Защита информации действительно является серьезной проблемой России. Не только бизнеса, но и государства. Причем если на техническом уровне хоть что то делается, то на уровне коммуникативном (взаимодействие людей) - практически ничего. Получение информации от людей с помощью социальной инженерии стало наиболее простым способом узнать то, что нужно.
Информационная безопасность: ахиллесова пята российского бизнеса
Обострение конкуренции в различных отраслях экономики становится все более очевидным: бизнес-пространство каждый день наполняется новыми компаниями и предприятиями, которые привносят свое видение бизнеса, методы и технологии. И чтобы сохранить конкурентную жизнеспособность, предвидеть риски, не упускать новые возможности постоянно меняющегося рынка, принимать своевременные и верные решения, необходимо главное - четко следить за информационным полем, оплетающим рынок. В результате конкуренты идут на многое, используя все имеющиеся средства и возможности, чтобы получить интересующие их сведения.
В связи с этим стали обыденным явлением организация корпоративных войн и скандалы с многочисленными фактами информационных утечек.
На войне все средства хороши
Разработчик решений в области информационной безопасности компания Falcongaze называет несколько типов данных, которые чаще всего пытаются похитить соперники. Так, специалисты выяснили, что наибольшей ценностью для конкурирующих компаний обладает информация о потенциальных клиентах и сделках, как уже состоявшихся, так и тех, которые еще не доведены до конца, а также стратегические планы компаний относительно освоения новых рынков или его сегментов, разработки и вывода на рынок новых продуктов.
Как показывает практика, в случае конкурентного противостояния данная информация используется для целенаправленного воздействия на постоянного клиента, чтобы снизить доверие к продукции конкурента. А что касается стратегических устремлений компаний, то многие эксперты отмечают, что, как правило, уважающая себя фирма не разглашает истинные намерения, которые редко совпадают с декларируемыми планами.
Специалисты Falcongaze также указывают, что нешуточная борьба порой разворачивается за конфиденциальную информацию о сотрудниках конкурирующих компаний. "В первую очередь обладание такой информацией позволяет переманить ключевого работника к себе в команду. К тому же сотрудник, который решил уйти, зачастую прихватывает с собой клиентскую базу или даже уводит вместе с собой своих клиентов", - отмечают эксперты. По их мнению, такое поведение чаще всего мотивируется тем, что якобы все сделанные наработки на предыдущем месте работы являются интеллектуальной собственностью сотрудника и он имеет полное право использовать их даже после ухода из компании. Кроме того, для последующего переманивания персонала конкуренты чаще всего интересуются уровнем зарплат сотрудников и существующих в компании премий, а также политикой поощрения.
Ну и, естественно, "бизнес-разведчики" не оставляют попыток заполучить имеющиеся в компаниях разработки. На сегодняшний день наибольшей популярностью среди недобросовестных конкурентов пользуются коды программ, чертежи, разрабатываемые алгоритмы, то есть вся информация, которая при своем относительно небольшом объеме может свести на нет долгую работу компании, не говоря уж о сопутствующих финансовых, временных и репутационных потерях.
Новое - это хорошо забытое старое
Однако, несмотря на явный прогресс в области технического шпионажа, сегодня наиболее ценные сведения по-прежнему добываются из агентурных источников. Эксперты указывают, что именно собственные сотрудники часто оказываются слабым звеном в системе безопасности, которую выстраивает компания: "обработать" подходящего человека - это почти всегда безопаснее и дешевле. Но порой сотрудник фирмы может стать информатором, даже не подозревая об этом. Ведь методы сбора информации постоянно совершенствуются, а люди, использующие их, становятся опытнее.
Многие сейчас зациклены на вопросах IТ-безопасности, однако явно недооценивают, к примеру, угрозы утечки конфиденциальных корпоративных сведений при "взломе" с помощью элементарного телефонного звонка, отмечает генеральный директор компании "Р-Техно" (бизнес-разведка и минимизация рисков) Роман Ромачев. Бизнес должен понимать, что современным социальным хакерам стало работать гораздо проще: легче наметить подходящего для атаки сотрудника, собрать на него досье, разобраться в служебных и личных связях внутри корпорации, в иерархии ее бизнес-подразделений, корпоративной культуре. "К их услугам теперь - социальные сети, где у большинства сотрудников - от мала до велика - обнаруживаются аккаунты. Там же в ходе общения с намечаемым для "прокачки" человеком можно поучиться его профессиональному жаргону, чтобы потом говорить с ним на одном языке", - указывает эксперт.
По его словам, социальные сети давно превратились в среду, где "черные" хакеры успешно ведут свою "разведку по людям". Известны случаи, когда они специально заводили аккаунты от имени генерального директора компании и начинали активно "дружить" с сотрудниками, выуживая интересующие сведения. Однако в компаниях с предусмотрительным руководством аккаунты-клоны игнорируются, потому что до коллектива своевременно доводится реальный аккаунт гендиректора. Но хакер может с большим успехом создать аккаунт жены руководителя, попытаться познакомиться со всеми, кто имеет отношение к компании и таким образом постепенно разведать обстановку, говорит Р.Ромачев.
Что делать?
Решение проблемы кроется в обеспечении максимальной информативности, чтобы у персонала было общее понимание того, с кем вести переписку и на какие темы разговаривать, уверен глава "Р-Техно".
В то же время директор ООО "Маркетинг рисков и возможностей" Евгений Ющук считает, что есть только один способ сохранения конфиденциальной информации - не раскрывать ее вообще, даже если рассказчику кажется, что он делает это обезличенно. "Проблема в том, что информация, которая сегодня не представляет никакого интереса, завтра может оказаться недостающим звеном в чьей-то аналитической цепочке, предсказать это невозможно. И не только конкуренты, но и любые недоброжелатели могут создать проблемы компании, например, чтобы принудить человека к отказу от каких-либо действий", - говорит Е.Ющук.
При этом эксперт по конкурентной разведке Игорь Нежданов советует нигде не оставлять информацию о своей связи с компанией - ни в анкетах, ни в соцсетях (статусы, группы и т.п.), ни в общении. "Но даже в этом случае есть вероятность, что на вас выйдут, благодаря чьей-то подсказке. Поэтому нужно говорить о понимании, что рано или поздно зададут тот самый вопрос с подвохом", - уверен эксперт.
Чтобы вовремя понять, что собеседника интересуете не вы и ваши увлечения, а ваш работодатель, нужно знать, какая информация обычно ищется таким способом, а это планы компании, особенности технологий, позволяющие снизить затраты и/или повысить эффективность, персональные данные других сотрудников, особые условия договоров, крупные клиенты, уникальные поставщики и т.д. Это как раз то, что обычно относят к коммерческой тайне, говорит И.Нежданов.
"Если защититься от вирусов поможет хороший антивирус, то защитить сотрудников от социальной инженерии крайне сложно: если кто-то действительно захочет получить какие-то конфиденциальные данные с помощью сотрудника организации, он их, наверняка, получит", - рассуждает директор по маркетингу компании Zecurion (разработчик DLP-систем для защиты от утечек информации) Александр Ковалев. И выход тут только один: "давать доступ к конфиденциальной информации гранулированно, то есть только в том объеме, который необходим конкретному сотруднику и сам по себе ничего не даст конкуренту", - считает эксперт.
Предупрежден - значит вооружен
В то же время, несмотря на постоянно существующую угрозу, российские компании неоднозначно относятся к защите своих коммерческих секретов. Как говорит президент Международной контртеррористической тренинговой ассоциации (МКТА) Иосиф Линдер, существует два типа компаний: те, которые уделяют пристальное внимание своей информационной безопасности, и те, которые мечтают сделать что-то в этой сфере, но не имеют для этого либо необходимых средств, либо иных ресурсов.
Однако большинство компаний, по его словам, включает вопросы информбезопасности в так называемый корпоративный протокол, то есть очерчивается объем сведений, который составляют ту или иную степень конфиденциальности. Наиболее продвинутые организации, естественно, определяют информацию категорийно: для открытого обращения, для ограниченного доступа (для служебного пользования) и коммерческая тайна.
В то же время эксперт обращает внимание на то, что в соответствии с действующим российским законодательством вопросы информационной безопасности необходимо должным образом оформлять: речь идет о специально маркированных носителях информации и серверах для ее хранения, контроле доступа в зоны с ограниченным информационным оборотом, соответствующих технических и организационно-кадровых средствах, обязательном юридическом оформлении на уровне каждого сотрудника, допущенного к информационным блокам той или иной категории.
"Соответственно, если подобная система не отрегулирована, то любая утечка или потеря информации будет абсолютно юридически бездоказательна и, самое главное, ответственности за подобный шаг, либо по злому умыслу, либо по случайности, сотрудники нести не будут", - указывает И.Линдер.
"Большинство российских бизнесменов достаточно поверхностно относятся к подобным вещам. Они думают, что вот, я приказал, дал распоряжение, соответственно больше ничего не произойдет, потому что я - хозяин организации. А дело в том, что с юридической точки зрения никакие приказ, распоряжение, даже какие-то подписки, которые берут с сотрудников, должной юридической силой не обладают, если они не в полном мере соответствуют положениям действующего законодательства и утвержденного регламента", - заключил эксперт.
Евгений Кончев, РБК
Информационная безопасность: ахиллесова пята российского бизнеса
Обострение конкуренции в различных отраслях экономики становится все более очевидным: бизнес-пространство каждый день наполняется новыми компаниями и предприятиями, которые привносят свое видение бизнеса, методы и технологии. И чтобы сохранить конкурентную жизнеспособность, предвидеть риски, не упускать новые возможности постоянно меняющегося рынка, принимать своевременные и верные решения, необходимо главное - четко следить за информационным полем, оплетающим рынок. В результате конкуренты идут на многое, используя все имеющиеся средства и возможности, чтобы получить интересующие их сведения.
В связи с этим стали обыденным явлением организация корпоративных войн и скандалы с многочисленными фактами информационных утечек.
На войне все средства хороши
Разработчик решений в области информационной безопасности компания Falcongaze называет несколько типов данных, которые чаще всего пытаются похитить соперники. Так, специалисты выяснили, что наибольшей ценностью для конкурирующих компаний обладает информация о потенциальных клиентах и сделках, как уже состоявшихся, так и тех, которые еще не доведены до конца, а также стратегические планы компаний относительно освоения новых рынков или его сегментов, разработки и вывода на рынок новых продуктов.
Как показывает практика, в случае конкурентного противостояния данная информация используется для целенаправленного воздействия на постоянного клиента, чтобы снизить доверие к продукции конкурента. А что касается стратегических устремлений компаний, то многие эксперты отмечают, что, как правило, уважающая себя фирма не разглашает истинные намерения, которые редко совпадают с декларируемыми планами.
Специалисты Falcongaze также указывают, что нешуточная борьба порой разворачивается за конфиденциальную информацию о сотрудниках конкурирующих компаний. "В первую очередь обладание такой информацией позволяет переманить ключевого работника к себе в команду. К тому же сотрудник, который решил уйти, зачастую прихватывает с собой клиентскую базу или даже уводит вместе с собой своих клиентов", - отмечают эксперты. По их мнению, такое поведение чаще всего мотивируется тем, что якобы все сделанные наработки на предыдущем месте работы являются интеллектуальной собственностью сотрудника и он имеет полное право использовать их даже после ухода из компании. Кроме того, для последующего переманивания персонала конкуренты чаще всего интересуются уровнем зарплат сотрудников и существующих в компании премий, а также политикой поощрения.
Ну и, естественно, "бизнес-разведчики" не оставляют попыток заполучить имеющиеся в компаниях разработки. На сегодняшний день наибольшей популярностью среди недобросовестных конкурентов пользуются коды программ, чертежи, разрабатываемые алгоритмы, то есть вся информация, которая при своем относительно небольшом объеме может свести на нет долгую работу компании, не говоря уж о сопутствующих финансовых, временных и репутационных потерях.
Новое - это хорошо забытое старое
Однако, несмотря на явный прогресс в области технического шпионажа, сегодня наиболее ценные сведения по-прежнему добываются из агентурных источников. Эксперты указывают, что именно собственные сотрудники часто оказываются слабым звеном в системе безопасности, которую выстраивает компания: "обработать" подходящего человека - это почти всегда безопаснее и дешевле. Но порой сотрудник фирмы может стать информатором, даже не подозревая об этом. Ведь методы сбора информации постоянно совершенствуются, а люди, использующие их, становятся опытнее.
Многие сейчас зациклены на вопросах IТ-безопасности, однако явно недооценивают, к примеру, угрозы утечки конфиденциальных корпоративных сведений при "взломе" с помощью элементарного телефонного звонка, отмечает генеральный директор компании "Р-Техно" (бизнес-разведка и минимизация рисков) Роман Ромачев. Бизнес должен понимать, что современным социальным хакерам стало работать гораздо проще: легче наметить подходящего для атаки сотрудника, собрать на него досье, разобраться в служебных и личных связях внутри корпорации, в иерархии ее бизнес-подразделений, корпоративной культуре. "К их услугам теперь - социальные сети, где у большинства сотрудников - от мала до велика - обнаруживаются аккаунты. Там же в ходе общения с намечаемым для "прокачки" человеком можно поучиться его профессиональному жаргону, чтобы потом говорить с ним на одном языке", - указывает эксперт.
По его словам, социальные сети давно превратились в среду, где "черные" хакеры успешно ведут свою "разведку по людям". Известны случаи, когда они специально заводили аккаунты от имени генерального директора компании и начинали активно "дружить" с сотрудниками, выуживая интересующие сведения. Однако в компаниях с предусмотрительным руководством аккаунты-клоны игнорируются, потому что до коллектива своевременно доводится реальный аккаунт гендиректора. Но хакер может с большим успехом создать аккаунт жены руководителя, попытаться познакомиться со всеми, кто имеет отношение к компании и таким образом постепенно разведать обстановку, говорит Р.Ромачев.
Что делать?
Решение проблемы кроется в обеспечении максимальной информативности, чтобы у персонала было общее понимание того, с кем вести переписку и на какие темы разговаривать, уверен глава "Р-Техно".
В то же время директор ООО "Маркетинг рисков и возможностей" Евгений Ющук считает, что есть только один способ сохранения конфиденциальной информации - не раскрывать ее вообще, даже если рассказчику кажется, что он делает это обезличенно. "Проблема в том, что информация, которая сегодня не представляет никакого интереса, завтра может оказаться недостающим звеном в чьей-то аналитической цепочке, предсказать это невозможно. И не только конкуренты, но и любые недоброжелатели могут создать проблемы компании, например, чтобы принудить человека к отказу от каких-либо действий", - говорит Е.Ющук.
При этом эксперт по конкурентной разведке Игорь Нежданов советует нигде не оставлять информацию о своей связи с компанией - ни в анкетах, ни в соцсетях (статусы, группы и т.п.), ни в общении. "Но даже в этом случае есть вероятность, что на вас выйдут, благодаря чьей-то подсказке. Поэтому нужно говорить о понимании, что рано или поздно зададут тот самый вопрос с подвохом", - уверен эксперт.
Чтобы вовремя понять, что собеседника интересуете не вы и ваши увлечения, а ваш работодатель, нужно знать, какая информация обычно ищется таким способом, а это планы компании, особенности технологий, позволяющие снизить затраты и/или повысить эффективность, персональные данные других сотрудников, особые условия договоров, крупные клиенты, уникальные поставщики и т.д. Это как раз то, что обычно относят к коммерческой тайне, говорит И.Нежданов.
"Если защититься от вирусов поможет хороший антивирус, то защитить сотрудников от социальной инженерии крайне сложно: если кто-то действительно захочет получить какие-то конфиденциальные данные с помощью сотрудника организации, он их, наверняка, получит", - рассуждает директор по маркетингу компании Zecurion (разработчик DLP-систем для защиты от утечек информации) Александр Ковалев. И выход тут только один: "давать доступ к конфиденциальной информации гранулированно, то есть только в том объеме, который необходим конкретному сотруднику и сам по себе ничего не даст конкуренту", - считает эксперт.
Предупрежден - значит вооружен
В то же время, несмотря на постоянно существующую угрозу, российские компании неоднозначно относятся к защите своих коммерческих секретов. Как говорит президент Международной контртеррористической тренинговой ассоциации (МКТА) Иосиф Линдер, существует два типа компаний: те, которые уделяют пристальное внимание своей информационной безопасности, и те, которые мечтают сделать что-то в этой сфере, но не имеют для этого либо необходимых средств, либо иных ресурсов.
Однако большинство компаний, по его словам, включает вопросы информбезопасности в так называемый корпоративный протокол, то есть очерчивается объем сведений, который составляют ту или иную степень конфиденциальности. Наиболее продвинутые организации, естественно, определяют информацию категорийно: для открытого обращения, для ограниченного доступа (для служебного пользования) и коммерческая тайна.
В то же время эксперт обращает внимание на то, что в соответствии с действующим российским законодательством вопросы информационной безопасности необходимо должным образом оформлять: речь идет о специально маркированных носителях информации и серверах для ее хранения, контроле доступа в зоны с ограниченным информационным оборотом, соответствующих технических и организационно-кадровых средствах, обязательном юридическом оформлении на уровне каждого сотрудника, допущенного к информационным блокам той или иной категории.
"Соответственно, если подобная система не отрегулирована, то любая утечка или потеря информации будет абсолютно юридически бездоказательна и, самое главное, ответственности за подобный шаг, либо по злому умыслу, либо по случайности, сотрудники нести не будут", - указывает И.Линдер.
"Большинство российских бизнесменов достаточно поверхностно относятся к подобным вещам. Они думают, что вот, я приказал, дал распоряжение, соответственно больше ничего не произойдет, потому что я - хозяин организации. А дело в том, что с юридической точки зрения никакие приказ, распоряжение, даже какие-то подписки, которые берут с сотрудников, должной юридической силой не обладают, если они не в полном мере соответствуют положениям действующего законодательства и утвержденного регламента", - заключил эксперт.
Евгений Кончев, РБК
Комментариев нет:
Отправить комментарий