Предприятия, работающие в конкурентных секторах рынка, могут оказаться целью для коммерческого шпионажа. Одним из основных способов ослабить положение конкурента и его лидирующие позиции становится организация утечек информации и дальнейшее использование полученных сведений с целью причинения вреда деловой репутации, перехвата клиентской базы или противодействия стратегии развития. Защититься от целенаправленных враждебных атак помогут профессиональные способы борьбы с их организаторами.
Бреши в системе информационной защиты возникают на организационном, техническом и персональном уровнях. К организационному уровню относятся недоработки службы безопасности, допускающей проникновение на защищаемые объекты посторонних; отсутствие регламентов, определяющих механизмы защиты сведений; отсутствие внутреннего контроля. Технический уровень должен защищать от утечек, происходящих в ходе намеренного воздействия на информационные системы, или от внедрения закладных устройств, обеспечивающих перехват звуковой информации или электромагнитных колебаний. Персональный уровень основывается на осознанном или неосознанном поведении сотрудников, руководства – любых инсайдеров, которые по долгу службы имеют доступ к важным сведениям. Именно они чаще всего разглашают их или передают конкурентам.
Известный портал Content Security, посвященный вопросам информационной безопасности корпораций, сделал свой обзор степени значимости угроз:
Таким образом, из 100% происходящих случаев утечки информации конкурентам на роль инсайдеров и человеческого фактора приходится 64%, более двух третей. Это вынуждает руководство компаний более ответственно относиться к подбору персонала, контролю над его работой и морально-психологической обстановкой в коллективе.
Стандартной ситуацией в борьбе за доминирование на рынке становится приглашение на работу ключевых сотрудников компании к конкуренту. Они при своем уходе передают новому работодателю важную информацию – от научных разработок до клиентской базы. Если в первом случае защитить данные от копирования можно было техническими средствами, то клиентская база легко копируется просто письменной ручкой или при помощи мобильного телефона. Избежать этих рисков можно, только повышая мотивацию персонала.
Надо отметить, что в обзоре сайта не указаны такие пути утечки информации, как внешние контрагенты компании-цели, информация которым передается в рамках закона или договора. Среди них:
Получение нужных сведений у работников этих организаций иногда становится более простой задачей, чем их добывание у сотрудников компании-цели. Они не несут ответственности за разглашение, кроме выявления таких случаев в результате служебных проверок, а передать и скопировать массивы данных, изъятых, например, по запросу МВД, намного проще, чем годами искать нужную информацию в информационной сети компании.
Оценить ущерб от утечек данных достаточно сложно. Он носит скрытый характер и чаще всего выражается в виде недополученной прибыли. Среди видов прямого ущерба наиболее часто встречаются:
Косвенные виды ущерба – упущенная выгода и ухудшение деловой репутации – выражаются в таких формах, как:
Предотвратить эти риски можно только системной работой с защитой коммерческой тайны, далеко не все суммы можно возместить в судебном порядке в процессе о компенсации вреда, вызванного разглашением коммерческой тайны. Судья будет оценивать только реальный ущерб, а если иск предъявляется к конкретному физическому лицу (разгласившему данные работнику), вне зависимости от размера присужденного, взыскивать его придется десятки лет.
В зоне риска находятся не все предприятия, многие из них или не имеют данных, представляющих интерес для конкурентов, или работают в таких секторах, в которых их конкуренты не располагают ресурсами на разработку грамотных стратегий шпионажа. Среди компаний, подверженных риску стать его целью:
Все они вынуждены тратить существенные средства для защиты от утечек, и чем эффективнее они будут потрачены, тем меньше будут потенциальные убытки. Для менее уязвимых фирм риском может стать только репутационный ущерб, возникший в случае разглашения обиженным сотрудником ситуаций из внутренней «кухни», особенностей менталитета руководителей и других пикантных подробностей.
Традиционно меры защиты от организованных утечек информации конкурентам делятся на две группы: организационные и технические.
Одной из важных организационных мер станет создание режима коммерческой тайны, разработка перечня документации и грифов секретности. К документам, содержащим коммерческую тайну и наиболее интересующим конкурентов, относятся:
Меньшее значение имеет финансовая и бухгалтерская документация, ее достаточно просто получить с использованием возможностей доступа к базам проверяющих организаций. Но если на предприятии ведется управленческая отчетность, разработанная в целях принятия управленческих решений Международным стандартам финансовой отчетности и имеющая большую оперативную ценность, она может стать объектом покушения. При формулировании перечня сведений, составляющих коммерческую тайну, важно отойти от стандартного списка и выделить наиболее интересующие конкурентов данные. Часто упущение тех или иных пунктов в перечне создает невозможность в дальнейшем взыскать ущерб в судебном порядке. Обязательно заключение со всеми сотрудниками соглашений, возлагающих на них материальную ответственность за разглашение коммерческой тайны. Также среди организационных мер обязательным будет создание регламентов взаимодействия с проверяющими и контрольными органами при предоставлении им запрошенной конфиденциальной информации.
Необходимым этапом работы будет своевременное выявление инсайдеров, проведение профилактических бесед со всеми сотрудниками, анонимное анкетирование с целью установления лиц, которые могут намеренно или ненамеренно передавать сведения конкурентам из офиса или с производства вовне. При возникновении конфликта между топ-менеджерами, например, генеральным директором и финансовыми службами или директором и учредителями, необходимо осторожно сократить их степень доступа к действительно значимым данным.
Помимо стандартных организационных мер службы безопасности фирм должны вести постоянный мониторинг деятельности конкурентов, не реагировать на их посягательства, а предотвращать их. Для этого необходимо самим взаимодействовать с работающими в регионе компаниями, специализирующимися на коммерческом шпионаже и разведке, чтобы на ранней стадии предотвращать обращение конкурента к ним.
Среди технических мер надо отметить необходимость защиты информационных сетей предприятия при помощи современного программного обеспечения. Установка современных DLP-систем позволит избежать утечек данных по таким каналам, как:
Системы позволят проконтролировать даже трафик, уходящий с ноутбуков сотрудников, и переадресовать его. Не надо забывать и о программах, запрещающих делать скриншоты экранов для важных баз данных, о шифровании секретных сведений, находящихся на всех видах устройств. Существуют и специальные программные продукты, устанавливаемые на копировальный аппарат, которые помогут выявить всех лиц, копирующих конфиденциальные документы. Оценка необходимости установки такого обеспечения должна стать прерогативой службы безопасности.
Перехват переговоров по телефонам позволят предотвратить программы шифрования голоса или запрет обсуждать по телефону с контрагентами значимые сведения. Переговорные комнаты должны быть технически защищены от всех современных способов перехвата звуковой информации.
Только комплексное применение организационных и технических мер позволит до 90% сократить утечки. Добиться 100-процентной защиты невозможно, так как часто инсайдерами становятся топ-менеджеры и руководители служб безопасности. Полностью компенсировать причиненный утратами информации ущерб невозможно.