Юлия Омельяненко


 
Опубликовано: 29 октября 10:10
 519
 

Обратная сторона медали, или что делать жертве социальной инженерии.

 
 

Мы много говорили о том, как злоумышленник может проникнуть в сеть, но не поднимали вопрос - а каково же самим сотрудникам, которым не повезло, и они сами стали жертвами социальной инженерии? Ведь получается, что именно по их вине компания терпит убытки. Но злоумышленники при этом ищут куда более изощренные способы добиться своих целей, иногда распределяя нагрузку между несколькими жертвами. Какими же могут для них быть последствия?

Недавно произошел случай. Сотруднице банка позвонил некто, представившись работником техподдержки. Он был хорошо осведомлен о внутренних процедурах работы, использовал правильные привычные понятия, задавал прямые и грамотные вопросы и периодически просил переадресовать звонок другой коллеге. У сотрудницы не возникло подозрений, а спустя небольшой промежуток времени со счетов пропала семизначная сумма. При попытке обналичить деньги злоумышленников поймали, но банк собирается уволить обеих сотрудниц, и они не знают, чего ждать дальше.

Здесь все зависит от компании, в которой работает сотрудник. Возможны такие варианты:

1) Компания привлекает сотрудника к дисциплинарной ответственности, при этом решение об увольнении может быть принято, а может быть и нет.

2) Компания увольняет сотрудника с привлечением к административной или уголовной ответственности.

Здесь также возникает вопрос взыскания убытков. Во многом это зависит от суммы причиненного ущерба: чем он меньше, тем легче его “повесить” на “халатного” сотрудника. Если ущерб для возмещения непосилен для сотрудника, компания может попытаться взыскать его через суд, а при худшем сценарии и пытаться возбудить уголовное дело в отношении сотрудника.

Для начала разберем, что такое дисциплинарная ответственность. Практически всегда все начинается внутри компании с привлечением служб по управлению персоналом. В их распоряжении ТК РФ. Согласно ч. 1 ст. 192 ТК РФ под дисциплинарным проступком понимается неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей. Что такое вина в трудовом праве и каковы ее формы, статья не регламентирует. На практике суды ограничиваются лишь установлением формы - умысла или неосторожности, как правило, выражающейся в небрежности.

Поэтому спасением для работника может стать попытка внутренними средствами доказать, что в его действиях не было небрежности, а тем более, злого умысла. Причем не только в конкретном случае, это первое, что должен сделать сотрудник - собрать максимум доказательств.

Сама процедура привлечения работника к дисциплинарной ответственности сравнительно подробно описана в ст. 193 ТК РФ, с ней можно самостоятельно ознакомиться. Но гораздо чаще происходят ситуации, когда на работника подают в суд для взыскания ущерба или вовсе пытаются привлечь к уголовной ответственности и по этой же статье увольняют. Как быть?

  1. Для начала, каждый попавший в подобную ситуацию должен знать, что в нашей стране в уголовном делопроизводстве есть презумпция невиновности, определенная УПК и Конституцией.
  2. Для заведения уголовного дела требуется определить состав преступления. Если компания пытается “подмять” сотрудника под уголовное дело, такому сотруднику после сбора доказательств невиновности подать в суд иск о незаконном увольнении, тем самым увеличив свои шансы не только признания себя невиновным, но и также восстановления на работе и прочих компенсаций.
  3. При судебном разбирательстве о незаконном увольнении сотрудник может привлечь экспертную лабораторию, которая восстановит хронологию событий: сотрудник действительно мог выполнять свои обязанности безукоризненно, а причиной взлома стало несовершенство внутренних процедур компаний. При этом стоимость экспертизы, в случае выигрыша суда, компания обязана будет компенсировать вместе со всеми издержками.
  4. Если уже дошло до возбуждения уголовного дела, экспертиза также понадобится. Сотрудник имеет право на проведение независимой экспертизы, которая станет материалом дела. Если же вина сотрудника все же была, максимум усилий необходимо приложить к поиску доказательств того, что сотрудник не имел умысла и не являлся участником организованной группы или не был в сговоре. В практике бывают случаи, когда не удается найти злоумышленников, и сотрудников, которые в силу халатности допустили нарушения, привлекают как основателей группы.

А компаниям, в свою очередь, необходимо тестировать внутренние процедуры и контроли, чтобы избежать таких случаев. 

Юлия Омельяненко - Ведущий эксперт «Лаборатории Цифровой Форензики»