Informacje, którymi dysponuje przedsiębiorstwo, budują jego przewagę konkurencyjną. Dlatego z perspektywy zarządzających najistotniejsze powinno być odpowiednie zabezpieczenie informacji stanowiących tajemnicę przedsiębiorstwa. Do zadania tego należy jednak podejść z najwyższą starannością, właściwą dla wagi sprawy.
Ustawa o zwalczaniu nieuczciwej konkurencji zawiera definicję tajemnicy przedsiębiorstwa i wprowadza mechanizmy jej ochrony. Analizując stan prawny ze szczególnym uwzględnieniem praktyki orzeczniczej, należy stwierdzić, że absolutnie kluczowym jest udowodnienie przed sądem przez przedsiębiorcę (zarówno w sporze cywilnym jak i karnym), iż podjął on, przy zachowaniu należytej staranności, działania mające na celu utrzymanie informacji stanowiących tajemnicę przedsiębiorstwa w poufności. Ciężar dowodu w tym względzie spoczywa na przedsiębiorcy. Praktyka pokazuje jednak, iż wielu pokrzywdzonych przedsiębiorców nie sprostało wymogom dowodowym. Nie potrafili oni udowodnić przed sądem, że były pracownik lub zleceniobiorca wykorzystał informacje poufne dla własnych lub/i cudzych celów, co kończyło się wyrokami uniewinniającymi.
Dla każdego typu organizacji podstawowym i uniwersalnym działaniem jest przyjęcie adekwatnego regulaminu ochrony informacji poufnych, który normować powinien takie kwestie jak np. zasady dostępu pracowników do informacji, zasady korzystania z służbowych i prywatnych urządzeń elektronicznych, zasady ochrony dokumentów i nośników danych zawierających tajemnicę przedsiębiorstwa. Nawet najlepiej napisane procedury lub regulaminy na nic się jednak nie zdadzą jeśli dana organizacja nie przeprowadzi odpowiednich szkoleń oraz nie będzie dbała o dawanie pracownikom dobrego przykładu płynącego „z góry”. Regulacje wewnętrzne, szkolenia i odpowiednia kultura organizacyjna są elementami kluczowymi dla formalnego wykazania, iż przedsiębiorca dochował należytej staranności w ochronie informacji poufnych. Czy to jednak wystarczy, aby wygrać proces w sądzie o naruszenie tajemnicy przedsiębiorstwa?
Weźmy za przykład przedsiębiorstwo, z którego odchodzi jeden z kluczowych pracowników działu handlowego. Przedsiębiorca nie zawarł z nim umowy o zakazie konkurencji po ustaniu stosunku pracy, nie chciał bowiem generować dodatkowych kosztów. Sądził, iż wystarczy zawarcie z pracownikiem umowy o zachowaniu poufności (NDA), w której określono, że pracownik ma obowiązek zachowania w poufności informacji stanowiących tajemnicę przedsiębiorstwa przez okres 10 lat po ustaniu stosunku pracy. Po miesiącu od zwolnienia okazało się, że ów były pracownik założył konkurencyjną działalności i skierował ofertę do klientów obsługiwanych dotychczas przez byłego pracodawcę. W efekcie doszło do sytuacji, w której były pracownik przejął 80% klientów byłego pracodawcy, łącznie z tymi, których nigdy bezpośrednio nie obsługiwał, oferując produkty za niższą cenę lub zapewniając lepsze warunki transakcji. Przykładowy przedsiębiorca podejrzewa, iż były pracownik bezprawnie pozyskał jego bazę klientów, w której znajdowały się informacje o dostawcy produktu, cenie sprzedażowej, marży oraz szczegółowe dane dotyczące warunków umowy z klientem. Przedsiębiorca kieruje zawiadomienie o przestępstwie do prokuratury w związku z podejrzeniem karalnego wykorzystania przez byłego pracownika w jego własnej działalności informacji stanowiących tajemnicę przedsiębiorstwa byłego pracodawcy. Prokuratura umarza postępowanie wobec braku danych dostatecznie uzasadniających popełnienie przestępstwa, tłumacząc swą decyzję brakiem dowodu na pozyskanie przez pracownika bazy klientów przedsiębiorcy, wobec czego brak jest podstaw do twierdzenia, iż pracownik posiłkował się zbiorem danych przedsiębiorcy przy konstruowaniu ofert konkurencyjnych kierowanych do klientów przedsiębiorcy.
Powyższy przykład opisuje często występującą w realiach biznesowych sytuację, w której przedsiębiorca czuje się pokrzywdzony, ale poza podejrzeniem brak jest twardych dowodów przestępstwa. Jakie działania należy podjąć, aby właściwie zabezpieczyć dane poufne, a jeśli już dojdzie do wycieku jak udowodnić, iż doszło do przestępstwa?
Zanim zaczniemy snuć jakiekolwiek podejrzenia względem naszych pracowników, należy mieć pewność, że w naszej organizacji wdrożyliśmy wszystkie możliwe mechanizmy, które umożliwią przeprowadzenie wewnętrznego śledztwa w oparciu o konkretne dowody.
Elementarną kwestią jest rezygnacja z popularnego w wielu przedsiębiorstwach podejścia „Bring your own device”, które jest wygodne dla pracodawców, jednak odbija im się mocną czkawką w momencie, gdy staje się konieczna analiza telefonu, czy komputera pracownika – jest ona najprościej rzecz ujmując niemożliwa do przeprowadzenia, gdyż to nie pracodawca, a pracownik jest właścicielem sprzętu. Mało więc prawdopodobne, że ów pracownik dobrowolnie przekaże nam swój sprzęt tym bardziej, że może mieć coś na sumieniu.
Kolejną bardzo ważną kwestią jest wdrożenie w organizacji rozwiązań systemowych, które na co dzień pomogą nam chronić firmowe zasoby, śledzić ruch plików, czy zapanować nad urządzeniami przenośnymi.
Jednym z takich rozwiązań przydatnym nie tylko w walce z nieuczciwymi pracownikami, ale zapewniającym szeroko pojęte bezpieczeństwo danych jest wdrożenie w firmie usługi Security Operations Center (SOC).
Rozwiązanie to jest pomocne w monitorowaniu bezpieczeństwa całej naszej organizacji, chroni nas przed atakami hakerów, wirusów, trojanów, niechcianym szyfrowaniem itp. Jedną z jego wielu zalet jest również monitoring aktywności pracowników – weryfikacja jakimi plikami się „interesują”, ile razy dany dokument otwierali, drukowali, kopiowali. Mając wdrożone takie rozwiązanie możemy dokładnie prześledzić ruch plików w naszej organizacji i ograniczyć dostęp osobom, które mieć do nich wglądu nie powinny. Zgodzimy się zapewne, że często w firmie wszyscy pracownicy mają dostęp do wszystkich danych, nie jest to absolutnie praktyka godna pochwały. Inną odrębną kwestią jest szyfrowanie cennych zasobów, szyfrowanie wiadomości, czy tez autoryzacja tylko konkretnych, zatwierdzonych przez nas dysków przenośnych, która pozwoli nam ograniczyć niekontrolowane „wynoszenie” danych, uchroni także przed ewentualnym zgubieniem, czy kradzieżą firmowych zasobów.
Gdy już dojdzie do wycieku danych, istotne jest również, by móc jak po nitce do kłębka dojść do miejsca, z którego dane te wyciekły, niejako odtwarzając wszystkie te punkty i kroki które były wykorzystane przez cyberprzestępców. Możliwość takiej analizy daje nam wspomniany wcześniej SOC.
Pamiętajmy również, o jednej prostej zasadzie, która może znacznie przyspieszyć nasze wewnętrzne śledztwo, gdy będziemy chcieli sprawdzić kontakty, korespondencję, czy też inne aktywności byłych pracowników. Wykonujmy kopie binarne dysków twardych, róbmy kopie telefonów w momencie, gdy pracownik oddaje nam firmowy sprzęt, tj. najczęściej w ostatnim dniu jego pracy. Zazwyczaj dzieje się tak, że sprzęt byłego pracownika, nieraz jeszcze tego samego dnia zostaje przekazany do użytku innemu pracownikowi, który nieświadomie, ale za to bardzo skutecznie zatrze wszelkie aktywności swojego poprzednika. Posiadanie kopii da nam pewność, że gdy pojawią się wątpliwości będziemy mieli konkretne źródło, w którym będziemy mogli ewentualnie znaleźć potwierdzenie naszych przypuszczeń. Na taką usługę również możemy liczyć w ramach Security Operations Center.
Niestety nie można wymagać, aby każdy pracownik posiadał wystarczającą wiedzę z zakresu ataku i obrony przed cyberprzestępcami. Szkolenie pracowników z metod jakimi posługują się cyberprzestępcy jest nieodłącznym elementem podwyższania poziomu bezpieczeństwa całej organizacji. Jednak doświadczenie pokazuje, że pracownicy nie dbają o bezpieczeństwo swojego miejsca pracy. Skupiają się na wykonywaniu obowiązków, nie bacząc na niebezpieczeństwa jakie niesie ze sobą „klikanie w każdy podesłany link”, otwieranie zdjęć przesyłanych przez „znajomych”. W tym przypadku lekiem znowu jest usługa SOC, która bierze na siebie monitorowanie działań użytkownika i reakcji na jego niepożądane (często nieświadome) działanie.
Warto, aby każdy przedsiębiorca przyjrzał się uważnie panującym u siebie zasadom ochrony informacji stanowiących tajemnicę przedsiębiorstwa i zastosował opisane w niniejszym artykule dobre praktyki.
Autorzy:
- Adwokat Dawid Rasiński, partner zarządzający w Kancelarii Karbowski Rasiński & Partners;
- Maciej Karmoliński, Dyrektor Operacyjny ForSec Sp. z o.o.
