Laikā, kad inovācija un pārākas zināšanas nosaka līderpozīcijas, saglabāt komercnoslēpumu uzņēmuma īpašumā, kas ietver procesu aprakstus, tehniskas inovācijas un dažādas formulas, ir īpaši svarīgi, lai šo līderpozīciju saglabātu. Par piemēru var ņemt Coca-Cola, kuras formula vairākus gadu desmitus bija izvirzījusi to par absolūto līderi dzērienu industrijā. Tāpat arī Google un Facebook meklēšanas algoritmi vai tehniskā informācija, vai jebkura cita liela un attīstīta produkta/kompānijas veiksmes atslēga ir tieši pārākas zināšanas pār sāncenšiem un, protams, tādēļ šīs vērtības tiek aizsargātas kā komercnoslēpums.
Pateicoties tam, ka komercnoslēpumu loma ir pieaugusi, to zādzības un ļaunprātīgo izmantošanu skaits arvien vairāk pieaug[1]. Komercnoslēpumu zādzība un ļaunprātīgo lietošanu iemesli ir dažādi un šos pārkāpumus veic dažādi “aktīvisti” – konkurenti, ļaunprātīgi darbinieki, organizētās noziedzības grupas, “hacktīvisti” un pat valstis.
Komercnoslēpuma zādzība vai ļaunprātīga izmantošana var nodarīt postošas sekas uzņēmuma ienākumiem, konkurētspējai un reputācijai. Salīdzinoši bieži medijos parādās gadījumi ar globālām(un ne tikai) kompānijām, kuru datorsistēmām ir bijuši kiberuzbrukumi, kā rezultātā ir notikusi datu noplūde. Pieaugošā kibernoziedzības tendence ir padarījusi IT drošību par vienu no aktuālākajām veiksmīgas uzņēmējdarbības atslēgām.
Uzņēmumi visā pasaulē ir sapratuši, ka ieviest dažādas prasības, mehānismus un drošības faktorus viscaur viņu uzņēmumam ir nepieciešams, lai pasargātu to komercnoslēpumus pret nozagšanu vai ļaunprātīgu izmantošanu. Līdz šim, uzņēmumi ir ieviesuši dažādus aizsardzības veidus. Pārskatīt un uzlabot informācijas tehnoloģijas, fizisko drošību, tehniskās sistēmas un procesus, lai aizsargātu komercnoslēpumu, ir kļuvis par augstu prioritāti daudziem uzņēmumiem, it īpaši pēdējo gadu augsta-profila uzņēmumu datu kiberzādzību gaismā. Kā laikraksts “The New York Times” rakstīja – “Kompānijas visā pasaulē ir paaugstinātā gatavībā, lai pastiprinātu savu tīklu drošību un izvairītos būt nākamajai kompānijai, kuru hakeri nospiež uz ceļiem, kā tas notika dramatiskajā kiberuzbrukumā Sony Pictures Entertainment.”[2]
Kā aizsargāt komercnoslēpumu?
Turpinājumā mēs aplūkosim dažādus piemērus no kompānijām un indivīdiem, kas ir izdarījuši nepieciešamos soļus komercnoslēpuma aizsargāšanai un aplūkosim arī tādus piemērus, kurus tiesas ir analizējušas vai kuri likumdošanā ir iekļauti, kā “nepieciešamie soļi, lai aizsargātu komercnoslēpumu”.
Šie piemēri būs gan sākot ar dažādām uzņēmumu politikām, procedūrām, nolīgumiem un dažādiem citiem mehānismiem ar kuriem pasargāt dokumentus; gan ar fizisko un elektronisko drošību un konfidencialitātes prasībām; gan ar risku pārvaldību, kas nodrošina laicīgu komercnoslēpumu apdraudējumu identificēšanu; gan ar uzņēmumu menedžmentu, pārraudzību un koordināciju saistītajiem procesiem.
Politikas, procedūras un reģistri
Uzņēmuma politikas un procedūras, kas nosaka komercnoslēpuma aizsardzību ir vitāli svarīgas, tai skaitā noteikumi un procesi, kā tiek noteikts, pārvaldīts un izpausts komercnoslēpums.
Līgumi un cita veida dokumentācija, ko uzņēmumi izmanto, lai komercnoslēpuma aizsardzību legāli saistītu ar darbiniekiem un trešajām pusēm ir starp vissvarīgākajām darbībām, kā uzņēmumi cenšas aizsargāt savus komercnoslēpumus. Komercnoslēpuma atrunas un neizpaušanas līgumi ir vispopulārākie komercnoslēpuma juridiski-saistošie pasākumi tā aizsardzībai.
Uzņēmumi arī regulāri ievieš dažādas procedūras, kas viņu konfidencialitātes politiku īsteno, piemēram, procedūra – atzīmēt dokumentus ar “konfidenciāls”/”ierobežotas pieejamības”, prasība no uzņēmuma aizejošiem darbiniekiem atgriezt visus materiālus, kas satur sensitīvu informāciju, vai, piemēram, informācijas sadrumstalošana, kas nozīmē, ka katram darbiniekam ir pieeja tikai nelielai, viņam nepieciešamai, informācijai, lai veiktu darbu, bet nekad visai kopējai situācijai.
Drošība un konfidencialitātes pārvaldība
Īpaši pēdējos gados pieaugošo kiberuzbrukumu dēļ, efektīva uzņēmuma fiziskās un elektroniskās drošības pārvaldība ir svarīga, lai nodrošinātu, ka uzņēmums veic nepieciešamos soļus, lai pasargātu komercnoslēpumu.
Galvenais drošības sistēmu (fizisko un elektronisko) nepieciešamības iemesls ir, lai pasargātu to informāciju, kas uzņēmuma darbībai ir pamatā vai tik ļoti nepieciešama, lai veiktu tās darbības. Aizsardzības mehānismi galvenokārt būs – piekļuve tikai tiem, kam ir “nepieciešams zināt”. Uzņēmumam jānodrošina piekļuve fiziskai un elektroniskai drošībai un komercnoslēpumam tikai tiem indivīdiem, departamentiem un grupām, kurām to ir “nepieciešams zināt”. Uzņēmumā vajag ieviest ID karšu sistēmu, piekļuves zonas(kontroli), videonovērošanas sistēmas un apsardzes darbiniekus, kā arī reģistrācijas procesu, lai spētu kontrolēt cilvēku plūsmu un piekļuvi dažādām telpām un informācijai. Papildus tam, jānodrošina, ka uzņēmuma darbinieki atbildīgi izturas pret konfidenciālo informāciju – neatstāj to uz galdiem, uzrakstītu uz tāfelēm, izmestu miskastēs nesagrieztā formā, vai kā citādi pieejamu un redzamu nepiederošām personām.
Runājot par IT drošību, ja komercnoslēpums uzņēmumā ir informācijas veidā – finanšu pārskati, stratēģijas, tehniskie rasējumi utt, tad noteikti jāievieš strikts IT drošības komplekss – šifrēšana, anti-vīrusi, datoru darbību ierobežošana(mājaslapas, epasti, programmatūra), paroles unikāliem, katra darbinieka, profiliem. Iespējams ir arī liegt iespēju kopēt konfidenciālo informāciju uz datu nesējiem – fiziski izņemot USB portus vai uzstādot attiecīgos ierobežojumus uz programmatūras.
Var padomāt arī par ISO 27001 IT drošības standartu ieviešanu uzņēmumā. Un, protams, neizbēgt arī no procedūrām, kā darbību saskaņošana ar vadību/IT drošības personālu, mācības par kiberdrošību, darba ierīču lietošanu tikai darba vajadzībām un citiem darbību veidiem, kas šos IT drošības pasākumus papildinātu.
Lai IT drošība veiksmīgi strādātu, pašlaik, vēl ir vajadzīga IT speciālistu iejaukšanās gadījumos, kad tiek pārkāpti IT aizsargmehānismi. Ja uzņēmums ir vidēja/liela izmēra tad noteikti jābūt IT personālam(vislabākajā gadījumā IT drošības personālam), kam ārkārtas situācijās būtu iepriekš izstrādāts rīcības plāns, ko un kā darīt, gadījumos, kad ir noticis pārkāpums.
Neatņemama sastāvdaļa, protams, ir arī IT un elektronisko sistēmu rutīnas pārbaudes un monitorings, lai pārliecinātos par to, ka visas sistēmas atbilst uzņēmuma drošības prasībām un nenotiek neautorizēta piekļuve un, iespējams, komercnoslēpuma noplūšana.
Risku pārvaldība
Uzņēmuma risku analīzes redzesloks un kvalitāte un risku pārvaldība var būt svarīga sastāvdaļa, lai identificētu, prioritizētu un ieviestu aizsardzības mehānismus komercnoslēpuma aizsardzībai.
Uzņēmuma risku pārvaldība sākas ar riska objekta noteikšanu – mūsu gadījumā tas ir komercnoslēpums. Risku pārvaldība var palīdzēt arī identificēt un izveidot komercnoslēpumu reģistru uzņēmumā. Jāpiebilst, ka uzņēmuma komercnoslēpumu reģistrs tiek prasīts arī dažādās valstīs, kā likums, lai tiktu nodrošināta komercnoslēpuma aizsardzība. Uzņēmumiem, kuriem ir grūtības identificēt vai definēt to komercnoslēpumus, to zādzības gadījumā ir grūti tiesas ceļā pierādīt, ka tā ir bijusi komercnoslēpuma zādzība.
Tātad summējot – veiksmīgas risku pārvaldības pamatā ir veikt risku analīzi, kas palīdzētu identificēt risku objektus un draudus tiem. Balstoties uz risku analīzes rezultātiem, uzņēmumam nepieciešams ieviest risku pārvaldības elementus, lai šos draudus mazinātu vai novērstu. Papildus tam, tātad, jāievieš ir arī iekšējais uzņēmuma komercnoslēpumu reģistrs, kuru ik pa laikam var papildināt. Papildus jāizstrādā ir risku mazināšanas plāns, kurš palīdzēs ar risku pārvaldību un šo plānu vajag regulāri atjaunot un pārskatīt.
Trešo pušu attiecības
Piegādātāji, biznesa partneri, klienti un citas svarīgas trešo pušu personas laiku pa laikam var gūt piekļuvi komercnoslēpumam dažādu iemeslu dēļ – lai izstrādātu pasūtījumus pēc patentētiem dizainiem, ar īpašiem instrumentiem, ar īpašām zināšanām, vai, lai novērtētu biznesa investīciju iespējas, vai lai citādāk izmantotu uzņēmuma informāciju, produktus vai pakalpojumus. Lai izvairītos no situācijām, kad komercnoslēpums tiek nozagts vai ļaunprātīgi izmantots, ir svarīgi panākt, ka trešā puse saglabā konfidencialitāti.
Piegādātāji un trešās puses nereti ir vainojamas pie tā, ka komercnoslēpums noplūst un svarīgākais aspekts šajās attiecības ir tieši tas, kā uzņēmums ir pārvaldījis attiecības ar šo trešo pusi.
Kā aizsardzības mehānismi komercnoslēpumam attiecības ar trešajām pusēm ir šo trešo pušu padziļināta izpēte (due diligence), izpētē noteikti ir jāiekļauj potenciālās problēmas komercnoslēpuma aizsardzībā veicot darbības ar konkrēto trešo pusi.
Komunikācija ar trešo pusi arī ir ļoti svarīgs faktors komercnoslēpuma aizsardzībai. Trešajai pusei ir jāsaprot, ko uzņēmums no viņas sagaida, kādas ir prasības un, kas ir jāievēro, lai sadarbība izdotos un komercnoslēpums nenoplūstu.
Vēl viens svarīgs faktors attiecības ar trešajām pusēm ir rakstiski neizpaušanas (non disclosure) līgumi, kuros ir minēti nepieciešamie konfidencialitātes pasākumi, politikas un procedūras kuras jāievēro. Līgums nodrošina juridisko atbildību par komercnoslēpuma izpaušanu vai zādzību.
Regulārs attiecību pārskats ar trešajām pusēm arī ir veiksmīgs faktors, lai nodrošinātu komercnoslēpuma aizsardzību un attiecību lietderību.
Informācijas drošības personāls
Problēmas var rasties gadījumos, kad visā uzņēmumā nevienam nav tiešs pienākums rūpēties par uzņēmuma sensitīvās informācijas drošību vai arī gadījumos, kad uzņēmuma departamenti savstarpēji nekoordinē savas darbības komercnoslēpuma aizsardzībai.
Daudz funkcionāla komanda, atbildīga par informācijas drošības pasākumiem uzņēmumā var būt lielisks risinājums iepriekšminētajai problēmai.
Informācijas drošības personālam ir jāveic sava risku analīze, kas noteiktu sektorus, kuros ir darbības ar sensitīvu informāciju un, kuros ir iespējama tās noplūde. Pavisam noteikti šai komandai ir jābūt arī savam vadītājam, kas uzņemtos atbildību par šīs komandas darbību un kopējo uzņēmuma informācijas drošības politiku. Visbiežāk tas ir – informācijas drošības pārvaldnieks.
Ja uzņēmums ir liels, tad ir lietderīgi arī šajā komandā iekļaut darbiniekus, no dažādiem departamentiem, kas labāk spētu orientēties konkrētos departamenta darbības virzienus un veiksmīgāk identificēt potenciālos informācijas drošības riskus.
Apmācības
Gadījumos, kad darbinieki vai trešās puses nezina kādu informāciju viņiem vajadzētu sargāt un kā tieši sargāt, palielinās risks, ka tieši informācijas trūkums par aizsardzības pasākumiem būs iemesls komercnoslēpuma noplūdei. Tādēļ ir svarīgi veikt personāla un trešo pušu pirmreizējo un regulāru atkārtoto apmācību par to, kas ir komercnoslēpums uzņēmumā un, kā to vajadzētu sargāt.
Mazos uzņēmumos apmācības var būt mazāk formālas, bet galvenais mērķis ir, lai darbinieki saprastu, kas ir komercnoslēpums un kā ar to apieties.
Svarīgs elements darbinieku izglītošanā ir nodrošināt pirmreizējo apmācību. Kad darbinieks uzsāk darbu tas ir jāiepazīstina ar uzņēmuma politikām un procedūrām, jāpaskaidro komercnoslēpuma jēdziens un komercnoslēpuma priekšmets organizācijā un, kāda ir viņa personīgā loma šī komercnoslēpuma aizsardzībā.
Regulārās/atkārtotās apmācības – pusgada vai gada pārskatos un apmācībās ir jāiekļauj arī apmācības par konfidencialitātes politiku, lai atsvaidzinātu darbinieku zināšanas un informētu par jaunākajām aktualitātēm.
Tāpat ir jāatrod veidi, kā izglītot arī trešās puses attiecībā pret komercnoslēpuma aizsardzību. Jāiekļauj regulārās sanāksmēs un atsevišķās apmācībās izglītošana par komercnoslēpumu.
Jānodrošina specializētas apmācības tiem, kas strādā tiešā veidā ar komercnoslēpumu vai tā aizsardzību – Grāmatvedības, lietvedības, ražošanas, IT drošības un Informācijas drošības personāls.
Monitorings un izvērtējums
Vislabākais veids, kā aizsargāt komercnoslēpumu ir, kad tas ir nevis vienreizējs pasākums, vai pret to izturas “kā pagadās”, bet gan, kad tā ir vispārēja pārvaldes sistēma un process iekš uzņēmuma, kas tiek izmantots, lai monitorētu un izvērtētu komercnoslēpuma aizsardzību regulāri.
Regulāri aizsardzības mehānismu pārskati, lai nodrošinātu to atbilstību aktuālajai situācijai ir būtisks process. Tāpat arī regulāri pārskati pār trešajām pusēm un to rīcībā esošo komercnoslēpumu aizsardzības pasākumiem ir svarīgi.
Ja uzņēmumam ir analītiskā kapacitāte un tas ir pietiekoši liels, lai tam būtu lietderīga izvērtējuma sistēma, tad to var izmantot, lai pētītu aizsardzības mehānismu efektivitāti.
Labojumi un uzlabojumi
Pēdējā lielā kategorija komercnoslēpuma aizsardzības mehānismu izklāstā ir sadaļa par labojumiem un uzlabojumiem. Ir svarīgi, lai gadījumos, kad ir noticis kāds incidents, tiktu veiktas nepieciešamās darbības tā seku novēršanai un tā izcelsmes analīzei.
Uzņēmumam ir svarīgi, lai tā reaģēšana uz incidentiem būtu nekavējoša, jo gadījumos, kad noplūst komercnoslēpums, kā jau iepriekš tika minēts, var tikt iedragāta uzņēmuma stabilitāte un pat tirgus pozīcija vai reputācija.
Priekš ātrākas reakcijas ir jāizstrādā reakcijas plāns, gadījumos kad ir noticis incidents vai, kad tā iestāšanās ir nenovēršama, iespējams, katra minūte ir no svara, tādēļ, jābūt skaidrām, vienkārši saprotamām instrukcijām par to, kā tiek reaģēts uz katru notikumu, lai netiktu zaudēts tik ļoti izšķirošais laiks.
Pēc gadījumiem, kad ir noticis incidents, obligāti ir jāveic ne tikai incidenta individuālā analīze, bet jāveic arī pamatcēloņa analīze, lai noskaidrotu, vai uzņēmumā nav kādas kopējas problēmas/kļūdas, kas var izsaukt citu incidentu atkārtošanos.
Gadījumos, kad ir veikta incidenta seku likvidācija ir svarīgi arī šos procesus aprakstīt, lai spētu nākotnei sagatavoties un līdzvērtīgus incidentus, ja tādi notiek, spētu novērst veiksmīgāk un efektīvāk. Seku likvidācijas rezultātus var iekļaut arī ikgadējos risku analīzes un pārvaldības pārskatos, lai aktualizētu informāciju un redzētu, kā konkrētais risks laika gaitā ir mainījies un, iespējams, noteikt nākotnei tendences.
Kopsavilkums
Neapšaubāmi, ka komercnoslēpuma aizsardzība ir aktuāla un pēc industriālās revolūcijas paliek arvien aktuālāka. Konkurences apstākļos pat tāds “sīkums”, kā uzņēmuma departamentu darbinieku skaits var izrādīties būtisks, lai konkurenti varētu izdarīt aprēķinus par savu sāncenšu izmaksām.
Atkarībā no tā, kādi ir uzņēmuma izmēri un vērtība, vajag izdarīt arī secinājumus par to, cik ļoti daudz mēs vēlamies sargāt savu sensitīvo informāciju un cik daudz tās noplūde var mūs ietekmēt.
Pārskatāmā nākotnē informācijas aizsardzība paliks arvien aktuālāka, jo arī interesentu skaits par to ir ar tendenci pieaugt.
[1] https://www.winston.com/images/content/2/0/v2/203824/trends-in-trade-secret-litigation-report-2020.pdf
[2] https://www.nytimes.com/2014/12/31/business/media/sony-attack-first-a-nuisance-swiftly-grew-into-a-firestorm-.html
