Інформаційна безпека: ахіллесова п'ята російського бізнесу
Рейтинг статті: / 1
НайгіршеНайкраще 

Информационная безопасность для бизнеса

Загострення конкуренції в різних галузях економіки стає все більш очевидним: бізнес-простір щодня наповнюється новими компаніями і підприємствами, які привносять своє бачення бізнесу, методи і технології.
І щоб зберегти конкурентну життєздатність, передбачати ризики, не упускати нові можливості постійно мінливого ринку, вживати своєчасних і вірні рішення, необхідно головне - чітко стежити за інформаційним полем, яке обплітає ринок. В результаті конкуренти йдуть на багато що, використовуючи всі наявні засоби та можливості, щоб отримати відомості, які їх цікавлять.
У зв'язку з цим стали буденним явищем організація корпоративних воєн і скандали з численними фактами інформаційних витоків.
На війні всі засоби хороші
Розробник рішень в області інформаційної безпеки компанія Falcongaze називає кілька типів даних, які найчастіше намагаються викрасти суперники. Так, фахівці з'ясували, що найбільшою цінністю для конкуруючих компаній є заволодіння інформацією про потенційних клієнтів і угоди, як вже відбулися, так і тих, які ще не доведені до кінця, а також стратегічні плани компаній щодо освоєння нових ринків або його сегментів, розробки і виведення на ринок нових продуктів.
Як показує практика, у разі конкурентного протистояння дана інформація використовується для цілеспрямованого впливу на постійного клієнта, щоб знизити довіру до продукції конкурента. А що стосується стратегічних устремлінь компаній, то багато експертів відзначають, що, як правило, поважаюча себе фірма не розголошує справжні наміри, які рідко збігаються з декларованими планами.
Фахівці Falcongaze також вказують, що неабияка боротьба деколи розгортається за конфіденційну інформацію про співробітників конкуруючих компаній. "У першу чергу володіння такою інформацією дозволяє переманити ключового працівника до себе в команду. До того ж співробітник, який вирішив піти, часто прихоплює з собою клієнтську базу або навіть відводить разом із собою своїх клієнтів", - відзначають експерти. На їхню думку, така поведінка найчастіше мотивується тим, що нібито всі зроблені напрацювання на попередньому місці роботи, є інтелектуальною власністю співробітника і він має повне право використовувати їх навіть після відходу з компанії. Крім того, для подальшого переманювання персоналу конкуренти найчастіше цікавляться рівнем зарплат співробітників і існуючих в компанії премій, а також політикою заохочення.
Ну і, природно, "бізнес-розвідники" не залишають спроб роздобути наявні в компаніях розробки. Сьогодні найбільшою популярністю серед недобросовісних конкурентів користуються коди програм, креслення, які розробляються алгоритми, тобто вся інформація, яка при своєму відносно невеликому обсязі може звести нанівець довгу роботу компанії, не кажучи вже про супутні фінансові, часові та репутаційні втрати.
Нове - це добре забуте старе
Однак, незважаючи на явний прогрес в області технічного шпигунства, сьогодні найбільш цінні відомості, як і раніше видобуваються з агентурних джерел. Експерти вказують, що саме власні співробітники часто виявляються слабкою ланкою у системі безпеки, яку вибудовує компанія: "обробити" відповідну людину - це майже завжди безпечніше і дешевше. Але деколи співробітник фірми може стати інформатором, навіть не підозрюючи про це. Адже методи збору інформації постійно вдосконалюються, а люди, що використовують їх, стають досвідченішими.
Багато зараз зациклені на питаннях IТ-безпеки, проте явно недооцінюють, наприклад, загрози витоку конфіденційних корпоративних відомостей при "зломі" за допомогою елементарного телефонного дзвінка, відзначає генеральний директор компанії "Р-Техно" (бізнес-розвідка та мінімізація ризиків) Роман Ромачев . Бізнес повинен розуміти, що сучасним соціальним хакерам стало працювати набагато простіше: легше намітити підходящого для атаки співробітника, зібрати на нього досьє, розібратися в службових та особистих зв'язках всередині корпорації, в ієрархії її бізнес-підрозділів, корпоративній культурі. "До їхніх послуг тепер - соціальні мережі, де в більшості співробітників - від мала до велика - виявляються акаунти. Там же в ході спілкування з намічуваною для" прокачки "людиною можна повчитися його професійному жаргону, щоб потім говорити з нею однією мовою", - вказує експерт.
За його словами, соціальні мережі давно перетворилися в середовище, де "чорні" хакери успішно ведуть свою "розвідку серед людей". Відомі випадки, коли вони спеціально заводили акаунти від імені генерального директора компанії і починали активно "дружити" з співробітниками, вивуджуючи відомості, що цікавлять. Однак у компаніях з завбачливим керівництвом акаунти-клони ігноруються, тому що до колективу своєчасно доводиться реальний акаунт гендиректора. Але хакер може з великим успіхом створити акаунт дружини керівника, спробувати познайомитися з усіма, хто має відношення до компанії і таким чином поступово розвідати обстановку, говорить Р.Ромачев.
Що робити?
Вирішення проблеми криється в забезпеченні максимальної інформативності, щоб у персоналу було спільне розуміння того, з ким вести переписку і на які теми розмовляти, упевнений глава "Р-Техно".
У той же час директор ТОВ "Маркетинг ризиків і можливостей" Євген Ющук вважає, що є тільки один спосіб збереження конфіденційної інформації - не розкривати її взагалі, навіть якщо оповідачеві здається, що він робить це знеособлено. "Проблема в тому, що інформація, яка сьогодні не представляє ніякого інтересу, завтра може виявитися відсутньою ланкою в чиємусь аналітичному ланцюжку, передбачити це неможливо. І не тільки конкуренти, але й будь-які недоброзичливці можуть створити проблеми компанії, наприклад, щоб примусити людину до відмови від будь-яких дій", - говорить Е.Ющук.
При цьому експерт з конкурентної розвідки Ігор Нежданов радить ніде не залишати інформацію про свій зв'язок з компанією - ні в анкетах, ні в соцмережах (статуси, групи тощо), ні в спілкуванні. "Але навіть у цьому випадку є ймовірність, що на вас вийдуть, завдяки чиїйсь підказці. Тому потрібно говорити про розуміння, що рано чи пізно поставлять те саме підступне питання", - упевнений експерт.
Щоб вчасно зрозуміти, що співрозмовника цікавите не ви і ваші захоплення, а ваш роботодавець, потрібно знати, яка інформація звичайно шукається таким способом, а це плани компанії, особливості технологій, що дозволяють знизити витрати та/або підвищити ефективність, персональні дані інших співробітників, особливі умови договорів, крупні клієнти, унікальні постачальники і т.д. Це якраз те, що зазвичай відносять до комерційної таємниці, говорить І.Нежданов.
"Якщо захиститися від вірусів допоможе хороший антивірус, то захистити співробітників від соціальної інженерії вкрай складно: якщо хтось дійсно захоче отримати якісь конфіденційні дані за допомогою співробітника організації, він їх, напевно, отримає", - міркує директор по маркетингу компанії Zecurion (розробник DLP-систем для захисту від витоків інформації) Олександр Ковальов. І вихід тут тільки один: "давати доступ до конфіденційної інформації гранульований, тобто тільки в тому обсязі, який необхідний конкретному співробітнику і сам по собі нічого не дасть конкуренту", - вважає експерт.
Попереджений - значить озброєний
У той же час, незважаючи на постійно існуючу загрозу, російські компанії неоднозначно ставляться до захисту своїх комерційних секретів. Як говорить президент Міжнародної контртерористичної тренінгової асоціації (МКТА) Йосип Ліндер, існує два типи компаній: ті, які приділяють пильну увагу своїй інформаційній безпеці, і ті, які мріють зробити щось у цій сфері, але не мають для цього або необхідних коштів, або інших ресурсів.
Однак більшість компаній, за його словами, включає питання інформбезпеки в так званий корпоративний протокол, тобто окреслюється обсяг відомостей, що становлять ту чи іншу ступінь конфіденційності. Найбільш просунуті організації, природно, визначають інформацію категорійно: для відкритого звернення, для обмеженого доступу (для службового користування) та комерційна таємниця.
У той же час експерт звертає увагу на те, що відповідно до чинного російського законодавства питання інформаційної безпеки необхідно належним чином оформляти: мова йде про спеціально марковані носії інформації і сервери для її зберігання, контроль доступу в зони з обмеженим інформаційним обігом, відповідних технічних і організаційно-кадрових засобах, обов'язковому юридичному оформленні на рівні кожного співробітника, допущеного до інформаційних блоків тієї чи іншої категорії.
"Відповідно, якщо подібна система не відрегульована, то будь-який витік або втрата інформації буде абсолютно юридично бездоказова і, найголовніше, відповідальність за подібний крок, чи із-за злого наміру, чи із-за випадковості, співробітники нести не будуть", - вказує І.Ліндер.
"Більшість російських бізнесменів досить поверхово ставляться до подібних речей. Вони думають, що ось, я наказав, дав розпорядження, відповідно більше нічого не станеться, тому що я - господар організації. А справа в тому, що з юридичної точки зору ніякі наказ, розпорядження , навіть якісь підписки, які беруть з співробітників, належної юридичної сили не мають, якщо вони не в повній мірі відповідають положенням чинного законодавства та затвердженого регламенту", - наголошує експерт.
(Джерело RU: top.rbc.ru)
 
>
КнигаНовиниПрактика пошукуПартнериПро нас
Підтримка та дизайн: Могильний С.С. Шаблон: Joomla Templates by BuyHTTP Joomla Hosting