Проблема промышленного шпионажа и сохранения коммерческой тайны в последнее время тревожит не только руководителей и собственников предприятий, но и всю деловую элиту как в нашей стране, так и за рубежом. Немалое место в этой проблеме занимают инсайдеры (от англ. inside – «внутренний»), под которыми в нашей стране подразумевают лиц, имеющих благодаря своему служебному положению или родственным связям доступ к конфиденциальной информации о делах организации, учреждения, предприятия. Самое интересное, что термин, пришедший к нам из-за рубежа, имеет изначально более узкий смысл – «человек или компания, которые с выгодой продают или покупают ценные бумаги, обладая эксклюзивной информацией». Такими действиями инсайдер нарушает принципы справедливости, на которых должны выстраиваться свободные рыночные отношения. И в тех странах, где эту свободу и равенство для всех ревностно оберегают, законодательство наказывает за подобные бесчинства.
В нашем государстве также ведется борьба с незаконным раскрытием инсайдерской информации. Тем не менее, бизнес многих известных предпринимателей до сих пор построен на том, что группа людей знает что-то раньше других и успешно использует это в своих целях.
Законодатель об инсайде
В соответствии со ст. 44 ЗУ «О ценных бумагах и фондовом рынке» от 23 февраля 2006 г. №3480-IV, инсайдерская информация представляет собой любую неопубликованную информацию об эмитенте, его ценных бумагах или договорах, предание огласке которой может значительно повлиять на стоимость ценных бумаг. Информация относительно оценки стоимости ценных бумаг и/или финансово-хозяйственного состояния эмитента, если она получена исключительно на основе обнародованных данных или сведений из других публичных источников, не запрещенных законодательством, не является инсайдерской. Исходя из изложенного, можно определить, что термины «инсайдер» и «инсайдерская информация» относится к сфере биржевой торговли.
До недавнего времени в Украине под инсайдерами понимались лишь лица, которые владеют инсайдерской информацией в связи с тем, что они являются: 1) владельцами голосующих акций эмитента или частей (паев) в уставном капитале эмитента; 2) должностными лицами эмитента; 3) лицами, которые имеют доступ к инсайдерской информации в связи с выполнением трудовых (служебных) обязанностей или договорных обязательств, независимо от отношений с эмитентом.
Однако ЗУ «О внесении изменений в некоторые законодательные акты Украины относительно инсайдерской информации» №3306-VI от 22.04.2011 (подписан Президентом Украины 20.05.2011) были внесены следующие изменения: уточнено значение понятий «обнародование инсайдерской информации», «инсайдерская информация» и «инсайдеры»; предусмотрено распространение понятия «инсайдерской информации» на производные ценные бумаги (деривативы); предусмотрено дополнительное урегулирование вопроса ведения системы учета лиц, имеющих доступ к инсайдерской информации; расширен перечень лиц, которые могут владеть инсайдерской информацией; введена уголовная ответственность за передачу инсайдерской информации.
Отныне в перечень лиц, владеющих инсайдерской информацией, включены не только действующие должностные лица эмитента, но и те, которые были таковыми на момент ознакомления с инсайдерской информацией; лица, завладевшие инсайдерской информацией неправомерным путем; аудиторы, нотариусы, оценщики, арбитражные управляющие, получившие доступ к такой информации. Таким образом, если кто-то из инсайдеров неправомерно передаст эксклюзивную информацию другим лицам, ему грозит штраф от 12 750 до 34 000 грн., а если такие действия повлекли ущерб, то можно лишиться и свободы на срок до 5 лет (ст. 232-1 УК Украины).
Как показывает практика, лучший способ бороться с инсайдерами — усилить технический контроль за сделками. В их совершении со стороны финучреждения должны принимать участие сразу несколько человек, последовательно выполняя функции внутреннего контроля.
К сожалению, пока ни одного уголовного дела по этой статье так и не было открыто, что свидетельствует о недееспособности нормы об уголовной ответственности за разглашение инсайдерской информации. Вероятно, недостаточно принять запрещающие нормы на законодательном уровне и наладить систему контроля за их исполнением. Важно, чтобы рынку стало выгодно исключить инсайд из своей жизни.
Рассмотрим, например, такие понятия, как коммерческая и банковская тайна. Оба они закреплены в действующем законодательстве, но пользуются ими лишь при необходимости отстоять свои интересы. И первым нарушителем здесь выступает государство – когда оно преследует цель собрать налоги, понятий банковской и коммерческой тайны уже не существует. Точно такая же судьба ожидает и инсайд: когда это выгодно, о нем молчат, но когда в дело вступают правоохранительные и фискальные органы, утечка информации налицо.
Кадры решают все!
Должностные проступки, совершаемые в кредитно-финансовой сфере, особенно в финансовых структурах и коммерческих банках, напрямую затрагивают интересы не только и не столько акционеров и участников хозяйственных обществ, сколько многочисленных клиентов – предприятий, учреждений, организаций, рядовых граждан. Поэтому проблема безопасности финансово-хозяйственной деятельности по-прежнему стоит крайне остро. Любой ценой установить влияние в финансовой сфере – это цель, на которую направлены усилия как криминальной среды, так и чиновничьего аппарата. И эти внешние проявления связаны, в первую очередь, с получением информации, необходимой для установления жесткого контроля. Причем они невозможны без использования внутренних факторов, в частности, человеческих слабостей. Кому, как не сотруднику хозяйственного общества, финансовой структуры или банка, знать о просчетах и недостатках работы собственной службы безопасности и других профильных отделов?
Аналитики распределяют причины утечки коммерческой информации следующим образом: действия инсайдеров, готовых продать сведения, – 36%; болтливость персонала – 10%; подкуп сотрудников банка – 28%; проникновение в базы данных – 21%; технические методы сбора информации – 5%. Т. е в 70% случаев утечка происходит по вине персонала. И здесь как нельзя кстати подходит крылатое выражение: «Кадры решают все!» Ведь контролировать поведение персонала в полном объеме невозможно. Добившись обеспечения технической защиты предприятия, служба безопасности не в состоянии эффективно контролировать те или иные поступки человека, а тем более стопроцентно предугадать его помыслы и чаяния.
Инсайдеры – кто они?
Возвращаясь к фактору разглашения инсайдерской информации, следует отметить, что дополнительной проблемой являются внешние служащие, работающие по контракту. Большинство из них имеет доступ ко внутренней сети компании. Как известно, аудиторы в своей деятельности часто посещают корпоративную сеть, тем самым становясь аккумулятором информационных технологий и объектом пристального внимания со стороны лиц, желающих получить те или иные сведения. Если проанализировать сложившуюся ситуацию, можно увидеть, что в среднем каждый день 30% пользователей корпоративной сети являются временными сотрудниками.
Однако временные сотрудники могут получить только часть информации, поэтому наибольшую опасность представляют штатные служащие, так как именно они лучше всего знают, что является критической информацией для компании и как найти к ней доступ.
Следовательно, бизнес должен заботиться о своих сотрудниках, иначе они будут вести себя нелояльно. Взять, к примеру, скромную фигуру рядового бухгалтера. Обладая доступом к финансовым документам, он может не только присвоить деньги банка, финансового учреждения или хозяйственного общества, но и без особых трудностей скрыть недостачу в своем отделе. При злоупотреблениях в кредитных и вексельных отделах банковские служащие чаще всего прибегают к подделке подписей на векселях клиентов, однако поддельные векселя иногда обнаруживаются во время их просмотра должностными лицами, знакомыми с подписями заемщиков. В этом случае инсайдеру проще найти сообщника, который по его наводке в самый удобный момент приносит платежное поручение на перевод крупной суммы со счета одного из клиентов банка. Операционист обязан лишь визуально проверить соответствие подписей и печати на платежном поручении и банковской карточке. Проверять личность принесшего платежное поручение и его полномочия на право распоряжаться счетом операционист не должен. А ведь сегодня для мошенника не составляет труда получить информацию о том, как выглядят подписи и печать и затем подделать их, особенно если ему помогает один из сотрудников банка.
Подытоживая сказанное, можно предложить следующие методы для борьбы с незаконным распространением инсайдерской информации.
Во-первых, необходимо четко определить перечень информации, которая является инсайдерской. Залогом отсутствия фактов разглашения такой информации является определение порядка доступа к ней. Кроме того, лица, имеющие такой доступ, должны быть ознакомлены с локальными актами, регулирующими доступ к информации под роспись.
Во-вторых, компания должна обеспечить необходимые организационные и технические условия для соблюдения лицами, имеющими доступ к инсайдерской информации, установленного режима конфиденциальности. Например, должен вестись журнал учета при работе с конфиденциальной информацией; иметься помещение, предназначенное для работы с конфиденциальной информацией; должны быть созданы системы обеспечения информационной безопасности (программы защиты информации, коды доступа) и определены виды носителей конфиденциальной информации. Если, например, любой сотрудник компании может использовать флеш-накопитель и имеет доступ к конфиденциальной информации на сетевом ресурсе, говорить о наказании инсайдера не приходится.
Зарубежный опыт
Существует мировая практика борьбы с инсайдом, которая должна бы внедряться и в отечественных бизнес-структурах. Скажем, такая влиятельная организация, как ФБР, чтобы защититься от инсайдеров, создала отдельное подразделение, в обязанности которого входит обеспечение внутренней IТ-безопасности. В руках руководителя этого отдела сконцентрировано управление всеми программами IТ-безопасности. На нем также лежит ответственность за защиту инсайдерской информации.
Решение ФБР лучше других примеров демонстрирует, насколько важно организациям по всему миру защищать свои информационные активы и конфиденциальные данные. ФБР имеет в своем распоряжении контрразведывательные подразделения, службы IТ-безопасности, чрезвычайно подозрительный отдел кадров. Но всего этого не хватает, чтобы противостоять инсайдерам – нужна еще и служба внутренней IТ-безопасности. Менее крупным организациям не обязательно выделять функции борьбы с инсайдерами в отдельное подразделение – достаточно наделить ими службу IТ-безопасности.