Утечка информации на предприятии: как защитить бизнес в Беларуси

Утечка — это любой выход важных для компании данных за ее пределы без разрешения руководства. Это не всегда взлом хакерами. Чаще всего информация уходит через сотрудников или по неосторожности. 

• Коммерческая тайна. Цены для дилеров, данные о поставщиках, сметы, стратегии развития. То, что дает вам преимущество на рынке.
• Персональные данные сотрудников и клиентов. Паспорта, адреса, телефоны, сведения о здоровье и доходах.
• Технологические ноу-хау. Производственные процессы, рецептуры, чертежи, программный код.
• Служебная переписка. Переговоры с партнерами, внутренние протоколы, жалобы клиентов.

В Беларуси защита информации регулируется несколькими законами. Важно понимать, что утечка может повлечь не только репутационные потери, но и реальную ответственность для руководителя и компании.

Защита нераскрытой информации и коммерческой тайны базируется на статье 140 ГК РБ и Законе от 05.01.2013 № 16-З. Если сотрудник нарушил соглашение о неразглашении (NDA) или условия трудового контракта, работодатель имеет право взыскать с него причиненные убытки (в том числе упущенную выгоду).

• Статья 349 — несанкционированный доступ к компьютерной информации. Грозит штрафом, арестом, исправительными работами или ограничением свободы. При тяжких последствиях (крушение, авария, катастрофа, гибель людей) — лишение свободы до 7 лет.
• Статья 255 — разглашение коммерческой тайны без согласия владельца. Наказание — штраф, лишение права занимать определенные должности, ограничение или лишение свободы до 3 лет. Если деяние совершено из корыстной заинтересованности или причинен крупный ущерб — наказание ужесточается.

Закон «Об информации, информатизации и защите информации» требует соблюдать режим конфиденциальности. За умышленное разглашение коммерческой тайны без согласия владельца грозит штраф от 4 до 20 базовых величин (ст. 23.6 КоАП РБ).

Реальная практика: суды в Беларуси все чаще рассматривают дела о коммерческой тайне. В 2024–2025 годах участились случаи, когда бывших сотрудников обязывали выплачивать компенсации за использование клиентской базы.

Редко утечка происходит очевидно. Чаще вы замечаете косвенные признаки. 

• Сотрудник резко активизировал скачивание файлов или распечатку документов перед увольнением.
• Человек отказывается отпускать рабочий ноутбук в отпуск или больничный.
• Внезапное появление конкурента с идентичным продуктом, ценовой политикой или даже текстами на сайте. 

• Падение конверсии после встречи с потенциальным партнером, который «так и не согласился» на сделку.
• Клиенты упоминают, что конкуренты предлагают «точно так же, только дешевле на 5%».
• Публикации в СМИ или соцсетях с упоминанием ваших внутренних данных. 

• Нестандартная активность в системе учета в нерабочее время.
• Подключение неизвестных USB-накопителей к рабочим компьютерам.
• Пересылка больших архивов на личные почтовые ящики (mail.ru, gmail.com). 

Если вы подозреваете или подтвердили факт утечки, действуйте быстро и по плану. 

1. Изолируйте источник. Отключите подозреваемого сотрудника от баз данных, Wi-Fi, корпоративной почты. Не давайте ему возможности удалить следы.
2. Сохраните доказательства. Сделайте скриншоты журналов доступа, сохраните письма, документируйте, какие файлы были открыты или скопированы.
3. Опечатайте технику. Изымите рабочий ноутбук, телефон, флешки. Не давайте сотруднику «подчистить» информацию.

1. Проведите внутренний опрос. Поговорите с коллегами подозреваемого, выясните, какие данные могли быть скомпрометированы.
2. Составьте акт. Зафиксируйте объем утечки, потенциальный ущерб, обстоятельства.
3. Проконсультируйтесь с юристом. Определите, есть ли признаки состава преступления (ст. 349 УК РБ — несанкционированный доступ, ст. 255 УК РБ — разглашение коммерческой тайны) или достаточно гражданско-правовых мер.

1. Если утечка серьезная (крупная сумма ущерба, промышленный шпионаж) — обращайтесь в милицию с заявлением.
2. Если ущерб материальный — готовьте иск в суд о возмещении убытков (при наличии договора о материальной ответственности или доказанной вине).
3. Если пострадали клиенты — уведомьте их о компрометации персональных данных в сроки, установленные законом.

Если информация попала в публичный доступ, не молчите. Подготовьте позицию для клиентов и партнеров. Честное признание проблемы и описание шагов по устранению работает лучше отрицания очевидного.

Профилактика дешевле лечения. Выстраивайте защиту по трем уровням: организационному, техническому и культурному.

Документальное оформление

• Заключайте с каждым сотрудником договор о конфиденциальности еще на этапе приема на работу. Пропишите, что относится к коммерческой тайне, срок действия обязательств (даже после увольнения) и размер ответственности.
• Ведите реестр доступа к конфиденциальной информации. Записывайте, кто и когда получал пароли от баз данных.
• Составьте простой регламент: «Что нельзя делать с рабочими данными». Например: запрещено сохранять документы на личные флешки, скидывать в общие чаты, обсуждать проекты в кафе.

Разграничение доступа

• Принцип «минимальных привилегий». Менеджер по продажам не должен видеть зарплаты коллег из бухгалтерии.
• Раздельный доступ. Чтобы получить полный дамп базы, нужно ввести два пароля разных сотрудников.

Контроль каналов утечки

• Установите DLP-систему (Data Loss Prevention). Это программа, которая отслеживает, куда сотрудники отправляют файлы. Для малого бизнеса подойдут облачные решения от 30–50 рублей в месяц на пользователя.
• Отключите USB-порты на рабочих станциях, если это не критично для работы. Или используйте систему журналирования, которая фиксирует подключение внешних носителей.

Шифрование и аутентификация

• Обязательное двухфакторное включение для корпоративной почты и CRM. Даже если пароль украдут, без телефона злоумышленник не войдет.
• Шифрование дисков на всех рабочих ноутбуках. При краже или утере данные останутся недоступны без мастер-пароля.

Политика личных устройств (BYOD)

• Запретите или ограничьте работу с конфиденциальными данными на личных смартфонах и ноутбуках.
• Если удаленная работа необходима, выдавайте сотрудникам корпоративную технику с предустановленной защитой. Альтернатива — виртуальные рабочие столы, где файлы не покидают сервер компании.

Обучение персонала

• Проводите короткие инструктажи раз в квартал. Не читайте лекции о кибербезопасности — показывайте реальные примеры: «Вот как выглядит фишинговое письмо», «Вот почему нельзя фотографировать экран».
• Симулируйте атаки. Отправьте тестовое фишинговое письмо и посмотрите, кто из сотрудников кликнет по ссылке. Это лучший способ выявить пробелы в знаниях без реального ущерба.

Мотивация лояльности

• Люди «сливают» информацию не всегда из злого умысла. Часто причина — обида на руководство, недоплата, отсутствие перспектив.
• Создавайте условия, при которых сохранение тайны выгоднее ее разглашения. Конкурентоспособная зарплата, понятные карьерные треки, признание заслуг — это инвестиция в безопасность.

Используйте этот список для экспресс-аудита информационной безопасности в вашей компании.

Если у вас 7 и более пунктов отмечены «Нет» — у вас высокий риск утечки. Начните с организационных мер (пункты 1, 2, 6, 7) — они не требуют бюджета, но дают мгновенный эффект.

Увольнение возможно по статье за нарушение трудовой дисциплины, но доказать вину и взыскать ущерб сложно. Гражданский иск о защите коммерческой тайны возможен без письменного договора, но потребует доказывания факта разглашения и размера убытков. С договором процесс идет проще — там прописаны конкретные обязательства и ответственность.

Да, если вы являетесь оператором персональных данных (обрабатываете данные более 100 человек или специальные категории — данные о здоровье, биометрию). Закон «Об информации» требует уведомить субъектов данных о факте утечки. Сроки и форма уведомления зависят от масштаба инцидента.

Соберите косвенные доказательства: время его устройства к конкуренту, совпадение клиентских запросов, переписку с клиентами (если есть). Обратитесь к юристу для подготовки иска о защите коммерческой тайны и компенсации убытков. Даже без прямых доказательств наличие договора о конфиденциальности и факт работы с клиентской базой могут стать основанием для взыскания.

В Беларуси отменена обязательная регистрация баз данных. Однако операторы персональных данных обязаны уведомить Национальный центр правовой информации о начале обработки персональных данных при определенных условиях (обработка сведений о расовой принадлежности, политических взглядах, состоянии здоровья и других чувствительных категориях).

Использование иностранных облачных сервисов для хранения персональных данных граждан РБ запрещено законодательством. Для коммерческой информации нет прямого запрета, но это создает риски: данные физически находятся за рубежом, доступ к ним может получить третья сторона (по требованию иностранных властей), вы теряете контроль над резервным копированием. Для критичных данных используйте белорусские облачные сервисы или локальные серверы.

Если в договоре о конфиденциальности не указан конкретный срок, обязательство действует в течение времени, пока информация сохраняет коммерческую ценность и не стала общедоступной. На практике это означает годы после увольнения. Пропишите конкретный срок в договоре (например, 2–3 года) — это защитит и вас как работодателя, и бывшего сотрудника от неопределенности.