Уроки пандемії: як бізнесу реагувати на нові виклики в сфері безпеки

Поточні зміни у світі, які пов′язані з пандемією COVID-19, постійно стимулюють вдосконалювати чи змінювати акценти власної бізнес-стратегії та внутрішніх бізнес-процесів. Останні повинні відповідати швидким змінам у законодавстві, їх важливою складовою є дотримання норм та стандартів комплаєнсу (англ. compliance, – відповідність будь-яким внутрішнім або зовнішнім вимогам або нормам, зокрема законодавству у певних сферах). Зважаючи на це, належна робота комплаєнс-функції та здійснення оперативної переоцінки ризиків і зміна підходів до застосування стандартів і вимог комплаєнсу стала надважливою з початку введення першого локдауну та залишається актуальною протягом всього часу існування нестандартної економічної ситуації у світі.

З якими викликами довелося зіткнутися комплаєнс-функціям під час пандемії COVID-19 та які ризики повинні бути взяті до уваги як надважливі, розповіла Mind директор департаменту комплаєнс та юридичного супроводження «Датагруп» Маріанна Розумна.

1. Безпека та робота персоналу

Оскільки безпека та здоров′я людини є найвищою цінністю, головним завданням кожної компанії є збереження перш за все здоров′я кожного працівника та персоналу загалом. Таку нову для комплаєнсу функцію він виконує разом із підрозділами HR, беручи участь у проведенні тренінгів та поширенні інформації серед співробітників  про:

• безпечну поведінку під час перебування в офісі,
• необхідність тримання соціальної дистанції,
• санітарно-гігієнічні заходи,
• забезпечення рівної можливості застосування дистанційної чи віддаленої роботи з недопущенням дискримінації,
• забезпечення рівних можливостей для різних професій та працівників шляхом дотримання принципу «Залишайся вдома, залишайся в безпеці».

Оскільки в умовах пандемії кожен бізнес, кожна особа є відповідальними не тільки перед собою або своїми партнерами, а й перед державою та суспільством щодо нерозповсюдження COVID-19.

Водночас турбота про здоров′я персоналу й можливість віддаленої роботи, удосконалення технічних характеристик віддаленої взаємодії з працівниками та партнерами приводить до наступного комплаєнс-ризику, яким є кібербезпека.

2. Кібербезпека

Зважаючи на швидкий розвиток технологій і нову реальність, у якій опинилися компанії через перехід на віддалений режим роботи, одним із критичних ризиків, з якими стикнувся комплаєнс, є ризик, пов’язаний із кібератаками. Кібербезпека компанії та відповідно кібербезпека її партнерів є важливою складовою репутаційного та безпечного середовища для ведення бізнесу, який є пріоритетним та не може бути ізольованим від інших комплаєнс-функцій.

Дотримання норм кібербезпеки стає все більш важливим, оскільки все частіше отримують доступ до нових можливостей за допомогою інтернету. Для убезпечення компанії від кіберзагроз потрібно оцінити критичні активи, зрозуміти види таких загроз, реальність їхнього виникнення, скласти дорожню карту щодо дій, які повинні бути здійснені компанією та правил, які повинні бути дотримані її співробітниками і контрагентами задля мінімізації ризиків.

Однак варто враховувати й той фактор, що шахраї також дуже широко почали використовувати онлайн-інструментарії для досягнення власної мети. Особливим стимулом для кіберзлочинців є те, що дистанційна робота з домашніх комп’ютерів та COVID-паніка перших місяців з моменту визнання ВООЗ ситуації з поширенням COVID-19 пандемією дуже пригнічувала та знижувала увагу й концентрацію на збереженні паролів та логінів, спонукала користувачів часто шукати інформацію на неофіційних сайтах, які могли «красти» дані банківських карток, важливі документи тощо.

У цьому аспекті, безперечно, комплаєнс-функція відіграє надважливу роль, адже саме вона, а також функцієя служби безпеки покликани попередити та запобігти витоку як персональної інформації, так і інформації щодо роботи бізнесу.

3. Антимонопольний ризик

З початку пандемії антимонопольний ризик став значно вищим, ніж було раніше. З точки зору антимонопольного законодавства та законодавства про конкуренцію, враховуючи готовність урядів та органів влади забезпечити ціновий комфорт для громадян під час пандемії, існують важливі наслідки співпраці бізнесу для забезпечення постачань товарів і послуг. Підприємства, які зазвичай конкурують, також можуть співпрацювати під час кризи або компанія може встановлювати вартість послуг, які не є справедливими.

Важливо розуміти, що буд-які бізнес рішення чи дії повинні базуватися на стандартних вимогах антимонопольного законодавства, тож COVID-19 не може бути аргументом для ухилення від відповідальності.
У контексті глобальної кризи COVID-19, на підставі наявного досвіду роботи бізнесу як в України, так і в інших країнах, можна виокремити практичні кроки для бізнесу щодо антимонопольного законодавства та конкуренції, для уникнення антимонопольних ризиків:

• не нехтувати дотриманням антимонопольного законодавства та не намагатись обійти встановлені законодавством процедури контролю за дотриманням антимонопольного законодавства під час кризи;
• не вступати в жорстку поведінку, яка залишається забороненою;
• мати на увазі, що влада стежить за експлуатаційними практиками, я-отк надмірне підвищення цін;
• розглянути допустимі види діяльності;
• визначити, чи є наявною державна підтримки (або державна допомога в ЄС).

4. Перевірка контрагентів

Забезпечення захисту даних, персональних даних і конфіденційної інформації.
Реалії сьогодення, в яких ми живемо вже майже рік, накладають свій відбиток й на перевірку контрагентів, захист чутливих даних та конфіденційної інформації. Отже, все більше компаній починають використовувати цифрові та хмарні рішення для виконання встановлених процедур перевірки контрагентів, збору, оброблення, зберігання інформації.

Серед таких механізмів є захищені від зовнішнього втручання й часто зашифровані відеоконференції-опитування контрагентів у режимі реального часу, запровадження цифрових версій опитувальників контрагентів з обов’язковим акцептуванням наданої інформації проставленням електронно-цифрового підпису, використання десктопних, мобільних застосунків, що дозволяють належним чином збирати, обробляти та зберігати дані партнерів або клієнтів, включно навіть зі збором біометричних даних, які або користувач надає безпосередньо під час користування застосунком, або такий застосунок самостійно, звісно за дозволом та під контролем користувача, завантажує їх, наприклад, з баз даних державних органів, банків-партнерів.

Однак під час опрацювання чутливих даних, насамперед персональних, необхідно чітко та в повному обсязі  контролювати коректну фіксацію отриманих даних і чітко розуміти для чого збираються та опрацьовуються такі дані. Для прикладу, при збиранні даних про вимірювання температури тіла персоналу/відвідувачів установи має бути встановлена чітка мета такого збирання: отримання відомостей про фізичний стан особи задля  попередження та уникнення розповсюдження COVID-19.

Крім цього, під час коронакризи та повсюдного поширення дистанційної роботи персоналу з використанням власної комп’ютерно техніки з’являється все більше й більше шляхів для шахрайства й управлінських помилок при використанні систем передачі й зберігання конфіденційної інформації в електронному вигляді. Ризики використання незахищених ліній зв’язку, комп’ютерів зі збереженими логінами та паролями, підключення «за замовчуванням» без належної верифікації, використання хмарних технологій без систем безпеки, що надійно працюють, наразі поширені та стають на заваді успішному й безпечному обміну інформацією з контрагентами, персоналом.

5. Санкції

Пандемія коронавірусу викликає занепокоєння щодо того, що міжнародні санкції можуть посилювати ризик гуманітарної кризи. Як ніколи раніше, зараз важливим є питання щодо скасування обмежень на продукти харчування та ліки, які впливають на найбільш вразливі країни світу. Зазвичай це робиться шляхом направлення обмежень на ключових осіб або організації, а в деяких випадках і на сектори, а не на економіку країни загалом.

Але водночас окремі критики санкцій стверджують, що введені певними країнами обмеження торгівлі перешкодили вразливим країнам придбати медичні товари, необхідні для боротьби з пандемією. Кожна країна має право захищати свою політику, але повинна визнавати важливість гуманітарних винятків. Як приклад, попри те, що Європейський Союз не заявив, що скасує будь-які обмежувальні заходи, він запропонував різні форми підтримки кільком країнам, які постраждали від санкцій.

Отже, потрібно обов’язково враховувати той факт, що санкції, які існують під час коронакризи, у майбутньому можуть значно вплинути на роботу бізнесу як країн, що їх запроваджують, так і країн, щодо яких такі санкції введені.

6. Ланцюг постачальників

Коронакриза, до якої світова спільнота не була готова жодним чином, призвела не лише до людських втрат, а й  до значних економічних проблем як у загальнодержавних масштабах, так і для бізнесу постачання товарів, робіт та послуг. Вже цілком помітні повністю переформатовані, а в деяких випадках взагалі розірвані ланцюги постачальників, адже ваш колишній постачальник стикнувся з тими самими питаннями та викликами: віддалена робота персоналу, зупинення виробництва, транспорту на час локдауну, зниження економічних показників.

Загалом у дискусіях щодо ланцюгів постачань уже є кілька тенденцій.

• По-перше, необхідність диверсифікувати джерела матеріалів, незавершених та готових товарів – наприклад, від надмірної залежності від Китаю.
• По-друге, необхідність встановлення цифрового управління ланцюгами постачань (supply chain management (SCM) для деяких, якщо не всіх частин ланцюга постачань компанії. Для компаній, що займаються продуктами подвійного використання, де відхилення може мати наслідки далеко поза економічними, SCM буде варіантом, який варто вивчити. Для цього потрібно вивчити, як штучний інтелект, машинне навчання, інтернет та робототехніка можуть допомогти у відстеженні продуктів. Технологія розподіленої книги (distributed ledger technology (DLT), яку зазвичай називають блокчейн, може допомогти захистити обмін інформацією, що генерується ними.
• По-третє, регуляторні органи, як національні, так і міжурядові, повинні стати більш відкритими для думки, що ці нові технології потрібно використати найближчим часом.

Що ж можна сказати як висновок? Те, що зазначені ризики, нажаль, не є вичерпними, кожного дня як звичайним громадянам, так і бізнесу доводиться стикатися з новими проблемами та вчитися їм запобігати.

Водночас, зважаючи на вже встановлені ризики та способи їхнього усунення, можна виокремити уроки пандемії для комплаєнсу, кожна комплаєнс-програма повинна відображати особливості й досвід відповідної компанії, кожна компанія повинна зважати на наступні фактори задля того, щоб бути впевненою, що комплаєнс-програма працює належним чином:

1. Розробити посібник з управління кризовими ситуаціями, який, крім іншого, має містити порядок комунікації в кризових ситуаціях.
2. Забезпечити відділену роботу працівників шляхом систематичного оновлення та налаштування обладнання, безпеки із застосування електронних засобів комунікації, дотримання вимог охорони праці персоналу, який працює віддалено.
3. Впроваджувати плани безперервності бізнесу у відповідь на кризу, що передбачає, зокрема,  впровадження заходів із протидії злочинності з підходом, заснованим на оцінці ризиків.
4. Визначити ризики, пов’язані з COVID-19, щодо виду бізнесу, діяльності, розміру, географічних районів, де він функціонує, серед інших конкретних характеристик, та встановити засоби контролю для зменшення можливості виникнення або впливу ризику.
5. Відповідально використовувати цифрові фінансові та нефінансові послуги. Домагатися більшого та кращого моніторингу фінансових операцій.
6. Вибирати клієнтів та інших контрагентів завдяки старанному підходу, заснованому на нових ризиках, пов’язаних із COVID-19.