Перша спеціалізована компанія з виявлення брехні

ТОП-10 ризикових дій IT - співробітників-реальні кейси

main image

Останні роки IT-сфера стабільно входить в ТОП-3 високо маржинальних і сфер, що активно розвиваються. А де «крутяться гроші», завжди великі шанси «зливу інформації», тобто витоку даних або розголошення комерційної таємниці, що може згубно вплинути на бізнес аж до його банкрутства і закриття. Звичайно, таке відбувається в тому випадку, якщо в компанії працюють люди, здатні на подібні дії і мають доступ до важливої ​​інформації.

Персонал в IT-сфері

На інфографіці чітко видно хто саме переважно працює в IT-сфері в Україні:

Наочно і коротко все зрозуміло і на наступній інфографіці з найбільш поширеними ризиковими діями, які характерні для цих співробітників і які можуть привести до витоку конфіденційної інформації. Дослідження проводилося серед більш ніж 500 респондентів в 2017-2018 роках:

Цифри і перелік дійсно лякають. Будь-який керівник, уявивши, що у нього працює хоча б кілька людей з таким «бекграундом» і мають доступ до конфіденційної інформації, точно посивіє мінімум на одне пасмо. А ймовірність цього досить висока, що і довели недавні гучні історії компаній Tesla, Waymo і Apple.

Гучні світові кейси про зливи і виток інформації

Нагадаємо, що всі співробітники даних компаній завжди підписують Угоду про нерозголошення конфіденційної інформації (NDA) і комерційної таємниці. На жаль, сам по собі підпис на документі не робить це неможливим.

Waymo

Ентоні Левандовскі працював над проектом Uber. Коли він звільнявся, скопіював декілька тисяч файлів, включаючи графіки з відділів розробки та проекти різних продуктів.

Збиток від крадіжки комерційної таємниці в суді оцінили в $ 179 млн. Найімовірніше, реальна цифра набагато вище, а отримає відшкодування роботодавець в повній мірі чи ні - під великим питанням.

Tesla

Алекс Хатілов, новий інженер компанії по автоматизації ПО, три дня переносив конфіденційні файли компанії в приватне хмарне сховище. Подальше розслідування не довело цього. Після отримання доступу до Dropbox співробітника, служба безпеки не знайшла там конфіденційних файлів. Однак, до цього моменту їх могли перенести в інше місце, таким чином на 100% це не доводить, що витоку даних не було.

Trello

Ймовірно через недбалість IT-фахівця компанії в квітні 2021 року в мережу потрапили конфіденційні дані тисяч користувачів сервісу. Через витік персональних і комерційних даних постраждали не тільки маленькі і середні за розміром фірми, але і деякі великі корпорації, а також банки, співробітники яких використовували цю хмарну програму для командної роботи.

Apple

Саймон Ланкастер працював в компанії з 2008 року архітектором в сфері продуктового дизайну. З того моменту і аж до свого останнього робочого дня 1 листопада 2019 року він копіював конфіденційну інформацію компанії в особистий обліковий запис.

У позовній заяві від Apple вказано, що також Ланкастер зливав інформацію про роботу над проектами компанії одному знайомому журналісту. Передбачається, що в розробках компанії Arris Composites, до якої він пішов працювати, Саймон Ланкастер використовує розробки компанії Apple. Розслідування ще не закінчено.

Історії клієнтів компанії «HR Security»

В IT-індустрії співробітники компанії можуть завдати серйозної шкоди комерційної складової проекту навіть без передачі конфіденційної інформації третім особам. Іноді досить «шепнути куди треба» про суть проекту, що розробляється або програмні додатки, щоб його ціна зменшилася в 100, а то і 10000 раз! Тому питання «Як захистити конфіденційну інформацію і комерційну таємницю компанії?» стоїть перед IT-компаніями вкрай гостро.

 

Ми неодноразово проводили перевірки на детекторі брехні співробітників IT-підрозділів. Ось кілька реальних історій сучасного українського бізнесу у вигляді витягів з наших висновків:

  • «Опитуваний передав колишньому колезі техдокументацію IT-відділу банку, частина бази даних відділу кадрів, а також цінну інформацію про архітектуру сервера».
  • «На попередньому місці роботи опитуваний розповідав конкурентам про алгоритм свого робочого проекту без вказівки конкретних цифр».
  • «Опитуваний за вказівкою керівництва на минулому місці роботи передавав конфіденційну інформацію третім особам».
  • «У 2013 році в процесі кримінальної справи, будучи співробітником компанії, передавав силовим структурам конфіденційну інформацію про наймача, які займалися розповсюдженням шкідливого ПО».

Це лише мала частина подібних історій. Ми не будемо заглиблюватися в подробиці того, до чого вони призвели або могли призвести, але збиток від подібного слід оцінювати не тільки в грошовому еквіваленті ...

Далеко не всі IT-фахівці шкодять бізнесу свого наймача і розголошують конфіденційну інформацію, але дізнатися напевно про це по «чесним очам» неможливо. Як і передбачити подібне заздалегідь, якщо перевірка співробітників при прийомі на роботу недостатньо ретельна, а в ході подальшої роботи і співпраці такої взагалі немає.

Рекомендації власникам і HR-ам IT-компаній

Ми наполегливо рекомендуємо власникам IT-компаній відповісти на наступні питання:

  • Чи є у вас система прийому на роботу нових співробітників?
  • Як саме і як часто виконується перевірка співробітників компанії і кандидатів на вакантні посади?
  • Які найбільш важливі підрозділи є в вашому бізнесі? Де зосереджені основні ресурси компанії?
  • Як ви можете перевірити репутацію кандидатів, щоб вибрати потрібну людину в свою команду?
  • У чому ви можете бути на 100% впевнені на рахунок нової людини в компанії?
  • Якщо ви приймаєте на роботу людину «з ризиками», то як зможете їм запобігти або контролювати, щоб не було витоку персональних або конфіденційних даних, комерційної таємниці?
  • Яку перевірку проходять нові співробітники перед тим, як їх допускають до важливої ​​або критичної інформації?
  • Чи достатньо добре опрацьована юристами Підписка про нерозголошення конфіденційної інформації вашої компанії?

Додаткові питання, які покажуть наскільки безпечний ваш бізнес в цілому:

  • Що ви знаєте про своїх ключових і довірених співробітників, які вже працюють з доступом до критично важливої ​​інформації?
  • Як насправді кожен із співробітників ставиться до вашої компанії?
  • Як співробітники відносяться до своїх безпосередніх керівників? До генерального директора компанії?
  • Як ви дізнаєтеся про «злив» комерційно важливої ​​або конфіденційної інформації? Як відстежуєте це? Як можете запобігти?
  • Які дії ви робитимете при підозрі на витік інформації? Що будете робити, якщо підозри підтвердяться?

Ми не можемо дати відповіді на всі ці питання, тому що занадто багато чого залежить від особливостей бізнесу. Але в нашому блозі ви зможете прочитати статті про наймання персоналу і прискоренні цього процесу, а також матеріали як перевірити кандидатів перед прийомом на роботу або в ході службового розслідування:

Навіщо роботодавцю знати все про кандидата на вакансію?

Перевірка витоку інформації в компанії за допомогою поліграфа

Віддалений режим продовжено: ризики роботи з дому

Бажаєте отримувати спеціалізовану інформацію від HR-security
Без спаму, 1 раз на місяць.