О безопасности

Полиграф как главный аргумент кадровика

Борис Викторов «Известия» ВА

Комиссия по кадровым вопросам Мосгордумы провела заседание, посвященное возможностям применения детекторов лжи при приеме на работу госслужащих в Москве. Возможно, скоро регулярную проверку на детекторе лжи придется проходить большинству ответственных работников властных структур в столице.

По словам председателя комиссии по кадровым вопросам Мосгордумы Валерия Шапошникова, применение полиграфа (детектора лжи) в работе различных государственных ведомств стало обычной практикой с 1992 года, после принятия Федерального закона "Об оперативно-розыскной деятельности". А к началу 2000 года в стране была создана минимальная правовая основа для применения этих устройств в государственных структурах (сегодня детекторы лжи применяют в соответствии с внутренними инструкциями различных ведомств). Правительство РФ уже приняло решение об оснащении органов прокуратуры полиграфами, по России прошел эксперимент, в ходе которого проверку на полиграфе прошли 139 назначаемых мировых судей. Как сообщила на заседании комиссии начальник центра психологической диагностики ГУВД Москвы Мария Чистопольская, ежедневно центр успевает проводить тестирование четверых соискателей на различные должности в ГУВД: некоторые направляются в центр по результатам других психологических тестов, некоторые нуждаются в дополнительной проверке на предмет употребления наркотиков.

- По самым скромным подсчетам, ежегодно проверки на полиграфах проходят около 50 тысяч жителей России, - сообщил профессор кафедры криминалистики Академии ФСБ России Юрий Холодный. -Сейчас по масштабам применения полиграфов Россия занимает 3-е место в мире после США и Китая. Достоверность этого метода-90-96 %, при том что другие психологические тесты показывают лишь 70 % достоверности.

Институт криминалистики ФСБ совместно с Российским агентством экономической безопасности и управления рисками (РАЭБУР) разработали несколько стандартов для подготовки специалистов-полиграфологов в госслужбе и бизнесе. К примеру, коммерческим полиграфологам "в ходе

ОИП (опроса с использованием полиграфа. - "Москва") категорически запрещается применять вопросы, направленные на получение от опрашиваемого лица сведений, составляющих государственную или военную тайну либо касающихся деятельности правоохранительных органов или спецслужб России". Помимо соблюдения принятых в мировой практике норм профессиональной этики российские специалисты должны взять на себя обязательство "не оказывать услуги по обучению мерам противодействия ОИП".

Права человека при обследовании на детекторе лжи также соблюдены. К примеру, если у "подопытного" возникли подозрения в этических нарушениях при опросе, он "имеет право узнать у полиграфолога регистрационный номер его свидетельства и сообщить о замеченных нарушениях службам РАЭБУРа".

Депутаты, правоведы и ученые, принимавшие участие в заседании комиссии Мосгордумы, не нашли доводов против внедрения детекторов лжи в городских ведомствах. Хотя списки этих ведомств и чиновников, которым при приеме на службу или во время аттестации надлежит пройти тест на полиграфе, пока не сформированы. Также не очень ясны и правовые аспекты работы полиграфов. С одной стороны, полиграф не является спецсредством и применять его можно так же, как и любой исследовательский прибор, к примеру кардиограф. С другой - исследования на детекторе лжи не имеют никакой юридической силы и не могут служить поводом для увольнения или служебного расследования. Можно ожидать, что столичные депутаты в скором времени поделятся некоторыми законодательными инициативами с федеральным парламентом, где соответствующий проект закона, прописывающего порядок применения детекторов, уже рассматривается. Законодательные и этические нюансы широкого применения полиграфов при приеме на госслужбу Валерий Шапошников сформулировал одной фразой: "Общество вправе требовать от лиц, занимающих ключевые должности, подтверждения их лояльности законам и нравственным ценностям этого общества".

***

Детектор лжи древнее криминалистики

Феномен изменения физиологических функций человека, который переживает страх перед возможным разоблачением его преступлений, был известен еще более двух тысяч лет назад в Китае. Подозреваемый в преступлении на суде должен был набрать в рот горсть сухого риса и выслушать обвинение. Поскольку чувство страха перед разоблачением приостанавливало слюноотделение, считалось, что, если рис во рту не намокнет, вина доказана.

В древней Индии подозреваемому называли нейтральные или критические слова, связанные с преступлением. Тот, в свою очередь, должен был немедленно ответить первым пришедшим на ум словом и тихо ударить в гонг. Обычно ответ на критическое слово сопровождался более сильным ударом. Подобные способы дознания практиковались в средневековой Европе и у некоторых племен в Африке.

Детальное измерение параметров организма при ответах на определенные вопросы впервые провели в США в 1913 году. Это был "тест выявления лжи при помощи артериального давления" (bloodpressure deception test), разработанный В. Марстоном в Гарвардской психологической лаборатории. Результативность этого теста достигала 97 %. Затем кроме давления разработчики детекторов лжи начали - измерять пульс и дыхание опрашиваемого. К концу 30-х годов в США три фирмы наладили серийный выпуск детекторов лжи, около сотни полицейских подразделений в 28 штатах активно использовали эти приборы в своей работе, а десятки банков и коммерческих фирм северных штатов внедрили полиграф для проверки персонала при найме на работу и в ходе служебных разбирательств. Источник: Ю. И. Холодный "Применение полиграфа при профилактике, раскрытии и расследовании преступлений". Издательский дом "Мир безопасности" , 2000 г.

***

Памятка для лиц, которым предстоит опрос с использованием полиграфа

Если вам предстоит пройти опрос с использованием полиграфа (ОИП), вы обязаны знать следующее:

1. ОИП представляет собой нетравмирующую и безвредную для жизни и здоровья, организованную по особым правилам процедуру опроса, в ходе которой с помощью полиграфа осуществляется регистрация и оценка физиологических реакций опрашиваемого человека.

2. ОИП будет проведен только в том случае, если вы письменно дадите добровольное согласие (по установленной форме) на эту процедуру.

3. Если вы поступаете на работу, ОИП поможет вам подтвердить достоверность сообщенной вами информации и отсутствие у вас нежелательных для работодателя наклонностей или скрываемых фактов биографии.

4. Если вы проходите проверку на полиграфе по месту работы, ОИП поможет подтвердить вашу лояльность и снять в отношении вас необоснованные подозрения в нарушении установленных на работе норм поведения или в совершении каких-то деяний, нанесших ущерб работодателю.

5. Перед началом каждого из тестов ОИП вы будете ознакомлены с теми вопросами, которые вам затем будут заданы при включенном полиграфе.

6. В ходе ОИП вам не будут задавать вопросы, касающиеся политических, религиозных или расовых взглядов, а также направленные на получение от вас (возможно известных вам по предыдущим местам работы или службы) сведений, составляющих государственную или военную тайну либо касающихся деятельности правоохранительных органов или спецслужб России.

7. Полученные в итоге ОИП результаты носят вероятностный характер и имеют ориентирующее значение для работодателя, который самостоятельно принимает решение о целесообразности или нецелесообразности учета ориентирующей информации, полученной с помощью полиграфа.

Источник "Центр психофизиологической детекции лжи"

При проведении ОИП на государственной службе используются ведомственные документы, включая "Инструкцию о порядке применения органами Федеральной службы безопасности опроса с использованием полиграфа" , принятую ФСБ России в мае 1997 года:

"Отказ от проведения ОИП... не может... повлечь за собой ущемления законных интересов и прав, за исключением отказа от проведения ОИП в ходе проверочных мероприятий, связанных с допуском к государственной тайне".

"На основании результатов ОИП в отношении опрашиваемого лица не может быть принято никаких мер, ущемляющих его законные интересы и права, за исключением случаев проведения ОИП в ходе проверочных мероприятий, связанных с допуском к государственной тайне".

"Разрешение на проведение ОИП в ходе проверочных мероприятий, связанных с допуском к государственной тайне, дают начальники подразделений ФСБ России или начальники территориальных органов безопасности".

Идея "уплыла" вместе с сотрудником

Ольга Сизова, «Консультант»

Оказывается, придумать уникальный проект привлечения новых клиентов недостаточно для того, чтобы получить максимальную прибыль от его реализации. Важно сохранить тайну с момента появления идеи до того, как проект будет полностью закончен. Но что же делать, если организации не удалось уберечь новую концепцию от всевидящего ока конкурентов благодаря стараниям недобросовестного работника?

Компания "Мира" разрабатывала идею нового рекламного проекта собственной продукции. На стадии обсуждения деталей один из специалистов уволился. Он трудился в компании несколько лет и отличался лояльностью к организации, однако это не помешало ему перейти в штат фирмы-конкурента "Инкор", производящей аналогичную продукцию, и передать идею новому работодателю. В "Мире" же подготовка к реализации нового проекта шла полным ходом, благодаря эксклюзивной рекламной акции компания ожидала получить немалую прибыль. По подсчетам финансового директора, окупаемость проекта должна была быть высокой, поэтому на него было затрачено очень много ресурсов. В то время как проект "Миры" близился к завершению, предприятие "Инкор" начало свою рекламную акцию, в основе которой лежала идея компании "Мира". В результате последняя, реализовав свой проект после конкурента, не только не получила ожидаемой прибыли, но и понесла колоссальные убытки. Организация "Мира", проведя свое маленькое "расследование", выяснила, что информацию конкурентам передал уволившийся сотрудник. Однако когда зашла речь о том, как это доказать и заставить "предателя" отвечать за свои поступки, у компании возникли затруднения. Может ли "Мира" предъявлять претензии уволившемуся сотруднику и конкуренту из-за того, что идея была украдена? Если да, то каким образом она может доказать их неблаговидный поступок и призвать к ответственности виновных. Пустить ситуацию на самотек организация не может, поскольку для реализации нового проекта ей пришлось привлечь внешнее финансирование. Теперь же предприятию необходимо расплатиться с инвестором, который требует вернуть вложенные им в проект средства. Как же "Мире" выйти из данной ситуации с наименьшими потерями, какой тактики придерживаться? Есть ли у компании шанс привлечь к ответственности уволившегося сотрудника и фирму "Инкор", укравшую эксклюзивную идею? Какую политику выстроить в отношениях с инвестором? С такими вопросами мы обратились к специалистам и попросили их рассмотреть права и обязанности всех участников конфликта, а также возможности его разрешения, которые дает действующее законодательство.

***

"Без авторского договора фирме не справиться..."

Татьяна Львова, руководитель отдела корпоративного права юридической компании "ИНТЕЛИС - правовая поддержка"

Идея нового рекламного проекта является служебным произведением компании "Мира". В силу законодательства об авторском праве исключительное право на использование идеи принадлежит работодателю.

Таким образом, "Инкор" нарушает права, принадлежащие компании "Мира". Законодательство предусматривает гражданско-правовые способы защиты авторского права и право обладателя исключительных полномочий требовать от нарушителя возмещения убытков или выплаты компенсации. Доказать в суде факт нарушений в отношении компании "Мира" будет сложно. В частности, ей необходимо иметь подтверждение того, что по трудовому договору сотрудник нес обязанность по разработке рекламных проектов. Помимо прочего, "Мире" потребуется экспертиза, которая определит степень схожести ее рекламного проекта с реализованным компанией "Инкор".

В целях охраны конфиденциальности информации в рамках трудовых отношений работодатель обязан под расписку ознакомить работника с перечнем данных, составляющих коммерческую тайну, доступ к которым необходим для выполнения им своих трудовых обязанностей. Если компания "Мира" не предпринимала указанных действий, то привлечь уволившего сотрудника к ответственности за передачу информации будет невозможно.

***

"С инвесторами можно только договориться..."

Дмитрий Поляков, управляющий партнер компании "Поляков и партнеры"

Давать однозначные ответы на те вопросы, которые поставлены в отношении описанной ситуации, крайне затруднительно. Если дело дойдет до судебного разбирательства, то все будет зависеть от того, есть ли факты и доказательства, подтверждающие, что именно этот сотрудник передал конкурентам, и получены ли заключения экспертов по идентичности материалов компаний "Мира" и "Инкор".

Что остается компании делать в такой ситуации? С бывшим сотрудником сделать ничего не удастся. Если нет четких доказательств его вины в краже интеллектуальной собственности, то позиция компании в суде будет выглядеть неубедительной. Без тех же самых подтверждений нечего предъявить и компании-конкуренту, которая купила краденое. С инвесторами же можно только договориться, воззвав к их благородству и милосердию, поскольку в понятие "форс-мажор" кража интеллектуальной собственности не входит.

Помимо юридических аспектов данной проблемы рассмотренная ситуация интересна ошибками, допущенными в области управления человеческим, или кадровым, капиталом. Нет ничего плохого в том, что в компанию приходит сотрудник с идеями, знаниями, навыками, интересами и устремлениями. Плохо то, что в один прекрасный день он же пишет заявление об увольнении и покидает фирму вместе со всем перечисленным.

Показательно, что в компании "Мира" даже не встал вопрос, как следует организовать работу с персоналом таким образом, чтобы сотрудники не разносили компанию по частям. Можно сделать вывод, что в фирме "Мира" считают организацию грамотной работы с персоналом менее актуальной, нежели вопросы привлечения к ответственности.

Современные компании нередко обходятся тем, что, нанимая "голову", не уделяют внимание "сердцу и душе" сотрудников. В конце концов, каждый работник сам волен выбирать, какой фирме передать свои знания, навыки и умения. Компании же следует построить работу персонала таким образом, чтобы стать для сотрудника лучшим работодателем.

***

"Предупредить лучше, чем лечить..."

Елена Рогачева, заместитель генерального директора по информационному обеспечению ООО "Р-Техно"

Опыт показывает, что практически невозможно доказать факт разглашения сведений, так как для этого необходимо обосновать причинно-следственную связь между передачей информации и понесенными убытками. В рассматриваемом случае придется предоставить подтверждение того, что ущерб компании "Мира" был причинен в связи с использованием конкурентом данной информации, разглашенной именно уволившимся сотрудником и в тот период, когда он ее передал. Помимо этого, необходимо доказать, что фирма-конкурент "Инкор" реализовала проект раньше в результате состоявшегося хищения из компании "Мира", что очень сложно. Поскольку решение данного вопроса законными способами маловероятно, необходимо свои силы направить на предотвращение утечки информации в дальнейшем. В частности, должны быть созданы условия максимальной невозможности раскрытия секретных данных. Также следует ввести в компании режим коммерческой тайны. Для его эффективного функционирования желательно обратиться к профессионалам в области корпоративной безопасности. Они не только смогут грамотно оформить документы и учесть некоторые тонкости при составлении договоров, но и организовать систему обмена данными на самом предприятии. Самое главное - перекрыть каналы возможной утечки информации из компании, при этом оставляя некую свободу персоналу. В противном случае - при осознании тотального контроля - сотрудник перестанет работать эффективно, задумается о смене места работы и найдет способ прихватить пару-тройку "секретов" - в качестве компенсации, даже если передача информации конкурентам не будет входить в его намерения.

В крайнем случае можно разработать ряд оперативных мероприятий, направленных на сдерживание и ограничение недобросовестного сотрудника. Но эта процедура требует детального изучения объекта, выявления его слабых сторон и поиска путей влияния.

В нашей практике был такой случай, когда сотрудник ушел вместе с клиентской базой и начал активно переманивать покупателей к себе более привлекательными ценами на товар. Предусмотрительный работник ушел "под крыло" к крупной компании, что усложнило ситуацию. Личные беседы и убеждения ни к чему не привели - организация по-прежнему несла убытки. И только своевременно разработанный комплекс мероприятий по работе с клиентской сетью, направленных на разъяснение потребителям перспективы дальнейшего сотрудничества, помог сберечь большую часть клиентов, для которых стабильность и надежность партнера важнее одномоментной и сомнительной прибыли.

Рассматриваемый же случай находится в "запущенном" состоянии. Вернуть потерянные деньги, когда проект уже реализован, будет сложно. Потерпевшая сторона при принятии решения должна определить, стоит ли вообще начинать тяжбу с виновниками. Не факт, что разработка и применение "вакцины" на "последней стадии болезни" будет эффективным, а затраты на наказание непорядочного сотрудника окупятся.

«Чужой среди своих» - защита информации от инсайдеров

Александр Чачава, президент LETA IT-company, «Мобильные системы»

Профессионалы в области информационной безопасности бьют тревогу: по данным последних исследований, основную опасность для бизнеса компаний представляют вовсе не хакеры, вредоносные вирусы или трояны, а враг изнутри, или инсайдер. А ведь еще недавно казалось, стоит лишь надежно защитить периметр организации от всевозможных атак извне, и о проблеме утечки конфиденциальной информации можно будет забыть.

"Иммунная система" компании

Перед каждым из нас хотя бы раз в год вставал вопрос: стоит ли делать прививку против гриппа? С одной стороны, болеть не хочется. Но с другой - срабатывает неискоренимая привычка полагаться на заветное "авось". И вот это "авось" часто подводит, вырывая человека из привычной жизни.

В мире бизнеса любую компанию, будь она небольшой или же, наоборот, довольно крупной, можно сопоставить с живым организмом, а ее систему информационной безопасности (ИБ) - с иммунной системой, которую необходимо укреплять, чтобы противостоять болезням. Но для этого важно точно определить, какой комплекс иммуностимулирующих мер требуется подобрать в данный момент. Иначе компанию начнет лихорадить, а ее внутренние информационные ресурсы - ключевой показатель здоровья - окажутся незащищенными.

За последний год произошло несколько крупных утечек информации как из коммерческих, так и из государственных структур. Киберпреступники поняли, что корпоративные базы данных можно похищать и продавать практически безнаказанно, при этом получая больший доход, нежели от продажи простых пиратских дисков. Самой громкой и масштабной стала декабрьская утечка баз данных кредитных организаций, снявшая коммерческую тайну с сумм кредитов, просрочек, неплатежей, мотивов отказов. Эта утечка показала, что и коммерческие организации не умеют (или не хотят? ) защищать данные своих клиентов. Но если утечки баз данных из государственных органов стали привычными, то утечки из коммерческих структур вызывают удивление, потому что, как показывает практика, именно коммерческие структуры наиболее быстро и эффективно реагируют на подобные угрозы своему бизнесу и репутации.

Осознание внутренних угроз приведет, и даже уже привело, к взрывному росту на услуги защиты от инсайдеров. Но если с техническими аспектами защиты критически важных источников информации российские IТ-департаменты уже хорошо знакомы (например, межсетевые экраны есть почти везде), то организационные меры остаются самым непроработанным звеном в системе комплексной защиты. Хотя именно они способны изменить положение к лучшему, если, конечно, разработаны в соответствии с бизнес-процессами компании и учитывают ее задачи и специфику.

В какой-то мере ситуацию усугубляет двойственность процесса развития передовых информационных технологий: растет не только перечень различных средств защиты информации, но и способов ее хищения. Так, электронная почта, всевозможные мобильные устройства, сервисы экспресс-общения, флэш-накопители и многое другое - хорошее подспорье для желающих вынести за пределы компании конфиденциальную информацию.

Описывать действия инсайдеров, думаю, не стоит. С результатами их краж мы сталкиваемся чуть ли не повсеместно. Наносимый ими урон (будь то адресная база клиентов торговых компаний, персональные данные частных лиц и информация о заемщиках в кредитных организациях) порою невосполним, ведь речь идет о самом ценном для любой финансовой структуры - долгосрочном доверии клиентов. Если вернуться к медицинским аналогиям, пациент обратится лишь к тому врачу, чья репутация и собственное здоровье бесспорны.

Учитесь отвечать на важные вопросы

Итак, существуют, по крайней мере, три основных вопроса, ответы на которые помогут разработать комплекс мер в области защиты информации от внутренних угроз. Именно четкость этих ответов позволит разобраться в сценариях утечки информации.

Первый вопрос: какая информация является конфиденциальной или закрытой и нуждается в защите от несанкционированного разглашения? Это может быть, например, интеллектуальная собственность, корпоративная конфиденциальная информация, частная информация клиентов и сотрудников и т.д. В качестве обязательного документа в любой компании существует Положение о конфиденциальной информации, описывающее порядок работы с информацией, находящейся на бумажных документах. Часто возникает проблема адаптации этого положения к электронным документам. Проще говоря, основная сложность заключается в том, чтобы четко определить циклы жизни документа: где он создается, как и кем используется, кто и в каких условиях может вносить в него изменения, сколько он хранится и как уничтожается. Отдельно хочется отметить такой нюанс, как правила обращения сотрудников с электронной почтой. С этой целью некоторые компании изначально проводят специальное разграничение прав доступа и пересылки информации конкретными подразделениями. Например, отделу продаж не может быть доступна финансовая информация, а отделу закупок - прайс-листы отдела продаж и т.п. Самым фундаментальным в этом отношении является реестр конфиденциальной информации.

Второй вопрос: как может произойти утечка информации? Это зависит от того, где она хранится, в каких производственных процессах используется и какие точки выхода следует защитить (электронную почту, Р2Р-сети или мобильные устройства).

Часто утечка информации происходит через санкционированный доступ - клиентские приложения. Архитектура таких рабочих мест делает информацию практически беззащитной. Хранение информации в незашифрованных временных файлах, встроенная в операционную систему возможность копирования информации в буфер, наличие многих каналов ввода-вывода делают рабочую станцию весьма опасным устройством для реализации внутренних угроз. Заметим, что такие угрозы исчезают при доступе к информационной системе через тонкие клиенты или системы мейн-фрейм-терминала.

Другой потенциальный источник утечки информации - копии информации на мобильных устройствах. Есть виды бизнеса, практически немыслимые без мобильных рабочих мест. Но закрытие всех портов ввода-вывода на ноутбуках, во-первых, достаточно сложно технически, а во-вторых, затрудняет работу мобильного пользователя.

И третий вопрос: каким группам пользователей разрешен доступ к конфиденциальной информации, какие пользователи являются наиболее вероятными кандидатами, способными создать бреши для утечки информации и поэтому нуждаются в более пристальном наблюдении?

Подобная классификация потенциальных нарушителей позволит службе безопасности спрогнозировать их поведение. Кроме того, рассматривая средства защиты, всегда надо предусматривать, против каких нарушителей эти действия эффективны, а против каких - нет. Это позволит контролировать любой канал утечки информации. В противном случае данные "утекут" через неучтенную брешь, и все усилия по их безопасности окажутся напрасными. Такая кропотливая работа обеспечивает интеграцию мер безопасности в нормативную базу предприятия и минимизирует риск, связанный с человеческим фактором. Последний, как показывает практика компании LETA, должен учитываться НR-менеджером еще на уровне подбора персонала. Возможных кандидатов необходимо предварительно тестировать, связываться с бывшими работодателями и уточнять отдельные моменты их профессиональной деятельности.

После классификации угроз встает вопрос: как им противодействовать? Ответ один: работать и внедрять современные IТ-продукты.

Возводите барьеры на пути утечек

Подход к обеспечению конфиденциальности данных клиента должен строиться на разумном сочетании организационных и технических решений, представляющих собой многоуровневую защиту исходящего контента, мониторинг и контроль каналов утечки информации, мониторинг действий пользователей.

Многоуровневая защита, как правило, сочетает в себе решения для рабочих станций и шлюзов и отличается той самой гибкостью, которая, с одной стороны, не нарушает личных прав пользователя, а с другой - способна предотвратить серьезные нарушения корпоративных правил.

Это предполагает фильтрацию сообщений в исходящем потоке электронной почты; фильтрацию НТТР-потока данных, которые могут представлять угрозу утечки конфиденциальной информации; выявление нежелательной активности пользователей в сети; создание специального хранилища почтовой корреспонденции и осуществление ретроспективного анализа инцидентов утечки конфиденциальной информации; централизованное управление и оповещение в режиме реального времени.

"Перекрытие" каналов утечки представляет собой контроль доступа к электронной почте, Интернету, сменным носителям, портам ввода-вывода, принтерам и мобильным устройствам. Конечно, факт отказа сотруднику в доступе к каналу сводит на нет утечку информации. Но стоит учесть, что, не имея доступа, например, к корпоративной электронной почте или принтеру, сотрудник не сможет выполнять свои служебные обязанности.

Мониторинг действий пользователей начинается с видеокамер и заканчивается специальным ПО под контролем офицеров безопасности. Но чаще всего применяется программное обеспечение, которое контролирует определенные действия пользователя в пассивном режиме и ведет журнал доступа. Довольно редко бывает необходимо отслеживать нажатие каждой клавиши и каждое перемещение мыши. Обычно выделяются опасные операции: файловые - копирование и переименование, документные - сохранение, печать, копирование и вставка, системные - копирование экрана и т. п. Эти операции контролируются особо тщательно. Причем если эти операции проводились с документом, не содержащим конфиденциальную информацию, то программное обеспечение лишь фиксирует их в базе событий. Если же эти действия совершались с конфиденциальным документом, посылается сообщение о запрещенной операции. Учитывая, что такой мониторинг ведется не за всеми сотрудниками поголовно, а только за конкретным человеком, находящимся в оперативной разработке, т.е. в чем-то уже подозреваемым, он часто оправдывает и время, и средства, в него вложенные.

При создании системы защиты от внутренних угроз не стоит забывать об организационных и психологических мерах защиты, которые включают в себя постоянную работу с кадрами, их обучение и инструктаж, повышение лояльности коллектива компании к политике и процедурам безопасности, что в совокупности уменьшает риск проявления халатности - основную причину утечки информации.

Все эти методы, применяемые в комбинации друг с другом, обеспечивают наиболее эффективную защиту.

Враг будет раскрыт

После присвоения нашей компании в марте 2005 г. статуса InfoWatch Security Integrator компания LETA в соответствии с условиями соглашения выполнила требования по сертификации своих сотрудников. В конце февраля специалисты по продажам, технические консультанты и инженеры по внедрению решений InfoWatch прошли обучение в учебном центре InfoWatch. В настоящий момент на счету нашей компании уже несколько масштабных проектов по внедрению системы защиты конфиденциальной информации на крупных российских предприятиях.

Как добросовестный поставщик наиболее сложных решений IТ-безопасности, наша компания "обкатывает" поставляемые продукты на своей собственной IТ-инфраструкту-ре. И лишь полностью изучив технологии на практике и добившись их эффективной работы в своей организации, предлагает соответствующие решения заказчикам.

Нужно сказать, принцип "сначала проверить продукты по защите от внутренних угроз в действии и убедиться в их эффективности" принес ощутимый практический результат - в нашей компании был выявлен и обезврежен инсайдер. Один из менеджеров по работе с клиентами пытался проводить контракты на поставку программного обеспечения не через своего законного работодателя, а через им же созданную подставную компанию. Если бы инсайдеру удалось привести свой план в действие, то удар по репутации компании обернулся бы серьезными финансовыми потерями, связанными с недополучением прибыли и утечкой сведений о заказчиках. Злоупотребление удалось выявить потому, что в системе ИБ были задействованы хранилища почтовой корреспонденции и модуль контроля почтового трафика. Именно это позволило быстро заметить подозрительную активность инсайдера, а затем собрать необходимые доказательства его вины.

Первым сигналом стало предупреждение о подозрительной активности сотрудника, полученное офицером IТ-безо-пасности компании LETA. Отметим, что система фильтрации почтового и НWеb-трафика не зафиксировала утечки конфиденциальной информации, так как инсайдер и не пытался выслать ее за пределы IТ-инфраструктуры компании. Между тем он вел подозрительные переговоры по внешней электронной почте, что и было своевременно зафиксировано системой защиты.

Однако, чтобы доказать вину инсайдера, пришлось тщательно изучить почтовые сообщения, которыми злоумышленник обменивался с потенциальными заказчиками. Для этого пришлось сделать несколько аналитических выборок из архива почтовой корреспонденции. Уже после беглого просмотра первых отсортированных сообщений стало ясно, что в компании завелся нечистый на руку менеджер по продажам. Углубленное изучение архива укрепило эти подозрения, и служба ИБ сразу информировала об инциденте руководителей компании. Дальнейшее расследование дало неопровержимые доказательства нарушения корпоративной этики и трудового договора, в котором, разумеется, содержались положения о конфиденциальности. Инсайдер возместил ущерб, а затем был уволен.

Таким образом, нашей компании удалось защитить свой самый ценный информационный актив - клиентскую базу, предотвратив угрозу деловой репутации. При этом руководство решило не замалчивать инцидент, а проинформировать общественность и другие компании, чтобы инсайдер не смог найти себе новую жертву. Важно отметить, что в данном эпизоде технические средства мониторинга были удачно дополнены необходимыми организационными мерами. Мы внедрили политику IТ-безопасности и Положение о конфиденциальности. Каждый сотрудник, подписав трудовой договор, обязался хранить коммерческую тайну работодателя и документально передавать все данные, созданные на рабочем месте, в собственность компании. Такой подход не только упрощает сбор доказательной базы против инсайдеров, но чрезвычайно полезен и удобен всем сотрудникам, которые порой не очень точно представляют, где проходит грань между допустимым использованием служебной информации и нарушением интересов работодателя.

Давайте жить дружно

Проблема умышленных действий служащих, наносящих вред государственным и коммерческим организациям, далеко не нова. Клиентская база - один из активов любой коммерческой компании - служит благодатной почвой для злоупотреблений и нечестной конкуренции. Ценность этого ресурса буквально провоцирует сотрудников на сомнительные действия. Из-за недостатка контроля в свободной продаже находятся базы данных федеральных министерств и ведомств, по которым можно составить полный цифровой портрет любого гражданина РФ. Нередки случаи утечки данных из коммерческих компаний.

Наш опыт показал, что современные достижения технологий по обеспечению информационной безопасности позволяют эффективно оградить бизнес от инсайдеров. И все же никакая IТ-система не защитит компанию, если ее персонал не лоялен. Поэтому защиту от внутренних угроз необходимо начинать со становления и развития корпоративной культуры, цель которой - создание внутренней атмосферы компании, исключающей даже возникновение мысли о нанесении ей малейшего вреда.

ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ О СТРАХОВАНИИ  И БЕЗОПАСНОСТИ

Находка для шпиона

Ольга Борисова, «Россия»

Секрет фирмы, коммерческая тайна - с ними в наши дни сталкиваются все больше россиян

Расширяющийся рынок ужесточает конкуренцию, технологические новинки позволяют взламывать самые, казалось бы, надежные системы с конфиденциальной информацией. Тайны растут в цене: потерянный покой, увольнение, пуля наемника...

Караул, грабят!

Не стоит думать, что соблюдение коммерческой тайны - это проблема отдельно взятого босса Иванова и его колбасного цеха, воюющего за магазинные прилавки в городе N с другим "сосисочным королем" Петровым. В глобальном масштабе секрет фирмы воистину дорогого стоит. Вот лишь три примера. Во Франции были запатентованы специальные винты, применяемые в вертолето-строении. В Швейцарии - турбинные лопатки. В США - особые пенообразующие противопожарные установки. Все эти якобы западные ноу-хау оказались точной копией российских. Наши секреты были бессовестно сперты в то время, когда отечественные производители не обладали надежной защитой от западных конкурентов. И подобных примеров еще очень много, а это - миллионы долларов убытков для страны.

В России у понятия "коммерческая тайна" долго не было законодательной основы. В 1994 году его зафиксировали в принятом тогда Гражданском кодексе и лишь спустя десять лет появился собственно сам федеральный закон о коммерческой тайне. Таким образом, с 2004 года за разглашение сведений, представляющих ценность для конкурента, можно попасть под уголовную ответственность. Однако за прошедшее время в России еще не было судебных прецедентов, связанных с разглашением коммерческой тайны. Означает ли это, что охотники за чужой информацией под страхом наказания просто исчезли как вид? Нет, достаточно пройтись по рынкам или выйти в Интернет, чтобы понять: "хранимые" сведения продаются. Фирмы, банки, даже базы данных министерств - информацию с требуемыми данными заказчик может получить в течение су-ток. Цена - от 50 долларов и выше.

По словам экспертов, коммерческую тайну на российских фирмах оберегают кто как может. Масса случаев, когда работников, пытающихся осведомиться о зарплате начальства, увольняли, что называется, без суда и следствия. И никто из уволенных еще открыто не жаловался. Подать в суд на несправедливого шефа выйдет себе дороже - судиться можно до бесконечности, а заодно и попасть в "черный список" для потенциальных работодателей, которые никогда не возьмут такого "правдолюбца" , каким бы хорошим он ни был.

Меры профилактики

О существовании коммерческой тайны на предприятии можно говорить, когда имеется конкретный перечень секретных сведений, утвержденный руководством. Для каждого из работников должны быть скорректированы должностные инструкции, в которых четко прописывается, какие доступные ему сведения представляют собой коммерческую тайну. Этот документ, разумеется, им подписывается.

На практике же зачастую все происходит против правил и вне закона. В лучшем случае на виновного оказывается моральное давление с последующим увольнением, в худшем - разбираться с ним нанимают темных, а то и криминальных личностей. Чтобы, значит, другим было уроком. Питерская история - типичный пример. Двое сотрудников одной компании решили больше не ишачить на чужого дядю, а открыть собственное дело. Конкретнее - фирму того же профиля, благо, имелся опыт работы в этой сфере. Велосипеда изобретать не стали - незадолго до увольнения выудили из компьютерной сети в то время еще родной компании сведения о сделках и консигнациях. Вскоре после того как был начат бизнес, двое друзей, ставших конкурентами экс-босса, погибли при довольно туманных обстоятельствах. Во всяком случае следствие зашло в тупик.

Линия фронта

Если есть что-то ценное, обязательно найдется тот, кто захочет это украсть, любят говорить владельцы компаний, подразумевая коммерческую тайну. Они напоминают параноиков - их послушать, так между конкурирующими предприятиями идет настоящая война. С подкупом сотрудников внутренней службы безопасности. С засылкой разведчиков в "стан противника". К слову, если такого засланного казачка "засвечивают" , то его дело швах - от него отказываются даже свои. Были примеры, когда незадачливым "шпионам" после провала приходилось срочно продавать жилье и уезжать в другой город, иначе от того, как их прессовали, можно было сойти с ума.

Но самым, наверное, серьезным испытанием для психики становится ситуация, когда фирма переводится ее руководством в режим тотального контроля. Так случается часто - у начальства появляется повод для подозрений, и чтобы докопаться до истины, каждый шаг работников берется под контроль. Видеонаблюдение, прослушка... К слову, по последним данным, в России прослушкой и устройствами для наблюдения за сотрудниками пользуются 82 процента банков, 76 процентов предприятий питания, 30 процентов предприятий торговли, 19 процентов небольших частных фирм.

Работать в таких условиях невероятно тяжело - помимо непосредственных обязанностей, нужно сосредотачиваться на том, чтобы не сказать чего лишнего. Любой дружеский вопрос коллеги воспринимают как провокацию, учащаются конфликты. В Нижнем Новгороде произошел и вовсе дикий случай. Девушку, работавшую менеджером в крупной фирме по производству мебели, затравили на работе, обвинив в сливе корпоративных секретов. "Предательница" встречалась с парнем, с которым познакомилась на мебельной выставке. Тот, на беду, работал как раз у конкурентов. Как об этих отношениях стало известно начальству, можно лишь догадываться. Для девушки все оказалось таким потрясением, что понадобилась помощь медиков.

 ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ О СТРАХОВАНИИ   И БЕЗОПАСНОСТИ

Обзор рынка безопасности в 2007 году

Обзор рынка безопасности в 2006 году

Архив «Обзора рынка безопасности» за 1999 - 2006 годы