Офисного предателя дешевле отпустить, чем наказать
Дмитрий Антимонов
Источник: CNews
Исследования российских аналитических агентств неоднократно демонстрировали, что наибольший ущерб корпоративной информации наносят собственные сотрудники, завербованные конкурентами. Однако, даже если вина офисных
Исследования российских аналитических агентств неоднократно демонстрировали, что наибольший ущерб корпоративной информации наносят собственные сотрудники, завербованные конкурентами. Однако, даже если вина офисных предателей очевидна, руководство вынуждено увольнять их без адекватного наказания, чтобы избежать еще более существенных потерь. Предусмотрительные сотрудники просто продают не все, что они знают, - таким образом они сохраняют рычаги давления.
Фактор инсайдера
Еще несколько лет назад человеческий фактор среди множества других угроз информационной безопасности (ИБ) был далеко не самым значительным. Однако с развитием как программных, так и аппаратных средств защиты опасность потерять важные данные в результате хакерских действий становится относительно менее существенной. На первый план выходит именно фактор инсайдера – сотрудника, который имеет или может получить доступ к секретной информации.
Перекупить нужные данные у людей, имеющих к ним прямой доступ, недобросовестным конкурентам дешевле, чем оплачивать услуги «профессиональных» компьютерных взломщиков, успех которых к тому же обычно менее вероятен. Подобные факторы приводят к тому, что угрозы информационный безопасности компании со стороны собственных сотрудников становятся все более серьезными. Эту точку зрения на IV межрегиональном форуме специалистов по ИБ, проведенном Академией Информационных Систем в Сочи, изложил Михаил Левашов, главный специалист по защите информации МГТС.
Если пренебречь морально-этическими нормами, обсуждение которых является весьма бесперспективным процессом, от преступления человека удерживает исключительно страх наказания. Между тем, как показывает ряд «широко известных в узких кругах» примеров, сотрудники, продавшие секретные данные конкурентам, часто избегают серьезных санкций. Даже те, чья вина в утечке секретной информации была доказана, обычно просто увольняются «по собственному желанию» без каких-либо дополнительных взысканий со стороны руководства.
“К сожалению, такая позиция – отпустить с миром – зачастую является оправданной, - говорит Дмитрий Костров, директор СИБ МТТ, в ходе обсуждения проблемы на форуме. - Если начать преследование и загнать человека в угол, он может причинить гораздо более существенный ущерб компании”. При таком взгляде на проблему речь идет в первую очередь о высокопоставленных сотрудниках, которым открыт не один корпоративный секрет. Тем не менее, подобный подход во многом применим и к низшему персоналу, от уборщиц до программистов, получивших несанкционированный доступ к закрытой информации.
Разойтись с миром
Обычно перекупленные сотрудники сообщают конкурентам только часть тех данных, разглашения которых их работодатели хотели бы избежать. Информация, известная сотруднику, может касаться не только коммерческих ноу-хау, но и, например, особенностей налогообложения или бухгалтерского учета. Если такого работника поймали на разглашении технологий, и пытаются наложить на него соответствующие санкции, он вполне может устроить своей бывшей организации проблемы, например, с налоговой инспекцией.
В подобных ситуациях работодатель фактически не может наказать своих сотрудников, продавших секретную информацию, так как при этом рискует нанести себе еще больший ущерб. Конфликты обычно заканчиваются простым увольнением, зачастую якобы «по собственному желанию». Иногда при увольнении работодатель даже выплачивает некоторую сумму, поскольку на таких условиях заключался трудовой договор.
В неразглашении подобных прецедентов заинтересованы обе стороны, поэтому в прессе, особенно российской, редко появляются громкие сообщения о похищенной информации. Тем не менее, в ходе личного общения на форуме специалисты по ИБ назвали ряд известных им случаев. Среди них фигурировало, например, столкновение интересов компаний МТС и «Вымпелком» из-за ряда маркетинговых решений, известных сейчас как “Джинс”.
Отсутствие жесткой реакции на предательство – это не только неудовлетворенное чувство мести. Гораздо важнее, что другие работники фактически получают наглядное подтверждение возможности избежать наказание. Если сотрудники продают конкурентам только часть известной им информации, они сохраняют рычаги давления на руководство, которые позволяют им не бояться санкций. Осознание этого факта может привести к тому, что рост числа подобных прецедентов приобретет лавинообразный характер.
Чтобы предотвратить увеличение количества таких ситуаций, работодателям рано или поздно придется пойти на риск большего ущерба. Только так можно создать показательный прецедент неизбежного наказания. Однако руководство может пойти на такие меры, невыгодные для компании, только если хищение информации с последующим шантажом приобретут действительно массовый характер.
Атмосфера безопасности
По словам специалистов по ИБ, наиболее эффективным средством, снижающим риск от человеческого фактора, является создание единой «атмосферы информационной безопасности». В качестве примера Михаил Левашов привел израильские города, жители которых из-за угрозы терроризма проявляют постоянную бдительность. “Для России же характерно, что уборщицу или сантехника, которые имеют доступ фактически ко всем помещениям компании, никто просто не замечает, - подчеркивает Михаил Левашов. - Спокойствие, да и то относительное, можно гарантировать только если внимание к опасным факторам станет такой же привычкой, как использование зубной щетки».
Как ни банально, но технические средства сами по себе еще ничего не гарантируют, важно именно отношение к ним. Если рассмотреть в качестве примера получающие все большее распространение электронные ключи e-token, можно выделить ряд характерных факторов, на которые традиционно не обращают внимания. Банальный вопрос: где сотруднику носить ключ, когда он отходит от рабочего места? Традиционный ответ – положить в карман – далеко не всегда применим к женской одежде. Повесить на шею – далеко не всегда к e-token прилагается лента, просто потому, что этому фактору не уделяют внимания.
Можно возразить, что даже если электронный ключ лежит рядом с рабочим местом, чтобы им воспользоваться обычно нужен пароль, который для e-token традиционно называют PIN-кодом. Так же традиционно, но ошибочно, многие сотрудники считают, что PIN должен состоять из четырех цифр, как на банковской карте или мобильном телефоне. Пароль из четырех цифр легко отследить и запомнить всего один раз посмотрев, как его набирают. Между тем, пароль уже из шести-восьми произвольных символов отследить значительно сложнее. Таким образом, недостаточное внимание к этому аспекту опять же делает практически бесполезным использование электронных ключей и ставит под угрозу безопасность корпоративной информации.
Подобных факторов, которые могут стать слабым звеном и привести к потери важных данных, множество. Чтобы перекрыть все или хотя бы большинство каналов подобного рода, мало квалифицированных сотрудников, программных и аппаратных средств, считают специалисты, принимавшие участие в форуме АИС. Необходимо четкое понимание руководством важности именно создания «атмосферы безопасности», постоянного внимания к возможным факторам утечки информации.
|