- Mitglied seit
- 22.08.2011
- Beiträge
- 1.659
- Punkte für Reaktionen
- 3
- Punkte
- 38
- Alter
- 44
- Website
- burorus.com
Today, when the Russian economy is gradually recovering from the crisis, information of commercial value is becoming the most significant product. However, in the wrong hands such information turns into the strongest weapon, for which competitors are ready to do a lot. Corporate espionage in the post-crisis period is experiencing a real renaissance. How to protect yourself?
Rothschild Plan
“Whoever owns the information owns the world.” This more than relevant phrase was not uttered by any business guru of the beginning of the 21st century, like Kjell Nordstrom. And not even the legendary Soviet intelligence officer Rudolf Abel. The author of this statement is Nathan Rothschild, the founder of the famous banking house. Until 1815, Rothschild was a well-known entrepreneur who owned a bank in London. But not more. To ascend to the top of fame and fortune helped him ... Napoleon Bonaparte, who decided to take revenge from the European powers at Waterloo and again throw the Old World at his feet.
Rothschild had another plan - to throw at his feet the entire financial system of Europe. Thanks to his spies, he was the first in England to find out about the defeat of Napoleon. After that, Rothschild defiantly proceeded to the mass sale of British stocks. The stockbrokers immediately followed suit, because, knowing the knowledge of Rothschild, they decided that the British lost to the French. When the securities fell to an extremely low level, Rothschild secretly bought them all up to one, receiving a 20-fold income. A number of such operations enriched the clan so much that it was able to control the entire UK economy. And over time - to turn London into the financial capital of the world.
Of course, Rothschild is far from the only one who in past centuries, thanks to information obtained in various ways, came to a financial triumph. What is the mere hunt for the secret of Chinese porcelain, which was pulled by the French, and the British patented, after expropriating it from the neighbors! Or the American abduction of drawings of spinning machines that worked in English factories in Lancashire, which was the starting point for the creation and development of the cotton industry in the New World. However, it is Rothschild who is considered the founder of one of the greatest systems of economic intelligence of his time. By his example, the banker proved that in order to succeed, it is not at all necessary to produce any exclusive product or offer a unique service. It is enough to simply “borrow” relevant information from competitors and use “production” to their advantage.
Scale of disaster
Corporate espionage (that’s exactly what any of the many combinations Rothschild would have called today) is a long-standing source of headache for owners of both large corporations and small and medium-sized businesses. So, in 2006, a laptop with the personal data of 382 thousand employees of Boeing was stolen, as a result of which the latter had to spend $ 146 million only on monitoring bank accounts of employees. In 2007, a leak occurred in the network of retail companies TJX, as a result of which the database of credit card transactions containing more than 94 million records fell into the hands of attackers. The damage amounted to more than $ 2 billion. In the same year, the Japanese company Dai Nippon Printing lost a hard drive with a personal database of 8.64 million citizens. The stock exchange reacted instantly: in just a few days, the company's quotes lost more than 25%. This list goes on and on.
“Industrial espionage receives publicity only in extreme cases,” confirms Valery Andreev, deputy director for science and development at IVK. - It does not make sense for an attacker to brag about such feats, and the injured party does not want to receive a strong blow to his reputation and look like a mess. It’s almost impossible to get decent compensation, even after winning a lawsuit. Indeed, the intellectual property of Russian companies, with rare exceptions, is not protected by patents and certificates. ”
A similar trend, by the way, is also characteristic of foreign markets. “Even if the company grabbed a spying opponent by the hand, the issue is resolved quietly,” said the CEO of the American Phoenix Consulting group Inc. in his speech at the Business Research Conference in Miami in 2009 John A. Knowlan III (his company is engaged in the fight against corporate espionage). “People who are in a puddle do not want their shareholders to know about it.”
INDUSTRIAL Espionage RECEIVES A DISCUSSION ONLY IN EXTREME CASES. THE ATTEMPTER HAS NO SENSE TO BRAG THE EXPLOITS, AND THE INJURED PARTY DOESN’T WANT TO RECEIVE THE BIGGEST IMPACT ON REPUTATION AND LOOK LARGE
According to the statistics of the company Perimetrix, which provides corporate security, the average Russian organization annually makes at least four serious information leaks. Given that, according to the Federal State Statistics Service, in Moscow alone there are more than 1,100 medium-sized enterprises, it can be assumed that the total number of leaks reaches 3,600 per year.
The crisis has beguiled
What causes such a rapid increase in demand for corporate espionage?
“Before the crisis, doing business was easy,” says Sergey Vasiliev, an expert in competitive intelligence. - I took a loan on similar conditions, set up, bought various products or outlets, then - I refinanced the loan just as cheaply. Well and so on. In an era when money was cheap, words such as “balance”, “marketing strategy”, “target niches”, etc., ceased to be perceived as something necessary. However, the crisis put everything in its place. Without a clear and in a good brazen marketing strategy today can not survive. But for the development of such a strategy, many companies simply do not have the necessary human resources. But in order to “borrow” a successful solution from a successful competitor, money will always be found.
Another reason for the growing demand for other people's trade secrets can be considered the process of globalization and a clear surge in interest in innovation as a source of market prosperity. “Foreign companies are extremely aggressive in seeking information that provides various benefits,” says John A. Knowlan III.
At the same time, employee loyalty to companies is constantly decreasing. This means that people are much more willing than before to give out important information. “Previously, everyone who looked at the company for less than three years looked askance,” says Igor Karpov, deputy director of the Russian Association for the Protection of Business. - It was almost impossible to get a good position without a heap of letters of recommendation. What now? People spend 10-12 months in the company, “cut down” the bonus, and then fly to a new place of work. Such a concept as loyalty is seriously leveled. And since people don’t feel attachment to the company, they don’t have an internal core, principles that stop them from trading information. ”
Sergey Vasiliev agrees with his colleague: “In times of crisis, the issue of loyalty arose especially sharply. Practice has shown: the threat of layoffs leads to a loss of loyalty on the part of employees who easily become the prey of collectors of other people's secrets. And when information flows are poorly controlled, the vulnerability of the company increases. ”
Intelligence feeds and watered
How does Russian business steal secrets? Corporate cloak and dagger market professionals are usually divided into two large groups: business intelligence, or, in Russian, business (competitive) intelligence, and corporate spies themselves.
Representatives of business intelligence are engaged in a completely legal collection and analysis of external information that can affect the plans and decisions of the company. In fact, this kind of service fits into the concept of “normal” consulting. The experts hired by companies mainly use open databases: the Internet, the media, and various industry directories. “The advent of new information technologies and the relative cheapness of access to resources allow analysts to prepare materials that help in making strategic decisions,” said John A. Knowlan III.
SPIES HAVE USED A COMPLEX COMPUTER SOFTWARE ALLOWING TO RESTORE ORIGINALS AFTER SCAN OF CUTTING OF DOCUMENTS MISSED THROUGH SHREDDER
At the same time, business intelligence is a completely non-polluting matter. Moreover, top managers and owners of large companies openly speak about their interest in the activities of such services. “In order to have low and competitive prices, our company weekly analyzes about 70 thousand prices for various goods in“ foreign ”stores across the country and even on collective farm markets,” said Lev Khasis, CEO of X5 Retail Group, in an interview . “We need all this in order to set prices lower than in other networks and markets, or at their level.” Indeed, why not ?!
“Many company executives simply cannot imagine how much information they consider to be secret can be extracted from open sources accessible to all,” says Ambrose Carey, director of Alaco, a California-based company, to Hasisu. - You just need to know where to look, and be able to do it quickly. This is the main art. Therefore, I can hardly remember when, back in corporate history, the competence, skills, knowledge and abilities of competitive intelligence employees were as much in demand as they are now. ”
However, as a survey of experts conducted by Business Magazine showed, business intelligence is mainly used by medium and large-sized companies. The explanation is simple: in order to "shovel" hundreds of pages of legal information every day, you need to maintain a whole department. Moreover, it was not people "from the street" who should work in it, but experienced analysts who were able to look for waste particles of valuable information in the mountains and build logical chains on their basis. And this, you must admit, implies a slightly higher level of remuneration and social guarantees than that found in free newspapers informing citizens about open vacancies. It is hardly surprising that most Russian small and medium-sized companies prefer to use the "dark side" of business intelligence - corporate espionage.
The dark side of intelligence
Unlike business intelligence, corporate spies work on the illegal path of getting to know business information. The arsenal of production is diverse. Here, and bribery, and blackmail of persons capable of transferring documentation or product samples, and theft of documents, and sabotage, and secret penetration of competitor’s objects, and the introduction of agents in enterprises. And this is not counting the "good old methods" such as wiretapping phones and penetrating into the computer networks of the "victims". Moreover, according to Sergey Vasiliev, the so-called garbage archeology has become especially popular recently - the theft of competitors' garbage, from which drafts (and if you're lucky, ready-made versions) of reports, estimates, orders, orders, marketing research and etc.
According to the source, in 2011 the number of orders for digging in the "dirty linen" of competitors by the Russian business increased by 100-120%, and this year the growth rate may reach another 80-100%. By the way, Russian business learned a similar “archeology” using the example of the USA, where the purchase (or even theft) of competitors' rubbish has long been a “national sport”. So, in 2010, Oracle admitted that it hired detectives who were trying to get garbage from a research center that worked for Microsoft.
A year later, a conflict broke out between irreconcilable competitors in the personal care products market - P&G and Unilever. Unilever concluded that P&G's corporate intelligence "went beyond what is acceptable." Private investigators hired by P&G combed trash bins near the Unilever office, looking for inadvertently discarded documents containing information about the company's strategic plans for the shampoo market. In addition, according to Unilever representatives, the agents rubbed their trust in the company's employees, appearing to be marketing analysts, and in this way they found out the necessary information.
P&G denied these facts, but admitted that actions that were not entirely consistent with its own ethical principles actually took place. An “annoying incident” (as expressed by former Procter & Gamble CEO John Pepper) culminated in a settlement agreement, the details of which were not disclosed. However, according to experts, the amount of the “quiet deal” could reach tens of millions of dollars.
However, all these stories fade before the incident, which Igor Karpov told the Business Magazine. Then, at the very “peak” of the battle of mobile retailers to conquer the regions, the security service of one of them came to the conclusion that someone from top management regularly “leaks” information to competitors. For several months, a thorough review of the managerial staff was carried out. They checked everything: personal and corporate mail, calls, even the way of spending leisure time. But everything was in vain! The case helped to establish the source of the “drain”: a cleaner accidentally knocked over a tub with an orange tree in the central meeting room. The trunk broke ... and inside the amazed woman saw several wires. The subsequent check showed: a neatly mounted mini-recorder meticulously recorded all meetings (and they, in full accordance with the corporate culture of the company, were conducted over-emotionally), after which the device transferred the recorded data through a portable transmitter. True, security officials were never able to establish who discovered the corporate secrets. The company that sold the “orange tree” to the retailer turned out to be a one-day company registered - the irony of fate - on the passport of a homeless person who lived near the headquarters of the retail company.
Human factor
However, no technical means can be compared with the "human factor".
“Processing a suitable person is almost always safer, cheaper and more effective than installing an expensive listening system,” said Sergey Vasiliev. - The methods are very simple. For example, during the day you can go into the company under the guise of a customer and carefully watch the managers. Choose from them the most cowardly and stupid. In the evening, call him, introduce himself as an employee of a well-known company and inform about the desire to make a large order “right now”. But first - ask to forward the necessary information "to clarify the data." This is usually enough. A man, wanting to earn money, “merges” everything necessary. It is clear that then, even if his management finds out about the leak, this manager will remain silent so that he will not be mistaken for a complete idiot and not be deprived of bonuses and bonuses.
Vasiliev also gives another way to extract the necessary information from the intended “victim”: “For example, I need to get information about the competitor’s estimate. I find out which of the ordinary employees has access to it, I call him and, having come up with some kind of legend, I ask for a good fee to send me just a few numbers. Most often, this is enough for a professional to learn almost everything about the company's business plans. ”
ONE OF WAYS TO IMPROVE BUSINESS SECURITY - TO ENSURE CONTROL OF EACH DOCUMENT DURING THE WHOLE LIFE CYCLE, FROM THE CREATION OF CREATION UP TO DESTRUCTION
In turn, according to Igor Karpov, one of the very popular methods of corporate espionage is a “virtual interview”, when competitors rent an office and invite the leading employees of the company supposedly to work, offering more interesting conditions. If they agree, a psychologist talks to them and, between things, asks about the work of the enterprise, "fishing out" the necessary information. Another method is flourishing: a beautiful girl or man (most often a professional psychologist) gets acquainted with a competitor in an entertainment institution and receives necessary data in an easy conversation that has been carefully hidden for many years.
Someone acts with a simple "impudent". “The business community in Russia is traditionally afraid of hitting by the Ministry of Internal Affairs, the FSB and other security officials,” says Igor Karpov. - Corporate spies are successfully exploiting this fear: having made fake documents for employees of these structures, they “run into” management representatives and in most cases get the necessary information. After all, many victims do not even think of phoning the same FSB trust service and telling them about the attack. ”
By the way, the articles of the Russian Criminal Code that punish economic spies include intentional damage to property (Article 167, imprisonment for up to five years), theft (Article 158, imprisonment for up to 10 years), commercial bribery (Art. 204, imprisonment for up to 12 years), violation of the secrecy of correspondence, telephone conversations, mail, telegraph or other communications (Art. 138, imprisonment for up to four years). Well, of course, we should mention the penal law on liability for the disclosure and use of commercial, tax and banking secrets (Article 183 of the Criminal Code, imprisonment for up to ten years).
Profitable business
According to the most conservative estimates, today only in the metropolitan area there are more than a hundred companies offering these or other services in the field of corporate espionage. The very first request from Yandex gives out more than 200 thousand links on this topic, including to the websites of companies offering to "get into" the database of the company that interests the customer and get the necessary information from it.
According to the Infoservice-M center, mainly corporate espionage is carried out by companies with 10-15 employees, headed by former military men and immigrants from the special services, at the same time “leading" no more than two or three orders. For comparison: only the American Kroll Inc. with headquarters in New York, more than 4 thousand employees in 25 countries.
What is the total volume of the Russian corporate espionage market? For obvious reasons, the exact figure is difficult to determine. It affects the total closedness of the industry, the lack of specialized research and the reluctance of players to spread about their own income. However, some figures can still be cited. According to Infoservice-M, most often the customer is interested in the original idea of a competitor and his marketing program: obtaining the relevant information costs from eight to ten to two hundred to three hundred thousand dollars. In "especially severe" cases, this figure rises to a million. However, on average, the “issue price” fluctuates at the level of 20-30 thousand dollars.
Payment can also be made taking into account the time spent by specific specialists: depending on the qualifications and scope of the task, this amount is from 125 to 400 dollars per hour. If we talk about the purely technical side of the issue, then, in general, the price list for hardware for corporate espionage is as follows: bugs are sold for $ 250 today, prices for wiretapping phones start at $ 700, for spy pens with mounted video camera - from 1.2 thousand dollars.
According to some estimates, the total market for corporate espionage in the capital region in 2011 amounted to at least $ 200 million. But no one will be surprised if the real figure is even greater. The crisis sharply reduced the number of customers, and any means are used to fight for a place on the market.
Unequal struggle
How to deal with corporate espionage? There is no single recipe. It all depends on the particular company, market segment and situation. However, one thing is constant. Protection against information leaks, like other types of protection tools, must be implemented comprehensively. “The point is that absolutely all departments, every information workplace of an employee should be covered,” says Valery Andreev from the CPI. - Absolutely all channels of information transfer should be transferred under close control: Internet, mail, external media, print, fax, etc. To increase the overall effectiveness of the security system, the introduction and use of such technologies must be accompanied by interaction and control by information security services, as well as informing employees. ”
MANY ORGANIZATIONS PROHIBITED THE USE OF PERSONAL MAIL IN THE WORK PLACE. BUT WHAT IF AN EMPLOYEE SENTS DATA FROM HIS SMARTPHONE DURING THE RESPONSIBILITY OF THE LUNCH HOUR LAW?
In practice, this approach is as follows. “In our company, the first echelon of defense is the protection of intellectual property,” continues Valery Andreev. “Then come the new defense bastions, from technical to organizational.” For example, creating the perimeter of an organization, building security at the entrance to a company, dividing information by degree of importance and topic, providing employees access only to the information they need, anti-virus protection, monitoring the session with the OS, preventing the installation of unauthorized software, encryption tools, etc. . ".
But the company “Nefteservis-Consult”, which is engaged in financial consulting in the oil and gas sector, places a special emphasis on working with documents. “We ordered software based on the principles of“ three Ks ”:“ who, when and how ”changed this or that document,” says Valentin Tolmachev, director of the company. - This allows you to control the document throughout its entire life cycle - from the moment of creation to the moment of destruction. A special unit of this technology identifies secret documents among the data stream, protects the confidentiality and integrity of this information. It includes two separate but complementary methods. The first protects documents that are already known for secrecy. It uses a combination of reactive (probabilistic) and proactive (deterministic) methods. Another block protects documents that have not passed the classification, but may turn out to be secret. It uses linguistic-based heuristics, signature filtering, and fingerprints. This is the vanguard of modern technology. Thanks to the introduction of such a system for three years, we have not had a single information leak. ”
How will the situation on the corporate espionage market and the fight against it develop in the future? According to a Perimetrix study, only 40% of Russian companies say they plan to implement leakage protection over the next three years. Of these, 35% of organizations intend to implement cryptographic systems for stored data, and another 33% - information security management systems. The rest, for the time being, demonstrate their readiness to deal with leaks exclusively through administrative measures, not daring to introduce technical protection systems.
Thanks to the web
A curious tendency: the majority of experts polled by Business Magazine unanimously argue that recently the Internet has begun to play more and more importance in identifying both internal and external spies. And we are talking about purely technical methods for putting them into clean water (filtering HTTP-data stream, detecting unwanted user activity on the network, creating a special repository for mail correspondence and performing a retrospective analysis of incidents of confidential information leakage), and about “intellectual” protection.
“Before the crisis, there was a large investment bank among our clients, whose deputy general director was, as is customary to say today, a native of the special services,” says the owner of one of the companies providing services in the field of competitive intelligence. - As long as there was money, the bank did not skimp on its own security. So, by order of a former counterintelligence officer, our experts developed a special module that monitors absolutely any activity of bank employees on the Internet: on social networks, on LiveJournal, on blogs, on forums. In addition, a list of words, phrases, speech, etc., which could potentially cause damage to corporate information. ”
According to the source of "Business Journal", such a system helped a lot at the very beginning of the crisis, when the investment bank urgently needed to get a large loan. And for this, potential creditors needed confirmation of reliability.
To clean water
Despite the emergence of increasingly sophisticated security systems, most market experts are sure that there is almost no coherent system for protecting corporate secrets in Russian business. Yes, and Russian legislation significantly limits the powers of security services. Take at least a channel such as e-mail, which, as shown by the survey conducted by the SuperJob portal, is checked by 28% of Russian companies. With corporate correspondence, everything is simple. “Office mail is one of the“ tools ”(along with a computer and a printer) that is provided to an employee to carry out his job duties,” says Andrey Parshikov, an attorney at the Knyazev & Partners Bar. “Therefore, viewing official correspondence is not an infringement of the rights of a citizen and cannot entail any responsibility on the part of the head.” In fact: Art. 10 part 4 of the Federal Law of the Russian Federation dated July 29, 2004 No. 98-ФЗ On Commercial Secrets, states: “The holder of information constituting a commercial secret has the right to apply, if necessary, technical security tools and methods for protecting the confidentiality of this information, other measures that do not contradict the legislation of the Russian Federation ".
Another thing is personal mail. Russian law clearly makes it illegal to view personal mailboxes. “There is criminal liability for unauthorized viewing of personal email in Russia (Articles 137, 138 of the Criminal Code),” says Andrei Parshikov. “Therefore, many organizations have banned the use of personal mail at the workplace.” But what if an employee sends data using their own smartphone? And not at the workplace, but during a legally scheduled lunch break?
“One of my clients told such a story,” Sergey Vasiliev shares his experience. - He then worked as deputy chief of security at the Russian branch of a western company. One of the employees said "up" that his colleague was sending competitors financial documents. Checked once, second. It turned out that a person simply photographs the papers with a smartphone camera - and sends them during the lunch break to the “customer”.
According to Vasiliev, at first there was no way to “take” an employee. Forwarding was carried out through a personal smartphone, using personal email, after hours and in a room not owned by the employer (sushi bar nearby). “If it had been“ covered ”there, the company would have received a major scandal fraught with serious reputation risks,” recalls Sergey Vasiliev. - As a result, it was decided to install miniature zoom cameras in the room where the spy worked. It took more than one thousand dollars, but in the end, a person was caught by photographing charts. It’s good that in the standard employment contract there was a clause according to which the employee agrees to the video filming in the office. Otherwise, he could have justified himself by illegally monitoring him. In the West, similar precedents, by the way, have happened repeatedly. After all, evidence obtained with the help of means that the court considers illegal is not accepted for consideration. ”
The main thing is loyalty
As many experts in the field of information security admit, in terms of reliability, any technical means of control over employees will be given a head start by the main limiter - staff loyalty.
"WHO PERSON INFORMATION, THEN Possesses WORLD." THIS FORMULA WHICH IS ASKED TO NATAN ROTHSCHILD BECOMES EVERY MORE ACTUAL. TOO MUCH WISHES TO LIVE IN FOREIGN SECRETS.
“Practice shows: the more people are interested in working for a company, the more they see for themselves the development opportunities in it, the less likely they are to transfer information“ to the side, ”Igor Karpov believes.
“If we don’t talk about spies specially introduced into the company, then most employees come to work in the wake of a positive,” Valery Andreev adds. - They want to be successful themselves and help be a successful employer. Therefore, the main task of the owner or shareholders is to maintain this attitude, develop it, and prevent it from fading away. ”
Easy to say, yes hard to do. How to keep employees motivated at a constantly high level? Sergei Vasiliev gives a case in point. At one large enterprise - a manufacturer of confectionery, where in the summer of 2008 there was a major "leak" of information, costing the company more than $ 100 thousand, a loyalty program was formed on the basis of a survey and further analysis of the wishes of employees. They were invited to put their wishes in a specially created mailbox for this within a month. All offers were considered, including anonymous ones. This made it possible for managers to understand how employees live, what their mood is, what they are unhappy with and what they really want. Based on the analysis of these questionnaires, a priority-based list of motivating incentives was developed for each of the “target groups” of employees. As a result, employees with young children received a standardized working day, who wished to continue or complete their education - paying for study leave, and, say, non-smokers - sightseeing tours and paying for a fitness center. “Considering that since then there have been no information leaks at the enterprise, the introduction of a personalized motivation system turned out to be one hundred percent justified,” summarizes Sergey Vasiliev.
Measures to increase loyalty can be both tangible (salary, bonuses, gifts, insurance, hospitality, communication, transportation and other expenses), and intangible (thanks, internal PR, promotion, career growth, a favorable working environment, etc. ) At the same time, HR specialists warn against “excesses” in one direction or another. For example, a quarterly increase in salaries or payment of bonuses is first perceived as remuneration, and then as a norm. And if, due to objective circumstances, the company does not begin to raise salaries over the next period, then this will hit loyalty sharply, and all the efforts of the employer will be wasted.
“Material motivation is one of the leading, but not always the main,” Igor Karpov is sure. - Therefore, the recruitment service and the manager must know in detail the needs of each employee, their "red buttons". According to the expert, such “carrots” as a good VHI policy, payment of cellular communication and travel expenses, assistance in renting a gym for corporate football form a corporate culture, rally the team and lead to a significant reduction in the risk of information leakage.
“I consider staff loyalty to the company to be one of the main factors,” concludes Ekaterina Nikonova, head of the marketing, advertising and PR department of Steklonit Management. - If it becomes unprofitable for a person to sell information, if his work at the enterprise is much more important and more profitable than the bonuses that competitors promise, then the danger of data transfer will decrease sharply. By the way, at our enterprise we are holding a competition in which employees are encouraged with bonuses and trips for useful information about competitors. The main thing is to achieve that getting information about your business has become about as expensive as developing an original idea yourself. And then you will become not too interesting object for espionage. "
Well, we will strengthen the defense!
Dmitry Kirov, “Online Business Journal”, Nr.2 (179), 02/22/2011
https://www.business-magazine.ru/trends/ ... pub336238 /
Rothschild Plan
“Whoever owns the information owns the world.” This more than relevant phrase was not uttered by any business guru of the beginning of the 21st century, like Kjell Nordstrom. And not even the legendary Soviet intelligence officer Rudolf Abel. The author of this statement is Nathan Rothschild, the founder of the famous banking house. Until 1815, Rothschild was a well-known entrepreneur who owned a bank in London. But not more. To ascend to the top of fame and fortune helped him ... Napoleon Bonaparte, who decided to take revenge from the European powers at Waterloo and again throw the Old World at his feet.
Rothschild had another plan - to throw at his feet the entire financial system of Europe. Thanks to his spies, he was the first in England to find out about the defeat of Napoleon. After that, Rothschild defiantly proceeded to the mass sale of British stocks. The stockbrokers immediately followed suit, because, knowing the knowledge of Rothschild, they decided that the British lost to the French. When the securities fell to an extremely low level, Rothschild secretly bought them all up to one, receiving a 20-fold income. A number of such operations enriched the clan so much that it was able to control the entire UK economy. And over time - to turn London into the financial capital of the world.
Of course, Rothschild is far from the only one who in past centuries, thanks to information obtained in various ways, came to a financial triumph. What is the mere hunt for the secret of Chinese porcelain, which was pulled by the French, and the British patented, after expropriating it from the neighbors! Or the American abduction of drawings of spinning machines that worked in English factories in Lancashire, which was the starting point for the creation and development of the cotton industry in the New World. However, it is Rothschild who is considered the founder of one of the greatest systems of economic intelligence of his time. By his example, the banker proved that in order to succeed, it is not at all necessary to produce any exclusive product or offer a unique service. It is enough to simply “borrow” relevant information from competitors and use “production” to their advantage.
Scale of disaster
Corporate espionage (that’s exactly what any of the many combinations Rothschild would have called today) is a long-standing source of headache for owners of both large corporations and small and medium-sized businesses. So, in 2006, a laptop with the personal data of 382 thousand employees of Boeing was stolen, as a result of which the latter had to spend $ 146 million only on monitoring bank accounts of employees. In 2007, a leak occurred in the network of retail companies TJX, as a result of which the database of credit card transactions containing more than 94 million records fell into the hands of attackers. The damage amounted to more than $ 2 billion. In the same year, the Japanese company Dai Nippon Printing lost a hard drive with a personal database of 8.64 million citizens. The stock exchange reacted instantly: in just a few days, the company's quotes lost more than 25%. This list goes on and on.
“Industrial espionage receives publicity only in extreme cases,” confirms Valery Andreev, deputy director for science and development at IVK. - It does not make sense for an attacker to brag about such feats, and the injured party does not want to receive a strong blow to his reputation and look like a mess. It’s almost impossible to get decent compensation, even after winning a lawsuit. Indeed, the intellectual property of Russian companies, with rare exceptions, is not protected by patents and certificates. ”
A similar trend, by the way, is also characteristic of foreign markets. “Even if the company grabbed a spying opponent by the hand, the issue is resolved quietly,” said the CEO of the American Phoenix Consulting group Inc. in his speech at the Business Research Conference in Miami in 2009 John A. Knowlan III (his company is engaged in the fight against corporate espionage). “People who are in a puddle do not want their shareholders to know about it.”
INDUSTRIAL Espionage RECEIVES A DISCUSSION ONLY IN EXTREME CASES. THE ATTEMPTER HAS NO SENSE TO BRAG THE EXPLOITS, AND THE INJURED PARTY DOESN’T WANT TO RECEIVE THE BIGGEST IMPACT ON REPUTATION AND LOOK LARGE
According to the statistics of the company Perimetrix, which provides corporate security, the average Russian organization annually makes at least four serious information leaks. Given that, according to the Federal State Statistics Service, in Moscow alone there are more than 1,100 medium-sized enterprises, it can be assumed that the total number of leaks reaches 3,600 per year.
The crisis has beguiled
What causes such a rapid increase in demand for corporate espionage?
“Before the crisis, doing business was easy,” says Sergey Vasiliev, an expert in competitive intelligence. - I took a loan on similar conditions, set up, bought various products or outlets, then - I refinanced the loan just as cheaply. Well and so on. In an era when money was cheap, words such as “balance”, “marketing strategy”, “target niches”, etc., ceased to be perceived as something necessary. However, the crisis put everything in its place. Without a clear and in a good brazen marketing strategy today can not survive. But for the development of such a strategy, many companies simply do not have the necessary human resources. But in order to “borrow” a successful solution from a successful competitor, money will always be found.
Another reason for the growing demand for other people's trade secrets can be considered the process of globalization and a clear surge in interest in innovation as a source of market prosperity. “Foreign companies are extremely aggressive in seeking information that provides various benefits,” says John A. Knowlan III.
At the same time, employee loyalty to companies is constantly decreasing. This means that people are much more willing than before to give out important information. “Previously, everyone who looked at the company for less than three years looked askance,” says Igor Karpov, deputy director of the Russian Association for the Protection of Business. - It was almost impossible to get a good position without a heap of letters of recommendation. What now? People spend 10-12 months in the company, “cut down” the bonus, and then fly to a new place of work. Such a concept as loyalty is seriously leveled. And since people don’t feel attachment to the company, they don’t have an internal core, principles that stop them from trading information. ”
Sergey Vasiliev agrees with his colleague: “In times of crisis, the issue of loyalty arose especially sharply. Practice has shown: the threat of layoffs leads to a loss of loyalty on the part of employees who easily become the prey of collectors of other people's secrets. And when information flows are poorly controlled, the vulnerability of the company increases. ”
Intelligence feeds and watered
How does Russian business steal secrets? Corporate cloak and dagger market professionals are usually divided into two large groups: business intelligence, or, in Russian, business (competitive) intelligence, and corporate spies themselves.
Representatives of business intelligence are engaged in a completely legal collection and analysis of external information that can affect the plans and decisions of the company. In fact, this kind of service fits into the concept of “normal” consulting. The experts hired by companies mainly use open databases: the Internet, the media, and various industry directories. “The advent of new information technologies and the relative cheapness of access to resources allow analysts to prepare materials that help in making strategic decisions,” said John A. Knowlan III.
SPIES HAVE USED A COMPLEX COMPUTER SOFTWARE ALLOWING TO RESTORE ORIGINALS AFTER SCAN OF CUTTING OF DOCUMENTS MISSED THROUGH SHREDDER
At the same time, business intelligence is a completely non-polluting matter. Moreover, top managers and owners of large companies openly speak about their interest in the activities of such services. “In order to have low and competitive prices, our company weekly analyzes about 70 thousand prices for various goods in“ foreign ”stores across the country and even on collective farm markets,” said Lev Khasis, CEO of X5 Retail Group, in an interview . “We need all this in order to set prices lower than in other networks and markets, or at their level.” Indeed, why not ?!
“Many company executives simply cannot imagine how much information they consider to be secret can be extracted from open sources accessible to all,” says Ambrose Carey, director of Alaco, a California-based company, to Hasisu. - You just need to know where to look, and be able to do it quickly. This is the main art. Therefore, I can hardly remember when, back in corporate history, the competence, skills, knowledge and abilities of competitive intelligence employees were as much in demand as they are now. ”
However, as a survey of experts conducted by Business Magazine showed, business intelligence is mainly used by medium and large-sized companies. The explanation is simple: in order to "shovel" hundreds of pages of legal information every day, you need to maintain a whole department. Moreover, it was not people "from the street" who should work in it, but experienced analysts who were able to look for waste particles of valuable information in the mountains and build logical chains on their basis. And this, you must admit, implies a slightly higher level of remuneration and social guarantees than that found in free newspapers informing citizens about open vacancies. It is hardly surprising that most Russian small and medium-sized companies prefer to use the "dark side" of business intelligence - corporate espionage.
The dark side of intelligence
Unlike business intelligence, corporate spies work on the illegal path of getting to know business information. The arsenal of production is diverse. Here, and bribery, and blackmail of persons capable of transferring documentation or product samples, and theft of documents, and sabotage, and secret penetration of competitor’s objects, and the introduction of agents in enterprises. And this is not counting the "good old methods" such as wiretapping phones and penetrating into the computer networks of the "victims". Moreover, according to Sergey Vasiliev, the so-called garbage archeology has become especially popular recently - the theft of competitors' garbage, from which drafts (and if you're lucky, ready-made versions) of reports, estimates, orders, orders, marketing research and etc.
According to the source, in 2011 the number of orders for digging in the "dirty linen" of competitors by the Russian business increased by 100-120%, and this year the growth rate may reach another 80-100%. By the way, Russian business learned a similar “archeology” using the example of the USA, where the purchase (or even theft) of competitors' rubbish has long been a “national sport”. So, in 2010, Oracle admitted that it hired detectives who were trying to get garbage from a research center that worked for Microsoft.
A year later, a conflict broke out between irreconcilable competitors in the personal care products market - P&G and Unilever. Unilever concluded that P&G's corporate intelligence "went beyond what is acceptable." Private investigators hired by P&G combed trash bins near the Unilever office, looking for inadvertently discarded documents containing information about the company's strategic plans for the shampoo market. In addition, according to Unilever representatives, the agents rubbed their trust in the company's employees, appearing to be marketing analysts, and in this way they found out the necessary information.
P&G denied these facts, but admitted that actions that were not entirely consistent with its own ethical principles actually took place. An “annoying incident” (as expressed by former Procter & Gamble CEO John Pepper) culminated in a settlement agreement, the details of which were not disclosed. However, according to experts, the amount of the “quiet deal” could reach tens of millions of dollars.
However, all these stories fade before the incident, which Igor Karpov told the Business Magazine. Then, at the very “peak” of the battle of mobile retailers to conquer the regions, the security service of one of them came to the conclusion that someone from top management regularly “leaks” information to competitors. For several months, a thorough review of the managerial staff was carried out. They checked everything: personal and corporate mail, calls, even the way of spending leisure time. But everything was in vain! The case helped to establish the source of the “drain”: a cleaner accidentally knocked over a tub with an orange tree in the central meeting room. The trunk broke ... and inside the amazed woman saw several wires. The subsequent check showed: a neatly mounted mini-recorder meticulously recorded all meetings (and they, in full accordance with the corporate culture of the company, were conducted over-emotionally), after which the device transferred the recorded data through a portable transmitter. True, security officials were never able to establish who discovered the corporate secrets. The company that sold the “orange tree” to the retailer turned out to be a one-day company registered - the irony of fate - on the passport of a homeless person who lived near the headquarters of the retail company.
Human factor
However, no technical means can be compared with the "human factor".
“Processing a suitable person is almost always safer, cheaper and more effective than installing an expensive listening system,” said Sergey Vasiliev. - The methods are very simple. For example, during the day you can go into the company under the guise of a customer and carefully watch the managers. Choose from them the most cowardly and stupid. In the evening, call him, introduce himself as an employee of a well-known company and inform about the desire to make a large order “right now”. But first - ask to forward the necessary information "to clarify the data." This is usually enough. A man, wanting to earn money, “merges” everything necessary. It is clear that then, even if his management finds out about the leak, this manager will remain silent so that he will not be mistaken for a complete idiot and not be deprived of bonuses and bonuses.
Vasiliev also gives another way to extract the necessary information from the intended “victim”: “For example, I need to get information about the competitor’s estimate. I find out which of the ordinary employees has access to it, I call him and, having come up with some kind of legend, I ask for a good fee to send me just a few numbers. Most often, this is enough for a professional to learn almost everything about the company's business plans. ”
ONE OF WAYS TO IMPROVE BUSINESS SECURITY - TO ENSURE CONTROL OF EACH DOCUMENT DURING THE WHOLE LIFE CYCLE, FROM THE CREATION OF CREATION UP TO DESTRUCTION
In turn, according to Igor Karpov, one of the very popular methods of corporate espionage is a “virtual interview”, when competitors rent an office and invite the leading employees of the company supposedly to work, offering more interesting conditions. If they agree, a psychologist talks to them and, between things, asks about the work of the enterprise, "fishing out" the necessary information. Another method is flourishing: a beautiful girl or man (most often a professional psychologist) gets acquainted with a competitor in an entertainment institution and receives necessary data in an easy conversation that has been carefully hidden for many years.
Someone acts with a simple "impudent". “The business community in Russia is traditionally afraid of hitting by the Ministry of Internal Affairs, the FSB and other security officials,” says Igor Karpov. - Corporate spies are successfully exploiting this fear: having made fake documents for employees of these structures, they “run into” management representatives and in most cases get the necessary information. After all, many victims do not even think of phoning the same FSB trust service and telling them about the attack. ”
By the way, the articles of the Russian Criminal Code that punish economic spies include intentional damage to property (Article 167, imprisonment for up to five years), theft (Article 158, imprisonment for up to 10 years), commercial bribery (Art. 204, imprisonment for up to 12 years), violation of the secrecy of correspondence, telephone conversations, mail, telegraph or other communications (Art. 138, imprisonment for up to four years). Well, of course, we should mention the penal law on liability for the disclosure and use of commercial, tax and banking secrets (Article 183 of the Criminal Code, imprisonment for up to ten years).
Profitable business
According to the most conservative estimates, today only in the metropolitan area there are more than a hundred companies offering these or other services in the field of corporate espionage. The very first request from Yandex gives out more than 200 thousand links on this topic, including to the websites of companies offering to "get into" the database of the company that interests the customer and get the necessary information from it.
According to the Infoservice-M center, mainly corporate espionage is carried out by companies with 10-15 employees, headed by former military men and immigrants from the special services, at the same time “leading" no more than two or three orders. For comparison: only the American Kroll Inc. with headquarters in New York, more than 4 thousand employees in 25 countries.
What is the total volume of the Russian corporate espionage market? For obvious reasons, the exact figure is difficult to determine. It affects the total closedness of the industry, the lack of specialized research and the reluctance of players to spread about their own income. However, some figures can still be cited. According to Infoservice-M, most often the customer is interested in the original idea of a competitor and his marketing program: obtaining the relevant information costs from eight to ten to two hundred to three hundred thousand dollars. In "especially severe" cases, this figure rises to a million. However, on average, the “issue price” fluctuates at the level of 20-30 thousand dollars.
Payment can also be made taking into account the time spent by specific specialists: depending on the qualifications and scope of the task, this amount is from 125 to 400 dollars per hour. If we talk about the purely technical side of the issue, then, in general, the price list for hardware for corporate espionage is as follows: bugs are sold for $ 250 today, prices for wiretapping phones start at $ 700, for spy pens with mounted video camera - from 1.2 thousand dollars.
According to some estimates, the total market for corporate espionage in the capital region in 2011 amounted to at least $ 200 million. But no one will be surprised if the real figure is even greater. The crisis sharply reduced the number of customers, and any means are used to fight for a place on the market.
Unequal struggle
How to deal with corporate espionage? There is no single recipe. It all depends on the particular company, market segment and situation. However, one thing is constant. Protection against information leaks, like other types of protection tools, must be implemented comprehensively. “The point is that absolutely all departments, every information workplace of an employee should be covered,” says Valery Andreev from the CPI. - Absolutely all channels of information transfer should be transferred under close control: Internet, mail, external media, print, fax, etc. To increase the overall effectiveness of the security system, the introduction and use of such technologies must be accompanied by interaction and control by information security services, as well as informing employees. ”
MANY ORGANIZATIONS PROHIBITED THE USE OF PERSONAL MAIL IN THE WORK PLACE. BUT WHAT IF AN EMPLOYEE SENTS DATA FROM HIS SMARTPHONE DURING THE RESPONSIBILITY OF THE LUNCH HOUR LAW?
In practice, this approach is as follows. “In our company, the first echelon of defense is the protection of intellectual property,” continues Valery Andreev. “Then come the new defense bastions, from technical to organizational.” For example, creating the perimeter of an organization, building security at the entrance to a company, dividing information by degree of importance and topic, providing employees access only to the information they need, anti-virus protection, monitoring the session with the OS, preventing the installation of unauthorized software, encryption tools, etc. . ".
But the company “Nefteservis-Consult”, which is engaged in financial consulting in the oil and gas sector, places a special emphasis on working with documents. “We ordered software based on the principles of“ three Ks ”:“ who, when and how ”changed this or that document,” says Valentin Tolmachev, director of the company. - This allows you to control the document throughout its entire life cycle - from the moment of creation to the moment of destruction. A special unit of this technology identifies secret documents among the data stream, protects the confidentiality and integrity of this information. It includes two separate but complementary methods. The first protects documents that are already known for secrecy. It uses a combination of reactive (probabilistic) and proactive (deterministic) methods. Another block protects documents that have not passed the classification, but may turn out to be secret. It uses linguistic-based heuristics, signature filtering, and fingerprints. This is the vanguard of modern technology. Thanks to the introduction of such a system for three years, we have not had a single information leak. ”
How will the situation on the corporate espionage market and the fight against it develop in the future? According to a Perimetrix study, only 40% of Russian companies say they plan to implement leakage protection over the next three years. Of these, 35% of organizations intend to implement cryptographic systems for stored data, and another 33% - information security management systems. The rest, for the time being, demonstrate their readiness to deal with leaks exclusively through administrative measures, not daring to introduce technical protection systems.
Thanks to the web
A curious tendency: the majority of experts polled by Business Magazine unanimously argue that recently the Internet has begun to play more and more importance in identifying both internal and external spies. And we are talking about purely technical methods for putting them into clean water (filtering HTTP-data stream, detecting unwanted user activity on the network, creating a special repository for mail correspondence and performing a retrospective analysis of incidents of confidential information leakage), and about “intellectual” protection.
“Before the crisis, there was a large investment bank among our clients, whose deputy general director was, as is customary to say today, a native of the special services,” says the owner of one of the companies providing services in the field of competitive intelligence. - As long as there was money, the bank did not skimp on its own security. So, by order of a former counterintelligence officer, our experts developed a special module that monitors absolutely any activity of bank employees on the Internet: on social networks, on LiveJournal, on blogs, on forums. In addition, a list of words, phrases, speech, etc., which could potentially cause damage to corporate information. ”
According to the source of "Business Journal", such a system helped a lot at the very beginning of the crisis, when the investment bank urgently needed to get a large loan. And for this, potential creditors needed confirmation of reliability.
To clean water
Despite the emergence of increasingly sophisticated security systems, most market experts are sure that there is almost no coherent system for protecting corporate secrets in Russian business. Yes, and Russian legislation significantly limits the powers of security services. Take at least a channel such as e-mail, which, as shown by the survey conducted by the SuperJob portal, is checked by 28% of Russian companies. With corporate correspondence, everything is simple. “Office mail is one of the“ tools ”(along with a computer and a printer) that is provided to an employee to carry out his job duties,” says Andrey Parshikov, an attorney at the Knyazev & Partners Bar. “Therefore, viewing official correspondence is not an infringement of the rights of a citizen and cannot entail any responsibility on the part of the head.” In fact: Art. 10 part 4 of the Federal Law of the Russian Federation dated July 29, 2004 No. 98-ФЗ On Commercial Secrets, states: “The holder of information constituting a commercial secret has the right to apply, if necessary, technical security tools and methods for protecting the confidentiality of this information, other measures that do not contradict the legislation of the Russian Federation ".
Another thing is personal mail. Russian law clearly makes it illegal to view personal mailboxes. “There is criminal liability for unauthorized viewing of personal email in Russia (Articles 137, 138 of the Criminal Code),” says Andrei Parshikov. “Therefore, many organizations have banned the use of personal mail at the workplace.” But what if an employee sends data using their own smartphone? And not at the workplace, but during a legally scheduled lunch break?
“One of my clients told such a story,” Sergey Vasiliev shares his experience. - He then worked as deputy chief of security at the Russian branch of a western company. One of the employees said "up" that his colleague was sending competitors financial documents. Checked once, second. It turned out that a person simply photographs the papers with a smartphone camera - and sends them during the lunch break to the “customer”.
According to Vasiliev, at first there was no way to “take” an employee. Forwarding was carried out through a personal smartphone, using personal email, after hours and in a room not owned by the employer (sushi bar nearby). “If it had been“ covered ”there, the company would have received a major scandal fraught with serious reputation risks,” recalls Sergey Vasiliev. - As a result, it was decided to install miniature zoom cameras in the room where the spy worked. It took more than one thousand dollars, but in the end, a person was caught by photographing charts. It’s good that in the standard employment contract there was a clause according to which the employee agrees to the video filming in the office. Otherwise, he could have justified himself by illegally monitoring him. In the West, similar precedents, by the way, have happened repeatedly. After all, evidence obtained with the help of means that the court considers illegal is not accepted for consideration. ”
The main thing is loyalty
As many experts in the field of information security admit, in terms of reliability, any technical means of control over employees will be given a head start by the main limiter - staff loyalty.
"WHO PERSON INFORMATION, THEN Possesses WORLD." THIS FORMULA WHICH IS ASKED TO NATAN ROTHSCHILD BECOMES EVERY MORE ACTUAL. TOO MUCH WISHES TO LIVE IN FOREIGN SECRETS.
“Practice shows: the more people are interested in working for a company, the more they see for themselves the development opportunities in it, the less likely they are to transfer information“ to the side, ”Igor Karpov believes.
“If we don’t talk about spies specially introduced into the company, then most employees come to work in the wake of a positive,” Valery Andreev adds. - They want to be successful themselves and help be a successful employer. Therefore, the main task of the owner or shareholders is to maintain this attitude, develop it, and prevent it from fading away. ”
Easy to say, yes hard to do. How to keep employees motivated at a constantly high level? Sergei Vasiliev gives a case in point. At one large enterprise - a manufacturer of confectionery, where in the summer of 2008 there was a major "leak" of information, costing the company more than $ 100 thousand, a loyalty program was formed on the basis of a survey and further analysis of the wishes of employees. They were invited to put their wishes in a specially created mailbox for this within a month. All offers were considered, including anonymous ones. This made it possible for managers to understand how employees live, what their mood is, what they are unhappy with and what they really want. Based on the analysis of these questionnaires, a priority-based list of motivating incentives was developed for each of the “target groups” of employees. As a result, employees with young children received a standardized working day, who wished to continue or complete their education - paying for study leave, and, say, non-smokers - sightseeing tours and paying for a fitness center. “Considering that since then there have been no information leaks at the enterprise, the introduction of a personalized motivation system turned out to be one hundred percent justified,” summarizes Sergey Vasiliev.
Measures to increase loyalty can be both tangible (salary, bonuses, gifts, insurance, hospitality, communication, transportation and other expenses), and intangible (thanks, internal PR, promotion, career growth, a favorable working environment, etc. ) At the same time, HR specialists warn against “excesses” in one direction or another. For example, a quarterly increase in salaries or payment of bonuses is first perceived as remuneration, and then as a norm. And if, due to objective circumstances, the company does not begin to raise salaries over the next period, then this will hit loyalty sharply, and all the efforts of the employer will be wasted.
“Material motivation is one of the leading, but not always the main,” Igor Karpov is sure. - Therefore, the recruitment service and the manager must know in detail the needs of each employee, their "red buttons". According to the expert, such “carrots” as a good VHI policy, payment of cellular communication and travel expenses, assistance in renting a gym for corporate football form a corporate culture, rally the team and lead to a significant reduction in the risk of information leakage.
“I consider staff loyalty to the company to be one of the main factors,” concludes Ekaterina Nikonova, head of the marketing, advertising and PR department of Steklonit Management. - If it becomes unprofitable for a person to sell information, if his work at the enterprise is much more important and more profitable than the bonuses that competitors promise, then the danger of data transfer will decrease sharply. By the way, at our enterprise we are holding a competition in which employees are encouraged with bonuses and trips for useful information about competitors. The main thing is to achieve that getting information about your business has become about as expensive as developing an original idea yourself. And then you will become not too interesting object for espionage. "
Well, we will strengthen the defense!
Dmitry Kirov, “Online Business Journal”, Nr.2 (179), 02/22/2011
https://www.business-magazine.ru/trends/ ... pub336238 /
Original message
Сегодня, когда российская экономика постепенно восстанавливается от кризиса, самым значимым товаром становится имеющая коммерческую ценность информация. Однако в чужих руках такие сведения превращаются в сильнейшее оружие, для получения которого конкуренты готовы пойти на многое. Корпоративный шпионаж в посткризисный период переживает настоящий ренессанс. Как защищаться?
План Ротшильда
«Кто владеет информацией, тот владеет миром». Эту более чем актуальную фразу произнес не какой-нибудь бизнес-гуру начала XXI века вроде Кьелла Нордстрема. И даже не легендарный советский разведчик Рудольф Абель. Автор этого высказывания — Натан Ротшильд, основатель знаменитого банкирского дома. До 1815 года Ротшильд был известным предпринимателем, владевшим банком в Лондоне. Но не более. Вознестись на вершину славы и богатства ему помог… Наполеон Бонапарт, вздумавший взять реванш у европейских держав при Ватерлоо и снова бросить Старый свет к своим ногам.
У Ротшильда же был другой план — бросить к своим ногам всю финансовую систему Европы. Благодаря своим шпионам он первым в Англии узнал о поражении Наполеона. После этого Ротшильд демонстративно приступил к массовой продаже британских акций. Биржевики сразу же последовали его примеру, так как, зная об осведомленности Ротшильда, решили, что англичане проиграли французам. Когда же ценные бумаги упали до предельно низкого уровня, Ротшильд тайно скупил их все до одной, получив 20-кратный доход. Ряд подобных операций настолько обогатил клан, что он смог контролировать всю экономику Великобритании. А со временем — превратить Лондон в финансовую столицу мира.
Конечно, Ротшильд — далеко не единственный, кто в прошлые века благодаря добытой различными путями информации пришел к финансовому триумфу. Чего стоит одна только охота за секретом китайского фарфора, который стянули французы, а запатентовали англичане, предварительно экспроприировав его у соседей! Или похищение американцами чертежей прядильных машин, работавших на английских фабриках в Ланкашире, что стало отправной точкой для создания и развития хлопчатобумажной промышленности в Новом Свете. Однако именно Ротшильда считают основателем одной из величайших систем экономической разведки своего времени. Своим примером банкир доказал: для того чтобы преуспеть, вовсе не обязательно производить какой-либо эксклюзивный товар или предлагать уникальную услугу. Достаточно просто «позаимствовать» соответствующую информацию у конкурентов и использовать «добычу» в своих интересах.
Масштабы бедствия
Корпоративный шпионаж (именно так сегодня назвали бы любую из многочисленных комбинаций, которые проворачивал Ротшильд) — давний источник головной боли для владельцев как крупных корпораций, так и компаний малого и среднего бизнеса. Так, в 2006 году был украден ноутбук с персональными данными 382 тысяч служащих компании Boeing, в результате чего последней пришлось потратить 146 млн долларов только на мониторинг банковских счетов сотрудников. В 2007-м произошла утечка в сети розничных компаний TJX, в результате которой в руки злоумышленников попала база транзакций по кредитным картам, содержавшая более 94 млн записей. Ущерб составил более 2 млрд долларов. В том же году японская компания Dai Nippon Printing потеряла жесткий диск с базой персональных данных на 8,64 млн граждан. Фондовая биржа отреагировала мгновенно: всего за несколько дней котировки компании потеряли более 25%. Список этот можно продолжать и продолжать.
«Промышленный шпионаж получает огласку только в крайних случаях, — подтверждает заместитель директора по науке и развитию компании «ИВК» Валерий Андреев. — Злоумышленнику нет смысла хвастать такими подвигами, а потерпевшей стороне не хочется получать сильнейший удар по репутации и выглядеть растяпой. Получить же достойную компенсацию, даже выиграв дело в суде, практически невозможно. Ведь интеллектуальная собственность российских компаний, за редкими исключениями, не защищена патентами и свидетельствами».
Подобная тенденция, к слову, характерна и для зарубежных рынков. «Даже в случае, когда компания схватила шпионящего соперника за руку, вопрос решается тихо, — говорил в своем выступлении на Business Research Conference в Майами в 2009 году гендиректор американской Phoenix Consulting group Inc. Джон А. Ноулан III (его компания занимается борьбой с корпоративным шпионажем). — Люди, севшие в лужу, не хотят, чтобы об этом узнали их акционеры».
ПРОМЫШЛЕННЫЙ ШПИОНАЖ ПОЛУЧАЕТ ОГЛАСКУ ТОЛЬКО В КРАЙНИХ СЛУЧАЯХ. ЗЛОУМЫШЛЕННИКУ НЕТ СМЫСЛА ХВАСТАТЬ ПОДВИГАМИ, А ПОТЕРПЕВШЕЙ СТОРОНЕ НЕ ХОЧЕТСЯ ПОЛУЧАТЬ СИЛЬНЕЙШИЙ УДАР ПО РЕПУТАЦИИ И ВЫГЛЯДЕТЬ РАСТЯПОЙ
По статистике компании Perimetrix, занимающейся обеспечением корпоративной безопасности, средняя российская организация ежегодно допускает как минимум четыре серьезные утечки информации. Учитывая, что, по данным Росстата, в одной только Москве насчитывается более 1 100 предприятий среднего бизнеса, можно предположить, что общее число утечек доходит до 3 600 в год.
Кризис попутал
Что вызывает столь стремительный рост спроса на корпоративный шпионаж?
— До кризиса вести бизнес было просто, — говорит эксперт в области конкурентной разведки Сергей Васильев. — Взял кредит на сходных условиях, понастроил-понакупил различной продукции или торговых точек, потом — так же дешево рефинансировал кредит. Ну и так далее. В эпоху, когда деньги были дешевы, такие слова, как «баланс», «маркетинговая стратегия», «целевые ниши» и т. п., перестали восприниматься как нечто необходимое. Однако кризис все расставил по местам. Без четкой и по-хорошему наглой маркетинговой стратегии сегодня не выжить. Но для разработки такой стратегии у многих компаний просто нет необходимых человеческих ресурсов. А вот на то, чтобы «позаимствовать» удачное решение у успешного конкурента, деньги найдутся всегда.
Другой причиной роста спроса на чужие коммерческие секреты можно считать процесс глобализации и явный всплеск интереса к инновациям как источнику рыночного процветания. «Иностранные компании предельно агрессивны в поисках информации, предоставляющей различные преимущества», — говорит Джон А. Ноулан III.
В то же время лояльность работников компаниям постоянно снижается. А значит, люди куда охотнее, чем прежде, выдают важную информацию. «Раньше на тех, кто проработал в компании меньше трех лет, все смотрели косо, — говорит замдиректора российской Ассоциации по защите бизнеса Игорь Карпов. — Устроиться на хорошую должность без целого вороха рекомендательных писем было практически невозможно. А что теперь? Люди проводят в компании по 10–12 месяцев, «срубают» бонус, а потом перелетают на новое место работы. Такое понятие, как лояльность, серьезно нивелируется. А раз люди не чувствуют привязанности к компании, у них нет и внутреннего стержня, принципов, которые останавливают их от торговли информацией».
С коллегой согласен и Сергей Васильев: «В кризисную пору вопрос лояльности встал особенно остро. Практика показала: угроза увольнений приводит к потере лояльности со стороны сотрудников, легко становящихся добычей собирателей чужих секретов. А когда потоки информации слабо контролируются, уязвимость фирмы повышается».
Разведка кормит и поит
Каким же образом российский бизнес ворует секреты? Профессионалов рынка «плаща и кинжала» по работе с корпоративной информацией принято делить на две большие группы: business intelligence, или, по-русски, деловую (конкурентную) разведку, — и собственно корпоративных шпионов.
Представители деловой разведки занимаются вполне легальным сбором и анализом внешней информации, способной повлиять на планы и решения компании. По сути, услуги такого рода вписываются в понятие «нормального» консалтинга. Эксперты, нанимаемые компаниями, в основном используют открытые базы данных: Интернет, СМИ, всевозможные отраслевые справочники. «Появление новых информационных технологий и относительная дешевизна доступа к ресурсам позволяют аналитикам готовить материалы, помогающие в принятии стратегических решений», — уверен Джон А. Ноулан III.
ШПИОНЫ ИСПОЛЬЗОВАЛИ СЛОЖНУЮ КОМПЬЮТЕРНУЮ ПРОГРАММУ, ПОЗВОЛЯЮЩУЮ ВОССТАНАВЛИВАТЬ ОРИГИНАЛЫ ПОСЛЕ СКАНИРОВАНИЯ ОБРЕЗКОВ ДОКУМЕНТОВ, ПРОПУЩЕННЫХ ЧЕРЕЗ ШРЕДЕР
При этом деловая разведка — дело совершенно незазорное. Более того, топ-менеджеры и владельцы крупных компаний открыто говорят о своем интересе к деятельности подобных служб. «Для того чтобы иметь низкие и конкурентоспособные цены, наша компания еженедельно анализирует около 70 тысяч цен на разные товары в «чужих» магазинах по всей стране и даже на колхозных рынках, — говорил в одном из своих интервью главный исполнительный директор X5 Retail Group Лев Хасис. — Все это нам необходимо, чтобы устанавливать цены ниже, чем в других сетях и на рынках, либо на их уровне». Действительно, почему бы и нет?!
«Многие руководители компаний просто не представляют себе, какое количество информации, которую они считают секретной, можно извлечь из открытых, доступных всем источников, — вторит Хасису директор калифорнийской компании Alaco Амброуз Кэри. — Надо просто знать, где искать, и уметь делать это быстро. В этом и состоит главное искусство. Поэтому я едва ли могу вспомнить, когда еще в корпоративной истории компетентность, навыки, знания и умения сотрудников конкурентной разведки были настолько востребованы, как сейчас».
Впрочем, как показал проведенный «Бизнес-журналом» опрос экспертов, деловой разведкой пользуются в основном компании среднего и крупного бизнеса. Объяснение простое: чтобы ежедневно «перелопачивать» сотни страниц легальной информации, необходимо содержать целый отдел. Причем работать в нем должны не люди «с улицы», а опытные аналитики, способные выискивать в горах макулатуры крупицы ценной информации и выстраивать на их основе логические цепочки. А это, согласитесь, подразумевает несколько более высокий уровень оплаты труда и социальных гарантий, чем тот, что обнаруживается в бесплатных газетах, информирующих граждан об открытых вакансиях. Вряд ли стоит удивляться, что большинство российских компаний малого и среднего бизнеса предпочитают пользоваться «темной стороной» деловой разведки — корпоративным шпионажем.
Темная сторона разведки
В отличие от деловой разведки, корпоративные шпионы подвизаются на нелегальной стезе ознакомления с бизнес-информацией. Арсенал добычи разнообразен. Здесь и подкуп, и шантаж лиц, способных передать документацию или образцы продукции, и кража документов, и диверсии, и тайное проникновение на объекты конкурента, и внедрение агентов на предприятия. И это не считая «старых добрых методов» вроде прослушивания телефонов и проникновения в компьютерные сети «жертв». При этом, по словам Сергея Васильева, особенно популярной в последнее время становится так называемая мусорная археология — кража мусора конкурентов, из которого впоследствии «выуживаются» черновики (а если повезет, и готовые варианты) докладов, смет, приказов, распоряжений, маркетинговых исследований и т. д.
По мнению источника, за 2011 год количество заказов на копание в «грязном белье» конкурентов со стороны российского бизнеса увеличилось на 100–120%, а в текущем году темпы роста могут составить еще 80–100%. К слову, подобной «археологии» российский бизнес научился на примере США, где покупка (а то и просто воровство) мусора конкурентов — уже давно «национальный вид спорта». Так, в 2010 году Oracle признала, что нанимала детективов, которые пытались добыть мусор исследовательского центра, работавшего на Microsoft.
А год спустя разгорелся конфликт между непримиримыми конкурентами на рынке средств личной гигиены — компаниями P&G и Unilever. Unilever пришла к заключению, что корпоративная разведка P&G «вышла за рамки допустимого». Частные сыщики, нанятые P&G, прочесывали мусорные корзины неподалеку от офиса Unilever, выискивая неосторожно выброшенные документы, содержащие информацию о стратегических планах компании на рынке шампуней. Кроме того, по утверждению представителей Unilever, агенты втирались в доверие к сотрудникам компании, представляясь аналитиками-маркетологами, и таким путем выведывали нужную информацию.
P&G отрицала эти факты, однако признавала, что действия, не вполне согласующиеся с ее собственными этическими принципами, на самом деле имели место. «Досадный инцидент» (по выражению бывшего генерального директора Procter&Gamble Джона Пеппера) завершился мировым соглашением, детали которого компании не разглашали. Однако, по оценкам экспертов, сумма «тихой сделки» могла достигать десятков миллионов долларов.
Впрочем, все эти истории меркнут перед случаем, о котором «Бизнес-журналу» рассказал Игорь Карпов. Тогда, на самом «пике» битвы сотовых ритейлеров за покорение регионов, служба безопасности одного из них пришла к выводу, что кто-то из топ-менеджмента регулярно «сливает» информацию конкурентам. В течение нескольких месяцев велась тщательная проверка управленческого состава. Проверяли все: личную и корпоративную почту, звонки, даже способ проведения досуга. Но все было тщетно! Установить источник «слива» помог случай: уборщица случайно опрокинула кадку с апельсиновым деревом в центральной переговорной. Ствол сломался… и внутри изумленная женщина увидела несколько проводков. Последовавшая проверка показала: аккуратно вмонтированный мини-диктофон дотошно записывал все совещания (а они, в полном соответствии с корпоративной культурой компании, велись сверхэмоционально), после чего устройство передавало записанное через портативный передатчик. Правда, установить, кто выведывал корпоративные секреты, сотрудникам службы безопасности так и не удалось. Компания же, продавшая ритейлеру «апельсиновое дерево», оказалась фирмой-однодневкой, зарегистрированной — ирония судьбы — на паспорт бомжа, обитавшего поблизости от штаб-квартиры розничной фирмы.
Человеческий фактор
Впрочем, никакие технические средства не могут сравниться с «человеческим фактором».
— «Обработать» подходящего человека — это почти всегда безопаснее, дешевле и эффективнее, чем устанавливать дорогостоящую систему прослушивания, — уверен Сергей Васильев. — Методы очень просты. Например, днем можно зайти в компанию под видом заказчика и внимательно понаблюдать за менеджерами. Выбрать из них самого трусливого и глуповатого. А вечером позвонить ему, представиться сотрудником какой-либо известной фирмы и сообщить о желании сделать крупный заказ «прямо сейчас». Но прежде — попросить переслать нужную информацию «для уточнения данных». Обычно этого бывает достаточно. Человек, желая заработать, «сливает» все необходимое. Понятно, что потом, даже если его руководство узнает об утечке, этот менеджер будет молчать, чтобы его не приняли за полного идиота и не лишили премий и бонусов.
Васильев приводит и другой способ вытянуть из намеченной «жертвы» нужные сведения: «Например, мне нужно получить информацию о смете конкурента. Я узнаю, кто из рядовых сотрудников имеет к ней доступ, звоню ему и, придумав какую-то легенду, прошу за хорошее вознаграждение прислать мне всего несколько цифр. Чаще всего профессионалу этого достаточно, чтобы узнать о бизнес-планах компании практически все».
ОДИН ИЗ СПОСОБОВ ПОВЫСИТЬ БЕЗОПАСНОСТЬ БИЗНЕСА — ОБЕСПЕЧИТЬ КОНТРОЛЬ КАЖДОГО ДОКУМЕНТА НА ПРОТЯЖЕНИИ ВСЕГО ЕГО ЖИЗНЕННОГО ЦИКЛА, С МОМЕНТА СОЗДАНИЯ ВПЛОТЬ ДО УНИЧТОЖЕНИЯ
В свою очередь, по словам Игоря Карпова, одним из весьма популярных методов корпоративного шпионажа является «виртуальное собеседование», когда конкуренты снимают офис и приглашают ведущих сотрудников предприятия якобы на работу, предлагая более интересные условия. Если те соглашаются, с ними беседует психолог и между делом расспрашивает о работе предприятия, «выуживая» нужную информацию. Процветает и другой метод: с конкурентом в развлекательном заведении знакомится красивая девушка или мужчина (чаще всего профессиональный психолог) и в легкой беседе получает необходимые данные, которые тщательно скрывались многие годы.
Кое-кто действует и простым «нахрапом». «Бизнес-сообщество в России традиционно боится наездов со стороны МВД, ФСБ и прочих «силовиков», — рассказывает Игорь Карпов. — Корпоративные шпионы успешно используют эту боязнь: изготовив поддельные документы сотрудников этих структур, они «наезжают» на представителей менеджмента и в большинстве случаев получают нужную информацию. Ведь многим жертвам даже не приходит в голову мысль позвонить в ту же службу доверия ФСБ и рассказать о наезде».
К слову, к статьям российского Уголовного кодекса, позволяющим наказывать экономических шпионов, можно отнести умышленное повреждение имущества (ст. 167, лишение свободы на срок до пяти лет), кражу (ст. 158, лишение свободы на срок до 10 лет), коммерческий подкуп (ст. 204, лишение свободы на срок до 12 лет), нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений (ст. 138, лишение свободы на срок до четырех лет). Ну и, разумеется, следует упомянуть уголовно-правовую норму об ответственности за разглашение и использование коммерческой, налоговой и банковской тайны (ст. 183 УК РФ, лишение свободы на срок до десяти лет).
Выгодное дело
По самым скромным подсчетам, сегодня только в столичном регионе действует более сотни компаний, предлагающих те или иные услуги в области корпоративного шпионажа. Первый же запрос в «Яндексе» выдает больше 200 тысяч ссылок по этой теме, в том числе на сайты компаний, предлагающих «влезть» в базу интересующей заказчика фирмы и выудить из нее нужную информацию.
По данным центра «Инфосервис-М», в основном корпоративным шпионажем занимаются возглавляемые бывшими военными и выходцами из спецслужб фирмы со штатом в 10–15 человек, одновременно «ведущие» не более двух–трех заказов. Для сравнения: на одну только американскую Kroll Inc. со штаб-квартирой в Нью-Йорке работают свыше 4 тысяч сотрудников в 25 странах мира.
Каков общий объем российского рынка корпоративного шпионажа? По понятным причинам точную цифру определить довольно сложно. Сказывается тотальная закрытость отрасли, отсутствие специализированных исследований и нежелание игроков распространяться по поводу собственных доходов. Однако кое-какие цифры привести все же можно. По данным «Инфосервиса-М», чаще всего заказчика интересует оригинальная идея конкурента и его маркетинговая программа: получение соответствующих сведений стоит от восьми–десяти до двухсот–трехсот тысяч долларов. В «особо тяжелых» случаях эта цифра увеличивается до миллиона. Однако в среднем «цена вопроса» колеблется на уровне 20–30 тыс. долларов.
Оплата также может осуществляться с учетом времени, потраченного конкретными специалистами: в зависимости от квалификации и объема задания эта сумма составляет от 125 до 400 долларов в час. Если же говорить о чисто технической стороне вопроса, то в целом «прайс-лист» на «железо» для корпоративного шпионажа таков: «жучки» продаются сегодня по 250 долларов, цены на средства прослушивания телефонов начинаются с 700 долларов, на ручки-шпионки с вмонтированной видеокамерой — от 1,2 тыс. долларов.
По некоторым оценкам общий объем рынка корпоративного шпионажа по столичному региону в 2011 году составил не менее 200 млн. долларов. Но никто не удивится, если реальная цифра окажется еще больше. Кризис резко снизил количество клиентов, а в борьбе за место на рынке в ход идут любые средства.
Неравная борьба
Как бороться с корпоративным шпионажем? Единого рецепта нет. Все зависит от конкретной фирмы, сегмента рынка и ситуации. Однако одно неизменно. Защита от утечек информации, как и прочие виды средств защиты, обязательно должна внедряться комплексно. «Речь идет о том, что должны охватываться абсолютно все подразделения, каждое информационное рабочее место сотрудника, — уверен Валерий Андреев из ИВК. — Под пристальный контроль должны переводиться абсолютно все каналы передачи информации: Интернет, почта, внешние носители, печать, факс и др. Для повышения общей эффективности системы защиты внедрение и использование подобных технологий должно обязательно сопровождаться взаимодействием и контролем со стороны служб информационной безопасности, а также информированием сотрудников».
ВО МНОГИХ ОРГАНИЗАЦИЯХ ВВЕДЕН ЗАПРЕТ НА ПОЛЬЗОВАНИЕ ЛИЧНОЙ ПОЧТОЙ НА РАБОЧЕМ МЕСТЕ. НО ЧТО ЕСЛИ СОТРУДНИК ОТПРАВЛЯЕТ ДАННЫЕ СО СВОЕГО СМАРТФОНА ВО ВРЕМЯ ПОЛАГАЮЩЕГОСЯ ПО ЗАКОНУ ОБЕДЕННОГО ПЕРЕРЫВА?
На практике подобный подход выглядит следующим образом. «В нашей компании первый эшелон обороны — это защита интеллектуальной собственности, — продолжает Валерий Андреев. — Затем идут новые бастионы обороны, от технических до организационных. Например, создание периметра организации, выстраивание защиты на входе в компанию, деление информации по степени важности и тематике, обеспечение доступа сотрудников только к необходимой для них информации, антивирусная защита, контроль сеанса работы с ОС, предотвращение установки несанкционированного ПО, шифросредства и т. п.».
А вот в компании «Нефтесервис-консалт», которая занимается финансовым консалтингом в нефтегазовой сфере, особый акцент делают на работе с документами. «Мы заказали программное обеспечение, основанное на принципах «трех К»: «кто, когда и как» изменил тот или иной документ, — говорит директор компании Валентин Толмачев. — Это позволяет контролировать документ на протяжении всего его жизненного цикла — с момента создания и до момента уничтожения. Специальный блок этой технологии выявляет секретные документы среди потока данных, защищает конфиденциальность и целостность этой информации. Он включает два отдельных, но взаимодополняющих метода. Первый защищает документы, о секретности которых уже известно. Он использует комбинацию реактивных (вероятностных) и проактивных (детерминистских) методов. Другой блок защищает документы, которые не прошли классификацию, но могут оказаться секретными. Здесь используется эвристический анализ на основе лингвистики, фильтрация по сигнатурам и цифровые отпечатки. Это авангард современных технологий. Благодаря внедрению подобной системы в течение трех лет у нас не было ни одной информационной утечки».
Как будет развиваться ситуация на рынке корпоративного шпионажа и борьбы с ним в дальнейшем? Согласно исследованию Perimetrix, лишь 40% российских компаний заявляют о планах внедрения защиты от утечек в течение ближайших трех лет. Из них 35% организаций собираются внедрить криптографические системы для хранящихся данных, а еще 33% — системы управления информационной безопасностью. Остальные же пока демонстрируют готовность бороться с утечками исключительно с помощью административных мер, не решаясь на внедрение технических систем защиты.
Спасибо «паутине»
Любопытная тенденция: большинство опрошенных «Бизнес-журналом» экспертов в один голос утверждают, что в последнее время все большее значение при выявлении как внутренних, так и внешних шпионов начинает играть Интернет. Причем речь идет как о чисто технических приемах вывода их на чистую воду (фильтрация НТТР-потока данных, выявление нежелательной активности пользователей в сети, создание специального хранилища почтовой корреспонденции и осуществление ретроспективного анализа инцидентов утечки конфиденциальной информации), так и об «интеллектуальной» защите.
«До кризиса среди наших клиентов имелся крупный инвестбанк, заместитель гендиректора которого был, как это принято сегодня говорить, выходцем из спецслужб, — рассказывает владелец одной из компаний, предоставляющих услуги в сфере конкурентной разведки. — Покуда были деньги, банк на собственную безопасность не скупился. Так вот, по заказу бывшего контрразведчика наши специалисты разработали специальный модуль, который обеспечивал мониторинг абсолютно любой активности сотрудников банка в Интернете: в социальных сетях, в ЖЖ, в блогах, на форумах. Кроме того, был составлен список слов, выражений, речевых оборотов и т. д., которые могли нанести потенциальный ущерб корпоративной информации».
По оценкам собеседника «Бизнес-журнала», подобная система очень помогла в самом начале кризиса, когда инвестбанку нужно было срочно получить крупный заем. А для этого потенциальным кредиторам требовалось подтверждение надежности.
На чистую воду
Несмотря на появление все более совершенных систем защиты, большинство экспертов рынка уверены: внятной системы охраны корпоративных секретов в российском бизнесе почти не выстроено. Да и российское законодательство существенно ограничивает полномочия служб безопасности. Взять хотя бы такой канал, как электронная почта, который, как показало проведенное порталом SuperJob анкетирование, проверяют 28% российских компаний. С корпоративной перепиской все просто. «Служебная почта — это один из «инструментов» (наряду с компьютером и принтером), который предоставляется работнику для выполнения им своих должностных обязанностей, — поясняет адвокат коллегии адвокатов «Князев и партнеры» Андрей Паршиков. — Поэтому просмотр служебной корреспонденции не является ущемлением прав гражданина и не может повлечь за собой какой-либо ответственности со стороны руководителя». В самом деле: ст. 10 ч. 4 ФЗ РФ от 29 июля 2004 г. №98-ФЗ «О коммерческой тайне» гласит: «Обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации другие не противоречащие законодательству Российской Федерации меры».
Иное дело — личная почта. Российское законодательство однозначно ставит просмотр личных почтовых ящиков вне закона. «За несанкционированный просмотр личной электронной почты в России предусмотрена уголовная ответственность (ст. 137, 138 УК), — говорит Андрей Паршиков. — Поэтому во многих организациях введен запрет на пользование личной почтой на рабочем месте». Но что если сотрудник отправляет данные с помощью собственного смартфона? Причем не на рабочем месте, а во время полагающегося по закону обеденного перерыва?
— Один из моих клиентов рассказывал такую историю, — делится опытом Сергей Васильев. — Он тогда работал заместителем начальника по безопасности в российском филиале западной компании. Один из сотрудников сообщил «наверх», что его коллега пересылает конкурентам финансовые документы. Проверили один раз, второй. Оказалось, что человек просто фотографирует бумаги камерой смартфона — и пересылает их во время обеденного перерыва «заказчику».
По словам Васильева, «взять» сотрудника поначалу не было никакой возможности. Пересылка осуществлялась через личный смартфон, с использованием личной электронной почты, в нерабочее время и в помещении, не принадлежащем работодателю (суши-баре неподалеку). «Если бы он был «накрыт» там, то компания получила бы крупный скандал, чреватый серьезными репутационными рисками, — вспоминает Сергей Васильев. — В результате было принято решение установить миниатюрные зум-камеры в помещении, где работал шпион. На это ушла не одна тысяча долларов, но в итоге человека удалось поймать за фотографированием графиков. Хорошо еще, что в стандартном договоре о приеме на работу был пункт, согласно которому работник соглашается на ведущуюся в офисе видеосъемку. В противном случае он мог бы оправдаться тем, что за ним незаконно следят. На Западе подобные прецеденты, кстати, случались неоднократно. Ведь улики, полученные с помощью средств, которые суд сочтет незаконными, к рассмотрению не принимаются».
Главное — лояльность
Как признают многие специалисты в сфере информационной безопасности, с точки зрения надежности любым техническим средствам контроля над сотрудниками даст фору главный ограничитель — лояльность персонала.
«КТО ВЛАДЕЕТ ИНФОРМАЦИЕЙ, ТОТ ВЛАДЕЕТ МИРОМ». ЭТА ФОРМУЛА, КОТОРУЮ ПРИПИСЫВАЮТ НАТАНУ РОТШИЛЬДУ, СТАНОВИТСЯ ВСЕ БОЛЕЕ АКТУАЛЬНОЙ. СЛИШКОМ УЖ МНОГО ЖЕЛАЮЩИХ ПОЖИВИТЬСЯ ЧУЖИМИ СЕКРЕТАМИ.
— Практика показывает: чем больше люди заинтересованы в работе на компанию, чем больше они видят для себя возможностей развития в ней — тем реже они склонны к передаче информации «на сторону», — полагает Игорь Карпов.
«Если не говорить о специально внедренных в фирму шпионах, то большинство сотрудников приходят на работу на волне позитива, — дополняет Валерий Андреев. — Они хотят быть успешными сами и помочь быть успешным работодателю. Поэтому главная задача собственника или акционеров — поддержать этот настрой, развить его, не дать ему угаснуть».
Легко сказать, да трудно сделать. Каким образом удерживать мотивацию сотрудников на постоянно высоком уровне? Сергей Васильев приводит показательный пример. На одном крупном предприятии — производителе кондитерских изделий, где летом 2008 года произошла крупная «утечка» информации, стоившая компании более $100 тыс., была сформирована программа лояльности на основе опроса и дальнейшего анализа пожеланий сотрудников. Им было предложено в течение месяца складывать свои пожелания в специально созданный для этого почтовый ящик. Рассматривались все предложения, в том числе анонимные. Это дало возможность руководителям понять, чем живут сотрудники, каково их настроение, чем они недовольны и чего хотят на самом деле. По результатам анализа этих анкет был разработан ранжированный по приоритетам список мотивирующих стимулов для каждой из «целевых групп» работников. В итоге сотрудницы с маленькими детьми получили нормированный рабочий день, желающие продолжить или завершить образование — оплату учебного отпуска, а, скажем, некурящие — экскурсионные туры и оплату фитнес-центра. «Учитывая, что с тех пор утечек информации на предприятии не было, внедрение персонализированной системы мотивации оказалось оправданным на сто процентов», — резюмирует Сергей Васильев.
Меры по повышению лояльности могут быть как материальными (зарплата, премии, подарки, страховка, представительские расходы, оплата связи, транспортных и других расходов), так и нематериальными (благодарность, внутренний PR, повышение статуса, карьерный рост, благоприятная рабочая обстановка и так далее). При этом специалисты по HR предостерегают от «перегибов» в ту или иную сторону. К примеру, ежеквартальное повышение зарплаты или выплата премий сначала воспринимается как вознаграждение, а потом уже как норма. И если в силу объективных обстоятельств компания за следующий период не станет повышать зарплату, то это резко ударит по лояльности, и все усилия работодателя пропадут втуне.
«Материальная мотивация — одна из ведущих, но не всегда главных, — уверен Игорь Карпов. — Поэтому служба подбора персонала и руководитель должны очень детально знать потребности каждого сотрудника, их «красные кнопки». По мнению эксперта, такие «пряники», как хороший полис ДМС, оплата сотовой связи и транспортных расходов, помощь в аренде спортзала для корпоративного футбола формируют корпоративную культуру, сплачивают коллектив и ведут к значительному снижению риска столкнуться с «утечкой» информации.
«Одним из главных факторов я считаю лояльность персонала к компании, — подводит итог руководитель управления маркетинга, рекламы и PR компании «Стеклонит Менеджмент» Екатерина Никонова. — Если человеку станет невыгодно продавать сведения, если его работа на предприятии будет намного важнее и прибыльнее тех бонусов, которые сулят конкуренты, то опасность передачи данных резко снизится. Кстати, на нашем предприятии мы проводим конкурс, в котором сотрудники поощряются премиями и турпоездками за полезную информацию о конкурентах. Главное — добиться того, чтобы получить информацию о вашем бизнесе стало примерно так же дорого, как разработать оригинальную идею самому. И тогда вы станете не слишком интересным объектом для шпионажа».
Что же, будем крепить оборону!
Дмитрий Киров, «Бизнес-журнал Онлайн», Nr.2 (179), 22.02.2011
https://www.business-magazine.ru/trends/ ... pub336238/
План Ротшильда
«Кто владеет информацией, тот владеет миром». Эту более чем актуальную фразу произнес не какой-нибудь бизнес-гуру начала XXI века вроде Кьелла Нордстрема. И даже не легендарный советский разведчик Рудольф Абель. Автор этого высказывания — Натан Ротшильд, основатель знаменитого банкирского дома. До 1815 года Ротшильд был известным предпринимателем, владевшим банком в Лондоне. Но не более. Вознестись на вершину славы и богатства ему помог… Наполеон Бонапарт, вздумавший взять реванш у европейских держав при Ватерлоо и снова бросить Старый свет к своим ногам.
У Ротшильда же был другой план — бросить к своим ногам всю финансовую систему Европы. Благодаря своим шпионам он первым в Англии узнал о поражении Наполеона. После этого Ротшильд демонстративно приступил к массовой продаже британских акций. Биржевики сразу же последовали его примеру, так как, зная об осведомленности Ротшильда, решили, что англичане проиграли французам. Когда же ценные бумаги упали до предельно низкого уровня, Ротшильд тайно скупил их все до одной, получив 20-кратный доход. Ряд подобных операций настолько обогатил клан, что он смог контролировать всю экономику Великобритании. А со временем — превратить Лондон в финансовую столицу мира.
Конечно, Ротшильд — далеко не единственный, кто в прошлые века благодаря добытой различными путями информации пришел к финансовому триумфу. Чего стоит одна только охота за секретом китайского фарфора, который стянули французы, а запатентовали англичане, предварительно экспроприировав его у соседей! Или похищение американцами чертежей прядильных машин, работавших на английских фабриках в Ланкашире, что стало отправной точкой для создания и развития хлопчатобумажной промышленности в Новом Свете. Однако именно Ротшильда считают основателем одной из величайших систем экономической разведки своего времени. Своим примером банкир доказал: для того чтобы преуспеть, вовсе не обязательно производить какой-либо эксклюзивный товар или предлагать уникальную услугу. Достаточно просто «позаимствовать» соответствующую информацию у конкурентов и использовать «добычу» в своих интересах.
Масштабы бедствия
Корпоративный шпионаж (именно так сегодня назвали бы любую из многочисленных комбинаций, которые проворачивал Ротшильд) — давний источник головной боли для владельцев как крупных корпораций, так и компаний малого и среднего бизнеса. Так, в 2006 году был украден ноутбук с персональными данными 382 тысяч служащих компании Boeing, в результате чего последней пришлось потратить 146 млн долларов только на мониторинг банковских счетов сотрудников. В 2007-м произошла утечка в сети розничных компаний TJX, в результате которой в руки злоумышленников попала база транзакций по кредитным картам, содержавшая более 94 млн записей. Ущерб составил более 2 млрд долларов. В том же году японская компания Dai Nippon Printing потеряла жесткий диск с базой персональных данных на 8,64 млн граждан. Фондовая биржа отреагировала мгновенно: всего за несколько дней котировки компании потеряли более 25%. Список этот можно продолжать и продолжать.
«Промышленный шпионаж получает огласку только в крайних случаях, — подтверждает заместитель директора по науке и развитию компании «ИВК» Валерий Андреев. — Злоумышленнику нет смысла хвастать такими подвигами, а потерпевшей стороне не хочется получать сильнейший удар по репутации и выглядеть растяпой. Получить же достойную компенсацию, даже выиграв дело в суде, практически невозможно. Ведь интеллектуальная собственность российских компаний, за редкими исключениями, не защищена патентами и свидетельствами».
Подобная тенденция, к слову, характерна и для зарубежных рынков. «Даже в случае, когда компания схватила шпионящего соперника за руку, вопрос решается тихо, — говорил в своем выступлении на Business Research Conference в Майами в 2009 году гендиректор американской Phoenix Consulting group Inc. Джон А. Ноулан III (его компания занимается борьбой с корпоративным шпионажем). — Люди, севшие в лужу, не хотят, чтобы об этом узнали их акционеры».
ПРОМЫШЛЕННЫЙ ШПИОНАЖ ПОЛУЧАЕТ ОГЛАСКУ ТОЛЬКО В КРАЙНИХ СЛУЧАЯХ. ЗЛОУМЫШЛЕННИКУ НЕТ СМЫСЛА ХВАСТАТЬ ПОДВИГАМИ, А ПОТЕРПЕВШЕЙ СТОРОНЕ НЕ ХОЧЕТСЯ ПОЛУЧАТЬ СИЛЬНЕЙШИЙ УДАР ПО РЕПУТАЦИИ И ВЫГЛЯДЕТЬ РАСТЯПОЙ
По статистике компании Perimetrix, занимающейся обеспечением корпоративной безопасности, средняя российская организация ежегодно допускает как минимум четыре серьезные утечки информации. Учитывая, что, по данным Росстата, в одной только Москве насчитывается более 1 100 предприятий среднего бизнеса, можно предположить, что общее число утечек доходит до 3 600 в год.
Кризис попутал
Что вызывает столь стремительный рост спроса на корпоративный шпионаж?
— До кризиса вести бизнес было просто, — говорит эксперт в области конкурентной разведки Сергей Васильев. — Взял кредит на сходных условиях, понастроил-понакупил различной продукции или торговых точек, потом — так же дешево рефинансировал кредит. Ну и так далее. В эпоху, когда деньги были дешевы, такие слова, как «баланс», «маркетинговая стратегия», «целевые ниши» и т. п., перестали восприниматься как нечто необходимое. Однако кризис все расставил по местам. Без четкой и по-хорошему наглой маркетинговой стратегии сегодня не выжить. Но для разработки такой стратегии у многих компаний просто нет необходимых человеческих ресурсов. А вот на то, чтобы «позаимствовать» удачное решение у успешного конкурента, деньги найдутся всегда.
Другой причиной роста спроса на чужие коммерческие секреты можно считать процесс глобализации и явный всплеск интереса к инновациям как источнику рыночного процветания. «Иностранные компании предельно агрессивны в поисках информации, предоставляющей различные преимущества», — говорит Джон А. Ноулан III.
В то же время лояльность работников компаниям постоянно снижается. А значит, люди куда охотнее, чем прежде, выдают важную информацию. «Раньше на тех, кто проработал в компании меньше трех лет, все смотрели косо, — говорит замдиректора российской Ассоциации по защите бизнеса Игорь Карпов. — Устроиться на хорошую должность без целого вороха рекомендательных писем было практически невозможно. А что теперь? Люди проводят в компании по 10–12 месяцев, «срубают» бонус, а потом перелетают на новое место работы. Такое понятие, как лояльность, серьезно нивелируется. А раз люди не чувствуют привязанности к компании, у них нет и внутреннего стержня, принципов, которые останавливают их от торговли информацией».
С коллегой согласен и Сергей Васильев: «В кризисную пору вопрос лояльности встал особенно остро. Практика показала: угроза увольнений приводит к потере лояльности со стороны сотрудников, легко становящихся добычей собирателей чужих секретов. А когда потоки информации слабо контролируются, уязвимость фирмы повышается».
Разведка кормит и поит
Каким же образом российский бизнес ворует секреты? Профессионалов рынка «плаща и кинжала» по работе с корпоративной информацией принято делить на две большие группы: business intelligence, или, по-русски, деловую (конкурентную) разведку, — и собственно корпоративных шпионов.
Представители деловой разведки занимаются вполне легальным сбором и анализом внешней информации, способной повлиять на планы и решения компании. По сути, услуги такого рода вписываются в понятие «нормального» консалтинга. Эксперты, нанимаемые компаниями, в основном используют открытые базы данных: Интернет, СМИ, всевозможные отраслевые справочники. «Появление новых информационных технологий и относительная дешевизна доступа к ресурсам позволяют аналитикам готовить материалы, помогающие в принятии стратегических решений», — уверен Джон А. Ноулан III.
ШПИОНЫ ИСПОЛЬЗОВАЛИ СЛОЖНУЮ КОМПЬЮТЕРНУЮ ПРОГРАММУ, ПОЗВОЛЯЮЩУЮ ВОССТАНАВЛИВАТЬ ОРИГИНАЛЫ ПОСЛЕ СКАНИРОВАНИЯ ОБРЕЗКОВ ДОКУМЕНТОВ, ПРОПУЩЕННЫХ ЧЕРЕЗ ШРЕДЕР
При этом деловая разведка — дело совершенно незазорное. Более того, топ-менеджеры и владельцы крупных компаний открыто говорят о своем интересе к деятельности подобных служб. «Для того чтобы иметь низкие и конкурентоспособные цены, наша компания еженедельно анализирует около 70 тысяч цен на разные товары в «чужих» магазинах по всей стране и даже на колхозных рынках, — говорил в одном из своих интервью главный исполнительный директор X5 Retail Group Лев Хасис. — Все это нам необходимо, чтобы устанавливать цены ниже, чем в других сетях и на рынках, либо на их уровне». Действительно, почему бы и нет?!
«Многие руководители компаний просто не представляют себе, какое количество информации, которую они считают секретной, можно извлечь из открытых, доступных всем источников, — вторит Хасису директор калифорнийской компании Alaco Амброуз Кэри. — Надо просто знать, где искать, и уметь делать это быстро. В этом и состоит главное искусство. Поэтому я едва ли могу вспомнить, когда еще в корпоративной истории компетентность, навыки, знания и умения сотрудников конкурентной разведки были настолько востребованы, как сейчас».
Впрочем, как показал проведенный «Бизнес-журналом» опрос экспертов, деловой разведкой пользуются в основном компании среднего и крупного бизнеса. Объяснение простое: чтобы ежедневно «перелопачивать» сотни страниц легальной информации, необходимо содержать целый отдел. Причем работать в нем должны не люди «с улицы», а опытные аналитики, способные выискивать в горах макулатуры крупицы ценной информации и выстраивать на их основе логические цепочки. А это, согласитесь, подразумевает несколько более высокий уровень оплаты труда и социальных гарантий, чем тот, что обнаруживается в бесплатных газетах, информирующих граждан об открытых вакансиях. Вряд ли стоит удивляться, что большинство российских компаний малого и среднего бизнеса предпочитают пользоваться «темной стороной» деловой разведки — корпоративным шпионажем.
Темная сторона разведки
В отличие от деловой разведки, корпоративные шпионы подвизаются на нелегальной стезе ознакомления с бизнес-информацией. Арсенал добычи разнообразен. Здесь и подкуп, и шантаж лиц, способных передать документацию или образцы продукции, и кража документов, и диверсии, и тайное проникновение на объекты конкурента, и внедрение агентов на предприятия. И это не считая «старых добрых методов» вроде прослушивания телефонов и проникновения в компьютерные сети «жертв». При этом, по словам Сергея Васильева, особенно популярной в последнее время становится так называемая мусорная археология — кража мусора конкурентов, из которого впоследствии «выуживаются» черновики (а если повезет, и готовые варианты) докладов, смет, приказов, распоряжений, маркетинговых исследований и т. д.
По мнению источника, за 2011 год количество заказов на копание в «грязном белье» конкурентов со стороны российского бизнеса увеличилось на 100–120%, а в текущем году темпы роста могут составить еще 80–100%. К слову, подобной «археологии» российский бизнес научился на примере США, где покупка (а то и просто воровство) мусора конкурентов — уже давно «национальный вид спорта». Так, в 2010 году Oracle признала, что нанимала детективов, которые пытались добыть мусор исследовательского центра, работавшего на Microsoft.
А год спустя разгорелся конфликт между непримиримыми конкурентами на рынке средств личной гигиены — компаниями P&G и Unilever. Unilever пришла к заключению, что корпоративная разведка P&G «вышла за рамки допустимого». Частные сыщики, нанятые P&G, прочесывали мусорные корзины неподалеку от офиса Unilever, выискивая неосторожно выброшенные документы, содержащие информацию о стратегических планах компании на рынке шампуней. Кроме того, по утверждению представителей Unilever, агенты втирались в доверие к сотрудникам компании, представляясь аналитиками-маркетологами, и таким путем выведывали нужную информацию.
P&G отрицала эти факты, однако признавала, что действия, не вполне согласующиеся с ее собственными этическими принципами, на самом деле имели место. «Досадный инцидент» (по выражению бывшего генерального директора Procter&Gamble Джона Пеппера) завершился мировым соглашением, детали которого компании не разглашали. Однако, по оценкам экспертов, сумма «тихой сделки» могла достигать десятков миллионов долларов.
Впрочем, все эти истории меркнут перед случаем, о котором «Бизнес-журналу» рассказал Игорь Карпов. Тогда, на самом «пике» битвы сотовых ритейлеров за покорение регионов, служба безопасности одного из них пришла к выводу, что кто-то из топ-менеджмента регулярно «сливает» информацию конкурентам. В течение нескольких месяцев велась тщательная проверка управленческого состава. Проверяли все: личную и корпоративную почту, звонки, даже способ проведения досуга. Но все было тщетно! Установить источник «слива» помог случай: уборщица случайно опрокинула кадку с апельсиновым деревом в центральной переговорной. Ствол сломался… и внутри изумленная женщина увидела несколько проводков. Последовавшая проверка показала: аккуратно вмонтированный мини-диктофон дотошно записывал все совещания (а они, в полном соответствии с корпоративной культурой компании, велись сверхэмоционально), после чего устройство передавало записанное через портативный передатчик. Правда, установить, кто выведывал корпоративные секреты, сотрудникам службы безопасности так и не удалось. Компания же, продавшая ритейлеру «апельсиновое дерево», оказалась фирмой-однодневкой, зарегистрированной — ирония судьбы — на паспорт бомжа, обитавшего поблизости от штаб-квартиры розничной фирмы.
Человеческий фактор
Впрочем, никакие технические средства не могут сравниться с «человеческим фактором».
— «Обработать» подходящего человека — это почти всегда безопаснее, дешевле и эффективнее, чем устанавливать дорогостоящую систему прослушивания, — уверен Сергей Васильев. — Методы очень просты. Например, днем можно зайти в компанию под видом заказчика и внимательно понаблюдать за менеджерами. Выбрать из них самого трусливого и глуповатого. А вечером позвонить ему, представиться сотрудником какой-либо известной фирмы и сообщить о желании сделать крупный заказ «прямо сейчас». Но прежде — попросить переслать нужную информацию «для уточнения данных». Обычно этого бывает достаточно. Человек, желая заработать, «сливает» все необходимое. Понятно, что потом, даже если его руководство узнает об утечке, этот менеджер будет молчать, чтобы его не приняли за полного идиота и не лишили премий и бонусов.
Васильев приводит и другой способ вытянуть из намеченной «жертвы» нужные сведения: «Например, мне нужно получить информацию о смете конкурента. Я узнаю, кто из рядовых сотрудников имеет к ней доступ, звоню ему и, придумав какую-то легенду, прошу за хорошее вознаграждение прислать мне всего несколько цифр. Чаще всего профессионалу этого достаточно, чтобы узнать о бизнес-планах компании практически все».
ОДИН ИЗ СПОСОБОВ ПОВЫСИТЬ БЕЗОПАСНОСТЬ БИЗНЕСА — ОБЕСПЕЧИТЬ КОНТРОЛЬ КАЖДОГО ДОКУМЕНТА НА ПРОТЯЖЕНИИ ВСЕГО ЕГО ЖИЗНЕННОГО ЦИКЛА, С МОМЕНТА СОЗДАНИЯ ВПЛОТЬ ДО УНИЧТОЖЕНИЯ
В свою очередь, по словам Игоря Карпова, одним из весьма популярных методов корпоративного шпионажа является «виртуальное собеседование», когда конкуренты снимают офис и приглашают ведущих сотрудников предприятия якобы на работу, предлагая более интересные условия. Если те соглашаются, с ними беседует психолог и между делом расспрашивает о работе предприятия, «выуживая» нужную информацию. Процветает и другой метод: с конкурентом в развлекательном заведении знакомится красивая девушка или мужчина (чаще всего профессиональный психолог) и в легкой беседе получает необходимые данные, которые тщательно скрывались многие годы.
Кое-кто действует и простым «нахрапом». «Бизнес-сообщество в России традиционно боится наездов со стороны МВД, ФСБ и прочих «силовиков», — рассказывает Игорь Карпов. — Корпоративные шпионы успешно используют эту боязнь: изготовив поддельные документы сотрудников этих структур, они «наезжают» на представителей менеджмента и в большинстве случаев получают нужную информацию. Ведь многим жертвам даже не приходит в голову мысль позвонить в ту же службу доверия ФСБ и рассказать о наезде».
К слову, к статьям российского Уголовного кодекса, позволяющим наказывать экономических шпионов, можно отнести умышленное повреждение имущества (ст. 167, лишение свободы на срок до пяти лет), кражу (ст. 158, лишение свободы на срок до 10 лет), коммерческий подкуп (ст. 204, лишение свободы на срок до 12 лет), нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений (ст. 138, лишение свободы на срок до четырех лет). Ну и, разумеется, следует упомянуть уголовно-правовую норму об ответственности за разглашение и использование коммерческой, налоговой и банковской тайны (ст. 183 УК РФ, лишение свободы на срок до десяти лет).
Выгодное дело
По самым скромным подсчетам, сегодня только в столичном регионе действует более сотни компаний, предлагающих те или иные услуги в области корпоративного шпионажа. Первый же запрос в «Яндексе» выдает больше 200 тысяч ссылок по этой теме, в том числе на сайты компаний, предлагающих «влезть» в базу интересующей заказчика фирмы и выудить из нее нужную информацию.
По данным центра «Инфосервис-М», в основном корпоративным шпионажем занимаются возглавляемые бывшими военными и выходцами из спецслужб фирмы со штатом в 10–15 человек, одновременно «ведущие» не более двух–трех заказов. Для сравнения: на одну только американскую Kroll Inc. со штаб-квартирой в Нью-Йорке работают свыше 4 тысяч сотрудников в 25 странах мира.
Каков общий объем российского рынка корпоративного шпионажа? По понятным причинам точную цифру определить довольно сложно. Сказывается тотальная закрытость отрасли, отсутствие специализированных исследований и нежелание игроков распространяться по поводу собственных доходов. Однако кое-какие цифры привести все же можно. По данным «Инфосервиса-М», чаще всего заказчика интересует оригинальная идея конкурента и его маркетинговая программа: получение соответствующих сведений стоит от восьми–десяти до двухсот–трехсот тысяч долларов. В «особо тяжелых» случаях эта цифра увеличивается до миллиона. Однако в среднем «цена вопроса» колеблется на уровне 20–30 тыс. долларов.
Оплата также может осуществляться с учетом времени, потраченного конкретными специалистами: в зависимости от квалификации и объема задания эта сумма составляет от 125 до 400 долларов в час. Если же говорить о чисто технической стороне вопроса, то в целом «прайс-лист» на «железо» для корпоративного шпионажа таков: «жучки» продаются сегодня по 250 долларов, цены на средства прослушивания телефонов начинаются с 700 долларов, на ручки-шпионки с вмонтированной видеокамерой — от 1,2 тыс. долларов.
По некоторым оценкам общий объем рынка корпоративного шпионажа по столичному региону в 2011 году составил не менее 200 млн. долларов. Но никто не удивится, если реальная цифра окажется еще больше. Кризис резко снизил количество клиентов, а в борьбе за место на рынке в ход идут любые средства.
Неравная борьба
Как бороться с корпоративным шпионажем? Единого рецепта нет. Все зависит от конкретной фирмы, сегмента рынка и ситуации. Однако одно неизменно. Защита от утечек информации, как и прочие виды средств защиты, обязательно должна внедряться комплексно. «Речь идет о том, что должны охватываться абсолютно все подразделения, каждое информационное рабочее место сотрудника, — уверен Валерий Андреев из ИВК. — Под пристальный контроль должны переводиться абсолютно все каналы передачи информации: Интернет, почта, внешние носители, печать, факс и др. Для повышения общей эффективности системы защиты внедрение и использование подобных технологий должно обязательно сопровождаться взаимодействием и контролем со стороны служб информационной безопасности, а также информированием сотрудников».
ВО МНОГИХ ОРГАНИЗАЦИЯХ ВВЕДЕН ЗАПРЕТ НА ПОЛЬЗОВАНИЕ ЛИЧНОЙ ПОЧТОЙ НА РАБОЧЕМ МЕСТЕ. НО ЧТО ЕСЛИ СОТРУДНИК ОТПРАВЛЯЕТ ДАННЫЕ СО СВОЕГО СМАРТФОНА ВО ВРЕМЯ ПОЛАГАЮЩЕГОСЯ ПО ЗАКОНУ ОБЕДЕННОГО ПЕРЕРЫВА?
На практике подобный подход выглядит следующим образом. «В нашей компании первый эшелон обороны — это защита интеллектуальной собственности, — продолжает Валерий Андреев. — Затем идут новые бастионы обороны, от технических до организационных. Например, создание периметра организации, выстраивание защиты на входе в компанию, деление информации по степени важности и тематике, обеспечение доступа сотрудников только к необходимой для них информации, антивирусная защита, контроль сеанса работы с ОС, предотвращение установки несанкционированного ПО, шифросредства и т. п.».
А вот в компании «Нефтесервис-консалт», которая занимается финансовым консалтингом в нефтегазовой сфере, особый акцент делают на работе с документами. «Мы заказали программное обеспечение, основанное на принципах «трех К»: «кто, когда и как» изменил тот или иной документ, — говорит директор компании Валентин Толмачев. — Это позволяет контролировать документ на протяжении всего его жизненного цикла — с момента создания и до момента уничтожения. Специальный блок этой технологии выявляет секретные документы среди потока данных, защищает конфиденциальность и целостность этой информации. Он включает два отдельных, но взаимодополняющих метода. Первый защищает документы, о секретности которых уже известно. Он использует комбинацию реактивных (вероятностных) и проактивных (детерминистских) методов. Другой блок защищает документы, которые не прошли классификацию, но могут оказаться секретными. Здесь используется эвристический анализ на основе лингвистики, фильтрация по сигнатурам и цифровые отпечатки. Это авангард современных технологий. Благодаря внедрению подобной системы в течение трех лет у нас не было ни одной информационной утечки».
Как будет развиваться ситуация на рынке корпоративного шпионажа и борьбы с ним в дальнейшем? Согласно исследованию Perimetrix, лишь 40% российских компаний заявляют о планах внедрения защиты от утечек в течение ближайших трех лет. Из них 35% организаций собираются внедрить криптографические системы для хранящихся данных, а еще 33% — системы управления информационной безопасностью. Остальные же пока демонстрируют готовность бороться с утечками исключительно с помощью административных мер, не решаясь на внедрение технических систем защиты.
Спасибо «паутине»
Любопытная тенденция: большинство опрошенных «Бизнес-журналом» экспертов в один голос утверждают, что в последнее время все большее значение при выявлении как внутренних, так и внешних шпионов начинает играть Интернет. Причем речь идет как о чисто технических приемах вывода их на чистую воду (фильтрация НТТР-потока данных, выявление нежелательной активности пользователей в сети, создание специального хранилища почтовой корреспонденции и осуществление ретроспективного анализа инцидентов утечки конфиденциальной информации), так и об «интеллектуальной» защите.
«До кризиса среди наших клиентов имелся крупный инвестбанк, заместитель гендиректора которого был, как это принято сегодня говорить, выходцем из спецслужб, — рассказывает владелец одной из компаний, предоставляющих услуги в сфере конкурентной разведки. — Покуда были деньги, банк на собственную безопасность не скупился. Так вот, по заказу бывшего контрразведчика наши специалисты разработали специальный модуль, который обеспечивал мониторинг абсолютно любой активности сотрудников банка в Интернете: в социальных сетях, в ЖЖ, в блогах, на форумах. Кроме того, был составлен список слов, выражений, речевых оборотов и т. д., которые могли нанести потенциальный ущерб корпоративной информации».
По оценкам собеседника «Бизнес-журнала», подобная система очень помогла в самом начале кризиса, когда инвестбанку нужно было срочно получить крупный заем. А для этого потенциальным кредиторам требовалось подтверждение надежности.
На чистую воду
Несмотря на появление все более совершенных систем защиты, большинство экспертов рынка уверены: внятной системы охраны корпоративных секретов в российском бизнесе почти не выстроено. Да и российское законодательство существенно ограничивает полномочия служб безопасности. Взять хотя бы такой канал, как электронная почта, который, как показало проведенное порталом SuperJob анкетирование, проверяют 28% российских компаний. С корпоративной перепиской все просто. «Служебная почта — это один из «инструментов» (наряду с компьютером и принтером), который предоставляется работнику для выполнения им своих должностных обязанностей, — поясняет адвокат коллегии адвокатов «Князев и партнеры» Андрей Паршиков. — Поэтому просмотр служебной корреспонденции не является ущемлением прав гражданина и не может повлечь за собой какой-либо ответственности со стороны руководителя». В самом деле: ст. 10 ч. 4 ФЗ РФ от 29 июля 2004 г. №98-ФЗ «О коммерческой тайне» гласит: «Обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации другие не противоречащие законодательству Российской Федерации меры».
Иное дело — личная почта. Российское законодательство однозначно ставит просмотр личных почтовых ящиков вне закона. «За несанкционированный просмотр личной электронной почты в России предусмотрена уголовная ответственность (ст. 137, 138 УК), — говорит Андрей Паршиков. — Поэтому во многих организациях введен запрет на пользование личной почтой на рабочем месте». Но что если сотрудник отправляет данные с помощью собственного смартфона? Причем не на рабочем месте, а во время полагающегося по закону обеденного перерыва?
— Один из моих клиентов рассказывал такую историю, — делится опытом Сергей Васильев. — Он тогда работал заместителем начальника по безопасности в российском филиале западной компании. Один из сотрудников сообщил «наверх», что его коллега пересылает конкурентам финансовые документы. Проверили один раз, второй. Оказалось, что человек просто фотографирует бумаги камерой смартфона — и пересылает их во время обеденного перерыва «заказчику».
По словам Васильева, «взять» сотрудника поначалу не было никакой возможности. Пересылка осуществлялась через личный смартфон, с использованием личной электронной почты, в нерабочее время и в помещении, не принадлежащем работодателю (суши-баре неподалеку). «Если бы он был «накрыт» там, то компания получила бы крупный скандал, чреватый серьезными репутационными рисками, — вспоминает Сергей Васильев. — В результате было принято решение установить миниатюрные зум-камеры в помещении, где работал шпион. На это ушла не одна тысяча долларов, но в итоге человека удалось поймать за фотографированием графиков. Хорошо еще, что в стандартном договоре о приеме на работу был пункт, согласно которому работник соглашается на ведущуюся в офисе видеосъемку. В противном случае он мог бы оправдаться тем, что за ним незаконно следят. На Западе подобные прецеденты, кстати, случались неоднократно. Ведь улики, полученные с помощью средств, которые суд сочтет незаконными, к рассмотрению не принимаются».
Главное — лояльность
Как признают многие специалисты в сфере информационной безопасности, с точки зрения надежности любым техническим средствам контроля над сотрудниками даст фору главный ограничитель — лояльность персонала.
«КТО ВЛАДЕЕТ ИНФОРМАЦИЕЙ, ТОТ ВЛАДЕЕТ МИРОМ». ЭТА ФОРМУЛА, КОТОРУЮ ПРИПИСЫВАЮТ НАТАНУ РОТШИЛЬДУ, СТАНОВИТСЯ ВСЕ БОЛЕЕ АКТУАЛЬНОЙ. СЛИШКОМ УЖ МНОГО ЖЕЛАЮЩИХ ПОЖИВИТЬСЯ ЧУЖИМИ СЕКРЕТАМИ.
— Практика показывает: чем больше люди заинтересованы в работе на компанию, чем больше они видят для себя возможностей развития в ней — тем реже они склонны к передаче информации «на сторону», — полагает Игорь Карпов.
«Если не говорить о специально внедренных в фирму шпионах, то большинство сотрудников приходят на работу на волне позитива, — дополняет Валерий Андреев. — Они хотят быть успешными сами и помочь быть успешным работодателю. Поэтому главная задача собственника или акционеров — поддержать этот настрой, развить его, не дать ему угаснуть».
Легко сказать, да трудно сделать. Каким образом удерживать мотивацию сотрудников на постоянно высоком уровне? Сергей Васильев приводит показательный пример. На одном крупном предприятии — производителе кондитерских изделий, где летом 2008 года произошла крупная «утечка» информации, стоившая компании более $100 тыс., была сформирована программа лояльности на основе опроса и дальнейшего анализа пожеланий сотрудников. Им было предложено в течение месяца складывать свои пожелания в специально созданный для этого почтовый ящик. Рассматривались все предложения, в том числе анонимные. Это дало возможность руководителям понять, чем живут сотрудники, каково их настроение, чем они недовольны и чего хотят на самом деле. По результатам анализа этих анкет был разработан ранжированный по приоритетам список мотивирующих стимулов для каждой из «целевых групп» работников. В итоге сотрудницы с маленькими детьми получили нормированный рабочий день, желающие продолжить или завершить образование — оплату учебного отпуска, а, скажем, некурящие — экскурсионные туры и оплату фитнес-центра. «Учитывая, что с тех пор утечек информации на предприятии не было, внедрение персонализированной системы мотивации оказалось оправданным на сто процентов», — резюмирует Сергей Васильев.
Меры по повышению лояльности могут быть как материальными (зарплата, премии, подарки, страховка, представительские расходы, оплата связи, транспортных и других расходов), так и нематериальными (благодарность, внутренний PR, повышение статуса, карьерный рост, благоприятная рабочая обстановка и так далее). При этом специалисты по HR предостерегают от «перегибов» в ту или иную сторону. К примеру, ежеквартальное повышение зарплаты или выплата премий сначала воспринимается как вознаграждение, а потом уже как норма. И если в силу объективных обстоятельств компания за следующий период не станет повышать зарплату, то это резко ударит по лояльности, и все усилия работодателя пропадут втуне.
«Материальная мотивация — одна из ведущих, но не всегда главных, — уверен Игорь Карпов. — Поэтому служба подбора персонала и руководитель должны очень детально знать потребности каждого сотрудника, их «красные кнопки». По мнению эксперта, такие «пряники», как хороший полис ДМС, оплата сотовой связи и транспортных расходов, помощь в аренде спортзала для корпоративного футбола формируют корпоративную культуру, сплачивают коллектив и ведут к значительному снижению риска столкнуться с «утечкой» информации.
«Одним из главных факторов я считаю лояльность персонала к компании, — подводит итог руководитель управления маркетинга, рекламы и PR компании «Стеклонит Менеджмент» Екатерина Никонова. — Если человеку станет невыгодно продавать сведения, если его работа на предприятии будет намного важнее и прибыльнее тех бонусов, которые сулят конкуренты, то опасность передачи данных резко снизится. Кстати, на нашем предприятии мы проводим конкурс, в котором сотрудники поощряются премиями и турпоездками за полезную информацию о конкурентах. Главное — добиться того, чтобы получить информацию о вашем бизнесе стало примерно так же дорого, как разработать оригинальную идею самому. И тогда вы станете не слишком интересным объектом для шпионажа».
Что же, будем крепить оборону!
Дмитрий Киров, «Бизнес-журнал Онлайн», Nr.2 (179), 22.02.2011
https://www.business-magazine.ru/trends/ ... pub336238/