Каждая пятая утечка через уволенных в российских компаниях происходит по вине руководителей
В России доля нарушителей среди бывших сотрудников оказалась вдвое выше мировой и составила 36,3%, каждое пятое нарушение приходило от бывших руководителей организации, следует из данных InfoWatch. Среди мотивов участники рынка называют корыстные умыслы (перепродажа данных или трудоустройство к конкуренту), а также месть бывшему работодателю. Отмечается, что четверть нарушений была спланирована заранее, до официального увольнения.
В период 2023-2025 годов каждое пятое нарушение в области утечки данных в российских организациях приходилось на руководителей, выяснил экспертно-аналитический центр ГК InfoWatch, с итогами работы которых ознакомился SecPost. Так, по их данным, в России доля нарушителей среди бывших сотрудников оказалась вдвое выше мировой и составила 36,3%. В исследовании также отмечается, что доля нарушителей, начавших посягать на информационные активы работодателей до официального увольнения, составила 80,4% в мире и 63,7% в России.
Исследователи опирались на открытые данные и публикации в СМИ в период 2023-2025 годов. Всего было отобрано 56 сообщений о нелегитимных действиях в отношении конфиденциальной информации.
Ранее SecPost сообщал, что в России 95,6% утечек данных по вине сотрудников за 9 месяцев 2025 года были умышленными. Этот показатель в десять раз превышает долю подобных инцидентов в мире (47,3%).
По данным InfoWatch, увольняющиеся или уволенные сотрудники чаще всего похищают данные по нескольким причинам: для продажи или открытия собственного бизнеса, а
также для передачи конкурентам работодателя с целью получения хорошей работы или вознаграждения. Также в ГК называют третью причину: месть бывшему работодателю.
В мировой практике почти в 43% случаев данные копировались и передавались конкурентам, для личных целей вдвое реже. В России ситуация кардинально отличается: более 57%
нарушителей использовали скопированные данные в личных целях и только 14,3%
передавали их конкурентам.
Помимо этого в InfoWatch отмечают, что в России три четверти случаев, в которых продолжительность нелегитимных действий увольняющихся и уволившихся известна, совершаются непосредственно перед уходом из компаний. «В то же время четверть нарушений длились месяцами, получается, что многие заранее готовятся к увольнению по собственному
желанию или внезапному — по решению руководства», — говорится в документе.
Среди признаков того, что сотрудник готовится к увольнению и при этом может заранее похищать или только планирует похищать конфиденциальную информацию в исследовании называются:
- размещение в открытом доступе резюме, контакты с потенциальными работодателями;
- обсуждение возможного увольнения с коллегами.
- Снижение производительности, отклонение от принятых бизнес-процессов.
- Появление аномалий в корпоративном графе связей: нетипичные внешние коммуникации, нехарактерный ранее порядок общения с коллегами;
- сотрудник чаще, чем обычно, взаимодействует с устройствами, приложениями и
данными. Например, сигнал об аномальном поведении служба ИБ может получить от системы контроля и прогнозирования, если сотрудник инициирует общение тет-а-тет с коллегами, с которыми ранее практически не взаимодействовал, или если он начинает активно копировать данные на те или иные носители. - Подозрительные запросы в Интернете: поиск средств анонимизации и скрытого обхода средств защиты информации;
- наличие нескольких учетных записей электронной почты; использование личных аккаунтов для хранения данных и т.д.
- Использование неодобренных ИТ-службой личных устройств в служебной деятельности.
- Доступ к конфиденциальной информации работодателя во внерабочее время, многократная загрузка данных или их передача за периметр организации;
- Запрос на доступ к информации, выходящей за рамки выполнения служебных обязанностей.
- Запись рабочих совещаний, создание скриншотов презентаций и т.д.
- Попытки оказать давление на коллег или обманным путем принудить их предоставить ту или иную информацию.
