Деловая разведка и промышленный шпионаж

Размещено на http://allbest.ru

Реферат

Деловая разведка и промышленный шпионаж

Введение

разведка шпионаж промышленный

Для бизнеса владение информацией является одним из ключевых факторов его успешности. Оперативное информирование способно кардинально влиять на принятие управленческих и стратегических решений.

Разведка стара, как мир, так как с древних времен люди стремились заранее знать намерения и возможности своих врагов или соперников. К примеру:

ѕ Шелк. Единственным источником шелка был Китай, который строго охранял свою монополию. Однако персидским монахам удалось разведать секрет и вывезти шелковичных червей в Рим в полых посохах. Китай потерял миллионы в своей внешней торговле.

ѕ Каучук. Бразилия фактически владела монополией на производство каучука. Одна из английских фирм нелегально вывезла растение из Бразилии в Англию несмотря на строгий запрет бразильского правительства на экспорт каучуконосов. В результате экономика Бразилии стала приходить в упадок.

ѕ Текстиль. Ранние американские колонисты зависели от Англии в получении фабричных товаров, особенно текстильных изделий. При этом Англия запретила не только экспорт фабричного оборудования и его чертежей в колонии, но и эмиграцию специалистов по производству текстиля. Самуэль Слейтер будучи подмастерьем в Англии запомнил чертежи текстильной фабрики. Ему помогли уехать из Англии и добраться до колоний, где используя свои знания, он разрушил монополию Англии.

Со временем актуальность данной темы все усиливается, инциденты с деловой разведкой и промышленным шпионажем происходят все чаще, и все больше организаций проводят исследования в данном направлении.

Глава 1. Конкурентная разведка в бизнесе

1.1 Сущность деловой разведки и промышленного шпионажа

Разведывательную деятельность коммерческих структур можно разделить на два направления. Одно из них -- промышленный шпионаж. Второе -- «бизнес-разведка», которая имеет множество названий-синонимов, таких как «деловая», «экономическая», «финансовая», «стратегическая», «маркетинговая», «коммерческая» или «конкурентная» разведка.

Разница между промышленным шпионажем и бизнес-разведкой заключается только в соблюдении последней законодательства и этических норм.

Хотя по мнению многих людей, конкурентная разведка и промышленный шпионаж тождественны, на самом деле это не так. Ведь, несмотря на то, что цели этих видов деятельности часто совпадают (добыча максимально полной и достоверной информации о деятельности конкурентов), их методы разнятся.

Промышленный шпионаж -- форма недобросовестной конкуренции, при которой осуществляется незаконное получение, использование, разглашение информации, составляющей коммерческую, служебную или иную охраняемую законом тайну с целью получения преимуществ при осуществлении предпринимательской деятельности, а равно получения материальной выгоды. То есть в основе промышленного шпионажа как вида деятельности лежит добывание и последующее использование коммерческой или служебной тайны. Вот в этом и заключается отличие конкурентной разведки от промышленного шпионажа: конкурентная разведка -- это деятельность в рамках правового поля, а промышленные шпионы «работают» за рамками этого поля.

Специалисты в области промышленного шпионажа в основном пользуются такими методами, как: подкуп или шантаж лиц, имеющих доступ к секретной информации; кража различных носителей с интересующими сведеньями; внедрение агента в конкурирующую фирму с целью получить информацию, которая является коммерческой или банковской тайной; осуществление незаконного доступа к коммерчески значимой информации с помощью использования технических средств (прослушивание телефонных линий, незаконное проникновение в компьютерные сети и т.п.). Эти деяния нарушают огромное количество статей уголовного кодекса, прежде всего статью 231 «Незаконный сбор с целью использования или использование сведений, составляющих коммерческую или банковскую тайну».

Если говорить несколько упрощенно, то противоправное деяние «промышленный шпионаж» направлено против объекта «коммерческая тайна» (главное добыть нужную информацию), при этом могут нарушаться различные права и интересы физических и юридических лиц, такие как: право на безопасность (угрозы), право на личную жизнь (шантаж), авторские права, право на конфиденциальность информации. В свете этого нужно определиться с понятием «коммерческая тайна». Коммерческая тайна характеризуется такой совокупностью признаков: информация является секретной, является неизвестной и не является легкодоступной для лиц, которые обычно имеют дело с видом информации, к которой она относится; в связи с тем, что является секретной, она имеет коммерческую ценность. В общем, это информация, которая является полезной и не является общеизвестной обществу. Она имеет действительную или коммерческую ценность, с которой можно иметь прибыль и для защиты которой владелец принимает меры во всех сферах жизни и деятельности». Таким образом, можно сказать, что деятельность промышленного шпионажа направлена на добычу информации, которая не является общедоступной и охраняется законом.

Между тем, в отличие от адептов промышленного шпионажа, сотрудники служб бизнес-разведок пользуются преимущественно открытыми источниками информации из СМИ, Интернета, анализом рейтинговых агентств и т.п. На Западе те, кто занимаются коммерческой разведкой, давно поняли, что единственный способ работать долго и эффективно -- «дружить с законом». Грубо говоря, коммерческие разведчики могут использовать все методы и способы сбора и обработки информации, которые не противоречат законодательству. Главное оружие конкурентной разведки -- качественный сбор, систематизация и, главное, анализ информации, а не слежка, подкупы и незаконные хакерские взломы. И в этом нет ничего удивительного: даже для государственных спецслужб, на современном этапе сбор информации из открытых источников является первостепенным. К примеру, в конце ХХ века ЦРУ США обнародовало данные, в соответствии с которыми 85% всей информации об СССР в Лэнгли получили из открытых и вполне легальных источников -- советских газет и журналов, атласов и справочников, анализа выступлений советских руководителей по радио и телевидению, документов конференций, симпозиумов, пленумов и съездов. Последние советское правительство само переводило на 100 языков мира и тиражировало для общественного внимания миллионами экземпляров. Для анализа всего этого «моря» информации в ЦРУ работали тысячи аналитиков вполне мирных профессий: экономисты, географы, социологи, психологи, лингвисты, этнографы, статистики, кибернетики и даже геронтологи.

1.2 Приемы получения информации о конкуренте

Деловая разведка

Можно стать обладателем практически любой информации, все зависит от творческого подхода, финансовых и временных возможностей, а также этических и правовых норм.

Конфиденциальную информацию можно получать из разнообразных источников, большую часть которых не принимает во внимание неискушенный человек.

Простейший пример. При желании можно узнать, насколько успешно работает конкурент. Утром при открытии точки конкурента необходимо сделать покупку и вечером перед закрытием повторить мероприятие. По разнице номеров на чеках можно узнать, сколько клиентов было в этот день.

Пример: Можно подвергнуть анализу присланные по e-mail документы от конкурента (договор, условия бонуса и т.п.) с помощью специальных программ, которые покажут проводимые изменения или удаленные фрагменты. Возможно, эта информация для вас будет ценнее, чем итоговая копия.

Пример: Пустая флешка. Под каким-либо благовидным предолгом получить от конкурента флешкарту. Пусть она будет пустая снять с нее «копию-маску», вернув владельцу. Далее восстановить весь объем информации, который был ранее на флэш-накопителе. Также можно вести открыто фото и видео съемку на объекте конкурента, по требованию охраны, извинившись удалить данные, а после их восстановить. Восстановлением информации занимаются специализированные компании, процент восстановления данных с цифровых носителей составляет до 90%.

Пример: Напротив ворот компании (складских, производственных комплексов) паркуется автомобиль с встроенной скрытой видеокамерой, регистратор фиксирует весь проезжающий автотранспорт. Полученные данные анализируются и на их основании можно получить первичную информации об объемах сбыта, поставок конкурента.

Для получения информации разыгрываются и оперативные игры с различными вариантами сценариев. При оперативной игре не нужно скупиться на атрибуты -- начиная с визиток, корпоративной атрибутики, сайтов, съемных офисов, регистрации легальных компаний, найма персонала и т.п.

Иногда бизнес-разведчики, осуществляющие прямой контакт, могут только догадываться об истинном заказчике разведывательных мероприятий.

Пример оперативной игры: Предложение о покупке бизнеса или предоставление кредитной программы сторонней компанией. В рамках переговоров проводится аудит компании представителями покупателя. После доступа и сбора необходимой информации, отказываются от предложения.

Отмечу, что существуют официальные источники информации on-line доступа позволяющие получать следующую информацию: * Сведения, реквизиты, лицензии компании. * Структура компании, совладельцы, дочерние компании, филиальная сеть, состав руководства. (Возможность получать выписки из ЕГРЮЛ, ЕГРИП); * Статистическая и финансовая отчетность компаний, сведения об аудиторских проверках; * Скоринговые оценки, в том числе и кредитных рисков; * Информация о выпусках ценных бумаг, календарь событий по акциям и облигациям, котировки, сведения о регистраторе; * База данных по банкротствам и решениям арбитражных судов; * Сведения об обязательствах компании, информация об участии в гостендерах.

ѕ Промышленный шпионаж

Промышленный шпионаж -- форма недобросовестной конкуренции, к его методам можно отнести:

* Подкуп сотрудников, партнеров для передачи информации. * Взлом программного обеспечения. * Сбор информации с помощью технических средств. * Физические методы. * Внедрение инсайдеров. *Сбор компрометирующей информации и последующий шантаж. * Выемка информации с помощью государственных служб.

Глава 2. Угрозы безопасности информации

2.1 Уязвимости промышленных систем управлении

Промышленные системы управления (ICS, АСУ ТП) за последние годы вышли на принципиально новый уровень благодаря развитию информационных технологий и сети Интернет. Однако новый виток автоматизации несет свои проблемы: некорректное применение технологий защиты и обработки данных приводит к серьезным уязвимостям.

В связи с этим промышленные системы управления все чаще становятся мишенью для злоумышленников и киберармий. Среди общих тенденций, которые мы наблюдаем в процессе работ по анализу защищенности АСУ ТП, можно отметить следующие.

Открытые двери. Многие системы, управляющие производством, транспортом, водоснабжением и энергоресурсами, можно найти в Интернете с помощью общедоступных поисковых систем. На январь 2015 года исследователи Positive Technologies обнаружили таким образом более 140 000 различных компонентов АСУ ТП. Причем владельцы таких систем не осознают, насколько хорошо их ресурсы «видны снаружи». Мы обнаруживаем возможности для атак на АСУ ТП через kiosk mode и облачные сервисы, через сенсоры и физические порты, через индустриальный Wi-Fi и другие виды доступа, которые зачастую вообще не рассматриваются как угрозы.

Один ключ ко многим замкам. Быстрый рост количества организаций, внедряющих АСУ ТП, при ограниченном числе производителей приводит к состоянию, когда одна и та же SCADA-платформа используется для управления критически важными объектами в самых разных отраслях. К примеру, наши эксперты выявили уязвимости в системе, которая управляет Большим адронным коллайдером, несколькими аэропортами Европы и атомными электростанциями Ирана, крупнейшими трубопроводами и установками водоснабжения в разных странах, поездами и химическими заводами в России. Будучи однажды найдена, подобная уязвимость позволяет злоумышленникам атаковать множество разных объектов по всему миру.

Угрозы развиваются быстрее, чем защита. Сложная организация АСУ ТП и требование непрерывности технологических процессов приводят к тому, что базовые компоненты систем управления (индустриальные протоколы, ОС, СУБД) устаревают, но не обновляются, и их уязвимости не устраняются годами. С другой стороны, развитие автоматизированных инструментов значительно увеличивает скорость работы хакеров. В рамках конкурса Сritical Infrastructure Attack на форуме PHDays IV в течение двух дней было взломано несколько современных платформ SCADA, которые используются на промышленных предприятиях.

«Безумный дом». Термин АСУ ТП (автоматизированная система управления технологическим процессом) появился в 80-е годы, когда основными объектами автоматизации являлись крупные промышленные предприятия. Однако удешевление и миниатюризация техники привели к тому, что компьютеризированные устройства, управляющие жизнеобеспечением зданий, системами мониторинга и распределения электроэнергии, активно входят в повседневную жизнь. При этом ни производители, ни потребители не уделяют должного внимания безопасности этих систем: в данном исследовании показано, как много подобных устройств доступно через Интернет.

Анализ уязвимостей

Уровень опасности выявленных уязвимостей также сохраняет тенденции 2012 года. Основное количество уязвимостей имеет высокую (58%) и среднюю (39%) степень опасности.

Если рассмотреть векторы CVSS, то больше половины уязвимостей имеют высокую метрику по такому важному показателю, как доступность. Также высок показатель удаленной эксплуатации, что в совокупности со слабыми механизмами аутентификации повышает риск атак.

Поскольку в открытом доступе информация о процессе устранения уязвимостей не публикуется, в исследовании использованы данные, полученные экспертами Positive Technologies от производителей. Ситуация выглядит более удручающей, чем в 2012 году, когда большинство недостатков безопасности (около 81%) были оперативно ликвидированы производителями еще до того, как о них становилось широко известно, или в течение 30 дней после нескоординированного разглашения информации. По данным на I квартал 2015 года, лишь 14%уязвимостей были устранены в течение трех месяцев, 34% устранялись более трех месяцев, а оставшиеся 52% ошибок - либо просто не исправлены, либо производитель не сообщает время устранения.

Устранение уязвимостей АСУ ТП

География доступности и уязвимости АСУ ТП

Всего в рамках исследования выявлено 146 137 компонентов АСУ ТП, к которым можно получить доступ через Интернет. Самыми распространенными являются системы для автоматизации зданий Tridium (Honeywell), а также системы мониторинга и управления электроэнергией, в том числе на основе технологий солнечных батарей (SMA Solar Technology). Наибольшее количество доступных компонентов -- это PLC/RTU, на втором месте системы мониторинга и управления инверторами. Далее следуют сетевые устройства и HMI/SCADA-компоненты.

Вполне естественно, что страны -- технологические лидеры имеют высокий уровень автоматизации, и потому концентрация промышленных систем этих стран в Интернете довольно высока. Лидером, как и прежде, остается США (33%), но на втором месте уже не Италия, аГермания, причем с большим отрывом (19%). В целом Европейский регион показал заметный рост интернет-доступности промышленных систем. С другой стороны, в Азиатском регионе распространены локальные, малоизвестные на мировом рынке компоненты АСУ ТП, которые не всегда удается идентифицировать.

Распространение доступных АСУ ТП

Путем анализа версий доступных компонентов АСУ ТП было выявлено более 15000 уязвимыхкомпонентов. Наибольшее количество находится в США, далее следуют Франция, Италия и Германия, что согласуется с общей картиной распространенности этих систем. С другой стороны, необходимо заметить, что в компонентах, наиболее распространенных в сети Интернет, выявлено мало уязвимостей. В целом уязвимыми оказались более 10% доступных АСУ ТП.

2.2 Опасность текучки кадров

В любой компании имеет место текучка кадров. Это совершенно нормальное явление: в среднем за год, в зависимости от индустрии и размеров компании, могут смениться от 5 до 20 процентов персонала. Но при этом возникает проблема утечек информации: многие из уволившихся или уволенных стремятся прихватить с собой закрытые корпоративные данные. Как можно бороться с этим явлением?

Явление, о котором идет речь, к великому сожалению, достаточно массовое: по исследованиям специализирующейся на защите от утечек информации компанииSearchInform, в 2012 году на постсоветском пространстве, включая и Россию, с попытками вынести информацию за пределы компании при увольнении столкнулись почти 43% компаний. Эта цифра действительно впечатляет: ведь, фактически, половина компаний теряет свою конфиденциальную информацию вместе с увольняющимися сотрудниками, что, мягко говоря, не способствует процветанию этих компаний.

Не менее интересны и результаты опроса сотрудников компаний и государственных организаций, которые также проливают некоторый свет на всю глубину проблемы:

· Вопрос: «Готовы ли вы перейти на работу с большей зарплатой к конкурентам, при условии передачи им конфиденциальных данных?». Ответы: «Да, но я ничего не знаю» _ 10.1%; «Жаль только не предлагают» _ 20.2%; «Я уже так делал» _ 5.3%; «Нет. Боюсь, меня оттуда быстро уволят» _ 11.5%; «Нет, это аморально» _ 52.8%.

· Вопрос: «Использовали ли вы в личных целях служебную информацию?». Ответы: «Нет» _ 50.8%; «Не было возможности, но хотелось» _ 8.9%; «Никогда не обладал такой информацией» _ 13.4%; «Использовал» _ 26.8%.

Как показывают исследования SearchInform, одной из наиболее серьёзных угроз информационной безопасности организации являются именно уволенные работники. Более трети уволенных сотрудников выражают готовность к продаже корпоративных данных по инициативе покупателя, а ещё 15.7% и сами готовы предложить их конкурентам последнего работодателя.

Глава 3. Инструменты защиты от делового шпионажа

3.1 Основы информационной безопасности на предприятии

Киберпреступность разрастается сегодня как эпидемия, причем основной целью хакеров все чаще становятся компании малого и среднего бизнеса. Злоумышленники используют их с целью расширения своей сети -- при этом от атак не застрахован ни один сектор рынка. Небольшим компаниям кибербезопасность нужна и важна не меньше, чем крупным.

Журнал Wall Street Journal недавно отметил, что небольшие компании часто оказываются просто неспособны полностью оправиться от кибератаки. Однако существует несколько несложных шагов, которые можно предпринять, чтобы обезопасить свой бизнес. В этой статье описываются 10 методов обеспечения безопасной работы небольших компаний, которые позволят вам защитить свои компьютерные сети.

1. Популярные пароли - плохие пароли

Пароли -- ваша первая линия защиты, первый рубеж вашей системы безопасности. Киберпреступники, пытающиеся взломать вашу сеть, начнут атаку с того, что будут перебирать наиболее распространенные пароли. Компания SplashData опубликовала 25 наиболее распространенных паролей -- вы просто не поверите, какие среди них встречаются варианты!

Проследите за тем, чтобы ваши работники пользовались длинными (более 8 символов), сложными паролями, включающими символы в верхнем и в нижнем регистре, цифры и нетекстовые символы.

2. Защитите каждую точку входа

Киберпреступнику достаточно одной открытой двери для того, чтобы пробраться в вашу сеть. Представьте себе, что обеспечение безопасности вашей компьютерной сети -- это примерно то же самое, что защита вашего собственного дома, в котором вы, уходя, запираете входную дверь, черный ход и окна на замки.

Представьте себе все способы, которыми можно войти в вашу сеть, а потом удостоверьтесь в том, что этими способами могут воспользоваться только авторизованные пользователи.

- Убедитесь, что на всех портативных компьютерах, смартфонах, планшетах и точках доступа WiFi установлены надежные пароли.

- Используйте межсетевые экраны и специальные устройства предотвращения угроз для того, чтобы обеспечить защищенный доступ в вашу сеть.

- Обеспечьте безопасность на конечных точках вашей сети (портативных и настольных компьютерах) при помощи защитного программного обеспечения -- антивирусов, а также средств защиты от спама и фишинга.

- Защитите себя от самого распространенного метода атаки, запретив сотрудникам подсоединять к компьютерам неизвестные USB-устройства.

3. Разделите свою сеть на сегменты

Один из способов обезопасить сеть -- это разделить ее на отдельные зоны и соответственно защитить каждую из них. Одна зона может использоваться только для критически важной работы, тогда как другая может быть гостевой, предназначенной для того, чтобы ваши клиенты могли выйти в интернет, не заходя в вашу рабочую сеть.

Сегментируйте сеть и установите более строгие стандарты безопасности там, где это требуется.

- Публично доступные веб-серверы не должны быть соединены с вашей внутренней сетью.

- Вы можете создать возможность гостевого доступа, но не предоставляйте гостям доступ к вашим рабочим ресурсам.

- Рассмотрите возможность разделения сети по принципу бизнес-функций (данные клиентов, финансы, рядовые сотрудники, и т.д.).

4. Определите политику, донесите до работников и контролируйте выполнение

У вас обязательно должна быть конкретная корпоративная политика в отношении компьютерной безопасности (у многих небольших компаний ее нет), и вам просто необходимо пользоваться устройствами предотвращения угроз на полную мощность. Специально уделите время тому, чтобы обдумать, какие приложения вы разрешите использовать в вашей сети, а какие не позволите запускать в ней. Разъясните сотрудникам, использование каких программ приемлемо в вашей корпоративной сети. Придайте политике официальный характер -- а затем примените ее везде, где возможно. Отслеживайте нарушения и злоупотребления при использовании сети.

- Установите политику ответственного пользования сетью, включающую перечень разрешенных/запрещенных приложений и интернет-сайтов.

- Не позволяйте запускать рискованные приложения, такие как клиенты Bit Torrent или другие программы для обмена файлами, которые широко используются для распространения вредоносного ПО.

- Блокируйте TOR и другие программы для обеспечения анонимности, которые применяются для того, чтобы замаскировать нарушения правил или действия в обход систем безопасности.

- Разрабатывая политику безопасности, подумайте о социальных сетях.

5. Не забывайте о социальных сетях

Социальные сети -- это золотая жила для кибермошенников, которые ищут возможности заполучить информацию о людях, позволяющую им более эффективно проводить атаки. Такие методы, как фишинг или целевое фишинг-мошенничество с использованием психологической атаки, начинаются неизменно со сбора личных данных о конкретных людях.

- Расскажите своим сотрудникам, почему они должны с осторожностью делиться информацией в социальных сетях, даже через свой собственный личный профиль.

- Проинформируйте их о том, что киберпреступники создают специальные подробные профили данных на сотрудников компаний для того, чтобы воспользоваться ими для успешного целевого фишинга.

- Разъясните работникам, как правильно установить настройки безопасности их профилей в социальных сетях для того, чтобы максимально защитить их личную информацию.

- Пользователи должны взвешенно подходить к тому, какой информацией они собираются делиться в социальных сетях, имея в виду, что киберпреступники могут с ее помощью угадать ответы на вопросы систем безопасности (например, имя их собаки), назначить собственный пароль и получить доступ к их профилю.

6. Шифруйте все

Даже одно проникновение в базы данных может быть разрушительным для вашей компании или ее репутации. Защитите свои данные при помощи шифрования наиболее конфиденциальных данных. Также дайте сотрудникам несложные инструменты для шифрования.

Проследите за тем, чтобы шифрование данных стало обязательной частью вашей корпоративной политики безопасности.

- Не переживайте лишний раз, если портативные компьютеры будут утеряны или украдены -- проследите, чтобы на всех ноутбуках вашей фирмы установлено предзагрузочное шифрование.

- Приобретите жесткие диски и устройства USB со встроенным шифрованием. Используйте надежное шифрование в беспроводной сети (например, WPA2 с шифрованием AES).

- Защитите конфиденциальные данные от случайных глаз и ушей, зашифровав беспроводную связь при помощи виртуальных сетей VPN (Virtual Private Network).

7. Заботьтесь о сети так же, как о своем автомобиле

Ваша сеть и все ее взаимосвязанные компоненты должны работать четко, как хорошо смазанный маслом механизм машины. Регулярное обслуживание позволит гарантировать, что она будет максимально эффективно функционировать без сбоев, не наталкиваясь на препятствия.

- Следите за тем, чтобы на портативных компьютерах и серверах были установлены последние версии операционных систем (включите в Windows Update опцию «Все системы»).

- Деинсталлируйте программное обеспечение, которым никто не пользуется, чтобы не проверять регулярные обновления (например, Java).

- Обновляйте браузеры, модули Flash, Adobe и другие приложения на серверах и переносных компьютерах.

- Везде, где возможно, включите автоматические обновления: Windows, Chrome, Firefox, Adobe и т.д.

- Для того, чтобы не допустить атак на необновленные компьютеры, используйте простые и экономичные UTM-устройства (Unified Threat Management -- унифицированное управление угрозами) -- специальные решения для СМБ-сегмента, объединяющие в одной аппаратной системе целый комплекс функций ИТ-безопасности (межсетевого экрана, системы обнаружения и предотвращения вторжений, антивирусного шлюза и т.д.)

8. Осторожнее с облаками

Хранение данных в облачных сервисах, а также облачные приложения сейчас очень популярны. Однако будьте осторожны. Любые данные, перенесенные в облако, выходят из-под вашего контроля. А киберпреступники активно пользуются тем, что у некоторых провайдеров облачных сервисов слабые системы защиты.

- Используя облачные сервисы, имейте в виду, что пересылка данных в облако автоматически лишает их конфиденциальности.

- Зашифруйте данные перед отправкой (включая резервные копии системы).

- Проверьте, насколько серьезна система безопасности вашего провайдера облачных услуг.

- Не используйте везде один и тот же пароль, особенно в облаке.

9. Не позволяйте всем быть администраторами

На корпоративных устройствах могут быть установлены профили как для пользователей, так и для администраторов. Профиль администратора дает значительно более широкие полномочия в работе с портативным компьютером, но в случае взлома все эти полномочия перейдут к хакеру.

- Не позволяйте работникам пользоваться профилями администраторов в Windows для повседневной работы.

- Правило о том, что рядовым сотрудникам следует пользоваться только пользовательскими профилями, сократит вероятность того, что при помощи вредоносного ПО вам смогут нанести действительно серьезный вред. А вот в привилегированном профиле администратора это будет вполне возможно.

- Заведите привычку менять встроенные пароли на всех устройствах, включая портативные компьютеры, серверы, роутеры, точки доступа и сетевые принтеры.

10. Определитесь с использованием личных устройств

Начните с того, чтобы разработать политику в отношении BYOD (Bring Your Own Device) --использование сотрудниками в корпоративной среде своих личных устройств. Многие компании старательно избегают данной темы, но это опасная тенденция. Не уходите от этого вопроса -- он чрезвычайно важен. Здесь также необходима разъяснительная работа с сотрудниками.

- Рассмотрите возможность позволить только гостевой доступ (только интернет) с личных устройств ваших сотрудников.

- Обяжите работников пользоваться надежными паролями на их устройствах.

- Обеспечьте доступ к конфиденциальной информации только через зашифрованные VPN-сети.

- Не позволяйте переносить или хранить конфиденциальную информацию на личных устройствах (включая такие сведения, как контактная информация клиентов или данные кредитных карт).

- Подготовьте план на тот случай, если сотрудник потеряет устройство.

3.2 Каналы утечки сведений, составляющих коммерческую тайну предприятия

После определения сведений, составляющих коммерческую тайну предприятия, предстоит разработать и осуществить мероприятия по обеспечению их сохранности. Сущность защитных мероприятий сводится к перекрытию возможных каналов утечки защищаемой информации, которые появляются в силу объективно складывающихся условий ее распространения и возникающей у конкурентов заинтересованности в ее получении.

Для построения системы защиты коммерческой тайны предприятия очень важно определить источник и соответствующие им возможные официальные каналы утечки защищаемой информации. На каждом конкретном предприятии перечень таких каналов носит индивидуальный характер, что определяется спецификой его производственной, научно-технической, коммерческой и иной деятельности и степенью развития связей с деловыми партнерами внутри государства и за рубежом. Может быть полезным следующий обобщенный перечень официальных каналов передачи информации за границу, в который входят: - публичные лекции по научно-технической тематике, организуемые обществом “Знание”, др. обществами; - пресс-конференции ведущих специалистов, видных ученых и инженеров для отечественных и иностранных корреспондентов- передача технической документации (в т.ч. товаросопроводительной) иностранным фирмам (организациям) при выполнении экспортных операций, включая проектирование и строительство объектов за рубежом, а также продажу лицензий; - передача информации при переписке отечественных учреждений и отдельных специалистов с зарубежными научными учреждениями и специалистами; - вывоз за границу книг и журналов научно-технического и экономического характера, а также газет гражданами, выезжающими за границу в командировки, по линии туризма или по частным делам; - книготорговля внутри страны, обеспечивающая свободный доступ ко всем открытым научно-техническим изданиям, поступающим в книжные магазины и киоски; - библиотечное обслуживание иностранных граждан в массовых и специальных научных и научно-технических библиотеках страны; - передача сведений представителям иностранных фирм в процессе переговоров или при заключении экспортных или импортных соглашений; - прием иностранных специалистов в научных учреждениях, в вузах и на предприятиях; - официальные приемы граждан Украины в различных представительствах зарубежных стран как на Украине, так и за рубежом; - проведение совместных разработок (проектов, экспериментов) в рамках осуществления научно-технических связей. Каждый из вышеуказанных каналов характеризуется весьма значительными объемами передачи информации за рубеж. Так, ежегодно только по книгообмену в промышленно развитые страны отправляются сотни тысяч экземпляров изданий: книги, журналы, выпуск продолжающихся изданий.

Значительное число наших библиотек, научных учреждений и организаций осуществляют книгообмен с различными зарубежными организациями, в т.ч. с научными учреждениями, издательствами и редакциями, библиотеками, университетами и вузами, промышленными фирмами, международными организациями и музеями. На Западе постоянно изучаются отечественные открытые публикации, в т.ч. узкоотраслевые научно-технические журналы, справочники, специальная литература и др. издания, а также материалы международных конференций, симпозиумов, семинаров и т.п. и проводимых внутри страны. Анализ материалов, поступающих по открытым каналам, позволяет иностранным экспертам выявлять в них сообщения о разработанных у нас в стране приоритетных достижениях науки, техники и технологии и др. военную информацию. Нередко иностранные фирмы, отказавшись по тем или иным причинам от приобретения лицензий на наши изобретения, выступают затем как инициаторы научно-технического сотрудничества по этой тематике. Подобные факты неоднократно отмечались по исследованиям в области освоения космоса, по разработке блоков МГД-электростанций, технологии очистки нефти и нефтепродуктов от серы и т.д. и принесли этим фирмам немалую выгоду. Так, по оценке самих американцев, только сотрудничество в области технологии МГД позволило США сэкономить более 100 млн.$. Для сбора интересующей информации фирмы промышленно развитых стран используют и др. приемы. Например, на проводимых у нас в стране или за рубежом международных выставках представители фирм пытаются путем опроса и анкетирования наших специалистов получить подробную информацию об их месте работы, тематике проводимых ими исследований и разработок. Проведенный обзор официальных каналов передачи информации из Украины за границу поможет трансформировать их применительно к условиям предприятия, определить степень их уязвимости с точки зрения утечки сведений, составляющих коммерческую тайну, и внедрить соответствующие мероприятия по обеспечению требуемого режима их безопасности. Но этим задача защиты коммерческой тайны предприятия не исчерпывается. Помимо рассмотренных открытых каналов утечки информации могут существовать еще агентурный и технологический, организация работы по перекрытию которых носит сугубо специфический характер. Относительно государственных секретов эту работу выполняют специальные органы государства, режимно-секретные подразделения предприятий. Что же касается коммерческой тайны, то организация ее защиты от утечки в комплексе по всем каналам, включая агентурный и технологический, целиком и полностью ложится на предприятие. Как свидетельствует зарубежный опыт, для этого в зависимости от объема и сложности решаемых на данном участке задач может быть эффективным создание специального подразделения, например, службы безопасности.

3.3 Мероприятия по защите коммерческой тайны предприятия

Создание надежного механизма защиты коммерческой тайны требует проведения хорошо продуманных мероприятий. План их осуществления должен преследовать три цели: - предотвращать кражу; - дать всем понять, что для вас коммерческая тайна очень важна и что вы приложите все усилия для защиты последней и наказания лиц, разглашающих или пытающихся разгласить ее; - добиться, чтобы эта программа как можно больше отвечала названным целям. Уделив достаточно времени разработке программы, и определив источник финансирования ее проведения, решите вопрос о назначении кого-нибудь ответственным за ее постоянное выполнение и своевременный пересмотр. Этот работник будет оценивать эффективность программы и улучшать ее время от времени. Организация эффективной защиты коммерческой тайны предприятия во многом зависит от правильного установления круга носителей информации. Анализ в этой области позволяет выделить четыре вида носителя информации в зависимости от их функционального назначения, в частности: документ, человек, изделие (предмет, материал) и процесс.

Документ, согласно ГОСТам 16487-83; 6.10.1-88, представляет собой средство закрепления различным способом на специальном материале информации о фактах, событиях, явлениях объективной действительности и мыслительной деятельности человека. Документ отличает то, что его функциональное назначение целиком и полностью исчерпывается свойством носителя информации. В период своего существования документ проходит определенные этапы: составление и оформление, размножение, пересылка, использование, хранение, уничтожение. Конкретное наполнение этих этапов зависит от типа документа. В настоящее время известны документы на бумажных носителях, на микроформах, на магнитных носителях, на перфоносителе. В целом система документов имеет довольно разветвленную структуру. Известно, что всякая деятельность любого предприятия должна быть юридически оформлена. Это положение в полной мере относится и к организации защиты коммерческой тайны.

Поэтому одной из первоочередных задач, которые встают перед предприятием при организации защиты своей коммерческой тайны, является разработка соответствующих нормативных документов, регламентирующих деятельность всех звеньев предприятия в этом направлении. Если обратиться к мировой практике по данному вопросу, то речь, по сути дела, идет либо о необходимости внесения соответствующих дополнений в уже имеющиеся на предприятии документы, такие как Устав, Коллективный договор и др., либо о подготовке самостоятельных внутренних инструкций и рекомендаций. При этом может быть рекомендован такой порядок разработки и утверждения указанных нормативных документов, при котором они согласовываются с советом (правлением) предприятия, а при необходимости проводятся в жизнь через решение общего собрания (конференции) трудового коллектива. Исходной правовой базой для организации защиты коммерческой тайны является УСТАВ предприятия. Именно в нем прежде всего необходимо зарегистрировать право на коммерческую тайну, потому что предприятие может осуществлять лишь те виды деятельности, которые отвечают целям, предусмотренным в нем. Сделать это следует путем внесения дополнения к Уставу специального раздела.

Важным подспорьем среди мер по обеспечению коммерческой тайны является КОЛЛЕКТИВНЫЙ ДОГОВОР, ежегодно заключаемый на предприятии между трудовым коллективом и администрацией. В нем следует предусмотреть соответствующие положения по защите коммерческой тайны, содержащие взаимные обязательства сторон по данному вопросу (пример обязательств приведен в прил.2). Наличие таких обязательств в коллективном договоре позволит повысить взаимную ответственность трудового коллектива и администрации за обеспечение мер по защите коммерческой тайны и организовать действенный контроль за выполнением этих обязательств. Необходимым и крайне важным подспорьем является СПЕЦИАЛЬНАЯ ИНСТРУКЦИЯ ПО ОБЕСПЕЧЕНИЮ СОХРАННОСТИ КОММЕРЧЕСКОЙ ТАЙНЫ ПРЕДПРИЯТИЯ. В ней следует детализировать порядок действия исполнителей, предусмотреть четкую систему документооборота, изготовление изделий, организации работ в режимных помещениях, регламентировать условия применения средств связи, использования средств ВТ, приема представителей др. предприятий и т.п. В такой инструкции возможно определить: - правила и процедуру присвоения и снятия грифа документам, работам и изделиям, содержащим коммерческую тайну предприятия; - процедуру допуска работников предприятия к сведениям, составляющим коммерческую тайну предприятия; - обязанности и ограничения, налагаемые на исполнителей, допущенных к сведениям, составляющим коммерческую тайну предприятия; - правила обращения (делопроизводство, учет, хранение, размножение и т.д.) с документами и изделиями, содержащими коммерческую тайну предприятия; - правила приема представителей др. предприятий; - принципы организации и проведения контроля за обеспечением сохранности сведений, составляющих коммерческую тайну предприятия; - ответственность за разглашение сведений, составляющих коммерческую тайну, и др. нарушения установленного порядка их защиты.

Очень важным нормативным началом в деле обеспечения названного режима является СПЕЦИАЛЬНАЯ ПАМЯТКА. Она составляется для работников, которые допущены к сведениям, составляющим коммерческую тайну предприятия, и должна содержать основные положения по обеспечению сохранности этих сведений. При небольших объемах работы с документацией и изделиями, содержащими коммерческую тайну, и малом числе работников, допущенных к ним, она может заменять собой инструкцию предприятия по данному вопросу. Прежде всего в памятку следует включить обязанности работников по сохранению коммерческой тайны, за нарушение которых может последовать установленная ответственность. Кроме того, необходимо указать, что работник обязан: - работать только с теми сведениями и документами, содержащими коммерческую тайну предприятия, к которым он получил доступ в силу своих служебных обязанностей; - знать, какие конкретно сведения подлежат защите; - знать, кому из сотрудников предприятия разрешено работать со сведениями, составляющими коммерческую тайну предприятия, к которым он сам допущен, и в каком объеме эти сведения могут быть доведены до этих сотрудников. В памятке также устанавливается, что при участии в работе сторонних организаций работник может знакомить их представителей со сведениями, составляющими коммерческую тайну предприятия, только с письменного разрешения руководителя структурного подразделения. При этом руководитель должен определить конкретные вопросы, подлежащие рассмотрению, и указать, кому и в каком объеме может быть доведена информация, подлежащая защите. При этом руководитель должен определить конкретные вопросы, подлежащие рассмотрению, и указать, кому и в каком объеме может быть доведена информация, подлежащая защите. Следует включить в памятку и положение о том, что запрещается помещать без необходимости сведения, составляющие коммерческую тайну предприятия, в документы, содержащие государственные секреты и имеющие в связи с этим соответствующий гриф секретности. Такое нарушение порядка обращения со сведениями, составляющими коммерческую тайну предприятию, может рассматриваться как их разглашение и влечет ответственность в соответствии с установленным законом порядком.

В зависимости от особенностей предприятия в памятке могут содержаться и др. положения. На предприятии наряду с названными принимается целый ряд др. документов. Хотелось бы, чтобы на практике были учтены следующие советы по обращению с ними. Контроль за документацией должен стать самым важным делом, потому что на предприятии циркулирует огромное количество документов. Следует быть очень внимательным к установлению системы контроля за документами и регулярно ее проверять и совершенствовать. К примеру, если вы хотите разрешить служащим брать работу на дом, желательно, чтобы выносимые материалы были классифицированы, правильно использовались, были необходимым образом защищены и возвращены. В целях установления надлежащего контроля за хранением и использованием секретных документов необходимо выделить их из общей массы документов, находящихся в обороте на предприятии. Для этого следует ясно обозначить на лицевой обложке всех документов степень их секретности. Начните создание вашей системы защиты коммерческой тайны с изучения процесса составления, циркуляции, хранения и уничтожения документов. Составление документов представляет собой самую обязательную и, может быть, самую легкую область контроля

В первую очередь следует определить порядок и стандарты идентификации документации, которую требуется защитить от раскрытия или неправильного использования. Необходимо решить вопрос об установлении различных степеней секретности. Видимо, вам надлежит определить и объявить всем сотрудникам, какие конкретно типы документов должны быть закрыты. Напечатайте гриф “секретно” на регулярно используемых формах (к примеру, чертежах, титульных листах и т.д.). Для других документов можно использовать штамп. При этом в надписи на документе целесообразно указать, что этот документ является вашей собственностью и определить ограничения по его использованию. Можно предложить в качестве примеров такие ограничения: 1.Этот документ содержит информацию, являющуюся собственностью предприятия. Получение и владение им не дает никаких прав на его размножение, раскрытие его содержания или на производство, использование и продажу того, что он описывает. Размножение, опубликование или использование без особого письменного разглашения данного предприятия строго запрещено. 2.Это конфиденциальный документ, распространение которого контролируется. Копирование производится только через тот отдел, который будет заниматься такой работой. 3.Секретный документ предприятия. Не копировать. Техника контроля за циркуляцией копий строго секретных документов включает необходимость нумерации копий, составления списка лиц, получающих эти копии, фиксирования времени получения и сдачи документов. Такая методика предусматривает и наличие формы, подписанной всеми получателями, посредством которой они обязуются никому не передавать, не копировать и возвращать документ по требованию.

При этой системе достаточно одного взгляда на формуляр с фамилиями получателей, чтобы определить, сколько и где находится копий документа в обороте. В разряд документов, содержащих информацию, влияющую на конъюнктурные колебания, могут входить документы внутреннего маркетинга, финансовые документы, чертежи и оттиски, технические данные и планы. Следовало бы на каждой странице перечней программного обеспечения ЭВМ обозначить, что эта информация конфиденциальная и является собственностью предприятия. Необходимо, чтобы все тетради с проектной документацией постоянно переплетались и озаглавливались. На них должны быть напечатаны фамилия, имя, отчество сотрудника, наименование предприятия, гриф секретности и отметка о собственности этого предприятия. Существует объективная необходимость в организации СПЕЦИАЛЬНОГО ДЕЛОПРОИЗВОДСТВА с документальными носителями коммерческой тайны предприятия, устанавливающего порядок их подготовки, маркировки (т.е. присвоения соответствующего грифа), размножения, рассылки, приема и учета, группировки в дела, использования, хранения, уничтожения и проверки наличия, а также создания подразделения специального делопроизводства или назначения уполномоченного по данному вопросу. Следует вести журнал учета входящих, исходящих и внутренних документов, содержащих коммерческую тайну предприятия, который будет полезен для проведения периодической инвентаризации таких документов, четкой регистрации их нахождения и уничтожения.

Немаловажный совет. Передавайте конфиденциальные документы только тем, кому действительно необходимо знать содержащуюся в них информацию. Учтите, если у вас не отработана система определения такого контингента лиц, то любая система контроля за движением документов будет бессмысленной и вам не удастся сохранить вашу коммерческую тайну. Еще одно. Просто установления процедуры контроля за документацией недостаточно. Необходимо создать соответствующую систему, гарантирующую правильную циркуляцию документов. Это включает различные инструкции по правилам хранения и использования документов с целью исключить доступ к содержащейся в них информации для всех, кому не нужно ее знать. Такое относится как к работающим, так и к неработающим на предприятии. Обычная деятельность предприятия немыслима без взаимодействия с другими предприятиями. Такая взаимосвязь закрепляется в хозяйственных договорах.

Помимо их основного назначения (установление взаимоотношений на выполнение работ, оказание услуг и т.п.) договоры следует использовать как средство обеспечения сохранности коммерческой тайны. В них необходимо специально оговаривать обязательства о соблюдении условий конфиденциальности и предусмотреть последствия нарушения принятых обязательств (см.прил.3). При заключении договора с иностранной фирмой условия конфиденциальности должны быть выражены в форме, предусмотренной законодательством страны принадлежности фирмы. В некоторых случаях требуется присутствие в контракте определенного терминологического сочетания, напр.: “Сведения о технологии, конструкции, характере производства передаются (доверяются) исключительно для целей сооружаемого объекта и не могут быть переданы какой-либо др. фирме.”.

Потому теперь очень необходимо изучение национальных законодательств фирм-партнеров и конкурентов. Следует иметь в виду, что соглашение об условиях конфиденциальности может предшествовать заключению между будущими партнерами коммерческих соглашений о передаче лицензий, ноу-хау, договоров о создании совместных предприятий и т.д. Однако, являясь частью таких соглашений, условия конфиденциальности сохраняют свою автономность и могут действовать после прекращения основного договора. Очень важным является решение вопросов, связанных с УНИЧТОЖЕНИЕМ ДОКУМЕНТОВ И ИХ РАССЕКРЕЧИВАНИЕМ. Следует разработать свою программу по ликвидации конфиденциальных документов. Она должна включать прежде всего обязанность администрации регулярно просматривать инвентарные списки контролируемой документации. В том случае, если информация, содержащаяся в ней, перестает быть секретной, ее необходимо рассекречивать. Постарайтесь избежать вот какой крайности. Если вы просто будете засекречивать все документы, при этом никогда не будете отменять степени секретности, не разработаете процедуру рассекречивания, то сохранение секретности всей вашей информации станет весьма проблематичным. После отбора документов, которые могут быть рассекречены, вам необходимо найти безопасный метод ликвидации их или др. ненужных копий. Не следует выбрасывать их просто в мусор, а необходимо порвать или уничтожить иным способом. Успех осуществления мероприятий по защите коммерческой тайны во многом зависит от СОЗДАНИЯ И СОБЛЮДЕНИЯ СПЕЦИАЛЬНОГО РЕЖИМА ПОЛЬЗОВАНИЯ КОМПЬЮТЕРАМИ.

Использование в современных условиях компьютеров, с одной стороны, значительно облегчило сбор и хранение необходимой информации, а с другой - весьма усложнило решение проблемы защиты коммерческой тайны предприятия. Это связано с тем, что: - вы вынуждены иметь дело с обширным объемом информации, требуемой защиты; - в процессе производства и хранения информации она становится доступной большому количеству людей; - обеспечение закрытости такой информации требует новых и более сложных процедур. Ведь если видны свидетельства физического вторжения в помещение, где хранятся секретные документы и даст основание утверждать, что совершено хищение, то такой вывод порой невозможно сделать, когда похищается информация, хранящаяся в электронной памяти. Надо обратить внимание на то, что не существует какой-то единственной системы, которая бы способна была обеспечить сохранность информации, заложенной в ЭВМ. Решение комплекса вопросов, связанных с защитой коммерческой тайны, зависит от типа используемого компьютера и степени конфиденциальности информации, которую и обрабатывает. Необходимо предпринимать особые меры предосторожности для обеспечения контроля за доступом к информации через персональные компьютеры.

Следует учитывать и тип информации, которая хранится в памяти ЭВМ. По мере развития технологии обработки электронных данных будут разрабатываться и новые технологии для борьбы против “компьютерных преступлений”. Учитывая такие особенности, следует высказать некоторые советы. Принимая во внимание необходимость обеспечения закрытости информации, следует установить контроль за доступом ко всем терминалам. Целесообразно регулярно изменять имена пользователей и ключевые слова, особенно если на предприятии происходит частая смена операторского состава. Вмените кому-нибудь в обязанности контролировать доступ к системе ЭВМ и процесс ее использования, а также периодически проверять проводимые на ней операции для того, чтобы вовремя определить применение необычных программ. Весьма эффективен порядок, когда при работе с компьютером, содержащим информацию о коммерческой тайне предприятия, каждый из допущенных работников имеет свой личный код, позволяющий ему пользоваться лишь теми программами и данными, которые его непосредственно касаются. Наличие указанных кодов предохраняет также от доступа посторонних к хранящейся информации. На Западе создана целая индустрия защиты вычислительной техники от несанкционированного доступа и побочных излучений. Определенные шаги в этом направлении делаются и в нашей стране.

...