Daugelis verslininkų pripažįsta, kad Lietuvoje komercinis šnipinėjimas - ne taip jau retai pasitaikantis nusikaltimas. Ekonominiu sunkmečiu, paaštrėjus konkurencinėms sąlygoms, netyla kalbos apie augančias komercinio šnipinėjimo galimybes. Verslininkai teigia, kad technologinė pažanga komercinės informacijos vagišiams ir nutekintojams atvėrė dar daugiau būdų kenkti įmonių veiklai.
Kaip ten bebūtų, iki šiol Lietuvoje teismą yra pasiekusi bene vienintelė komercinio šnipinėjimo byla, tačiau pačių atvejų Lietuvos versle būna užfiksuota kur kas daugiau. Vienintelė Lietuvoje teismą pasiekusi komercinio šnipinėjimo byla buvo pradėta praėjusių metų viduryje. Tuomet Prienuose veikianti medinių langų gamybos bendrovė „Doleta“ kreipėsi į Generalinę prokuratūrą dėl komercinių paslapčių nutekėjimo, o taip pat dėl nesąžiningos konkurencijos, komercinių paslapčių atskleidimo tretiesiems asmenims bei žalos, kuri bendrovės skaičiavimais siekia 10 mln.
Teigiama, kad per daugiau nei dvejus metus vienas įmonės „Doleta“ darbuotojas jų konkurentui reguliariai atskleisdavo komercines paslaptis, pasiūlymus klientams bei inžinerinius langų konstrukcijų sprendimus. Advokatų kontoros „Raidla Lejins & Norcous” asocijuotos teisininkės, advokatės Julijos Beldeninovienės teigimu, nei viena baudžiamoji byla dėl komercinio šnipinėjimo ar komercinės paslapties atskleidimo dar nebuvo nagrinėta nei Lietuvos Aukščiausiajame Teisme, nei Lietuvos apeliaciniame teisme.
Todėl kalbėti apie susiformavusią Lietuvos teismų praktiką dėl tokio pobūdžio nusikalstamų veikų dar per anksti. „Reta įmonė ryžtasi kreiptis į prokuratūrą su pareiškimu dėl tokių baudžiamųjų bylų iškėlimo. Pirma, ne visi verslininkai žino, kad Lietuvos Respublikos baudžiamajame kodekse yra numatytos tokios nusikalstamos veikos. Antra, daugelis verslininkų tiesiog nemato prasmės baudžiamajame procese, nes jų manymu tokias nusikalstamas veikas labai sunku įrodyti, tyrimui reikės daug laiko, lėšų.
Ji pabrėžia, kad komercinio šnipinėjimo ir komercinės paslapties atskleidimo bylos dažnai nutrūksta nepavykus įrodyti, jog nutekinta informacija yra bendrovės komercinės paslapties objektas. Taip atsitinka dėl konfidencialios informacijos neapibrėžtumo įmonėse. „Baudžiamosiose bylose dėl komercinės paslapties atskleidimo be tiesioginės tyčios įrodymo sudėtingumo problemą kelia ir toks šios nusikalstamos veikos sudėties būtinas objektyvusis požymis kaip didelė turtinė žala komercinės paslapties savininkui, kuri pagal Lietuvos Respublikos baudžiamąjį kodeksą turi būti ne mažesnė kaip 150 MGL.
Konfidencialios informacijos nutekinimu padaryta žala - tai žala, atsiradusi dėl klientų sumažėjimo, gamybos sumažinimo ir pan. Praktikoje labai sunku tokią žalą įvertinti materialiai. Taigi sunku įrodyti, kad dėl komercinės paslapties atskleidimo įmonei padaryta žala yra ne mažesnė kaip 150 MGL“, - sako advokatė J. Teisininkė priduria, kad, nepaisant visų teisinių sunkumų, negalima teigti, jog Lietuvos verslininkai nuleidžia rankas ir nekovoja su konfidencialios informacijos nutekinimu.
„Be abejonės, dėl krizės komercinio šnipinėjimo ir konfidencialios informacijos nutekinimo atvejų padažnėjo. Rinka sumažėjo, įmonės yra priverstos kovoti ne tiek dėl klestėjimo, kiek dėl išlikimo, todėl tokia konfidenciali informacija kaip klientų sąrašai, kainų politika, produkcijos realizavimo planai ir pan., šiais laikais yra ypač aktuali konkurentams. Be to, dėl krizės prasidėjo masiniai darbuotojų atleidimai, o tai sąlygojo darbuotojų patikimumo, lojalumo bei atidumo sumažėjimą, atleistų darbuotojų nepasitenkinimą. Taigi patys darbuotojai dabar kelia žymiai didesnę grėsmę konfidencialios informacijos nutekinimui.
Jos teiginius patvirtina vienos iš saugumo sprendimų kūrimo lyderių pasaulyje kompanijos „McAfee" 2009 m atlikta studija „Nesaugios ekonomikos: kritinės informacijos apsauga“. Joje nurodoma, kad 46 proc. apklausos dalyvių mano, jog didžiausia grėsmė organizacijų informaciniam saugumui - atleisti darbuotojai, o 39 proc. respondentų mano, kad ši informacija tapo dar labiau pažeidžiamesnė dėl neigiamai pakitusios ekonominės situacijos. IT ekspertų nuomonė dėl augančių komercinio šnipinėjimo grėsmių nesiskiria nuo teisininkų.
Pasaulinę saugumo sprendimų lyderę „McAfee" Lietuvoje atstovaujančios tarptautinės IT bendrovės „DPA Lietuva" vadovas Laurynas Truncė tvirtina, kad finansinės krizės metu didesnį spaudimą juntančios verslo kompanijos priverstos mažinti išlaidas, skiriamas informacijos saugumui užtikrinti bei atisakyti šią sritį kuruojančių darbuotojų. „Apklausos rodo, kad mažėjant investicijoms į informacinio saugumo priemones, auga kibernetinio nusikalstamumo ir komercinio šnipinėjimo potencialas. Vidinių duomenų vagysčių padaromos finansinės žalos dydis tiesiogiai priklauso nuo to, kaip patikimai organizacijoje ribojamas priėjimas prie jautrios informacijos. Ir nors komercinis šnipinėjimas dažniausiai būna nulemtas žmogiškojo faktoriaus, šiandien galima rasti patikimų priemonių, užtikrinančių informacijos nutekinimo prevenciją", - tvirtina L.
Jis konstatuoja, kad šiandien naudojamoms informacinio saugumo priemonėms dažnai trūksta integracijos - visos jos veikia, tarsi, atskiros programos. Todėl jie dažnai yra neveiksmingi, nes konfidencialios informacijos vagysčių atvejai yra sudėtingi ir įgyvendinami naudojant ne vieną metodą. L. Truncės teigimu, geriausias ir patikimiausias yra kompleksinis saugumo sprendimas.
„DPA Lietuva“ vadovas tvirtina, kad, pavyzdžiui, užtikrinus visos elektroninėse laikmenose esančios informacijos centralizaciją bei integravus rezervinių duomenų kopijų kūrimo sistemą, visos turimos informacijos apyvarta yra pajungiama aiškiai kontrolei, kai galima reguliuoti ir informacijos prieinamumą. „Taip pat būtinas centralizuotas saugumo sprendimas, saugumo specialistams leidžiantis visas grėsmes identifikuoti bei valyti nuotoliniu būdu. Be duomenų kodavimo, reikia ir duomenų praradimo prevencijos užtikrinimo. Paprastai didžioji konfidencialios informacijos dalis tyčia ar netyčia būna nutekinama pačių įmonės darbuotojų.
Tai gali būti konfidencialus elektroninis laiškas, skirtas kolegai, tačiau atsitiktinai, dėl el. pašto adresų panašumo, nusisiųstas pašaliniam asmeniui. Įmonės viduje gali dirbti papirktas darbuotojas, už mokestį USB rakte išgabenantis konfidencialius duomenimis konkurentams. Tokių kritinių atvejų padeda išvengti duomenų praradimo prevencijos sprendimai. Be technologijų, komercinės informacijos praradimo prevencijai gali pasitarnauti ir teisinės priemonės. „Raidla Lejins & Norcous” advokatės J.
Tvirtinant konfidencialios informacijos sąrašą ne mažiau svarbu numatyti būdus, kuriais informacija bus saugoma - patartina nustatyti draudimą kopijuoti elektroninę duomenų bazę, popieriuje esančią informaciją ir kt. Su patvirtintu komercinių paslapčių sąrašu turi būti pasirašytinai supažindintas kiekvienas darbuotojas, kuriam šios paslaptys gali būti žinomos atliekant pavestas darbo funkcijas. J. Beldeninovienė priduria, kad patartina parengti ir bendrovės taisykles dėl konfidencialios informacijos saugojimo: neišnešti iš darbovietės dokumentų, nepalikti dokumentų, kompiuterių be priežiūros pietų metu ir pan.
Darbo santykių pradžioje dažnai pasirašoma konfidencialumo sutartis tarp darbuotojo ir darbdavio, užtikrinanti bei reglamentuojanti darbo santykius, įmonės konfidencialios informacijos saugumą, galiojimo terminus ir pan. Lietuvos Respublikos naujojo darbo kodekso nuostatos (25 straipsnis) numato teisę šalims susitarti dėl konfidencialios informacijos apsaugos (senajame kodekse tokių nuostatų nebuvo).
Šalių susitarime dėl konfidencialios informacijos apsaugos turėtų būti aptariama:
- Konfidencialią informaciją sudarantys duomenys. Jie gali būti išvardinami pačiame susitarime arba daroma nuoroda į atskirą dokumentą, kuriame pateikiamas konfidencialios informacijos sąrašas (tačiau darbuotojas turi būti su šiuo dokumentus pasirašytinai supažindintas). Itin svarbu, kad konfidencialios informacijos sąrašas būtų kuo aiškesnis ir išsamesnis, darbuotojui aiškiai suprantamas ir nepaliekantis vietos interpretacijoms. Kylantys neaiškumai teisminio ginčo atveju dažniausiai būtų vertinami darbdavio nenaudai.
- Susitarimo dėl konfidencialios informacijos apsaugos galiojimo terminas.
- Darbdavio pareigos padedant darbuotojui išsaugoti šios informacijos slaptumą. Darbdaviui pačiam nesiimant priemonių saugoti savo konfidencialią informaciją ir nepadedant tai daryti darbuotojui, darbdavio informaciją nelaikoma konfidencialia, atitinkamai jai negalioja susitarimu siekiama sukurti apsauga. Pagal teismų suformuotą praktiką, tam, kad informacija būtų pripažįstama konfidencialia, ji turi būti slapta ir saugoma. Todėl darbdaviui itin svarbu tiek pačiam saugoti savo konfidencialią informaciją, t.y. imtis reikiamų fizinių, techninių, teisinių, organizacinių ar kitokių priemonių informacijos saugumui užtikrinti (įdiegti saugias prieigas prie informacijos, naudoti saugias ryšio linijas, prieigas prie informacijos apsaugoti slaptažodžiais, kompiuterinėje įrangoje įdiegti apsaugas nuo įsilaužimų, jei informacija yra ne skaitmeninėje, o fizinėje formoje - adekvačias apsaugas įdiegti informacijos saugojimo vietai ar patalpai).
- Susitarime taip pat gali būti nustatytos netesybos (bauda) už šio susitarimo nevykdymą ar netinkamą jo vykdymą. Įvertinus susitarimo pobūdį, darbdaviui rekomenduotiną kiekviename susitarime nustatyti minimalių dėl informacijos atskleidimo patiriamų nuostolių dydį.
Svarbu atkreipti dėmesį į skirtingas teismų praktikoje išskiriamos informacijos konfidencialumo rūšis ir joms taikomas skirtingas apsaugas:
- Informacija, kuri, nors savininko įvardijama kaip konfidenciali, savaime yra akivaizdi ar lengvai pasiekiama (pvz., viešai skelbiami įmonės finansinės atskaitomybės duomenys, viešai skelbiama informacija apie akcininkus, vykdomus projektus, verslo partnerius ir kt.).
- Informacija, kurią įmonės darbuotojai turi laikyti konfidencialia, tačiau tokia informacija, kai su ja yra susipažįstama, tampa neatsiejama jų gebėjimų, įgūdžių bei žinių dalimi (pvz., įmonėje taikoma geroji praktika, vadybos metodai, darbo su klientais metodai, derybų vedimo būdai ir kt.). Todėl darbuotojai privalo laikytis pareigos saugoti tokio pobūdžio informaciją tik tol, kol dirba įmonėje, kurioje ją sužinojo.
- Specifinio pobūdžio konfidenciali informacija. Tokia informacija neatitinka komercinės paslapties apibrėžties, tačiau kai darbuotojas su ja susipažįsta, ji netampa neatsiejama jo gebėjimų, žinių ir kompetencijos dalimi.
- Komercinės paslaptys - konfidencialūs duomenys, kurie yra tokie specifiniai ir reikšmingi, kad darbuotojai, net ir pasibaigus darbo santykiams, sutartyje ar įstatyme nustatytą laiką negali teisėtai panaudoti jų jokiais tikslais, kurie kokiu nors būdu galėtų pažeisti teisėto informacijos savininko teises ir teisėtus interesus.
Su darbuotojais sudaromi konfidencialumo susitarimai yra naudinga priemonė darbdaviams, norintiems apsaugoti savo veikloje naudojamą konfidencialią informaciją, tokio pobūdžio susitarimus rekomenduotina sudaryti su visais saugomą informaciją žinančiais darbuotojais. Svarbu užtikrinti, kad sudarant tokio pobūdžio susitarimus konfidencialios informacijos sąrašas būtų suformuotas kuo tiksliau, kad pati informacija būtų saugoma ne tik darbuotojų, o ir paties darbdavio, taip pat nustatyti protingo dydžio, saugomos informacijos pobūdį atitinkantį netesybų dydį.
Duomenų praradimo prevencijos ciklas
Prevencinės priemonės
Apibendrinant, norint apsaugoti konfidencialią informaciją, būtina imtis kompleksinių priemonių, apimančių tiek technologinius, tiek teisinius aspektus. Svarbu:
- Aišliai apibrėžti, kokia informacija laikoma konfidencialia.
- Sukurti taisykles dėl konfidencialios informacijos saugojimo.
- Sudaryti konfidencialumo sutartis su darbuotojais.
- Užtikrinti fizinę ir techninę informacijos apsaugą.
- Reguliariai šviesti darbuotojus apie informacijos saugumo svarbą.