Wśród wielu osób panuje przekonanie, że okradanie pracodawcy to nie grzech. Bo co złego jest w tym, że wyniesie się z biura kopertę, papier do drukarki czy paczkę kawy? Przecież skoro mienie należy do zakładu pracy, to znaczy, że jest niczyje i każdy może „pożyczyć” sobie to, co jest mu akurat potrzebne.
Choć czasy gospodarki nakazowo – rozdzielczej i dużych państwowych zakładów pracy, z których wszyscy wynosili co tylko się dało już dawno minęły, większość pracowników nadal nie widzi nic niestosownego w kradzieży mienia pracodawcy. Ludzie kradną więc wszystko – papier toaletowy, ręczniki papierowe, mydło, długopisy, herbatę. I nieważne jest dla nich to, że dzięki procederowi oszczędzają na zakupach do domu raptem 10 – 20 złotych – istotny jest fakt, że mogą dopiec pracodawcy – wyzyskiwaczowi, przy czym dokonując zaboru mienia czują się zupełnie bezkarni. Po stronie pracodawcy zaś, po przeliczeniu na ilość pracowników robią się z tego już całkiem wymierne koszty.
O ile kradzieże dotyczą przedmiotów codziennego użytku, to pracodawcy liczą się z takim ryzykiem i uznają je za zło konieczne, swoisty koszt prowadzenia działalności. Gorzej jest, kiedy kradzież dotyczy firmowego know – how, bądź danych stanowiących tajemnicę przedsiębiorstwa. W dzisiejszych cyfrowych czasach, coraz większa ilość informacji wytwarzana jest i gromadzona z wykorzystaniem narzędzi jakie dają nowoczesne technologie, tj. w postaci cyfrowej. Niezwykle łatwo jest zatem skopiować bazę danych klientów, czy wytworzone przez firmę projekty, tak by nikt się nie zorientował.
Polityki bezpieczeństwa
Kwestie zabezpieczenia danych firmowych przed nieuprawnionym ich wykorzystaniem oraz dostępem osób trzecich regulują zwykle polityki bezpieczeństwa. Procedury takie stosowane są w większości dużych firm, zatrudniających ponad 200 osób (89% firm) oraz tylko w 40 % małych i średnich przedsiębiorstw. W wielu przypadkach firmowe tajemnice nie mają zapewnionego odpowiedniego poziomu ochrony, a niemal 60 % badanych firm nie stosuje żadnych zabezpieczeń przed incydentami kradzieży danych. Wynik ten jest zatrważający, biorąc zwłaszcza pod uwagę, że już niemal 90% danych w przedsiębiorstwach tworzonych jest i archiwizowanych w postaci cyfrowej.
Polityki bezpieczeństwa regulują zwykle m.in. warunki nadawania uprawnień w dostępie do systemów informatycznych oraz określonych kategorii danych – czyli jednym słowem mówiąc – kto może mieć dostęp do wybranych kategorii danych. Choć wiadomym jest, że przed złodziejami nie ma 100 % zabezpieczeń, to jednak warto dbać o bezpieczeństwo wewnątrz organizacji.
Jednak nie tylko przedsiębiorstwa prywatne nie są przygotowane na walkę z zagrożeniami w cyberprzestrzeni – także instytucje publiczne nie są wystarczająco zabezpieczone przed atakami związanymi z nieuprawnionym dostępem do systemów teleinformatycznych. Z raportu NIK o bezpieczeństwie danych wynika, że tylko nieliczne instytucje mają świadomość czyhających na nie zagrożeń, większość z badanych jednostek nie zapewniała akceptowalnego poziomu bezpieczeństwa danych zgromadzonych w systemach teleinformatycznych.
Odpowiedzialność pracownicza za kradzież firmowych tajemnic
Mimo, że w większości przypadków, pracownicy mają dostęp wyłącznie do wycinka danych firmowych, w zależności od funkcji jakie pełnią w organizacji i przyznanych im uprawnień, to z całą pewnością dysponują danymi, które sami wytworzyli w ramach stosunku pracy. Dlatego wielu pracownikom wydaje się, że skoro sami stworzyli bazę, opracowali dokumenty, stworzyli projekt, czy korzystali z firmowej poczty, to mogą swobodnie nimi dysponować. Nic bardziej mylnego – wszystko co pracownik wytworzył w ramach stosunku pracy, stanowi własność pracodawcy. Zresztą za czas poświęcony na wytworzenie informacji oraz wykonaną pracę pracodawca płaci umówione pomiędzy stronami wynagrodzenie. Jest to zatem własność intelektualna pracodawcy, którą pracownik może wykorzystywać wyłącznie w ramach realizacji obowiązków wynikających z umowy.
Kradzież informacji stanowiących tajemnicę przedsiębiorstwa stanowi bez wątpienia naruszenie podstawowych obowiązków pracowniczych i może być podstawą rozwiązania stosunku pracy bez wypowiedzenia w trybie art. 52 §1 pkt 1 kodeksu pracy. Z treści art. 100 § 2 pkt 4 jasno wynika, iż pracownik obowiązany jest dbać o dobro zakładu pracy, chronić jego mienie oraz zachować w tajemnicy informacje, których ujawnienie mogłoby narazić pracodawcę na szkodę. Dodatkowo, poza zwolnieniem pracownika, pracodawca może żądać od niego naprawienia szkody – odpowiedzialność ta może przybrać jedną z dwóch form, w zależności od stopnia zawinienia przez pracownika.
Zgodnie z art. 115 kodeksu pracy – Pracownik ponosi odpowiedzialność za szkodę w granicach rzeczywistej straty poniesionej przez pracodawcę i tylko za normalne następstwa działania lub zaniechania, z którego wynikła szkoda. Zatem jeśli pracownik wyrządził szkodę z winy nieumyślnej odpowiada wyłącznie do wysokości straty rzeczywiście poniesionej przez pracodawcę. Jeśli zaś szkoda wynika z winy umyślnej, obowiązany jest do jej naprawienia w pełnej wysokości, co oznacza, że pracodawca może dochodzić roszczeń z tytułu korzyści utraconych na skutek działania pracownika.
Jedynym problemem może być udowodnienie pracownikowi działania na szkodę pracodawcy, bowiem to na pracodawcy spoczywa ciężar dowodu – zgodnie art. 116 kodeksu pracy Pracodawca jest obowiązany wykazać okoliczności uzasadniające odpowiedzialność pracownika oraz wysokość powstałej szkody.
Handel kradzionymi danymi
Policyjne statystyki nieustannie donoszą o procederze nielegalnego handlu danymi wykradzionymi pracodawcom, w szczególności bazami danych. Te mogą stanowić niewątpliwą wartość w rękach konkurencji. W ubiegłym roku głośno było o kilku przypadkach kradzieży danych na zlecenie, przez osoby współpracujące z operatorami komórkowymi.
Niezwykle cenne są również bazy firm marketingowych, w 2017 roku informatyk pracujący w jednej z takich firm wykradł bazę danych osobowych o wartości ponad 110 mln złotych – sprawą zajęła się Prokuratura Okręgowa w Warszawie, stawiając mu zarzut nieuprawnionego ujawnienia i wykorzystania bazy danych, za co grozi kara pozbawienia wolności do lat 8.
Ogromne straty firm, które padły ofiarami kradzieży danych
Firmy, którym pracownicy wykradli tajemnice firmowe ponoszą nie tylko straty wizerunkowe – rynek i konkurencja widzą słabość takiego przedsiębiorstwa i brak odpowiednich procedur na potrzeby zagwarantowania należytego poziomu ochrony danych. Incydenty związane z kradzieżami informacji cyfrowych to także wymierne straty finansowe – po pierwsze związane z wartością samej bazy, czy innych danych, po drugie z utraconymi korzyściami wynikającymi z przejęciem klientów przez konkurencję i utraty kontraktów. Strata wiąże się często także z kosztami odzyskiwania danych przez profesjonalne firmy, w przypadku wykasowania ich przez nieuczciwego pracownika. Szacuje się, że w 2017r. koszt incydentów związanych z kradzieżą know how w Polsce wahał się pomiędzy 15 a 48 tys., zł w przypadku małych przedsiębiorstw i pomiędzy 1,2 a 4,8 mln zł w przypadku dużych firm zatrudniających powyżej 200 osób.
Informatyka śledcza – oręż w walce z nieuczciwymi pracownikami
Na pomoc zdezorientowanym pracodawcom przychodzą firmy świadczące usługi z zakresu informatyki śledczej. Eksperci computer forensic mają w ostatnich latach pełne ręce roboty, bowiem jak wskazują badania, już niemal 2/3 przedsiębiorstw spotkała się z incydentami kradzieży danych firmowych. W celu wykazania winy pracownika niezbędne jest zatem zgromadzenie cyfrowego materiału dowodowego, w oparciu o zapisy dysku twardego komputera, którego używał pracownik. Niemal wszystkie działania z użyciem sprzętu komputerowego pozostawiają po sobie ślad. Informatycy śledczy dokonują zabezpieczenia nośnika cyfrowego poprzez wykonanie jego kopii binarnej i to na niej prowadzą dalsze prace, tak by w toku prac analitycznych nie doszło do modyfikacji elektronicznego materiału. Metody pracy wykorzystywane w ramach informatyki śledczej pozwalają na odnalezienie dowodów nieuczciwości pracowniczej w postaci kopiowania bądź nieuprawnionego przetwarzania określonych danych.
Niestety, nadal wielu pracodawców, zwłaszcza małych przedsiębiorców nie wie o istnieniu informatyki śledczej i możliwości jakie ze sobą niesie (65 % badanych). Wielu z nich nie wierzy także w sens walki ze złodziejami firmowych tajemnic (47 %). Tylko 31% firm, w których wykryto incydenty związane z kradzieżą danych zdecydowała się zgłosić sprawę organom ścigania, a 42 % zleciło zbadanie zawartości nośników cyfrowych w ramach computer forensic i opracowanie przez informatyków śledczych raportu wykorzystanego w celu udowodnienia winy pracownika.