Предприятия, работающие в конкурентных секторах рынка, могут оказаться целью для коммерческого шпионажа. Одним из основных способов ослабить положение конкурента и его лидирующие позиции становится организация утечек информации и дальнейшее использование полученных сведений с целью причинения вреда деловой репутации, перехвата клиентской базы или противодействия стратегии развития. Защититься от целенаправленных враждебных атак помогут профессиональные способы борьбы с их организаторами.

Виды и основные каналы утечек

Бреши в системе информационной защиты возникают на организационном, техническом и персональном уровнях. К организационному уровню относятся недоработки службы безопасности, допускающей проникновение на защищаемые объекты посторонних; отсутствие регламентов, определяющих механизмы защиты сведений; отсутствие внутреннего контроля. Технический уровень должен защищать от утечек, происходящих в ходе намеренного воздействия на информационные системы, или от внедрения закладных устройств, обеспечивающих перехват звуковой информации или электромагнитных колебаний. Персональный уровень основывается на осознанном или неосознанном поведении сотрудников, руководства – любых инсайдеров, которые по долгу службы имеют доступ к важным сведениям. Именно они чаще всего разглашают их или передают конкурентам.

Известный портал Content Security, посвященный вопросам информационной безопасности корпораций, сделал свой обзор степени значимости угроз:

• разглашение сведений сотрудниками (ненамеренное – в случайном разговоре или при слишком широком понимании свободы обращения с коммерческой тайной в общении с клиентами) – 32%;
• действия конкурентов и нанятых ими агентств, вызывающие разглашение намеренное, за деньги или иные преференции сотрудниками или специально внедренными на объект шпионами – 24%;
• утечки, связанные с допущенными организационными и техническими недоработками – 14%;
• получение данных конкурентами из презентаций и отчетности компании, других открытых источников – 12%;
• использование недостатков системы защиты информационных систем – 10%;
• конфликты внутри коллектива, приводящие к ненамеренному разглашению коммерческой тайны – 8%.

Таким образом, из 100% происходящих случаев утечки информации конкурентам на роль инсайдеров и человеческого фактора приходится 64%, более двух третей. Это вынуждает руководство компаний более ответственно относиться к подбору персонала, контролю над его работой и морально-психологической обстановкой в коллективе.

Стандартной ситуацией в борьбе за доминирование на рынке становится приглашение на работу ключевых сотрудников компании к конкуренту. Они при своем уходе передают новому работодателю важную информацию – от научных разработок до клиентской базы. Если в первом случае защитить данные от копирования можно было техническими средствами, то клиентская база легко копируется просто письменной ручкой или при помощи мобильного телефона. Избежать этих рисков можно, только повышая мотивацию персонала.

Надо отметить, что в обзоре сайта не указаны такие пути утечки информации, как внешние контрагенты компании-цели, информация которым передается в рамках закона или договора. Среди них:

• аудиторские и бухгалтерские компании;
• независимые оценщики;
• консалтинговые организации;
• облачные хранилища информации;
• проверяющие органы, налоговая инспекция, МВД.

Получение нужных сведений у работников этих организаций иногда становится более простой задачей, чем их добывание у сотрудников компании-цели. Они не несут ответственности за разглашение, кроме выявления таких случаев в результате служебных проверок, а передать и скопировать массивы данных, изъятых, например, по запросу МВД, намного проще, чем годами искать нужную информацию в информационной сети компании.

Ущерб от утечек

Оценить ущерб от утечек данных достаточно сложно. Он носит скрытый характер и чаще всего выражается в виде недополученной прибыли. Среди видов прямого ущерба наиболее часто встречаются:

• возмещение вреда, причиненного сотрудникам из-за утечки их персональных данных или контрагентам из-за утраты их коммерческой тайны;
• расходы, понесенные при создании недействующих систем защиты;
• расходы на создание продукта, который не удалось запустить в продажу из-за того, что компанию опередили конкуренты.

Косвенные виды ущерба – упущенная выгода и ухудшение деловой репутации – выражаются в таких формах, как:

• утрата ведущих клиентов;
• переход ключевых сотрудников на другую работу;
• утрата или расторжение важных контрактов, например, из-за просочившейся информации о нарушении режима эксклюзивности при заключении договора франшизы;
• потеря долей рынка;
• повышенное внимание проверяющих органов, участившиеся проверки и штрафы;
• отказ на участие в тендерах на заключение государственных контрактов;
• лишение допусков СРО.

Предотвратить эти риски можно только системной работой с защитой коммерческой тайны, далеко не все суммы можно возместить в судебном порядке в процессе о компенсации вреда, вызванного разглашением коммерческой тайны. Судья будет оценивать только реальный ущерб, а если иск предъявляется к конкретному физическому лицу (разгласившему данные работнику), вне зависимости от размера присужденного, взыскивать его придется десятки лет.

Субъекты риска

В зоне риска находятся не все предприятия, многие из них или не имеют данных, представляющих интерес для конкурентов, или работают в таких секторах, в которых их конкуренты не располагают ресурсами на разработку грамотных стратегий шпионажа. Среди компаний, подверженных риску стать его целью:

• крупные организации, взаимодействующие с государственным сектором и работающие с государственными контрактами;
• предприятия, работающие с нефтью, полезными ископаемыми и другими ресурсами;
• предприятия системы ЖКХ;
• коммерческие банки;
• компании, занимающиеся разработкой современной наукоемкой продукции и программного обеспечения;
• фармацевтические организации.

Все они вынуждены тратить существенные средства для защиты от утечек, и чем эффективнее они будут потрачены, тем меньше будут потенциальные убытки. Для менее уязвимых фирм риском может стать только репутационный ущерб, возникший в случае разглашения обиженным сотрудником ситуаций из внутренней «кухни», особенностей менталитета руководителей и других пикантных подробностей.

Способы защиты

Традиционно меры защиты от организованных утечек информации конкурентам делятся на две группы: организационные и технические.

Одной из важных организационных мер станет создание режима коммерческой тайны, разработка перечня документации и грифов секретности. К документам, содержащим коммерческую тайну и наиболее интересующим конкурентов, относятся:

• клиентские базы;
• новые технологии, идеи, способы производства продукции;
• стратегические планы;
• способы осуществления управленческих решений;
• предстоящие кадровые решения;
• информация о планируемых сделках;
• данные об информационном обеспечении, установленных программах защиты, алгоритмах шифрования, пароли.

Меньшее значение имеет финансовая и бухгалтерская документация, ее достаточно просто получить с использованием возможностей доступа к базам проверяющих организаций. Но если на предприятии ведется управленческая отчетность, разработанная в целях принятия управленческих решений Международным стандартам финансовой отчетности и имеющая большую оперативную ценность, она может стать объектом покушения. При формулировании перечня сведений, составляющих коммерческую тайну, важно отойти от стандартного списка и выделить наиболее интересующие конкурентов данные. Часто упущение тех или иных пунктов в перечне создает невозможность в дальнейшем взыскать ущерб в судебном порядке. Обязательно заключение со всеми сотрудниками соглашений, возлагающих на них материальную ответственность за разглашение коммерческой тайны. Также среди организационных мер обязательным будет создание регламентов взаимодействия с проверяющими и контрольными органами при предоставлении им запрошенной конфиденциальной информации.

Необходимым этапом работы будет своевременное выявление инсайдеров, проведение профилактических бесед со всеми сотрудниками, анонимное анкетирование с целью установления лиц, которые могут намеренно или ненамеренно передавать сведения конкурентам из офиса или с производства вовне. При возникновении конфликта между топ-менеджерами, например, генеральным директором и финансовыми службами или директором и учредителями, необходимо осторожно сократить их степень доступа к действительно значимым данным.

Помимо стандартных организационных мер службы безопасности фирм должны вести постоянный мониторинг деятельности конкурентов, не реагировать на их посягательства, а предотвращать их. Для этого необходимо самим взаимодействовать с работающими в регионе компаниями, специализирующимися на коммерческом шпионаже и разведке, чтобы на ранней стадии предотвращать обращение конкурента к ним.

Среди технических мер надо отметить необходимость защиты информационных сетей предприятия при помощи современного программного обеспечения. Установка современных DLP-систем позволит избежать утечек данных по таким каналам, как:

• электронная почта, внешняя и личная почта сотрудников;
• мессенджеры, Скайп, Телеграмм;
• перехват цифрового трафика, идущего на принтер или сканер;
• копирование файлов на внешние носители.

Системы позволят проконтролировать даже трафик, уходящий с ноутбуков сотрудников, и переадресовать его. Не надо забывать и о программах, запрещающих делать скриншоты экранов для важных баз данных, о шифровании секретных сведений, находящихся на всех видах устройств. Существуют и специальные программные продукты, устанавливаемые на копировальный аппарат, которые помогут выявить всех лиц, копирующих конфиденциальные документы. Оценка необходимости установки такого обеспечения должна стать прерогативой службы безопасности.

Перехват переговоров по телефонам позволят предотвратить программы шифрования голоса или запрет обсуждать по телефону с контрагентами значимые сведения. Переговорные комнаты должны быть технически защищены от всех современных способов перехвата звуковой информации.

Только комплексное применение организационных и технических мер позволит до 90% сократить утечки. Добиться 100-процентной защиты невозможно, так как часто инсайдерами становятся топ-менеджеры и руководители служб безопасности. Полностью компенсировать причиненный утратами информации ущерб невозможно.