Статья опубликована на Kom-dir.ru.
Статья опубликована на Kom-dir.ru.
Имя сотрудника изменено в целях конфиденциальности.
В офис Умной Логистики — ИТ-компании, основным продуктом которой является решение для автоматизации бизнеса грузоперевозок, — поступил звонок от одного из пользователей — директора компании Shtelman Group. Он обнаружил запись в одном из Telegram-каналов о продаже контактных данных потенциальных заказчиков, узнал в прикрепленном к ней скриншоте интерфейс программы и решил, что сама «Умная Логистика» занимается продажей телефонных номеров его клиентов.
В этот же день сотрудники службы информационной безопасности Умной Логистики начали разбираться, в чем дело, поскольку возникновение подобной ситуации априори невозможно: у компании нет доступа к клиентским базам пользователей, так как все данные зашифрованы и хранятся в распределенном виде в отдельных областях.
Проведя расследование, менеджеры Умной Логистики установили источник утечки коммерческой информации: им оказался Дмитрий, логист — сотрудник самой «пострадавшей» транспортной компании. Shtelman Group еще в 2015 году внедрила Умную Логистику в свои бизнес-процессы, однако на момент внедрения специалисты компании позабыли о важнейшей составляющей информационной безопасности — настройке прав доступа линейных сотрудников к коммерческой информации.
Дмитрий, сотрудник Shtelman Group, уволился из организации и решил в качестве «компенсации» (справедливой на его взгляд) заработать на продаже номеров клиентов компании-работодателя её же конкурентам: 400 рублей за один контакт. Ценных контактов у компании при этом более 3 тысяч.
По подсчетам аналитиков, теоретически при должном подходе Дмитрий мог заработать на продаже всей клиентской базы порядка 2-3 млн. рублей — некоторые контакты можно продать несколько раз разным конкурентам одновременно.
В данный момент транспортная компания тщательно продумывает свою систему безопасности: первым делом руководство провело ревизию паролей и настроило ограничение прав доступа в программе.
Логистам теперь доступны контактные данные только тех клиентов, с которыми они работают; вся же клиентская база видна только руководителю, либо каким-то отдельным доверенным лицам — кому именно, директор может настроить самостоятельно.
Механизм двухфакторной аутентификации (авторизации) в Умной Логистике — еще один инструмент обеспечения безопасности данных: авторизоваться в программе рядовой сотрудник может только с определенного устройства (например, рабочего компьютера). Тогда для входа в программу, например, с домашнего компьютера придется запросить у руководителя отдельную аутентификацию клиента в виде подтверждения с помощью кода из SMS, которое придет на телефон руководителя.
Таким образом, хищение клиентской базы, да и просто её просмотр исключены и в нерабочее время.
Сотрудники гораздо серьезнее подходят к отношениям с законом, нежели к человеческим. Поэтому необходимо обезопасить себя с правовой точки зрения: составить и утвердить локальный нормативный акт — Положение о коммерческой тайне. Без утверждения в компании данного акта выиграть суд по делу кражи клиентской базы практически невозможно.
В соответствии с ч.2 ст.183 Уголовного кодекса РФ предусмотрена уголовная ответственность за незаконное разглашение или использование сведений, составляющих коммерческую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе.
Совершивший данное преступление может получить штраф в размере 120 тыс. рублей, либо исправительные или принудительные работы до 2-3 лет в зависимости от решения суда. Наиболее серьезным наказанием является лишение свободы на 3 года.
Не пренебрегайте механизмом двухфакторной аутентификации: данный инструмент позволяет контролировать вход пользователей в программу. Руководитель будет знать, кто и когда заходит в систему — логисты всегда под контролем и не смогут украсть базу клиентов даже в нерабочее время.
Храните вашу клиентскую базу в облачном сервисе, чтобы исключить вероятность ее взлома. Умная Логистика работает на самой современной технологии построения профессиональных облачных программ для бизнеса, которая предполагает использование протокола шифрования HTTPS. Протокол гарантирует безопасную передачу данных: они в зашифрованном виде копируются одновременно в 4 дата-центра каждый час.
Многие компании недооценивают реальность информационной угрозы, но ровно до того момента, пока не столкнутся с ней сами и не потеряют реальные деньги, реальных клиентов, сотрудников, перспективы развития. Информационная безопасность, как и любая другая безопасность, — это необходимое условие для выживания и развития. Ответственный и прагматичный руководитель никогда не надеется на «авось», он может надеяться только на себя и надежные инструменты автоматизации бизнеса.