эксперты Петр Абрамов начальник службы безопасности бизнеса компании «БытТехника» Олег Дремов генеральный директор долгового центра «Бизнес Сервис» Нина Корнеева директор компании «Доке
эксперты
Петр Абрамов
начальник службы безопасности бизнеса компании «БытТехника»
Олег Дремов
генеральный директор долгового центра «Бизнес Сервис»
Нина Корнеева
директор компании «Докерт Юкон»
Игорь Краснов
исполнительный директор компании «КАМИТЕК»
Яков Кривоносов
директор департамента безопасности компании «СТК»
Татьяна Москаленко
директор школы иностранных языков «Окей»
Александр Слемвин
управляющий делами компании «Лига правовой защиты»
Около половины российских компаний в 2006 г. зафиксировали утечку информации, из них около 10% сталкивались с этой проблемой практически каждый месяц, свидетельствуют данные InfoWatch. «Проблема даже не в том, что организация может понести ущерб от потери конфиденциальной информации в том или ином размере. На предприятии малого или среднего бизнеса достаточно «выбить» из бизнес-процесса одного-двух ведущих менеджеров, вд обавок получить доступ к информационным ресурсам, и первый этап захвата компании завершен, поделился своим видением проблемы с участниками «Дискуссионного клуба», посвященного теме экономической безопасности, исполнительный директор компании «КАМИТЕК» ИГОРЬ КРАСНОВ.
Большинство похитителей информации — свои люди
Участники мероприятия начали разговор с того, что попытались описать группы людей, покушающиеся на информационную безопасность компаний. «Прежде всего, это конкуренты», — заявил начальник службы безопасности бизнеса компании «БытТехника» ПЕТР АБРАМОВ. «Круг вопросов, интересующий эту категорию похитителей, очень обширный. Они стараются любыми способами выведать информацию о финансовом положении фирмы, ее поставщиках, ценах, торговых точках», — считает г-н Абрамов.
«В основном же воровством информации занимаются собственные сотрудники компании», — продолжил разговор Игорь Краснов. «Сколько в стране было случаев утечки данных из святая святых — Центробанка. Герман Греф на одном из столичных экономических семинаров, где я присутствовал, пообещал вывести всех этих хакеров на чистую воду. Мы пытались ему объяснить, что это не внешних похитителей, то есть не хакеров, рук дело, а собственных сотрудников», — сказал г-н Краснов. По словам эксперта, до 90% всей утечки информации происходит через так называемых инсайдеров. «У нас проблему инсайдеров поднимают только сейчас, в Штатах еще в 1998 году вышел свод законов об информационной безопасности, называемый «Оранжевой книгой». В нем четко и ясно прописано, кто такой инсайдер. Это собственный служащий, допущенный к информационным ресурсам», — пояснил эксперт.
Инсайдеры, по его словам, делятся на три категории. Первая, как бы это удивительно ни звучало, — руководители, акционеры, менеджеры, недовольные политикой компании. Вторая категория — собственно сотрудники компании, которые «не по злобе» — просто желающие побравировать успехами перед коллегами или друзьями, они даже не подозревают, что «сливают» важную коммерческую информацию конкурентам. А также персонал, обслуживающий информационную систему предприятия, — сотрудники IT-подразделений. Чаще всего именно «айтишники», имея неконтролируемый доступ к ресурсам, продают информацию «налево». Однако бывают и исключения. Петр Абрамов привел такой случай из своей практики: «Один из наших сотрудников пытался копировать данные из программы 1С. В ходе внутреннего расследования выяснилось, что похищение было не с целью продажи информации — просто его жена училась на бухгалтера». Третья категория инсайдеров — рядовые сотрудники — пользователи сети. «Как правило, они делают это не из корыстных соображений, просто у них технической грамотности и понимания весомости информации маловато. Такие люди, например, могут не осознавать всю значимость конфиденциальной информации и, не задумываясь, легко рассылают ее всем своим друзьям-товарищам по первому требованию», — сказал г-н Краснов.
Генеральный директор долгового центра «Бизнес Сервис» ОЛЕГ ДРЕМОВ отметил, что в Красноярске на практике очень часто приходится сталкиваться с утечкой информации в ситуации, когда сотрудник уходит с предприятия в конкурирующую компанию или же организовывает такого же профиля бизнес. «Он знает вашу компанию, знает вашу ценовую политику, ваших контрагентов и перетягивает их к себе», — сказал Олег Дремов.
Это заявление эксперта задело за «живое» многих участников «Дискуссионного клуба». НИНА КОРНЕЕВА, директор компании «Докерт Юкон»: «Для рынка кадровых услуг обозначенная проблема острейшая. Я лично уже устала наблюдать, как мои сотрудники набираются знаний, опыта, одним словом, оперяются — и уходят: организовывают свои фирмы, роняют цены на рынке, уводят моих клиентов. Не вижу решения этой проблемы, потому я отказалась учить своему ремеслу новичков».
Поддержала г-жу Корнееву и директор школы иностранных языков «О»кей» ТАТЬЯНА МОСКАЛЕНКО. «Я уже сталкивалась с тем, что при приеме на работу люди открытым текстом заявляли, что идут ко мне для того, чтобы набраться опыта, после чего планируют покинуть компанию и создать по моей технологии уже свой бизнес», — рассказала г-жа Москаленко.
Но мнение в этом вопросе не было единым: из зала прозвучала реплика, что к данному процессу не нужно относиться негативно, что он неизбежен и это нормально, когда ученики перерастают своих учителей. Однако эксперты в вопросе экономической безопасности не были настроены рассуждать философскими категориями. Петр Абрамов: «На Западе есть практика прописывать в трудовых договорах, что в случае ухода из компании сотруднику запрещается работать в конкурирующих фирмах».
На вопрос, существуют ли подобные договоры в «БытТехнике», Петр Абрамов ответил так: «В настоящее время в нашей компании такие договоры не заключаются. Недавно на корпоративном совещании компании обсуждалась эта проблема, и, я думаю, что в перспективе с учетом норм действующего законодательства РФ данный вопрос, возможно, найдет свое решение и у нас».
Рейдеры атакуют
Участники дискуссии подняли и проблему рейдерства, которая в последние год-полтора стала в Красноярске актуальной. «Если 3-4 года назад о рейдерских компаниях мы только в книжках читали, то сейчас они стали вполне реальной угрозой для местных компаний», — сказал Олег Дремов.
«Рейдерским атакам подвержены самые динамично развивающиеся бизнесы. Если говорить про Красноярский край, то в большей степени проблема уже коснулась лесозаготовительного бизнеса, строительства, торговли», — сказал Олег Дремов.
По словам управляющего делами компании «Лига правовой защиты» АЛЕКСАНДРА СЛЕМВИНА, рейдерство в Красноярске имеет свой особый почерк. «Могу добавить о красноярской трансформации проблемы рейдерства. Здесь рейдеры, которые, как правило, работают через подставные компании и лица, задействуют в конкурентной борьбе государственные структуры. Причем те могут и не знать, что являются инструментом в чьей-то нечестной игре. Все просто: на компанию пишется жалоба, и соответствующие органы приезжают с проверками одни заw другими — в итоге работа офиса парализуется в лучшем случае на неделю», — сказал г-н Слемвин.
«Есть пословица, которая хорошо применима к ситуации рейдерства: «Поздно пить боржоми, если вырезали почки». Самая сложная и дорогая защита — это когда рейдер уже зашел на предприятие», — высказал свое мнение Игорь Краснов. По его словам, случаи рейдерства надо предупреждать. Олег Дремов: «У нас же пока руководители компаний хватаются за голову и идут к профессионалам за помощью на запущенных стадиях рейдерских атак».
Болтун — находка для промышленного шпиона
Директор департамента безопасности компании «СТК» ЯКОВ КРИВОНОСОВ рассказал о двух основных методах несанкционированного «сканирования» информации на предприятии. «Первый — аппаратный метод — получение данных с помощью специальных технических средств. Например, прослушка, аппаратно-программные комплексы используются для того, чтобы «снять» сведения с сервера компании. Но есть и второй метод — подкуп сотрудников предприятия». По мнению г-на Кривоносова, второй способ для похитителя на порядок дешевле и эффективнее.
«Смотрите: можно потратить кучу денег на то, чтобы скачать с сервера информацию, в которой еще надо разобраться, что тоже непростая задача. А можно просто позвонить секретарю этой компании, назваться представителем одной из служб, на звонок от которой тот может легко «купиться», и секретарь ответит на все ваши вопросы — где что лежит, сколько это стоит и как проще это взять», — говорит Яков Кривоносов.
Петр Абрамов: «На практике мне не приходилось сталкиваться с тем, чтобы у компании похищали информационные данные при помощи технических средств. Такие факты обычно не афишируются, поэтому невозможно судить о частоте подобных хищений в Красноярске. Другое дело — человеческий фактор. «Лишней» информацией может поделиться чересчур разговорчивый продавец в торговом зале. Утечка может произойти и через руководителя компании». По словам эксперта, под видом потенциального контрагента к директору может прийти человек, ведущий бизнес-разведку. Директора, как правило, новым клиентам рады и встречают их с распростертыми объятиями: начинают рассказывать о своих успехах, о планах на будущее — то, о чем и требовалось узнать «разведчику».
Не искушай, но мотивируй
Заключительную часть дискуссии эксперты посвятили обсуждению вопроса «Как защитить компанию от утечки информации?». Яков Кривоносов: «Если похитители информации вооружаются техническими средствами, то и компании вынуждены обзаводиться электронными способами ее защиты. Это как гонка вооружений — бесконечная, материально затратная и бессмысленная». Процесс технологической защиты, считают эксперты, неизбежен. Однако, по их мнению, неменьший упор нужно делать на работу с собственным персоналом. Но есть и такие работники, которые сливают информацию неосознанно. С этой категорией надо проводить определенную работу: «Нужно, чтобы в компании были четко прописаны должностные обязанности каждого сотрудника, правила пользования электронной почтой, правила работы с клиентами, стандарты ведения телефонных переговоров», — считает Яков Кривоносов.
Кроме того, работник должен понимать, какая информация публична, а какая является коммерческой тайной. Необходимо определить и санкции, которые могут быть применимы к сотруднику, допустившему разглашение «закрытой» информацию, полагает эксперт.
Игорь Краснов: «Есть такое хорошее правило — не искушай, не давай доступ всем ко всему. Нужна строгая иерархическая система. И это снижает вероятность утечки данных через инсайдерские каналы. Я сейчас пишу статью, которая называется «Психологические методы противодействия рейдерскому вторжению». То есть с человека все начинается, а не с железа, я уверен».
Петр Абрамов: «Я считаю, мно- го зависит от того, как в компании работают мотивационные програм- мы. Если бесконечно наказывать, штрафовать, то неудивительно, что у него может появиться мысль: а не компенсировать ли мне низкую зар- плату или постоянные вычеты за счет предприятия? У человека должна быть перспектива карьерного роста в ком- пании. Я считаю, сотрудника нужно поощрять за большой стаж: проработал два-три года в компании — получил надбавку к зарплате. И прежде чем уйти к конкуренту или «сливать» информацию, он крепко задумается, стоит ли это делать».
«Надо стремиться к тому, чтобы у вас была сплоченная, мотивированная команда, развивать корпоративный дух, чтобы люди не разбегались, а болели за общее дело. В таком коллективе найти инсайдера намного сложнее», — подытожил Яков Кривоносов.