Иллюстрация http://statuspress.com.ua

Изрядная часть бизнесменов, успешно рассчитывая и воплощая в жизнь планы по развитию компании, не обращают внимания на элементарные правила безопасности, даже не задумываясь о возможных негативных последствиях для своей фирмы в случае утечки данных.

Суть проблемы

Катерина Рожченко, частный предприниматель:

«Некоторое время назад, когда я работала заместителем директора регионального представительства достаточно известной туристической компании, на предприятии разгорелся нешуточный скандал. Началось все с того, что мы обратили внимание на странную синхронность действий нашей и конкурирующей организации — приемы и используемые способы совпадали до мелочей. После двух-трех таких совпадений руководитель нашего подразделения известил о проблеме главный офис, откуда вскоре прибыли визитеры — заместитель генерального директора, начальник службы безопасности и еще несколько человек. Собрав нас в офисе, они объявили, что подозревают наличие в коллективе шпиона, который передает конфиденциальную информацию конкурентам, и пообещали непременно выявить и наказать «лазутчика».

Однако громкие заявления так и остались словами. Изучив обстановку, столичные безопасники пришли в ужас: как такового положения о конфиденциальной информации в региональном офисе не было; практически любой сотрудник мог без проблем зайти в любой кабинет и сделать ксерокопии любых бумаг; пароли к рабочим базам данных были написаны чуть ли не на стикерах, приклеенных к мониторам… В общем, в нашем офисе было более чем безалаберное отношение к безопасности.

Тем не менее «киевские шерлоки» отказались признать свое поражение и все-таки попробовали найти виновных в передаче данных конкурентам — и подозревали они всех, от директора подразделения до электрика. Подобное отношение и регулярные вызовы «на беседы» с сотрудниками службы безопасности до предела накалили обстановку в коллективе. Часть работников, оскорбленных подобным отношением, в том числе и я, уволились, поэтому, чем точно закончилась история, мне не известно».

Оценка ситуации

Валерий Власюк, эксперт по безопасности бизнеса:

«Описанная Катериной ситуация, к сожалению, характерна для многих украинских предприятий. Изрядная часть бизнесменов, успешно рассчитывая и воплощая в жизнь планы по развитию компании, не обращают внимания на элементарные правила безопасности, даже не задумываясь о возможных негативных последствиях для своей фирмы в случае утечки данных.

В любом случае необходимо пытаться (лучше поздно, чем никогда) исправить ситуацию с защитой конфиденциальной информации. Поэтому едва появилось подозрение, что на предприятии работает «крот», стоит сразу же ввести режим ограниченного доступа к ключевым данным. Главное — пресечь утечку сведений, а кто виноват и как наказывать шпиона, можно решить уже потом, когда информация перестанет поступать к конкурентам.

Вполне возможно установить такой режим доступа к ключевым сведениям, чтобы риск при краже данных оказался непропорционально велик

По собственному опыту скажу, что чаще всего воруют информацию, хранящуюся в цифровом виде. Поэтому первый шаг — проведение аудита на предмет, кто из пользователей и к каким сведениям получает доступ со своего ПК, и введение запрета на копирование данных. Далее следует разбить всю информацию по уровню важности для компании (сведения, которые необходимо сохранить в тайне; информация, огласка которой нежелательна; повседневная рабочая информация; не важные данные) и составить список сотрудников, имеющих доступ к той или иной категории. К примеру, рядовому менеджеру по продажам ни к чему знать о планируемых заключениях контрактов с поставщиками, а вот начальнику юротдела эти сведения нужны для работы.

Лишь после того как утечка данных к конкурентам будет остановлена, можно приступать к вычислению «крота» в организации. Дело это довольно длительное и хлопотное, причем результат никто гарантировать не может. Тут все зависит от опыта и, как ни странно, тактичности сотрудников службы безопасности или приглашенного специалиста. Эксперты, действующие напористо и бездумно, могут лишь усугубить плачевное положение дел (как в описанном Катериной случае, когда действия людей из СБ привели к массовым увольнениям). Даже если недобросовестный сотрудник будет вычислен, не факт, что его удастся привлечь к ответственности. По моим наблюдениям, в подавляющем большинстве случаев руководство предприятия довольствовалось увольнением сотрудника и принятием мер, чтобы подобная ситуация не повторилась в дальнейшем».

Рекомендации

Богдан Топчилин, начальник отдела компании «Могол» (услуги по технической защите информации):

«Своим клиентам мы всегда говорим, что легче и проще предотвратить кражу данных, чем впоследствии найти виновных. Вместе с тем полностью защитить информацию со 100% гарантией от ее похищения и разглашения практически невозможно (стоимость внедрения системы безопасности нерационально вели­ка). Зато вполне реально установить такой режим доступа к ключевым сведениям, чтобы риск при краже данных оазался непропорционально велик: похититель выявляется очень быстро.

Чуть более пяти лет назад туристическая компания попробовала привлечь к ответственности за кражу информации трех своих сотрудников. Дело в том, что три менеджера, работающие с VIP-клиентами, уволились из фирмы и основали собственное агентство, постепенно переманив к себе практически всех крупных заказчиков.

Руководство предприятия, где ранее трудились менеджеры, решило, что они использовали конфиденциальные сведения, к которым имели доступ на своем прежнем месте работы. И обратилось в суд, потребовав взыскать с уволившихся сотрудников и их новой компании значительную сумму. Однако в ходе судебного процесса ответчикам удалось доказать, что кражи коммерческой тайны не было — для развития своего бизнеса они использовали лишь собственные знания и опыт, что и позволило им предложить клиентам привлекательный продукт. А координаты потенциальных заказчиков они якобы взяли из различных справочников.

Несмотря на некоторую слабость объяснений менеджеров (к примеру 95% клиентов их новой фирмы составляли заказчики, перехваченные у прежнего работодателя), суд отказал в удовлетворении иска — достаточных доказательств того, что произошла кража конфиденциальной информации, заявителю предоставить так и не удалось.

Защита информации имеет три составляющих: мероприятия по организационной, технической и правовой защите данных. Под организационными мерами подразумевается разграничение доступа к сведениям, важным для компании. То есть каждый сотрудник получает возможность работать лишь с теми данными, которые нужны ему для работы, а не со всей информацией, вращающейся на предприятии. Таким образом, никто, кроме топ-менеджмента и отдельных проверенных ключевых работников, не сможет представить картину целиком и не будет обладать данными о стратегии (а во многих случаях — и тактике) развития фирмы.

Под техническими методами понимается использование специальных программ и оборудования, запрещающих копирование критически важной информации. То есть в лучшем случае сотрудник сможет просматривать сведения, но не записывать их на жесткий диск или сменные носители. Сюда же можно отнести и отключение или опечатывание устройств, позволяющих копировать информацию на сменные носители. Если работнику потребуется взять какую-либо информацию, то придется обращаться к системному администратору или другому уполномоченному лицу.

К правовым приемам защиты относится издание приказа по предприятию, которым устанавливается, какая информация считается конфиденциальной. Сюда же можно отнести соответствующие разделы в служебных инструкциях работников и подписание персоналом обязательств по неразглашению коммерческой тайны. В большинстве случаев это имеет, скорее, психологический эффект (особенно разделы об ответственности), тем не менее даже просто подписание подобных документов дисциплинирует персонал