Как привлечь к ответственности сотрудника, который нанес ущерб компании?

Как привлечь к ответственности сотрудника, который нанес ущерб компании?

311Опубликовали мою новую статью на anti-malware.ru

Полный текст:

Как привлечь к ответственности сотрудника, который нанес ущерб компании? Предварительная экспертиза инцидента информационной безопасности.

Сложно оценить насколько часто службы информационной безопасности фиксируют инциденты, связанные с действиями сотрудников, в своих информационных системах. Даже небольшие компании регулярно оказываются в ситуации, когда нерадивый сотрудник использует ошибки в ERP-системах или несовершенство бизнес-процессов компании в своих корыстных целях.

Разберем пример, есть компания, которая занимается производством и реализацией, например, пластиковых окон. Компания внедрила и постоянно улучшает ERP-систему. Система автоматизировала большинство значимых для компании процессов, в частности, процессы закупки, отгрузки и учета товара.

Сотрудники, которые многие годы работают с такой системой, знают об уязвимостях, которые есть в системе. Более того, в системах ERP часто имеются известные дыры, про которые некоторые сотрудники знают, но не спешат сообщать об этом руководству или разработчикам, т.к. используют их для решения текущих задач.

В какой-то момент происходит инцидент, например, отгружается готовая продукции на крупную сумму представителям неизвестной компании без фактической оплаты, при этом в системе появляется информация, что оплата есть. Выяснить этот факт удается только после аудита или при подготовке отчета за очередной налоговый период.

В итоге, продукции нет, оплаты нет.

Компания, которая оказалась в такой ситуации, может обратиться в правоохранительные органы, искать пропавший товар и пытаться наказать виновных в соответствии с законом. Однако не все так просто.

Инициация уголовного дела и доведение его до приговора суда – дело чрезвычайно сложное и затратное. Фактические затраты компании могут превышать сумму причиненного ущерба на порядок. Исходя из этого, компании неохотно обращаются в правоохранительные органы и работают со следствием. Дешевле спустить все на тормозах. Конечно, работа в направлении уголовного преследования виновных может быть делом принципа. В этом случае вопрос экономической целесообразности уходит на дальний план.

Есть и другие способы реагирования. Например, провести собственное расследование и предпринять попытки возместить сумму ущерба с виновных лиц в досудебном порядке. Эта задача вполне реализуема. В частности ущерб можно возместить в рамках переговоров с виновными сотрудниками.

Конечно, здесь есть свои нюансы. Люди, которые проводят мошеннические операции, готовятся к ним загодя, анализируют вероятность, что их вычислят, а также заранее оценивают перспективы судебного разбирательства.

Поэтому к моменту общения с нерадивым сотрудником, представителям служб безопасности и руководству нужно быть подговоленным.

Во-первых, нужно четко понимать всю схему инцидента. Во-вторых, нужно понимать место сотрудника в этой схеме, и требуется понять, что именно нарушил сотрудник (если нарушение было). В-третьих, нужно провести корректное расследование инцидента.

С последним пунктом есть сложности. Практика показывает, что проведение внутреннего расследования, сбор необходимых доказательств, не всегда устраивают суд. Даже если все доказательства собраны корректно, по таким делам суды часто отказывают в исках. У суда есть весомые основания не доверять результатам работы комиссии, состоящей из сотрудников компании. Также, есть основания не доверять сведениям из ERP-систем, на которые будет опираться комиссия при проведении внутреннего расследования.

Рабочим вариантом будет привлечение третьей стороны на самом раннем этапе.

У суда нет оснований не доверять мнению эксперта, который может быть привлечен компанией для проведения предварительного расследования инцидента. Эксперт может подтвердить или опровергнуть для руководителя организации обстоятельства инцидента, описать и задокументировать, еще до проведения внутреннего расследования, записи ERP-системы. Все это оформляется в виде отчета, который в дальнейшем может быть использован для проведения внутреннего расследования или в беседе с нерадивым сотрудником. К этой работе также можно привлечь нотариуса.

Если предварительное расследование инцидента проведено корректно, то по моей практике, в тех случаях, когда вина сотрудника подтверждается, 4 из 5 сотрудников идут на мировое соглашение и возмещают сумму ущерба в полном объеме. Это происходит даже без проведения внутреннего расследования.

Предварительное расследование инцидента информационной безопасности проходит в два этапа:

  1. Сбор и документирование свидетельств;
  2. Подготовка заключения по событию информационной безопасности.

Для корректного сбора значимых свидетельств необходимо соблюсти целый ряд процедур. Например, нужно заранее определить внутреннего заказчика экспертизы, определить цели и задачи и т.д.

Что может содержать заключение по событию информационной безопасности?

Предварительный перечень разделов выглядит следующим образом:

1)      Время, место, основание и реквизиты исследования

2)      Сведения об эксперте

3)      Используемые документы

4)      Описание доступа в информационные системы

5)      Последовательность и методика исследования

6)      Содержание логов и их интерпретация

7)      Выводы, включая ответы на вопросы

8)      ? Оценка перспектив судебного разбирательства

9)      ? Рекомендации по дальнейшим действиям

После получения результатов такого исследования, компания может проводить внутреннее расследование, а служба безопасности – работать с провинившимися сотрудниками.

В итоге компания имеет возможность не доводить дело до суда и решить вопрос в досудебном порядке. Либо, получить дополнительные доказательства еще до проведения внутреннего расследования, что существенно повышает шансы позитивного разрешения ситуации в суде.


Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь

Евгений Царев

Персональные данные, Информационная безопасность и ИТ-инновации