Защита информации

Отдельные внутренние угрозы предприятия

Когда мы задумываемся о безопасности фирмы, то в первую очередь думаем о внешней угрозе, совсем забывая о том, что опасность может подстерегать нас изнутри. К сожалению, наш собственный персонал зачастую способен нанести вред в сотни раз больший, чем недобросовестные конкуренты или злоумышленники. Работа плохого работника сравнима с деятельностью диверсанта. Он разваливает и уничтожает Ваше предприятие изнутри, работая в коллективе, где его никто и никогда не заподозрит в этом.

Причины, побуждающие персонал воровать. Почему же работники совершают кражи? Причин очень много, но в большинстве случаев это недовольство оплатой. Более того, для отдельных работников кражи являются единственным источником для существования, ведь на ту зарплату, которую они получают, прожить практически невозможно. А ставшая у нас обычной практика задержек оплаты на 2–3 и более месяца? Расхитителем может оказаться обычный честный работяга, доведенный до такой ситуации самой жизнью.

Хищение и присвоение имущества. Большинство таких преступлений совершается «по случаю», т.е. работник, изначально не планировавший совершать хищения, внезапно воспользовался представившимся моментом. С такими ситуациями очень сложно бороться, ведь очень тяжело определить, кто и когда совершит кражу. Немного другая ситуация складывается, когда работник присваивает себе имущество. Проблема присвоения еще и в том, что хищение, как правило, легко обнаруживается в результате проверки. О присвоенном же имуществе руководство может и не догадываться. Говорить о том, что наносит больший вред предприятию, хищения или присвоения, бессмысленно. Далеко не всегда можно точно оценить причиненный теми или иными действиями ущерб. К тому же вы наверняка не захотите «выносить сор из избы» и, скорее всего, не станете обращаться в правоохранительные органы, не желая разглашения этих фактов, если только Вам не причинен существенный ущерб. Многие из нечистоплотных работников также рассчитывают на этот факт. Зная, что в случае разоблачения им, в худшем случае, придется возместить убытки, а в лучшем, их просто уволят.

«Левые» заработки. Обычно левые заработки связаны с конкурентами. За определенное вознаграждение Ваши работники будут отправлять клиентов к конкурентам. Еще одним способом заработать является продажа аналогичных товаров. Работник приобретает или берет на реализацию точно такие товары, которые реализует его фирма и продает их от имени фирмы по их же цене. Кроме того, ситуация может ухудшиться еще и тем, что работник начнет продавать поддельный товар под видом фирменного. Тогда вы теряете не только прибыль, но еще и авторитет, и рискуете стать ответчиком в суде.

Недобросовестное выполнение своих обязанностей.Среди проблем с работниками не последнее место занимает недобросовестное выполнение ими своих обязанностей. Ведь от того, как работает отдельно взятый сотрудник, в целом зависит работа организации. Необходимость в специальном инструктаже персонала, работающего с клиентами и партнерами, есть практически в любой фирме. Необходимо регулярно контролировать работу, наказывая виновных и поощряя отличившихся. Работника нужно заинтересовать в результате.

Разглашение информации. Наиболее важной проблемой является разглашение работниками конфиденциальной информации. До сих пор многие склонны недооценивать всю важность и ценность информации как собственности предприятия. Информация – это такой объект, цена которого способна измениться в зависимости от времени или наступления каких-то определенных событий. Основная проблема разглашения конфиденциальной информации, во-первых, в том, что нет практики ее защиты, а также профилактики ее разглашения. Практически в любой западной фирме проводится обязательный инструктаж при приеме на работу, в ходе выполнения служебных обязанностей и в случае увольнения работника о том, что он обязан молчать обо всем, что он знает. В обязательном порядке все работники подписывают обязательство о сохранении конфиденциальной информации. В нашей же стране на предприятиях зачастую работник, не стесненный никакими ограничениями, болтает направо и налево, раскрывая важные секреты всем желающим. Второй проблемой, прямо вытекающей из первой, является совершенно ненужная информированность работников обо всех делах фирмы. Информация, предназначенная для руководства, ни в коем случае не должна попасть к среднему звену и уж, тем более, не должна быть известна обслуживающему персоналу.

Методы борьбы с персоналом, нечистым на руку. Большинство российских компаний контролирует работу своих сотрудников. Однако контролировать необходимо не сотрудников, а ресурсы организации. Тем более что в ситуации контроля сотрудников могут быть нарушены их конституционные права на неприкосновенность частной жизни, права на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений (ст.  22–24 Конституции РФ). Способы контроля ресурсов, использующиеся организациями:

  1. Создание делового досье. Как правило, деловое досье направлено на то, чтобы обобщить информацию о сотруднике и использовать ее при принятии решений или оценке рисков.
  2. Перлюстрация электронной почты, то есть программное обеспечение для контроля и фильтрации электронной переписки сотрудников. В основном, его покупают банковские структуры и нефтяные компании.
  3. Видеонаблюдение. Обязательным условием такого вида контроля является информирование сотрудников о том, что такой контроль будет производиться. Далее, контроль должен быть ограниченным (контролируются только определенные ресурсы, а не частная жизнь сотрудников), контроль должен быть уместным, актуальным, результаты контроля должны быть сохранны и защищены от хищений.
  4. Детекция лжи. Легальный статус детекции лжи сейчас весьма нестабилен во многих странах мира, в том числе, и в России. Но при наличии добровольного письменного согласия сотрудника детекция может производиться.

Уголовно-правовой контроль за преступлениями, совершаемыми персоналом. По факту кражи / преступления на предприятии проводится служебное расследование, по его окончанию, т.е. после вынесения мотивированного заключения и утверждения его первым руководителем, возникает новый вопрос – каким образом с виновника взять возмещение тех потерь, которое понесло предприятие. Данный вопрос усложняется тем, что в соответствии с ТК РФ сотрудник может нести ответственность только в пределах его оклада. Большая сумма возмещения возможна в следующих случаях:
— личное согласие сотрудника;
— судебное решение;
— наличие договора о полной материальной ответственности.

В целях борьбы с компьютерной преступностью российским законодательством (глава 28 УК РФ) предусмотрена уголовная ответственность за неправомерный доступ к компьютерной информации (ст. 272 УК РФ); создание, использование и распространение вредоносных программ для ЭВМ (ст. 273 УК РФ); нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274 УК РФ).

Заключение. Может показаться, что рассмотренные вопросы неразрешимы, но это не так. Если постоянно контролировать ситуацию, адекватно реагируя на возникающие проблемы, то будет не сложно добиться весьма высоких результатов.

Е.А. Сергуткина, А.С. Машукова