Как защититься от промышленного шпионажа
Промышленный шпионаж сегодня уже не просто «страшилка» для руководителей предприятий, а реальная угроза, с которой сталкиваются организации во всем мире, в том числе и в Беларуси. О том, как защитить себя от этой угрозы, нам рассказали сотрудники одного из предприятий, отвечающие за его информационную безопасность. По понятной причине, их имена, должности и место работы останутся в тайне.
Не только промышленный
Промышленный шпионажем сегодня принято называть получение любой закрытойинформации о конкурентах, партнерах, подрядчиках и просто каких-то юридических лицах, заинтересовавших заказчика шпионажа. Поэтому не нужно думать, промышленный шпионаж угрожает только промышленным предприятиям, которые могут лишиться конкурентных преимуществ, связанных с утечкой технологических разработок. Промышленный шпионаж угрожает сегодня всем - от банков и страховых компаний до поставщиков компьютерной техники, потому что в каждой организации есть определенная информация, которая не должна быть доступна никому за ее пределами.
Какого рода информация может интересовать шпионов? Собственно говоря, практически любая, начиная с уже упоминавшихся промышленных разработок и заканчивая разными формами финансовойотчетности. Особый интерес, как правило, представляют протоколы совещаний,переписка сотрудников с руководствомпобизнес-вопросам, бизнес-планы и прочая информация, которая может отразиться на дальнейшей деятельности организации. Также объектом охоты конкурентов является информация о тендерах, в которых участвует компания, о ее клиентах, планируемых рекламных и PR-акциях и т.д.
Промышленный шпионаж не работает слухами - тех, кто заказывает закрытой информации об организации, интересует документальное подтверждение передаваемых им сведений. Поэтому при промышленном шпионаже те, кто его ведет,будут стараться раздобыть не просто интересующие их сведения, а документальные подтверждения полученной информации.
Главная защита – соблюдение правил безопасности
Многие организации до сих пор имеют весьма смутное представление о современных практиках защиты от промышленного шпионажа. Тем не менее в большинстве из них так или иначе существуют политики информационной безопасности, которых обычно вполне достаточно для того, чтобы обезопасить организацию от промышленного шпионажа. Единственной проблемой в данном случае становится практическая реализация этих политик. Для того чтобы они работали, главное - воля руководства организации к их соблюдению. Методы, применяемые при этом, давно известны: дисциплинарные взыскания по отношению к тем, кто не соблюдает требований по обеспечению безопасности, контроль со стороны соответствующих профильных служб, проведение инструктажа среди сотрудников.Если такие меры в компании до сих пор не практиковались, не стоит ждать от них эффекта: вполне возможно, для того чтобы политики безопасности действительно начали эффективно работать, придется даже уволить несколько особенно злостных нарушителей правил.
Методы и приемы
Среди приемов, применяемых для борьбы с промышленным шпионажем, на первом месте должен стоять контроль всех электронных каналов коммуникации сотрудников с внешним миром при помощи качественной DLP-системы. Однако это условие, являющееся необходимым, вряд ли можно считать достаточным, потому что помимо той же электронной почты, ICQ, Skype и прочих электронных средств общения существует много других способов получить информацию о конкуренте. Начать нужно, как и в случае с обнаружением неработающего прибора, образно говоря, с проверки того, воткнут ли тот в розетку. Поясним на примере. В одной из минских организаций обнаружилась утечка документации, которую нашли в открытом доступе на одном из интернет-форумов. Информация, как показало проведенное разбирательство, оказалась за пределами компании из-за банального отсутствия пароля на доступ к беспроводной сети компании. Из-за халатности системных администраторов на протяжении нескольких месяцев злоумышленники могли беспрепятственно получать доступ ко всем корпоративным информационным ресурсам, подключенным к локальной сети. Поэтому в качестве первого этапа на пути к построению системы защиты от корпоративного шпионажа нужно выбрать проверку соблюдения базовых правил обеспечения информационной безопасности.
Другой интересный случай связан с применением обычного ноутбука для прослушивания совещания. Один из сотрудников организации взял с собой на важное совещание, посвященное вопросам участия в крупном зарубежном тендере, ноутбук, с помощью которого записывал все происходящее и в режиме реального времени передавал через Интернет сотрудникам конкурирующей организации. «Вычислить» его помогла внимательность системного администратора, который заметил резко возросшее значение исходящего трафика и принялся искать причину этого необычного явления. В то же время, если бы в организации была установлена DPL-система, найти нарушителя можно было быне благодаря удачному стечению обстоятельств, а с помощью отлаженных механизмов по обеспечению информационной безопасности организации.
К сожалению, до сих пор в большинствеорганизацийне уделяется никакого внимания вопросам обеспечения безопасности данных при командировках сотрудников. Конечно, соглашения о неразглашении ипрочие важные документы необходимы для того, чтобы в случае утечек информации можно было привлечь виновных к ответственности. Но зачастую проблема состоит не столько в самих командированных, которые далеко не всегда жаждут передать конкурентам корпоративные секреты, а в обеспечении физической безопасности ноутбуков и портативных носителей информации, которые могут быть просто украдены. Большая часть таких краж, к счастью, оказывается банальным вокзальным воровством, произошедшим по причине недостаточной внимательности сотрудника к доверенным ему корпоративным техническим средствам. Но никто не может поручиться, что в данном конкретном случае статистика не сработает против вас и именно ваша кража не окажется делом рук ваших конкурентов. Поэтому на ноутбуках, флешках, внешних жестких дисках обязательно нужно создавать специальные зашифрованные разделы, на которых и должка храниться конфиденциальная информация, чтобы в случае кражи или утери носителя можно было не беспокоиться за то, в чьи руки попадут в итоге важные документы.
Кадровый вопрос
Не секрет, что успех защиты организации от утечек информации во многом определяется ее кадровой политикой. Потому что, как известно, «на жадину не нужен нож» - работника, имеющего доступ к важным данным, можно купить или запугать. Именно поэтому важно обращать внимание на психологическую составляющую обеспечения информационной безопасности организации. К сожалению, далеко не все компании могут себе позволить иметь штатного психолога. Тем не менее, еслитакая возможность все-таки есть, стоит ей воспользоватьсядля отслеживания сотрудников, находящихся в излишне возбужденном или, напротив, подавленном состоянии. Вполне может оказаться, что причиной такого психического состояния является возможность получения большого вознаграждения или угрозы, связанные с невыполнением требований по предоставлению конфиденциальной информации о компании, в которой он работает. При приеме сотрудников на работу и при выдвижении на руководящие должности необходимо учитывать не только их послужной список и профессиональные навыки, но и психологические особенности. Излишне пугливому или излишне жадному человеку вряд ли стоит доверять руководящие должности, связанные с доступом к конфиденциальным данным, потому что, если представится возможность выгодно продать данные или если на него будет оказано давление, организация, в которой он работает, может серьезно пострадать.
Нельзя не вспомнить и о мотивации сотрудников - хотя, конечно, это уже не относится к компетенции отдела информационной безопасности, однако если сотрудник чувствует себя не нужным собственной компании, никакие технические средства борьбы с промышленным шпионажем не смогут заставить его отказаться от намерения ей навредить.
Мифы о промышленном шпионаже
Некоторые руководители, услышав о промышленном шпионаже, создают у себя в голове образ суперагентов, нанятых конкурентами. Такие суперагенты пользуются последними техническими достижениями - миниатюрной звукозаписывающей аппаратурой, мощными суперкомпьютерами, способными взломать любой шифр, и прочими атрибутами шпионской деятельности, присутствующими в кино. Вполне понятно, что для того, чтобы защититься от подобного промышленного шпиона, вооруженного до зубов и даже больше, необходим соответствующий по мощности арсенал технических средств защиты. Но подобные средства стоят немалых денег, и далеко не всякая организация в состоянии их приобрести. Именно это часто используется руководителями в качестве аргумента против защиты от промышленного шпионажа.
БЕЗОПАСНОСТЬ |
Действительно, подобная дорогостоящая защита вряд ли себя окупит в среднестатистической белорусской организации. Но и корпоративные секреты этой организации также вряд ли будут интересны супершпионам, против которых и нужна суперзащита. Намного эффективнее и проще купить корпоративные секреты у кого-то из сотрудников организации или, в крайнем случае, выкрасть их с помощью атаки на корпоративную сеть, чем связываться с дорогостоящим оборудованием, которое, кроме того, будет еще и менее эффективным, поскольку не предназначено для получения информации из электронных документов.
Поэтому, как уже подчеркивалось выше самым главным и одновременно самым дорогостоящим инструментом борьбы с промышленным шпионажем должна стать установленная в организации DLР- система.