Как защитить бизнес от сотрудников-аферистов

Сотрудники, вредящие компании, — серьезная проблема. Одни могут бездельничать на работе, другие воровать важную информацию, а третьи — и вовсе мстить. Это создает определенные риски и убытки для бизнеса. О том, как защитить компанию от недобросовестных работников, читайте в статье.

Работать совсем неохота

Надеяться на то, что сотрудники не тратят рабочее время на личные дела — как минимум наивно. А некоторые и вовсе прикладывают все усилия, чтобы получать зарплату, но при этом ничего не делать. Таких «работников» относят к распространенной категории — бездельники.

Кейс. Например, в Индии известность получила история — когда ИТ-специалист устроился в 80 компаний, чтобы ничего не делать, и при этом получать весьма неплохую зарплату. Ни в одной из компаний он рабочие задачи не выполнял, а когда его увольняли за безделье, сотрудник сразу находил новую «работу».

Махинации ИТ-специалиста раскрылись после того, как его уволили из очередного стартапа. Его основатель разместил в соцсетях пост, в котором предупредил другие компании не нанимать недобросовестного специалиста. Бывший работодатель поведал, что ИТ-специалист проработал всего неделю. За это время выяснилось, что он одновременно был трудоустроен еще в нескольких компаниях. Пост вызвал «бум», так как многие компании узнали в программисте своего бывшего и даже нынешнего сотрудника.

По данным опроса владельцев МСБ, среди компаний, которые фиксировали нарушения со стороны сотрудников, чаще всего сталкивались с фирмами-боковиками/работой на конкурентов (27%) и откатами (21%).

Слив ценных данных

В каждой компании есть ценная информация, которая интересна конкурентам или другим заинтересованным лицам. К таким данным относятся: контакты ключевых клиентов, информация о сделках, персональные данные, техническая документация и пр. Инциденты с такой информацией приводят к серьезным финансовым и репутационным потерям. А в критичных случаях могут повлиять и на существование самой компании.

Кейс. На производственном холдинге, выпускающем приборы теплоэнергоучета, с помощью DLP-системы пресекли утечку данных. Сотрудники проектного отдела попросили разрешения выйти на работу в выходной день. Служба ИБ удовлетворила просьбу работников, но при этом проконтролировала, чем они занимаются. В итоге выяснилось, что сотрудники работали над проектом для прямых конкурентов холдинга. В том числе они передавали им информации о разработках работодателя.

Проект, который разрабатывали сотрудники, оценивался в 25 млн рублей. Благодаря вовремя выявленному инциденту компании удалось избежать ущерба.

Как показывает практика, компании не застрахованы от того, что в нее устроится сотрудник и украдет информацию. Обычно такие соискатели легко проходят собеседование и не вызывают никакого подозрения. «Засланные казачки» устраиваются на должность, где есть доступ к конфиденциальным данным. Такие сведения можно не только продать конкурентам, но и открыть собственный конкурирующий бизнес.

Кейс. В компанию, которая торгует промышленным оборудованием, устроился сотрудник на позицию менеджера по работе с клиентами. При этом у него была своя логистическая компания. А на новом месте работы менеджер взаимодействовал с клиентами и поставщиками из Китая, участвовал в тендерах. Более того, у него был доступ к коммерческой тайне. Вникнув в суть работы, сотрудник решил перепрофилировать свою компанию в прямого конкурента работодателя. Используя данные клиентов и поставщиков работодателя, менеджер переманил контрагентов к себе в компанию на более выгодных условиях.

Обманутый работодатель обратился в ФАС с заявлением о недобросовестной конкуренции. Однако экс-сотрудник обжаловал его решение в суде. Суд постановил, что работодатель не определил четко, какие сведения составляют коммерческую тайну, и не принял должных мер по ее защите. Таким образом, менеджер не понес ответственности за свои действия.

Месть сотрудника

Еще одна опасная категория сотрудников — мстители. Ситуации, когда бывшие работники мстят работодателю, не редкость. Чаще всего они намеренно начинают портить системы, запускать вирус, удалять важные данные и т.д.

Кейс. Сотрудник работал в Disney менеджером по разработке меню. Но спустя несколько месяцев его уволили за дисциплинарное нарушение. После этого, используя корпоративные логин и пароль, он получил доступ к программе, которая разрабатывала меню для ресторанов в Disney.

В ПО он изменил меню и цены, а также добавил ненормативную лексику — что сделало меню непригодным. А потом и вовсе взломал FTP-сервер подрядчика, которые Disney использовал для печати полиграфии. Туда он загрузил измененное меню: изменил цены, а также исказил информацию об аллергенах. Например, менеджер указал, что блюда, содержащие арахис, безопасны для аллергиков. Изменения удалось вовремя обнаружить, и никто не пострадал.

Как защитить компанию от недобросовестных сотрудников

Кадровая безопасность — важная задача для любой организации. Чтобы минимизировать риски, связанные с трудовыми аферистами и другими нарушителями, следует придерживаться следующих мер защиты.

• Тщательная проверка кандидатов. Сделать выводы о порядочности соискателей можно еще на этапе собеседования. Для этого проанализируйте информацию о человеке из открытых источников, запросите рекомендации у прошлых работодателей. Также рассмотрите возможность проведения психологического тестирования для выявления склонности к рискованному поведению.
• Контроль рабочего времени. Контролируйте использование рабочего времени и продуктивность работы персонала с помощью различных инструментов: установка видеокамер, внедрение ПО для учета рабочего времени, регулярная отчетность сотрудников и пр. В комплексе эти инструменты дадут детальную картину по переработкам и нарушениям.
• Ограничение прав доступа к конфиденциальной информации. Убедитесь, что конфиденциальные данные надежно защищены. Доступ к ним имеет ограниченный круг лиц, а не все сотрудники.
• Соглашение о неразглашении (NDA). Подписывайте с сотрудниками соглашение о конфиденциальности, которые обязывают их не разглашать конфиденциальную информацию. Сотрудники должны понимать, что вопрос защиты данных для компании ключевой.
• Внедрение «открытого контроля». Открытый подход к контролю сотрудников сразу решает несколько задач для укрепления ИБ в компании. Это не только напоминает пользователям, что контроль есть, но и предупреждает о потенциальных нарушениях, позволяет вовлекать их в процесс защиты информации. Например, оценить, насколько оправдан риск отправки конфиденциальных документов за пределы компании и т.д.