По мнению западных экспертов, промышленный шпионаж – одна из серьезнейших угроз современного бизнеса. И от кражи данных не застрахован абсолютно никто. Независимо от размера компании и ее годового оборота.
Кристофер Бургс более 30 лет провел на службе в ЦРУ. Ричард Пауэр занимал должность директора Института Компьютерной Безопасности, после чего возглавил службу безопасности в Deloitte Touche Tohmatsu (DTT), и занимался расследованиями киберперступлений и экономического шпионажа более десятилетия.
Два специалиста мирового уровня провели анализ систем безопасности корпораций, и нашли ряд серьезных уязвимостей, как в их системах, так и в образе мышления руководителей, еще не перестроившихся на новый вектор угроз.
По их мнению, среди современных директоров существует несколько заблуждений, которые могут привести к непоправимым последствиям. Одно из них заключается в том, что они искренне верят, что угроза промышленного шпионажа касается только крупных компаний. И все потенциальные похитители нацелены исключительно на секрет формулы Кока-колы или архитектуру новых процессоров Intel. Исследование, проведенное Бургсом и Пауэлом, продемонстрировало, что такой взгляд в корне ошибочен. Дамоклов меч весит над всеми. И очень часто маленькие компании являются приоритетной целью: куш, конечно, меньше, но и проблем не много. Особенно учитывая, что системы безопасности таких организаций обычно сводятся к стандартному окну авторизации пользователя в Windows.
Второе важное заблуждение руководителей — они всерьез считают, что знают все пути похищения информации. А их система безопасности полностью готова встретить эти угрозы. При этом забывая, что в эру невероятной скорости развития информационных технологий, злоумышленник может найти 1001 нестандартный способ добраться до ценных данных.
Анализ, подготовленный Бургсом и Пауэлом базируется на открытой и проверенной информации. Все случаи хищения данных были подтверждены и имели широкую огласку в западной прессе. Однако, несмотря на это, степень готовности организаций противостоять таким угрозам остается на очень низком уровне. И специалисты считают, что самая главная задача на сегодняшний день – сформировать образ мышления современного руководителя, готового встретить новые угрозы во всеоружии.
Чтобы сформировать комплексное понимание проблемы и выработать правильную стратегию защиты компании, специалисты по безопасности рассмотрели различные возможности хищения данных. И разделили их на три глобальные категории:
- Конкуренты и инсайдеры
- Государственный шпионаж
- Подделки и пиратство
Конкуренты и инсайдеры
Чаще всего за ценными данными компании охотятся либо конкуренты, либо инсайдеры, которые хотят развить свой бизнес.
При этом, в похищении информации замешан «внутренний агент», который может получить доступ к внутрикорпоративной сети не вызвав подозрений. Например «сливать данные» может один из менеджеров, руководитель любого уровня, партнер, поставщик, производитель или инвестор.
Небольшая подборка случаев, детально иллюстрирующих проблему.
Lightwave Microsystems
IT директор украл и продал новые разработки компании, так как все равно собирался выходить из бизнеса.
America Online (AOL)
Инженер-программист воспользовался кодами доступа коллеги, чтобы получить информацию о 30 миллионах клиентах компании и продать их спаммерам.
Casiano Communications Inc.
Руководство утверждает, что один из сотрудников похитил и продал базы данных.
Corning Inc.
Сотрудник нашел чертежи новых разработок в мусорном контейнере, вместе с материалами, подлежащими уничтожению. Чертежи были проданы Азиатским конкурентам.
Avery Dennison
Бывший сотрудник одной из компаний-конкурентов, рассказал, что один из работников Avery Dennison на протяжении 8 лет снабжал их компанию новыми формулами адгезивов.
Toshiba and Lexar Media
Toshiba и Lexar заключили партнерский договор о совместном выходе на рынок флеш-накопителей. А потом Тошиба заключила такой же договор с прямыми конкурентами Lexar.
Citroen and SigmaTel
Обе компании утверждают, что их запатентованные технологии присвоил китайский конкурент. Как следствие, им пришлось конкурировать со своими собственными разработками.
Государственный шпионаж
Госсектор экономики также нуждается в новых технологиях. Кроме того, в высших эшелонах власти всегда находятся люди, заинтересованные в развитии государственных предприятий, которые находятся под их «опекой».
Как шпионить в таком случае? Да очень просто! Достаточно воспользоваться услугами государственных разведывательных организаций, внедрить инсайдера, дать взятку или прибегнуть к банальному шантажу.
Обратная сторона медали заключается в том, что государственные организации очень часто сами подвергаются подобным рискам.
Несколько самых нашумевших примеров.
Французская разведка
В 1994 Аэробус получил контракт на модернизацию воздушного флота Саудовской Аравии благодаря взяткам ключевым чиновникам из правительства.
Институту Лернера при госпитале Кливленда
В мае 2001 Такаши Окамото и Хироаки Серизава было предъявлено обвинение в хищении интеллектуальной собственности, принадлежащей Институту Лернера при Кливлендском госпитале. Украденные разработки были переданы в исследовательский центр, находящийся под патронатом правительства Японии.
ЦНИИМАШ-экспорт
В 2005 директор Российской государственной компании ЦНИИМАШ-экспорт и его заместитель были арестованы ФСБ по обвинению в продаже космических технологий китайцам.
Coca-Cola India
В 1977 Coca-Cola контролировала индийский рынок газировки. Но новый министр промышленности предложил руководству компании отдать формулу напитка, взамен оставив компанию на рынке. Кола предпочла уйти.
Министерство здоровья, Бразилия
В 2005 Министерство здоровья Бразилии предъявило ультиматум лаборатории Эббота, Чикаго: или они снижают цену на Kaletra (лекарство для лечения СПИД), или они, несмотря на патент, начнут выпускать его сами. Формула к тому моменту у них уже была.
Пиратство и подделки
Подделки и пиратство очень часто спонсируются организованной преступностью и несут одну из главных угроз, как частному сектору, так и государственной экономике в целом.
Правительство США посчитало, что из-за выпуска нелегальных копий продукции, ежегодно сокращается около 750 тысяч рабочих мест, а финансовый урон составляет 250 биллионов долларов.
Несмотря на образовательные программы и законодательные инициативы, направленные на борьбу с пиратством, такими странами как Китай, Бразилия, Южная Корея, Россия и США, эта проблема все еще остается невероятно актуальной, а борьба с ней – не слишком эффективной.
Программное обеспечение. Глобальное исследование, проведенное BSA (Business Software Alliance) продемонстрировало, что в 50 странах за последний год количество нелегального «софта» резко увеличилось.
Рынок поддельной одежды и обуви из Азии, невзирая на активную борьбу, не уменьшился ни на процент.
Нелегальное видео принесло убытки на 3 биллиона долларов.
На сегодняшний день экономика многих стран мира находится в достаточно плачевном положении: рост цен на энергоносители, вывод денег в оффшоры, сокращение рабочих мест и рост внешнего долга явно не способствуют интенсивному развитию и росту.
Но, как видно из анализа, существует еще одна опасность, о которой пока еще не начали кричать на каждом шагу. При этом убытки ежегодно растут. Экономический шпионаж – такая же серьезная и насущная угроза, как атаки террористов или глобальное потепление.
Исследования в США наглядно продемонстрировали, что финансовые потери от кражи интеллектуальной собственности составляют 250 биллионов долларов в год. Это цифра сопоставима с ущербом, нанесенным ураганом Катрина.
Современная инвестиция в системы безопасности позволит противодействовать как преднамеренному хищению информации, так и утечкам данных по неосторожности. Вот несколько простых, но действенных рекомендаций.
Доклады о состоянии системы безопасности, анализ рисков и угроз – важнейшая составляющая любой системы безопасности. Очень важно, чтобы такие исследования проводились регулярно, информация доносилась до всех ответственных лиц. А представитель СБ присутствовал на совещаниях и всегда был в контакте с руководящим персоналом компании.
Обучайте персонал. Сотрудники должны осознавать всю степень угрозы от утечки информации. Ведь любой подобный инцидент отразится, в первую очередь, на них. От сокращения заработной платы вследствие серьезных финансовых потерь компании до увольнения из-за сокращения штата.
Наблюдайте за каждым сотрудником и его действиями. Первый эшелон вашей защиты: специализированное программное обеспечение, позволяющее вести мониторинг, перехватывать данные, анализировать и предотвращать возможные риски. Второй – личный контакт. Не забывайте о своих подчиненных. Общение с ними поможет повысить лояльность персонала и выявить изменения в поведении, которые предзнаменуют возможную угрозу.
Также стоит вести мониторинг круга общения персонала как внутри компании, так и вне ее. Так вы сможете идентифицировать возможные контакты с конкурентами. Либо группу нелояльных сотрудников, которые могут нанести серьезный урон эффективности бизнеса.
Обратите внимание на техническую составляющую: вирусная защита, резервное копирование данных, разграничение уровня доступа. Информация должна быть доступна только тем, кому она действительно нужна. И надежно защищена от потери вследствие выхода оборудования из строя, или удаления по неосторожности.
Кроме того, очень хорошо работают биометрические системы защиты. Например, благодаря распознаванию клавиатурного почерка, при авторизации пользователь проходит дополнительную систему проверки. Которую нельзя обойти. И украденный логин и пароль уже не сможет помочь злоумышленнику.
Разведка – одна из основных составляющих систем защиты. Вы должны знать конкурентов, рынок, партнеров и клиентов. Уделите особое внимание последним событиям, связанным с утечками данных: так вы сможете определить, какие технологии проникновения в информационный периметр предприятия сейчас в «тренде» и чем могут воспользоваться потенциальные злоумышленники. Ну и никогда не забываете о тех, кто мог бы с помощью вашей информации начать свой или развить уже существующий бизнес. Фраза знаменитого римского юриста «Кому это выгодно?», очень точно описывает первый шаг формирования стратегии информационной безопасности.