Чужой среди своих: как защитить компанию от сотрудников-аферистов

Разного рода сотрудники-аферисты – головная боль, риски и потенциальные убытки для любой компании. Одни могут приносить вред бизнесу своим бездельем и имитацией бурной деятельности, вторые – воровством важной информации, третьи – саботажем и прочим вредительством. О том, как защитить компанию от сотрудников-аферистов, порталу Biz360.ru рассказал эксперт по информационной безопасности Алексей Дрозд.

Заметная категория трудовых аферистов – бездельники. Они прикладывают все усилия, чтобы получать зарплату, но при этом ничего не делать. Сотрудники, которые впустую тратят рабочее время – очень распространённая проблема в любой компании.

Кейс. В Китае широкую известность получила следующая история: женщина за три года устроилась в 16 компаний, но так и не вышла на работу. Позже она решила вывести трудовое мошенничество на новый уровень. И устроилась на позицию старшего менеджера в ИТ-компанию, где убедила руководителя взять на работу ещё семь менеджеров с релевантным опытом. Спустя три месяца директор компании не заметил никакого результата от работы команды и прекратил с ними трудовые отношения. Позже выяснилось, что в схеме, которую придумала китаянка, участвовало 53 человека: они нанимались в разные компании и ничего не делали.

Системное безделье – бич современного бизнеса. По данным исследования, в 2023 году 56% российских компаний фиксировали случаи, когда сотрудники в рабочее время занимаются вопросами, не связанными с их должностными обязанностями. Чаще всего персонал отвлекается на игры (58%), просмотр видео и фильмов (48%), зависание на развлекательных ресурсах (34%). Такая практика оборачиваются для бизнеса стабильными убытками. Каждый час недоработок оплачивается из кармана работодателя.

В каждой компании есть ценная информация, которая может быть востребована конкурентами или другими заинтересованными лицами. Для одной компании – это база ключевых клиентов, уход хотя бы одного из которых приведёт к серьёзным убыткам. В другой компании – это уникальные разработки продукта, чертежи или технологические карты. Если эта информация попадёт к крупному игроку с большими производственными мощностями, то это поставит под угрозу существование бизнеса. В третьей компании – бизнес-стратегия или важная финансовая информация (например, контакты ценных поставщиков). И ни одна организация не застрахована от того, что в неё не устроится сотрудник, который украдёт эту информацию из корысти, мести или других мотивов.

Кейс. На предприятие устроился менеджер по работе с торговыми сетями. Как и к любому новому сотруднику, отдел информационной безопасности проявил к нему повышенное внимание. Мониторинг осуществлялся с помощью DLP-системы. Анализ почтового трафика показал, что сотрудник общается с компанией-конкурентом и обсуждает продажу информации. Оказалось, что менеджер планировал получить доступ к важной финансовой информации предприятия для того, чтобы «слить» её конкурирующей компании. Передача собранных сотрудником сведений конкурентам нанесла бы немалый урон предприятию и привела бы к оттоку клиентов. Сотрудник был уволен.

Обычно такие соискатели легко проходят собеседование, а благодаря внушительному опыту работы выглядят для работодателя отличными претендентами на должность. Это вводит в заблуждение, потому бдительность к кандидатам не будет лишней. Как правило «засланные казачки» устраиваются на должности, где есть доступ к коммерческой информации или к базам данных. Кроме того, такие сведения можно не только продать конкурентам, но и выгодно использовать для создания собственного конкурирующего бизнеса.

Кейс. В ивент-агентство устроился сотрудник на позицию менеджера по работе с клиентами. Отработал несколько месяцев и уволился. Оказалось, что за это время он собрал контакты клиентов, которые заказывают корпоративы у компании, а также скопировал базу артистов, которые выступают на них. После увольнения менеджер открыл собственное агентство и начал переманивать клиентов бывшего работодателя, предлагая им организовать праздник с такой же программой, но по стоимости на 30% ниже.

Ещё одна опасная категория сотрудников – саботажники. Такие сотрудники часто устраиваются, чтобы причинить ущерб компании, например, по указке конкурентов: удалить важные данные, остановить производственный процесс, запустить вирус и т.д. В некоторых случаях, вредить они начинают из личных побуждений.

Кейс. В крупную китайскую технологическую компанию на стажировку строился студент-программист. Но вместо того, чтобы набираться опыта и помогать коллегам, он два месяца мешал развитию проекта, над которым трудилась команда из 30 сотрудников. Стажёр подвергал опасности данные и сервисы, до которых только мог дотянуться: загружал файлы со скрытым кодом, создавал микробаги, останавливал процесс обучения ИИ и др. Новичок посещал все рабочие встречи, связанные с устранением багов, не вызывая ни у кого подозрений. Его коллеги круглосуточно искали причину ошибок, но в итоге заподозрили неладное, начали расследование и вычислили вредителя.

Действия мстительных технических специалистов стоят «особняком» от всех нарушений, потому что в небольшой компании такие сотрудники порой единственные понимают, как работают ИТ-системы.

Кейс (из судебной практики). Бывший IT-специалист предприятия удалил резервные копии ПО, служебную документацию, а также материалы исследований. После его увольнения компания столкнулась с атакой, последствия которой не удалось ликвидировать из-за действий «мстительного» ИТ-специалиста.

Компаниям стоит заботиться о собственной кадровой безопасности, чтобы однажды не обнаружить «пригретого» в коллективе недобросовестного сотрудника. Для этого необходимо проверять кандидатов на этапе собеседования и контролировать после трудоустройства. Вот минимальный набор мер для защиты компании от действий трудовых аферистов.

• Проверяйте кандидатов на этапе собеседования. Сделать выводы о порядочности некоторых соискателей можно уже на этапе рассмотрения кандидата. У служб безопасности есть методики проверки: они исследуют различные базы на предмет нестыковок, анализируют информацию о человеке из открытых источников и прочее. Небольшие компании без отдела безопасности могут провести, пусть не такую глубокую, но самостоятельную проверку: запросить рекомендации у прошлых работодателей, провести опросные беседы.
  
  

• Контролируйте рабочее время сотрудников. Существуют различные варианты, чтобы мониторить деятельность персонала: установка видеокамер, внедрение ПО для учёта рабочего времени, регулярная отчётность сотрудников и т.д. В комплексе эти инструменты дают более развёрнутую и детальную картину по нарушениям, переработкам и пр. Автоматизированные средства контроля освобождают время руководителя и формируют полноценный отчёт о загрузке персонала.
  
  

• Контролируйте конфиденциальную информацию. Проверьте, как и где хранятся данные, кто из сотрудников может с ними работать. Доступ к конфиденциальной информации должен быть разграничен и предоставлен только тем сотрудникам, которым он нужен по должностным обязанностям, а не всем подряд.
  
  

• Вводите регламенты и подписывайте с новыми сотрудниками NDA (соглашение о неразглашении). Не делайте из этого пустую формальность, новые сотрудники должны понимать, что для вашей компании вопрос защиты данных ключевой. О том, как правильно оформить режим коммерческой тайны и сделать так, чтобы он реально защищал бизнес, читайте в чек-листе по ссылке.
  
  

• Делегируйте контроль. Контроль за сотрудниками можно передать специализированной компании – например, использовать аутсорсинг информационной безопасности. В рамках сервиса заказчик получает полный контроль за ситуацией в компании и своевременно выявляет внутренние угрозы со стороны сотрудников: безделье, кражи конфиденциальной информации, нарушения регламента, «работу» на конкурентов и прочее.

Чтобы не пропустить интересную для вас статью о малом бизнесе, подпишитесь на наш Telegram-канал, страницу в «ВКонтакте» и канал на «Яндекс.Дзен».
biz360