Опубликовали мою новую статью на anti-malware.ru
Полный текст:
Как привлечь к ответственности сотрудника, который нанес ущерб компании? Предварительная экспертиза инцидента информационной безопасности.
Сложно оценить насколько часто службы информационной безопасности фиксируют инциденты, связанные с действиями сотрудников, в своих информационных системах. Даже небольшие компании регулярно оказываются в ситуации, когда нерадивый сотрудник использует ошибки в ERP-системах или несовершенство бизнес-процессов компании в своих корыстных целях.
Разберем пример, есть компания, которая занимается производством и реализацией, например, пластиковых окон. Компания внедрила и постоянно улучшает ERP-систему. Система автоматизировала большинство значимых для компании процессов, в частности, процессы закупки, отгрузки и учета товара.
Сотрудники, которые многие годы работают с такой системой, знают об уязвимостях, которые есть в системе. Более того, в системах ERP часто имеются известные дыры, про которые некоторые сотрудники знают, но не спешат сообщать об этом руководству или разработчикам, т.к. используют их для решения текущих задач.
В какой-то момент происходит инцидент, например, отгружается готовая продукции на крупную сумму представителям неизвестной компании без фактической оплаты, при этом в системе появляется информация, что оплата есть. Выяснить этот факт удается только после аудита или при подготовке отчета за очередной налоговый период.
В итоге, продукции нет, оплаты нет.
Компания, которая оказалась в такой ситуации, может обратиться в правоохранительные органы, искать пропавший товар и пытаться наказать виновных в соответствии с законом. Однако не все так просто.
Инициация уголовного дела и доведение его до приговора суда – дело чрезвычайно сложное и затратное. Фактические затраты компании могут превышать сумму причиненного ущерба на порядок. Исходя из этого, компании неохотно обращаются в правоохранительные органы и работают со следствием. Дешевле спустить все на тормозах. Конечно, работа в направлении уголовного преследования виновных может быть делом принципа. В этом случае вопрос экономической целесообразности уходит на дальний план.
Есть и другие способы реагирования. Например, провести собственное расследование и предпринять попытки возместить сумму ущерба с виновных лиц в досудебном порядке. Эта задача вполне реализуема. В частности ущерб можно возместить в рамках переговоров с виновными сотрудниками.
Конечно, здесь есть свои нюансы. Люди, которые проводят мошеннические операции, готовятся к ним загодя, анализируют вероятность, что их вычислят, а также заранее оценивают перспективы судебного разбирательства.
Поэтому к моменту общения с нерадивым сотрудником, представителям служб безопасности и руководству нужно быть подговоленным.
Во-первых, нужно четко понимать всю схему инцидента. Во-вторых, нужно понимать место сотрудника в этой схеме, и требуется понять, что именно нарушил сотрудник (если нарушение было). В-третьих, нужно провести корректное расследование инцидента.
С последним пунктом есть сложности. Практика показывает, что проведение внутреннего расследования, сбор необходимых доказательств, не всегда устраивают суд. Даже если все доказательства собраны корректно, по таким делам суды часто отказывают в исках. У суда есть весомые основания не доверять результатам работы комиссии, состоящей из сотрудников компании. Также, есть основания не доверять сведениям из ERP-систем, на которые будет опираться комиссия при проведении внутреннего расследования.
Рабочим вариантом будет привлечение третьей стороны на самом раннем этапе.
У суда нет оснований не доверять мнению эксперта, который может быть привлечен компанией для проведения предварительного расследования инцидента. Эксперт может подтвердить или опровергнуть для руководителя организации обстоятельства инцидента, описать и задокументировать, еще до проведения внутреннего расследования, записи ERP-системы. Все это оформляется в виде отчета, который в дальнейшем может быть использован для проведения внутреннего расследования или в беседе с нерадивым сотрудником. К этой работе также можно привлечь нотариуса.
Если предварительное расследование инцидента проведено корректно, то по моей практике, в тех случаях, когда вина сотрудника подтверждается, 4 из 5 сотрудников идут на мировое соглашение и возмещают сумму ущерба в полном объеме. Это происходит даже без проведения внутреннего расследования.
Предварительное расследование инцидента информационной безопасности проходит в два этапа:
- Сбор и документирование свидетельств;
- Подготовка заключения по событию информационной безопасности.
Для корректного сбора значимых свидетельств необходимо соблюсти целый ряд процедур. Например, нужно заранее определить внутреннего заказчика экспертизы, определить цели и задачи и т.д.
Что может содержать заключение по событию информационной безопасности?
Предварительный перечень разделов выглядит следующим образом:
1) Время, место, основание и реквизиты исследования
2) Сведения об эксперте
3) Используемые документы
4) Описание доступа в информационные системы
5) Последовательность и методика исследования
6) Содержание логов и их интерпретация
7) Выводы, включая ответы на вопросы
8) ? Оценка перспектив судебного разбирательства
9) ? Рекомендации по дальнейшим действиям
После получения результатов такого исследования, компания может проводить внутреннее расследование, а служба безопасности – работать с провинившимися сотрудниками.
В итоге компания имеет возможность не доводить дело до суда и решить вопрос в досудебном порядке. Либо, получить дополнительные доказательства еще до проведения внутреннего расследования, что существенно повышает шансы позитивного разрешения ситуации в суде.