Как защититься от промышленного шпионажа

Промышленный шпионаж сегодня уже не просто «страшилка» для руководителей предприятий, а реальная угроза, с которой сталкиваются организации во всем мире, в том числе и в Беларуси. О том, как защитить себя от этой угрозы, нам рассказали сотрудники одного из предприятий, отвечающие за его информационную безопасность. По понятной причине, их имена, должности и место работы останутся в тайне.

Не только промышленный

Промышленный шпионажем сегодня принято называть получение любой закрытойинформации о конкурентах, партнерах, подрядчиках и просто каких-то юридических лицах, заинтересовавших заказчика шпионажа. Поэтому не нужно думать, промышленный шпионаж угрожает только промышленным предприятиям, которые могут лишиться конкурентных преимуществ, связанных с утечкой технологических разработок. Промышленный шпионаж угрожает сегодня всем - от банков и страховых компаний до поставщиков компьютерной техники, потому что в каждой организации есть определенная информация, которая не должна быть доступна никому за ее пределами.

Какого рода информация может интересовать шпионов? Собственно говоря, практически любая, начиная с уже упо­минавшихся промышленных разработок и заканчивая разными формами финансовойотчетности. Особый интерес, как правило, представляют протоколы совещаний,переписка сотрудников с руководствомпобизнес-вопросам, бизнес-планы и прочая информация, которая может отразиться на дальнейшей деятельности организации. Также объектом охоты конкурентов является информация о тендерах, в которых участвует компания, о ее клиентах, планируемых рекламных и PR-акциях и т.д.

Промышленный шпионаж не работает слухами - тех, кто заказывает закрытой информации об организации, интересует документальное подтверждение передаваемых им сведений. Поэтому при промышленном шпионаже те, кто его ведет,будут стараться раздобыть не просто интересующие их сведения, а документальные подтверждения полученной информации.

Главная защита – соблюдение правил безопасности

Многие организации до сих пор имеют весьма смутное представление о современных практиках защиты от промышленного шпионажа. Тем не менее в большинстве из них так или иначе существуют политики информационной безопасности, которых обычно вполне достаточно для того, чтобы обезопасить организацию от промышленного шпионажа. Единственной проблемой в данном случае становится практическая реализация этих политик. Для того чтобы они работали, главное - воля руководства организации к их соблюдению. Методы, применяемые при этом, давно известны: дисциплинарные взыскания по отношению к тем, кто не соблюдает требований по обеспечению безопасности, контроль со стороны соответствующих профильных служб, проведение инструктажа среди сотрудников.Если такие меры в компании до сих пор не практиковались, не стоит ждать от них эффекта: вполне возможно, для того чтобы политики безопасности действительно начали эффективно работать, придется даже уволить несколько особенно злостных нарушителей правил.

Методы и приемы

Среди приемов, применяемых для борьбы с промышленным шпионажем, на первом месте должен стоять контроль всех электронных каналов коммуникации сотрудников с внешним миром при помощи качественной DLP-системы. Однако это условие, являющееся необходимым, вряд ли можно считать достаточным, потому что помимо той же электронной почты, ICQ, Skype и прочих электронных средств общения существует много других способов получить информацию о конкуренте. Начать нужно, как и в случае с обнаружением неработающего прибора, образно говоря, с проверки того, воткнут ли тот в розетку. Поясним на примере. В одной из минских организаций обнаружилась утечка документации, которую нашли в открытом доступе на одном из интернет-форумов. Информация, как показало проведенное разбирательство, оказалась за пределами компании из-за банального отсутствия пароля на доступ к беспроводной сети компании. Из-за халатности системных администраторов на протяжении нескольких месяцев злоумышленники могли беспрепятственно получать доступ ко всем корпоративным информационным ресурсам, подключенным к локальной сети. Поэтому в качестве первого этапа на пути к построению системы защиты от корпоративного шпионажа нужно выбрать проверку соблюдения базовых правил обеспечения информационной безопасности.

Другой интересный случай связан с применением обычного ноутбука для прослушивания совещания. Один из сотрудников организации взял с собой на важное совещание, посвященное вопросам участия в крупном зарубежном тендере, ноутбук, с помощью которого записывал все происходящее и в режиме реального времени передавал через Интернет сотрудникам конкурирующей организации. «Вычислить» его помогла внимательность системного администратора, который заметил резко возросшее значение исходящего трафика и принялся искать причину этого необычного явления. В то же время, если бы в организации была установлена DPL-система, найти нарушителя можно было быне благодаря удачному стечению обстоятельств, а с помощью отлаженных механизмов по обеспечению информаци­онной безопасности организации.

К сожалению, до сих пор в большинствеорганизацийне уделяется никакого внимания вопросам обеспечения без­опасности данных при командировках сотрудников. Конечно, соглашения о не­разглашении ипрочие важные документы необходимы для того, чтобы в случае утечек информации можно было при­влечь виновных к ответственности. Но зачастую проблема состоит не столько в самих командированных, которые далеко не всегда жаждут передать конкурентам корпоративные секреты, а в обеспече­нии физической безопасности ноутбуков и портативных носителей информации, которые могут быть просто украдены. Большая часть таких краж, к счастью, оказывается банальным вокзальным во­ровством, произошедшим по причине не­достаточной внимательности сотрудника к доверенным ему корпоративным техни­ческим средствам. Но никто не может по­ручиться, что в данном конкретном слу­чае статистика не сработает против вас и именно ваша кража не окажется делом рук ваших конкурентов. Поэтому на ноут­буках, флешках, внешних жестких дисках обязательно нужно создавать специаль­ные зашифрованные разделы, на которых и должка храниться конфиденциальная информация, чтобы в случае кражи или утери носителя можно было не беспоко­иться за то, в чьи руки попадут в итоге важные документы.

Кадровый вопрос

Не секрет, что успех защиты организации от утечек информации во многом опреде­ляется ее кадровой политикой. Потому что, как известно, «на жадину не нужен нож» - работника, имеющего доступ к важным данным, можно купить или за­пугать. Именно поэтому важно обращать внимание на психологическую составляю­щую обеспечения информационной безо­пасности организации. К сожалению, далеко не все компании могут себе позволить иметь штатного психолога. Тем не менее, еслитакая воз­можность все-таки есть, стоит ей восполь­зоватьсядля отслеживания сотрудников, находящихся в излишне возбужденном или, напротив, подавленном состоянии. Вполне может оказаться, что причиной такого психического состояния является возможность получения большого возна­граждения или угрозы, связанные с не­выполнением требований по предостав­лению конфиденциальной информации о компании, в которой он работает. При приеме сотрудников на работу и при выдвижении на руководящие должности необходимо учитывать не только их по­служной список и профессиональные на­выки, но и психологические особенности. Излишне пугливому или излишне жад­ному человеку вряд ли стоит доверять руководящие должности, связанные с до­ступом к конфиденциальным данным, по­тому что, если представится возможность выгодно продать данные или если на него будет оказано давление, организация, в которой он работает, может серьезно по­страдать.

Нельзя не вспомнить и о мотивации со­трудников - хотя, конечно, это уже не относится к компетенции отдела инфор­мационной безопасности, однако если сотрудник чувствует себя не нужным соб­ственной компании, никакие технические средства борьбы с промышленным шпио­нажем не смогут заставить его отказаться от намерения ей навредить.

Мифы о промышленном шпионаже

Некоторые руководители, услышав о про­мышленном шпионаже, создают у себя в голове образ суперагентов, нанятых кон­курентами. Такие суперагенты пользуются последними техническими достижения­ми - миниатюрной звукозаписывающей аппаратурой, мощными ­суперкомпьютера­ми, способными взломать любой шифр, и прочими атрибутами шпионской деятель­ности, присутствующими в кино. Вполне понятно, что для того, чтобы защититься от подобного промышленного шпиона, вооруженного до зубов и даже больше, необходим соответствующий по мощности арсенал технических средств защиты. Но подобные средства стоят немалых денег, и далеко не всякая организация в состоянии их приобрести. Именно это часто исполь­зуется руководителями в качестве аргу­мента против защиты от промышленного шпионажа.

Действительно, подобная дорогостоящая защита вряд ли себя окупит в среднеста­тистической белорусской организации. Но и корпоративные секреты этой орга­низации также вряд ли будут интересны супершпионам, против которых и нужна суперзащита. Намного эффективнее и проще купить корпоративные секреты у кого-то из сотрудников организации или, в крайнем случае, выкрасть их с помощью атаки на корпоративную сеть, чем связы­ваться с дорогостоящим оборудованием, которое, кроме того, будет еще и менее эф­фективным, поскольку не предназначено для получения информации из электрон­ных документов.

Поэтому, как уже подчеркивалось выше самым главным и одновременно самым дорогостоящим инструментом борьбы с промышленным шпионажем должна стать установленная в организации DLР- система.