Как защитить компанию от промышленного шпионажа

Промышленный шпионаж – проблема, касающаяся не только тех компаний, которые втайне занимаются разработкой нового «убийцы iPhone». Бизнес-планы, финансовые отчеты и прочие документы, которые есть в любой компании – вот что интересует современных промышленных шпионов. Как защититься от него, и возможно ли это в принципе?

Традиционно наиболее часто обвинения в промышленном шпионаже звучат в адрес китайцев. В этом, в общем-то, нет ничего удивительного: стремительно развивающаяся Поднебесная действительно, как губка, впитывает в себя любые технологии, «подсмотренные» у европейцев или американцев.

За примерами далеко ходить не нужно: не так давно тому назад Пентагон обвинил китайцев в краже новейших разработок в сфере военной авиации. Как пишут СМИ, в результате кибершпионажа Китаем были получены секретные технологии, применяющиеся на американском истребителе 5-го поколения F-35 Lightning II. Инженеры из КНР нашли применение американским разработкам в своём самолете  "Цзянь-20" (J-20). По словам Пентагона, китайцы получили информацию о технологии ещё семь лет назад – и столько времени китайцам понадобилось на то, чтобы претворить американские идеи в жизнь.

Впрочем, думать, будто бы угроза промышленного шпионажа исходит только от китайцев, будет, скажем так, не совсем правильно. В этом году сотрудник компании Toshiba, известного японского электронного гиганта, был задержан по подозрению в передаче технологий, разработанных компанией, своим коллегам из Южной Кореи – страны технологически более чем развитой. Что интересно, интересовали корейцев разработки Toshibaв области NAND флеш-памяти, в которой мировым лидером по всеобщему признанию является корейская корпорация Samsung.

Шпионят друг за другом и компании, работающие в одной стране. К примеру, в 2005 году корпорация Boeingпроиграла суд корпорации LockheedMartinпо обвинению в промышленном шпионаже. Шпионаж этот касался бомбардировщика P-8 Poseidon, и по решению суда перспективный многомиллиардный проект по его разработке пришлось в спешном порядке свернуть.

Россия не отстает от общих тенденций: российские компании являются мишенью как для зарубежных конкурентов, так и для «соратников» по российскому рынку. К примеру, в декабре прошлого года шведские СМИ сообщили о том, что компании из Швеции вели промышленный шпионаж против российских энергетических компаний. Правда, подробности этой истории до сих пор до конца не выяснены, однако уже известно, что среди прочих от шпионажа пострадал «Газпром».

Менее известные компании, впрочем, тоже могут стать жертвами промышленного шпионажа. Так, по сообщению «Аргументов и фактов», в октябре 2008 г. в Республике Коми правоохранительные органы пресекли попытку вынести с территории Ухтинского механического завода пакет документов, составляющих коммерческую тайну. Среди них были запатентованные заводом чертежи с описанием узлов и агрегатов башенных кранов, которые выпускались на заводе. По мнению правоохранителей, эта информация могла быть интересной другому российскому предприятию.

Список этот можно продолжать очень долго, но уже, наверное, и так понятно, что промышленный шпионаж является серьезной проблемой для компании любого масштаба. Как уже говорилось выше, он угрожает сегодня всем – от банков и страховых компаний до розничных торговцев, потому что в каждой организации есть определенная информация, которая не должна быть доступна никому за её пределами.

Многие организации до сих пор имеют весьма смутное представление о современных практиках защиты от промышленного шпионажа. Тем не менее, в большинстве из них так или иначе существуют политики информационной безопасности, которых обычно вполне достаточно для того, чтобы обезопасить организацию от промышленного шпионажа. Единственной проблемой в данном случае становится практическая реализация этих политик. Для того чтобы они работали, главным является воля руководства организации к их соблюдению. Методы, применяемые при этом, давно известны: дисциплинарные взыскания по отношению к тем, кто не соблюдает требований по обеспечению безопасности, контроль со стороны соответствующих профильных служб, проведение инструктажа среди сотрудников.

Если такие меры в компании до сих пор не практиковались, не стоит ждать от них мгновенного эффекта: вполне возможно, для того, чтобы политики безопасности действительно начали эффективно работать, придётся даже уволить несколько особенно злостных нарушителей правил.

Не секрет, что успех защиты организации от утечек информации и от промышленного шпионажа во многом определяется её кадровой политикой. Потому что, как известно, «на жадину не нужен нож» работника, имеющего доступ к важным данным, можно купить или запугать. Именно поэтому важно обращать внимание на психологическую составляющую обеспечения информационной безопасности организации. К сожалению, далеко не все компании могут себе позволить иметь штатного психолога. Тем не менее, если такая возможность всё-таки есть, стоит ей воспользоваться для отслеживания сотрудников, находящихся в излишне возбужденном или, напротив, подавленном состоянии. Вполне может оказаться, что причиной такого психического состояния является возможность получения большого вознаграждения или угрозы, связанные с невыполнением требований по предоставлению конфиденциальной информации о компании, в которой он работает.

При приёме сотрудников на работу и при выдвижении на руководящие должности необходимо учитывать не только послужной список и профессиональные навыки, но и психологические особенности сотрудника. Излишне пугливому или излишне жадному человеку вряд ли стоит доверять руководящие должности, связанные с доступом к конфиденциальным данным, потому что если представится возможность выгодно продать данные, или если на него будет оказано давление, организация, в которой он работает, может серьезно пострадать. Нельзя не вспомнить и о мотивации сотрудников хотя, конечно, это уже не относится к компетенции отдела информационной безопасности, однако если сотрудник чувствует себя не нужным собственной компании, никакие технические средства борьбы с промышленным шпионажем не смогут заставить его отказаться от намерения ей навредить.

Однако и без технических средств, понятное дело, тоже никуда. Наиболее эффективным решение против промышленного шпионажа сегодня являются DLP-системы – программные продукты, действующие по принципу виртуального защитного контура информационной безопасности, окружающего каждую рабочую станцию в корпоративной информационной сети. Сокращение DLPрасшифровывается как DataLeakPrevention, то есть, предотвращение утечек данных. При обнаружении в передаваемых данных конфиденциальной информации DLP-система сообщит об этом в реальном времени специалистам по обеспечению информационной безопасности, и если это необходимо, то блокирует дальнейшую передачу данных. По оценкам экспертов, внедрение DLP-системы снижает вероятность успешного промышленного шпионажа против внедрившей такую систему компании, в среднем, в 2,5 раза.

С промышленным шпионажем, как показывает практика, раньше или позже сталкивается любая компания. Только не каждая из компаний узнает своевременно о том, что её бизнес-планы, перспективные разработки или персональные данные клиентов попали в руки третьих лиц. В наше время, когда для выноса большого объёма конфиденциальных данных из компании не нужны грузчики, а достаточно одного человека, который перепишет их на «флэшку» или передаст по электронной почте, уже трудно встретить «классический» промышленный шпионаж с «жучками» и минифотокамерами. Поэтому и защищаться нужно соответственно требованиям времени: контролировать возможные каналы утечки информации и стимулировать работников материально и морально, чтобы у них не возникало желания торговать документами компании.