ильин почесал лысый затылок:

— Вполне. Но только с помощью сотрудников. Хакеры нас не ­ломали, от вирусов мы тоже защищены. Да вы и сами знаете — я в прошлом году кучу денег вбухал в легализацию софта. Зато теперь мы как за каменной стеной.

— Но в этой стене есть дверь, которая открывается изнутри, — философски заметил Громов. — Ты можешь определить, кто вынес этот файл?

Лицо Ильина озарилось торжествующей улыбкой. Он снова почесал лысину и громко произнес:

— А ведь я вас предупреждал! Я же говорил, нужно внедрять специальную систему, которая отслеживала бы все действия пользователей. А вы ответили, что с меня хватит антивирусов. И вот результат.

— Отставить! — рявкнул Громов. — Мы имеем то, что имеем. Ты ответишь на поставленный вопрос или нет? — Найти человека, который вынес файл за пределы сети, нереально. Я могу только узнать, кто и когда открывал этот файл. Но думается мне, что таких сотрудников немало и на анализ журнала событий у нас уйдет не один день…

— Сколько тебе нужно времени, чтобы очертить круг подозреваемых? — перебил его Громов.

— Ну… дня 2—3, наверное, — с сомнением произнес Ильин.

— Договорились. Обо всех полученных результатах, даже промежуточных, сразу же сообщай Громову. Пусть Федор проверит их по своим каналам. В начале следующей недели отчитаетесь, — поставил точку Шестаков.

Крючок для инсайдера

В субботу Шестаков, Громов и Ильин сидели с удочками на берегу подмосковного озера и тщетно пытались поймать хоть что-нибудь. Корпоративная рыбалка стала логическим завершением неудачной недели: вся рыба как будто куда-то подевалась, а мелкий противный дождь навевал тоску и заставлял кутаться в тяжелые плащи.

— Эта рыбалка похожа на наш бизнес, — грустно подметил Шестаков, глядя на неровную, будто покрытую оспинами, поверхность озера. — Из-за той злополучной статьи у нас, скорее всего, сорвется крупный клиент. Кстати, вы успели разобраться, что там произошло?

Ильин рассказал, что он просмотрел все записи в электронных журналах и составил список сотрудников, открывавших файл с отчетом, — всего их оказалось 54. Почти все они работали в департаменте продаж, но были там и руководители проектов, и топ-менеджеры. Поскольку этот проект был весьма показательным, многие просматривали отчет, чтобы повысить свою профессиональную компетенцию, а кто-то и вовсе из любопытства.

— Найти того, кто похитил данные, как вы понимаете, практически невозможно, — подвел итог Ильин. — Могу лишь повторить то, что я уже миллион раз говорил Громову: надо внедрять систему защиты. Она, конечно, стоит недешево, но с ней таких ситуаций больше не возникнет. Другое дело, что никакая система не защитит от мелких утечек — ведь информацию можно передавать и на словах. Но с этим пусть борется мой коллега Громов.

Громов бросил гневный взгляд на «любимого» коллегу и, демонстративно отвернувшись, стал рассказывать Шестакову о предпринятых им действиях. Он собрал информацию обо всех подозреваемых сотрудниках, но не увидел в ней ничего особенного: никто из них раньше не был замешан ни в чем сомнительном.

— Я могу поговорить с подозреваемыми, — предложил он. — Вдруг кто сболтнет лишнее, я тогда его сумею раскрутить. С другой стороны, если мы будем опрашивать людей, то можем спугнуть инсайдера. Он ведь до сих пор не знает, что мы его активно разыскиваем. Но можно поступить иначе. Я бы предложил поставить на прослушку мобильники подозреваемых, а если выяснится что-то интересное, организовать слежку…

— Это незаконно, — перебил его Шестаков.

— Да, но ставки слишком высоки, — уверенно заявил Громов. — К тому же у меня остались старые связи. Смогу все сделать очень аккуратно, не подкопаешься…

Вечером Шестаков уединился в коттедже на берегу озера. ­Погода совсем испортилась, дождь лил как из ведра, а в доме было тепло и уютно. Шестаков налил полную рюмку своего любимого коньяка, который он предусмотрительно захватил с собой из Москвы, и, глядя на серую стену дождя за окном, погрузился в раздумья. Статья в «IT-Life», скорее всего, закрыла компании доступ в химическую отрасль, где каждый контракт мог стоить сотни тысяч долларов. То есть понятно: инсай­дера необходимо вычислить, иначе он принесет компании огромные убытки. «Как же нам поступить? — думал Шестаков, прокручивая рюмку между пальцами. — Стоит ли сообщать об инсайдере сотрудникам «ЛанФорса» или все-таки сохранить эту информацию в тайне и начать собственное расследование?» Оба варианта представлялись ему одинаково плохими: в первом случае предатель затаится и его будет тяжело поймать, а во втором — сам Шестаков рискует нарушить закон.

В долгосрочной перспективе возникают уже другие вопросы. Шестаков слабо представлял себе, как в принципе можно бороться с инсайдерами и на что способно программное обеспечение, о котором говорил Ильин. По словам того же Ильина выходило, что система не может быть панацеей и утечки все равно будут происходить. «Нам надо хорошенько все просчитать, — рассуждал Шестков. — Но как оценить тот ущерб, который вызывает кража информации? А если я все-таки решусь внедрять систему, то стоит ли объявлять об этом сотрудникам?» В общем, вопросов было больше, чем ответов, а времени на размышления — максимум день. В понедельник нужно начать действовать.

Описанный здесь случай — вымышленный, тем не менее в нем отражены распространенные управленческие проблемы. Как поступить Шестакову? Ситуацию комментируют эксперты.

Александр Чачава, президент LETA IT-company

Инсайдеры есть в любой ­компании, просто чаще всего руководители не подозревают об их существовании. Поэтому я считаю, что происшествие в «ЛанФорс» — не катастрофа, а, скорее, ­повод задуматься об организационных недостатках и по возможности устранить их. Я не понаслышке знаю: многие начинают принимать меры против инсайдеров только после подобных неприятностей.

Похоже, в «ЛанФорс» никто даже не представляет себе, что такое информационная безопасность, а главные силовики — Ильин и Громов — действуют в высшей степени непрофессионально. Мне кажется, Шестакову нет смысла бороться с прежними утечками — они уже нанесли компании серьезный урон. Публикация вышла, дальневосточного интегратора перекупили, «крысу» ­найти практически невозможно. Громов скорее наломает дров и испортит отношения в коллективе, чем вычислит злоу­мышленника. Поэтому все силы нужно бросить на то, чтобы предотвратить подобные случаи в будущем. А поскольку инсайдером в принципе может стать любой сотрудник, очень важно выработать системный подход к решению этой проблемы.

Выйти из сложившейся тут ситуации в крат­чайшие сроки не так-то просто. Нарушать законодательство, используя силовые методы, очень рискованно. Да и срочное внедрение системы ­контроля едва ли что-нибудь изменит, тем более что ее эффективность во многом будет зависеть от участия менеджеров разного уровня — значит, сохранить все в тайне не удастся.

Я думаю, Шестакову в первую очередь нужно привлечь толковых ­консультантов и уже с их помощью создать временную «линию контроля» утечки данных. Затем следует провести первичное обследование всей системы информаци­он­ной безопасности компании, проверить соответствующую документацию и механизмы защиты данных. И уже потом заняться построением системы управления информационной безопасно­стью (СУИБ). При этом очень важно проанализировать все бизнес- и ИТ-риски и соотнести сумму возможного ущерба со стоимостью процессов: СУИБ не должна негативно влиять на эффективность ­бизнеса. Адекватные сценарии снижения рисков необходимо выбирать исходя из экономической целесообразности, то есть затраты на организационные и технические меры контроля не могут превышать стоимость информации. Судя по моему опыту, инвестиции в информацион­ную безопасность, как правило, меньше ­сэкономленных средств в 25—30 раз.

Скрывать от сотрудников компании тот факт, что за ними установлен конт­роль, однозначно не стоит. Если конфиденциальная информация не оформ­лена должным образом, а люди не подписывали соответствующее приложение к трудовому договору, то любой контроль незаконен.

Создав полноценную систему управ­ле­ния информационной безопасно­стью, можно будет внедрять процедуру внутреннего аудита — она позволит регулярно устранять возможные несо­ответствия и неполадки. Как вариант, можно отдать построение этой ­системы на аутсорсинг профильной компании и даже застраховать риски. Тогда ни один сотрудник не решится нару­шить принятые в компании правила — все будут знать, что за преступлением обязательно последует строгое наказание. Но главное, руководитель компании едва ли еще когда-нибудь попадет в щекотливую ситуацию, ведь у него появится реальная возможность управлять рисками.

Владимир Скиба, начальник отдела информационной безопасности ФТС России

В данном сюжете Шестаков — руководитель фирмы, значит, у него есть необходимые ресурсы для принятия решений. В этом смысле ему повезло. Но, с другой стороны, он начальник, а не специалист по информационной безопасности, и, следовательно, возникшую проблему он, скорее всего, будет решать интуитивно.

Я же посоветовал бы ему опираться не только на предпринимательское чутье, но и на логику. Шестакову нужно разработать план действий и неукоснительно следовать ему. Прежде всего, я считаю, ему необходимо понять, чего он хочет: найти и наказать инсайдера или сущест­венно затруднить его дея­тельность? Если первое, то придется проводить оперативно-розыскные мероприятия. Если второе — серьезную аналитическую работу по выявлению потенциальных угроз и ограничению доступа к информации. В одном случае эффективность принятых мер будет зависеть от вида наказания, а в другом — от работы аналитика. Каким бы путем ни пошел Шестаков, ему придется по­тратить немало сил и средств. И при любом варианте он должен будет уста­новить в компании системы защиты информации и нанять специалистов для их обслуживания.

Обычно в таких ситуациях многие первым делом приобретают средства контроля почтовых сообщений, вэб-траффика и так далее. Это, безусловно, необходимая, но отнюдь не первоочередная мера. Начать следует с анализа­ процессов обработки информации в организации. Нужно определить, какие данные представляют интерес для конкурентов, где они хранятся, у кого есть к ним доступ, кому следует предоставить право работать с ними и что произой­дет, если запретить всем людям, допущенным к этой информации, пользоваться электронной почтой, интернетом и другими сервисами.

После этого необходимо тщательно отобрать средства защиты информации и специалистов, которые будут их обслуживать. На этом этапе следует, среди прочего, установить и настроить программы для контроля внешних информационных потоков (доступа к интернет-ресурсам, электронной почте и т.д.), съемных носителей информации (CD-R/RW, DVD-R/RW, USB и т.д.), а также внедрить в информационные системы организации средства криптографической защиты информации.

Дальнейшие действия зависят от заданной руководителем цели. Если для него главное поймать инсайдера, то важно обеспечить взаимодействие адми­нистраторов, обслуживающих средства защиты информации, и сотрудников правоохранительных органов. Если они будут работать оперативно и слаженно (например, представители службы безо­пасности по первому же сигналу администратора смогут досматривать потенциальных инсайдеров на проходной или на рабочем месте), эти меры дадут хороший результат.

Если же задача руководителя — помешать инсайдеру «сливать» информацию, администратор должен постоянно сообщать руководству компании обо всех подозрительных происшествиях, а также принимать меры, благодаря которым можно было бы ужесточить правила доступа сотрудников к ресурсам или сервисам информационной системы организации.

Результат деятельности Шестакова и его подчиненных по борьбе с инсайдерами и защите конфиденциальной информации будет во многом зависеть от того, удастся ли им неукоснительно следовать разработанному плану. Ведь в таких ситуациях очень важно действовать последовательно и своевременно.

Ханни Кемна, партнер «Эрнст энд Янг» (СНГ) Б.В.

В данной ситуации Шестаков ­должен не только принять меры по поддер­жа­нию репутации компании, но и решить две основные задачи. Во-первых, ему нужно найти злоумышленника и применить к нему соответствующие санкции. Во-вторых, повысить уровень информационной безопасности фирмы, чтобы в будущем избежать подобных инцидентов.

Прежде всего следует сократить ­число подозреваемых. Для этого важно определить, кто мог совершить нарушение, что двигало этими людьми, а также по возможности найти рациональное объясне­ние данному поступку (эти дейст­вия подпадают под «концепцию треуголь­ника»). Поскольку в описанной ситуации сведения были доступны всем ­пользователям информационной сети «ЛанФорс», а пре­вентивные меры по защите данных не предпринима­лись, круг подозреваемых очень широк. Очевидно, что инсайдер не риско­вал, передавая сведения конкурентам или жур­налистам: он знал, что в компании нет необходимых средств мониторинга и контроля доступа к информации. Если проанализировать вероятные мо­ти­вы пре­ступления, можно составить порт­рет нарушителя. Это либо враждебно­ на­стро­енный сотрудник, например менеджер, стремящийся нанести вред бизнесу или генеральному директору по личным при­чинам, — назовем его морально неудовлетворенным. Либо человек, работа­ющий на конкурентов и сливающий информацию за деньги, — этакий троянский конь. На людей, подходящих под эти определения, и стоит обратить внимание. Проводя расследование, необходимо соблюдать законодательство, прежде всего в том, что касается конфиденциальности частной почтовой переписки и телефонных разговоров.

Чтобы снизить вероятность утечек и минимизировать их последствия, нужно предпринять ряд серьезных мер. В част­ности, следует классифицировать данные по степени важности и пересмотреть права пользователей на доступ к конфиденциальным сведениям в соответствии с дополнительными обязанностями сотрудников. Классификация данных — сложный и трудоемкий процесс. Однако он необходим для того, чтобы создать правильную политику безопасности и раз­работать эффективный план обеспе­чения непрерывности ­бизнес-процессов и их восстановления после сбоев.

У всех данных и систем в организации должны быть владельцы. Как правило, это руководители отделов, ответственные за создание и использование информационных ресурсов. Они отвечают за то, чтобы важные сведения были надлежащим образом защищены в ходе обработки, хранения, передачи, копирования, печати, переноса на съемные носители и т.д.

Чтобы сотрудники осознавали, что данные, с которыми они работают, а также продукты их труда принадлежат фирме, об этом должно быть сказано в трудовом договоре. Кроме того, руководству следует­ довести до сведения сотрудников правила пользования информацион­ными ресурсами, например ­интернетом, интранетом и электронной почтой. Лю­ди, работающие в компании, должны знать свои права и обязанности, а ­также понимать, что работодатель вправе про­водить мо­ни­торинг использования ресурсов и при необходимости расследовать нарушения. Всем сотрудникам нужно обязательно подписывать документы, которые регулируют все вышеперечисленные вопросы.

В заключение отмечу, что ошибка Шестакова типична для российских руководителей. Во многих компаниях об информационной безопасности начинают­ задумываться слишком поздно, когда ситуацию уже трудно исправить.

Виктор Наумов, партнер юридической фирмы Beiten Burkhardt

Рассматривая эту историю с юридической точки зрения, прежде всего нужно иметь в виду, что любая слежка за сотрудниками, особенно вне работы, — действие, которое может быть квалифицировано как нарушение конституционных прав и свобод гражданина. Едва ли суд станет учитывать доказательства, по­лу­ченные противозаконным путем. Кроме того, руководитель, инициировавший подобное расследование, и сотрудники-исполнители сами могут быть привлечены к уголовной ответственности. Правда, в сюжете есть один факт, который наверняка сыграет важную роль в судебном процессе, — публикация в прессе. Такие улики редко «дарят»: обычно ­конкуренты пользуются подобной информацией тайком и доказать факт кражи практически невозможно.

С другой стороны, работодатель вправе устанавливать собственные нормы ­использования информационных ресур­сов и систем, принадлежащих компании, например телефонов и интернета. В этом случае он должен довести свои правила до сведения всех сотрудников и только после этого требовать их неу­коснительного соблюдения.

В принципе, защитить интересы фирмы в информационной сфере можно с помощью целого ряда организационно-правовых и технических мер. Каких именно и насколько жестким и широким должен быть контроль в организации — это зависит от величины ущерба, причиненного утечкой информации. Возможно, руководителю и не придется­ внедрять дорогостоящие и ресурсоемкие системы защиты данных. Иногда достаточно следить лишь за ключевыми сведениями, относящимися к наиболее важным и ответственным сделкам. В таких случаях необходимо определить права и обязанности сотрудников и контрагентов в том, что касается использования информации.

Понятно, что не все сведения составляют коммерческую тайну, а значит, их не нужно защищать столь же строго. Например, изобретения, полезные модели, промышленные образцы, товарные знаки можно регистрировать как интеллектуальную собственность, приобретая исключительные права на их использование. Правда, следует учитывать, что при подаче заявок на регистрацию информация становится открытой — а это не всегда выгодно компании.

Если же организация относит какую-то информацию к разряду коммерческой тайны, ее следует тщательно охранять. В случае незаконного использования конфиденциальных сведений компания всегда может обратиться за судебной защитой и предъявить иск как виновному в утечке (инсайдеру), так и при определенных условиях получателю информации. Тут нужно опираться на законы «О коммерческой тайне» и «О конкуренции», а также на Гражданский кодекс РФ и — при уголовном преследовании — на Уголовный кодекс. Важно помнить также, что некоторые категории сведений — персональные данные, служебная тайна, банковская тайна, государственная тайна и так далее — регулируются специальными законами.

Обращаясь в суд, следует отдавать себе отчет в том, что разбирательство будет сложным, потому что обязательно встанет вопрос о правовом статусе доказательств, собранных в процессе внутреннего расследования. Кроме того, нужно иметь в виду, что судебная защита коммерческой тайны в России еще недостаточно отработана, а трудовое зако­нодательство построено таким образом, что защищает в основном работников, а не работодателей.