Как привлечь к ответственности сотрудника, который нанес ущерб компании? Предварительная экспертиза инцидента информационной безопасности

Как привлечь к ответственности провинившегося сотрудника?

Как привлечь к ответственности провинившегося сотрудника?

Сложно оценить, как часто службы информационной безопасности фиксируют инциденты, связанные с действиями сотрудников. Даже небольшие компании регулярно оказываются в ситуации, когда недобросовестный сотрудник использует ошибки в ERP-системах или несовершенство бизнес-процессов компании в корыстных целях.

Разберем пример: есть компания, которая занимается производством и реализацией, скажем, пластиковых окон. Компания внедрила и постоянно улучшает ERP-систему. Система автоматизировала большинство значимых для компании процессов, в частности, закупку, отгрузку и учет товара.

Сотрудники, которые многие годы работают с такой системой, знают об уязвимостях, имеющихся в системе. Более того, в системах ERP часто имеются известные дыры, про которые некоторые сотрудники знают, но не спешат сообщать об этом руководству или разработчикам, т. к. используют их для решения текущих задач.

В какой-то момент происходит инцидент, например, отгружается готовая продукция на крупную сумму представителям неизвестной компании без фактической оплаты, при этом в системе появляется информация, что оплата есть. Выявить этот факт удается только после аудита или при подготовке отчета за очередной налоговый период.

В итоге нет ни продукции, ни оплаты.

Компания, которая оказалась в такой ситуации, может обратиться в правоохранительные органы, искать пропавший товар и пытаться наказать виновных в соответствии с законом. Однако не все так просто.

Инициировать уголовное дело и довести его до приговора суда — чрезвычайно сложно и затратно. Эти расходы компании могут превышать сумму причиненного ущерба на порядок. Исходя из этого, компании неохотно обращаются в правоохранительные органы и работают со следствием. Дешевле спустить все на тормозах. Конечно, уголовное наказание виновных может быть делом принципа. В этом случае вопрос экономической целесообразности уходит на дальний план.

Есть и другие способы реагирования. Например, провести собственное расследование и предпринять попытки возместить сумму ущерба с виновных лиц в досудебном порядке. Эта задача вполне реализуема. В частности, потребовать возмещения ущерба можно в рамках переговоров с виновными сотрудниками.

Конечно, здесь есть свои нюансы. Люди, которые проводят мошеннические операции, готовятся к ним загодя, анализируют вероятность, что их вычислят, а также заранее оценивают перспективы судебного разбирательства.

Поэтому представителям служб безопасности и руководству нужно быть подготовленными к общению с недобросовестным сотрудником.

Во-первых, нужно четко понимать всю схему инцидента. Во-вторых, важно оценить место сотрудника в этой схеме: понять, что именно нарушил сотрудник (если нарушение было). В-третьих, необходимо провести корректное расследование инцидента.

С последним пунктом есть сложности. Практика показывает, что проведение внутреннего расследования и собранные доказательства не всегда устраивают суд. Даже если все доказательства собраны корректно, по таким делам суды часто отказывают в исках. У суда есть весомые основания не доверять результатам работы комиссии, состоящей из сотрудников компании. Также есть основания не доверять сведениям из ERP-систем, на которые будет опираться комиссия при проведении внутреннего расследования.

Рабочим вариантом будет привлечение третьей стороны на самом раннем этапе.

У суда нет оснований не доверять мнению стороннего эксперта, который может быть привлечен компанией для проведения предварительного расследования инцидента. Он может подтвердить или опровергнуть для руководителя организации обстоятельства инцидента, описать и задокументировать, еще до проведения внутреннего расследования, записи ERP-системы. Все это оформляется в виде отчета, который в дальнейшем может быть использован для проведения внутреннего расследования или в беседе с сотрудником. К этой работе также можно привлечь нотариуса.

Если предварительное расследование инцидента проведено корректно, то, как показывает практика, когда вина подтверждается, 4 из 5 сотрудников идут на мировое соглашение и возмещают сумму ущерба в полном объеме. Это происходит даже без проведения внутреннего расследования.

Предварительное расследование инцидента информационной безопасности проходит в два этапа:

  1. Сбор и документирование свидетельств.
  2. Подготовка заключения по событию информационной безопасности.

Для корректного сбора значимых свидетельств необходимо соблюсти целый ряд процедур. Например, нужно заранее определить внутреннего заказчика экспертизы, определить цели и задачи и т. д.

Что может содержать заключение по событию информационной безопасности?

Предварительный перечень разделов выглядит следующим образом:

  1. Время, место, основание и реквизиты исследования
  2. Сведения об эксперте
  3. Используемые документы
  4. Описание доступа в информационные системы
  5. Последовательность и методика исследования
  6. Содержание логов и их интерпретация
  7. Выводы, включая ответы на вопросы
  8. Оценка перспектив судебного разбирательства
  9. Рекомендации по дальнейшим действиям

Получив результаты такого исследования, компания может проводить внутреннее расследование, а служба безопасности — работать с провинившимися сотрудниками.

В итоге компания имеет возможность не доводить дело до суда и решить вопрос в досудебном порядке. Либо получить дополнительные доказательства еще до проведения внутреннего расследования, что существенно повышает шансы позитивного разрешения ситуации в суде.  

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru