Информационная безопасность

Здесь Вы найдете только нужную информацию.

Как не ошибиться защищая коммерческую тайну?

     История которой посвящена данная статья произошла в начале года, но написание статьи было невозможно по причине того, что правоохранительные органы ещё проводили проверку, а значит подробности относились к информации ограниченного распространения. И вот сотрудниками внутренних дел вынесено окончательное решение, и теперь, с согласия владельцев компании, я могу раскрыть детали, которые будут интересны и поучительны для многих специалистов информационной безопасности.

     Несколько лет тому назад в компанию «В» устроился отличный специалист. К сожалению, в подписанном им контракте отсутствовали положения, которые запрещали использовать коммерческую тайну компании в интересах третьих лиц. К тому же молодая, но успешно растущая компания «В» не уделила должного внимания правовой защите своей информации и как итог не имела положения о коммерческой тайне. Но не стоит обвинять ее владельцев в беспечности, ребята собрали хорошую команду профессионалов и быстро сформировали пул постоянных клиентов. Для взаимодействия с последними они решили использовать CRM систему, которая представлялась оператором по модели SaaS.

     В какой-то момент количество клиентов приблизилось к 500 и у главного «героя» родился план уволиться и создать конкурента - компанию «Н». Однако в этой сфере от открытия до выхода на самоокупаемость может пройти много времени. Поэтому не обременённый запретами сотрудник решил разослать SMS-приглашения большинству клиентов компании «В». В SMS содержалось информация об адресе, где расположился офис компании «Н». Любопытно, но наш герой зарегистрировал название, которое отличается от оригинала лишь приставкой «НЕО».

     Когда потерпевшая сторона узнала о массовой рассылке в адрес своих клиентов, то сразу же связалась с оператором CRM системы и попыталась выяснить как произошла утечка данных своих клиентов. Как было установлено в ходе проверки, проводимой сотрудниками милиции, как таковой утечки не было, более того никто из сотрудников компании «В» даже не делал выгрузок базы данных клиентов, хотя такая возможность имелась. Оказалось, что наш главный «герой» скрупулёзно переписал данные нескольких сотен клиентов в электронную таблицу, которую хранил на личном компьютере. А после этого заказал SMS-рассылку. Интересно, что только созданная компания «Н» стала пользоваться услугами той же CRM, что и компания «В». Правда осторожный предприниматель не стал осуществлять импорт имевшейся у него базы клиентов, а предпочёл вносить только реально обращавшихся потребителей.

     С чем же столкнулись сотрудники милиции, с одной стороны отсутствие сведений о выгрузке базы данных клиентов, а с другой стороны понятная любому обывателю связь между двумя компаниями да к тому же подкреплённая исчерпывающими техническими данными по рассылке. В такой ситуации сотрудники подразделения по раскрытию преступлений в сфере высоких технологий смогли задать правильные вопросы главному фигуранту проверки. В итоге он рассказал о своих действиях. Данные показания соответствовали «электронным доказательствам», но главный нюанс ситуации заключался в том, что в действиях нашего героя присутствовали только отдельные элементы составов преступлений из соответствующей главы Уголовного кодекса. Однако два обстоятельства уверенно говорили об отсутствии состава ИТ-преступлений. Во-первых, у работника был неограниченный доступ к сведениям о всех клиентах, а во-вторых, он не совершал экспорт электронной информации. Для потерпевшей стороны оставалась последняя возможность привлечь бывшего работника к персональной ответсвенности. Ей являлась статья о коммерческом шпионаже которая идеально подходила под действия фигуранта, но не установленный режим коммерческой тайны разбил и эти надежды.

    В итоге на руках у компании имеется постановление об отказе в возбуждении уголовного дела, в связи с отсутствием в действиях нашего «героя» состава преступления.

     Подобная ситуация может произойти с бизнесом любых размеров, но лишь от самих компаний зависит сможет ли Закон защитить их интересы. Для того, чтобы расчитывать на такую защиту мы сами должны выполнять требования, которые после таких происшествий становятся понятными и обоснованными любому здравомыслящему человеку.