Contact us in messengers or by phone.

whatsapp telegram viber phone email
+79214188555

Competitors are not sleeping, or How to protect your business from spies

НСК-СБ

Staff member
Private access level
Full members of NP "MOD"
Joined
Jul 14, 2011
Messages
3,169
Reaction score
2,157
Points
613
Location
Новосибирск
Competitors are not sleeping, or How to protect your business from spies

Author: Valery Afanasyev, industrial espionage, economic security.

If you were planning to conduct a survey among executives of various levels to find out how “economic espionage” affects the business and “how they deal with it,” you would probably be surprised how many of our Russian top managers or do not attach any importance to these issues , or give them very little attention. Meanwhile, economic espionage today is a common phenomenon. Ignoring it means letting competitors go ahead at your expense.

Three myths - three mistakes

In the depths of Russian business, three myths about business espionage were born and cute.

Myth # 1 - "My business is not big enough to be of any interest for espionage!"

What does this statement lead to?

To the first mistake - I do not protect my business from espionage.

Since I am sure that espionage is not being conducted against my business, then, naturally, there is no sense in building any kind of anti-espionage system. Why spend money against what is not!

As a consequence of this, in the best case, the constant profit is much less than what one could get, in the worst case, the profit decreases, the total costs grow, and the business gradually ceases to exist.

Question for thought: "Why is any business interesting for espionage, and it doesn’t matter at all whether it’s big or small?" And in order to make it easier for you to start your reasoning, I propose to ponder the question: "What is a business?"

At my workshops, I give the following definition:
"Business is an independent activity carried out with risk in order to obtain systematic profit."

Myth No. 2 - "Espionage is always illegal activity."

Some managers believe that this activity is based on the use of, as a rule, expensive technical means for unauthorized information retrieval (for example, by “wiretapping”, covert video surveillance, etc.). It is also believed that the information received can be further used to recruit the right people (through blackmail, bribery, etc.) or to develop measures of "ordinary theft" of other missing information or products.

And what is a businessman doing who suddenly realized that espionage is being conducted against his "profitable business", while we note that his ideas about espionage are based on myth No. 2?

That's right, he makes the following mistake. The whole system of countering espionage is to identify, prevent and suppress illegal activities obtaining information by using technical means unauthorized removal of information. What do we get in the end? A lot of money is being spent, but the problem remains.

Question for reflection: "Espionage and intelligence is a designation of the same activity, or are there significant differences?" "If yes, then what is intelligence?" When you come to the right answer, you can easily realize what the second mistake is. I just note that "The economic security of an enterprise is a state of commercial, financial, industrial and any other activity in the enterprise, in which impossible or difficult cause economic damage to the enterprise. "

Myth No. 3 - “It’s enough to have a person who was previously an employee of one or another special service (FSB, Ministry of Internal Affairs, Ministry of Defense, etc.) as the head of the enterprise’s security service, and the problem of espionage will be solved.”

This leads to the fact that the business owner is completely fenced off from anything related to espionage, putting all the issues related to this problem on the shoulders of the “employee”. What does the businessman get in the end?

Mistake No. 3. The fight against economic espionage is either not being conducted at all as it should, or is being conducted inefficiently.

Why? Yes, because a businessman, having at his disposal such a “cool tool” in the person of a “servant”, does not know or does not know how to correctly “apply” it in his business, because he does not know the specifics of special services. On the other hand, the head of the security service, being a highly qualified specialist in the field of security, cannot fully realize his ability to protect the business of his "master", since, no matter how trite it may sound, he simply does not know what a "business" is. And, not knowing what IT is, how can IT be "effectively" protected?

Stealing is easier than creating

Human life, as a rule, is largely characterized by an elementary tense relationship: our versatile and limitless needs (for example, food, clothing, housing, lifestyle) are confronted only in a very limited amount of funds that are directly available to satisfy them. Reducing the tension of these relations is possible in two ways:

• not all needs are met;
• the amount of available funds is expanding.

One way to expand your capabilities is to start doing business. I don’t think that anyone will object to me that the basic law of business is to systematically make a profit.

But in order to get something, you need to invest something. At the same time, on the one hand, many are interested in “giving” as little as possible, but “taking” as much as possible, and on the other hand, what is the guarantee that the money invested in a particular business will not disappear. Therefore, if someone’s business constantly brings not just some profit, but one whose average value tends to increase every month, and the entrepreneurial risk is negligible, then such a business is interesting to almost anyone who has the necessary the amount of money to organize such a business.

As a rule, the cornerstones of any business are:

• idea (what needs to be done to make a profit);
• process (the activity of making a profit, that is, the correct organization of certain business processes in the company);
• effective risk management.

Let's look at these points.

1. What is meant by "idea" here? That which can bring the greatest profit from the available money. But, you can come up with an “idea” yourself, but you can borrow this time and money from others. And it’s faster and cheaper. But who wants to share the idea - the "gold mine"? Therefore, it is taken without demand.

2. The "process"? Under the "process" you need to understand such an organization of business activities that would allow you to get more profit than competitors. In the West, it’s now fashionable to use benchmarking to achieve this goal. We have few who want to share their "unique technologies." Why teach someone, even if it’s not a direct competitor? Many do it easier. They increase profits by increasing turnover, stealing a customer database from their competitor. If profit growth is possible due to cost reduction, for example, transaction costs, unscrupulous companies obtain information from a more successful competitor: thanks to which technologies, the competitor’s business processes are organized more efficiently.

3. "Risk management". In order to “manage”, one must “know”, i.e. own information that would reduce the possibility of causing economic damage to the enterprise.

So still, why is espionage a critical threat to any business?

"Espionage" is a tool in the hands of the head of the enterprise for obtaining information. For example, using espionage, you can get the greatest result at the lowest cost.

Now that there is a “buyer's market” rather than a “seller’s market” everywhere, it’s more important to know no one what buy or what to produce, and to whom to sell, i.e. who is guaranteed to buy.

The issue of protecting the "customer database" has been, is and will remain relevant for a long time to come. After all, not everyone is interested or agree to develop their own customer base. There will always be someone who would like to take advantage of the competitor’s already developed base.

Interception of a more profitable contract, the desire to win a particular tender, enter the market with a new product earlier than you, intercept your prospective employee, save on scientific and technical work when developing a new product - how much can your "espionage" still use? competitor, working against you. Just think about what losses "espionage" incurs against you if you do not defend effectively!

How to defeat spies?

It is considered that the components of the enterprise security system are:

• a routine analysis of threats to the security of the enterprise;
• threat assessment;
• planning of measures to localize threats;
• direct implementation of measures to counter threats;
• integrated use of the forces and equipment involved in all of the above areas.

Many security experts also believe that the management of an integrated security system is a special case of management in organizational-technological type systems.

In their opinion, the complete set of control functions in such systems comprise the following four functions:

• planning;
• operational dispatch control;
• calendar planning;
• ensuring the daily activities of governing bodies.

But we must not forget that the security system itself is also subject to internal and external threats. Therefore, in order not to “get lost” in all these interconnected and interdependent security levels, it is advisable, in my opinion, to introduce the concept of the limit or sufficiency of protective measures.

Thus, we must proceed from the fact that the means of protection interact in a complex way with each other, with the subject of the threat and the object of protection, and the effectiveness of their application depends on many factors.

The types of protective equipment are also diverse and different according to the principles of construction, functionality, cost. From which two conclusions follow:

1. Protection should be designed as a single system.
2. The protection system should be built taking into account certain principles that ensure the effectiveness of their creation and operation.

These principles are:

• complexity;
• separation;
• equal strength of borders;
• reasonable sufficiency;
• continuity.

Let us consider in more detail what it is.

The principle of "complexity" means that when building a protection system it is necessary to take into account all types of possible threats and all possible means of protection for a given enterprise. The use of these means should be consistent with possible types of threats, and the means of protection should function in concert as a single defense mechanism, mutually complementing each other in a functional and technical sense. Particular attention should be paid to providing “joints” between the various protective equipment.

The principle of separation consists in creating several successive lines of protection so that the most important security zone of the object is inside other zones.

The principle of "equal strength" It requires that all sections of all the borders protecting the security zone be “equally strong” in terms of the likely implementation of the threat. If there are weak, poorly protected places at the borders, and this is known to competitors, then no effective measures in other areas will protect this security zone.

The principle of "reasonable sufficiency" is to establish some acceptable level of security, without trying to create an “absolute” defense. With sufficient funds and time, any protection can be overcome. A highly effective protection system is expensive, so it is important to choose the sufficient level at which the probability and size of possible damage are optimally combined with the cost of the security system. When implementing this method, it is necessary to use the ranking of threats from the point of view of the impact on the enterprise by degree of importance.

The principle of "continuity" It requires that during the functioning of the protection system there should be no interruptions in its operation caused by repairs, changing passwords, etc., which the threat subject can take advantage of.

Thus, the following main conclusions can be drawn:

1. The most effective enterprise protection system can be built with an integrated, systematic approach to organizing the protection process
2. The protection system must necessarily ensure the fulfillment of two fundamental functions:
• functions of creating protection mechanisms;
• control functions of this mechanism.

Therefore, the system of counteracting economic espionage is a set of goals, objectives and main lines of activity of the enterprise’s counterintelligence service, as well as various types, forms, methods and the corresponding management mechanism aimed at ensuring the economic security of the enterprise.
Competitors are not sleeping, or How to protect your business from spies "
 
Original message
Конкуренты не спят, или Как защитить свой бизнес от шпионов

Автор: Валерий Афанасьев, промышленный шпионаж, экономическая безопасность.

Если бы вы задумали провести опрос среди руководителей различного уровня, чтобы выяснить, как влияет на бизнес "экономический шпионаж" и "как они с ним борются", то наверняка удивились, как много наших российских топ-менеджеров или совсем не придают никакого значения этим вопросам, или уделяют им очень незначительное внимание. Между тем экономический шпионаж сегодня — явление распространенное. Игнорировать его — значит позволить конкурентам вырваться вперед за ваш счет.

Три мифа — три ошибки

В недрах российского бизнеса родились и мило существуют три мифа об бизнес-шпионаже.

Миф № 1 — "Мой бизнес не настолько большой, чтобы представлять какой-либо интерес для шпионажа!"

К чему же приводит данное утверждение?

К первой ошибке — Я никак не защищаю свой бизнес от шпионажа.

Раз я уверен, что против моего бизнеса не ведется шпионаж, то, естественно, нет и смысла строить какую-либо систему противодействия шпионажу. Зачем тратить деньги против того, чего нет!

Как следствие этого, в лучшем случае — постоянная прибыль значительно меньше той, какую можно было бы получать, в худшем случае — прибыль уменьшается, общие затраты растут, и бизнес постепенно прекращает свое существование.

Вопрос для размышления: "Почему интерес для шпионажа может представлять любой бизнес, при этом совершенно не важно, большой это бизнес или маленький?" А чтобы вам было легче начать свои рассуждения, предлагаю задуматься над вопросом: "Что же такое бизнес?"

На своих практических семинарах я привожу следующее определение:
"Бизнес — самостоятельная, осуществляемая с риском деятельность с целью получения систематической прибыли".

Миф № 2 — "Шпионаж — это всегда противозаконная деятельность".

Некоторые руководители полагают, что данная деятельность основана на применении, как правило, дорогостоящих технических средств для несанкционированного съема информации (например, путем "прослушки", скрытого видеонаблюдения и т.п.). Также считается, что полученная информация может в дальнейшем использоваться для проведения вербовки нужных людей (путем шантажа, подкупа и т.д.) или же для разработки мероприятий "обычного воровства" других недостающих сведений или изделий.

И что же делает бизнесмен, который вдруг осознал, что против его "доходного дела" ведется шпионаж, при этом заметим, что его представления о шпионаже у него базируются на мифе № 2?

Совершенно верно, он допускает следующую ошибку. Вся система противодействия шпионажу заключается в выявлении, предупреждении и пресечении противозаконной деятельности добывания сведений путем использования технических средств несанкционированного съема информации. Что получаем в итоге? Деньги тратятся немалые, а проблема остается.

Вопрос для размышления: "Шпионаж и разведка — это обозначение одной и той же деятельности или существуют существенные различия?" "Если „да“, то тогда что такое „разведка“?" Когда вы придете к правильному ответу, то сможете легко осознать, в чем заключается вторая ошибка. Я лишь замечу, что "Экономическая безопасность предприятия — это такое состояние коммерческой, финансовой, производственной и любой другой деятельности на предприятии, при которой невозможно или затруднительно нанести экономический ущерб данному предприятию".

Миф № 3 — "Достаточно на должности начальника службы безопасности предприятия иметь человека, ранее являвшегося сотрудником той или иной спецслужбы (ФСБ, МВД, МО и т.д.), и проблема шпионажа будет решена".

Это приводит к тому, что собственник бизнеса полностью отгораживается от всего, что связано со шпионажем, возложив все вопросы, связанные с этой проблемой, на плечи "служивого". Что же в итоге получает бизнесмен?

Ошибка № 3. Борьба с экономическим шпионажем или ведется совсем не так как надо, или ведется неэффективно.

Почему? Да потому что бизнесмен, имея в своем распоряжении такой "классный инструмент" в лице "служивого", не знает или не умеет, как грамотно его "применять" в своем бизнесе, потому что не знает специфику спецслужб. С другой стороны, начальник службы безопасности, являясь высококлассным специалистом в области безопасности, не может полностью реализовать свои возможности по защите бизнеса своего "хозяина", так как, как бы банально это не звучало, он просто не знает, что такое "бизнес". А, не зная, что ЭТО такое, как можно ЭТО "эффективно" защищать?

Украсть легче, чем создать

Человеческая жизнь, как правило, в существенной мере характеризуется элементарным напряженным соотношением: нашим разносторонним и безграничным потребностям (например, в еде, одежде, жилье, образе жизни) противостоят только в очень ограниченном объеме средства, которые непосредственно имеются для их удовлетворения. Снижение напряженности этих отношений возможно двумя путями:

• не все потребности удовлетворяются;
• объем имеющихся в распоряжении средств расширяется.

Одним из способов расширить свои возможности — это начать заниматься бизнесом. Не думаю, что кто-то мне возразит, что основной закон бизнеса состоит в систематическом получении прибыли.

Но чтобы что-то получить, надо что-то вложить. В тоже время, с одной стороны, многие заинтересованы как можно меньше "дать", но как можно больше "взять", а с другой стороны, какая гарантия, что вложенные деньги в то или иное дело не пропадут. Поэтому, если у кого-то какой-либо бизнес постоянно приносит не просто какую-то прибыль, а такую, чья среднестатистическая величина каждый месяц имеет тенденцию увеличиваться, а предпринимательский риск при этом незначительный, то такой бизнес интересен практически любому, у кого имеется необходимое количество денег для организации такого бизнеса.

Как правило, краеугольными камнями любого бизнеса являются:

• идея (что нужно делать, чтобы получать прибыль);
• процесс (сама деятельность получения прибыли, т.е. правильная организация тех или иных бизнес-процессов в компании);
• эффективное управление рисками.

Давайте разберем эти пункты.

1. Что же здесь понимать под "идеей"? То, что может принести наибольшую прибыль от имеющихся в наличие денег. Но, "идею" можно как придумать самому, но это время и деньги, так и позаимствовать у других. А это и быстрее и дешевле. Но кто же захочет поделиться идеей — "золотой жилой"? Поэтому ее берут без спроса.

2. "Процесс"? Под "процессом" надо понимать такую организацию бизнес-деятельности, которая бы позволила получать большую прибыль, чем у конкурентов. На западе для достижения такой цели сейчас модно применять «бенчмаркинг». У нас же мало кто захочет поделиться своими "уникальными технологиями". Зачем учить кого-то, даже если это и не прямой конкурент? Многие поступают проще. Увеличивают прибыль за счет увеличения оборота, воруют базу данных клиентов у своего конкурента. Если же увеличение прибыли возможно за счет снижения затрат, например, трансакциозных издержек, недобросовестные компании добывают сведения у более успешного конкурента: благодаря каким технологиям бизнес-процессы конкурента организованы более эффективно.

3. "Управление риском". Чтобы "управлять", надо "знать", т.е. владеть информацией, которая бы позволила уменьшить возможность нанесения экономического ущерба предприятию.

Так все же почему "шпионаж" для любого бизнеса является важнейшей угрозой?

"Шпионаж" — это инструмент в руках руководителя предприятия по добыванию информации. Например, применяя шпионаж, вы как раз и можете при наименьших затратах получить набольший результат.

Сейчас, когда повсюду наблюдается "рынок покупателя", а не "рынок продавца", важнее знать не у кого что купить или что производить, а кому продать, т.е. кто гарантированно купит.

Вопрос защиты "базы данных клиентов" был, есть и будет еще долгое время оставаться актуальным. Ведь не все же заинтересованы или согласны в наработке своей собственной базы покупателей. Всегда найдется тот, кто бы хотел воспользоваться уже наработанной базой своего конкурента.

Перехват более выгодного контракта, желание победить в том или ином тендере, выйти на рынок с новым продуктом раньше вас, перехватить вашего перспективного сотрудника, сэкономить на научно-технической работе при разработке нового продукта — да мало ли для чего еще может использовать "шпионаж" ваш конкурент, работая против вас. Только задумайтесь, какие убытки несет "шпионаж" против вас, если вы не будете эффективно защищаться!

Как победить шпионов?

Принято считать, что слагаемыми системы безопасности предприятия являются:

• осуществляемый на плановой основе анализ угроз безопасности предприятия;
• оценка угроз;
• планирование мер по локализации угроз;
• непосредственное осуществление мер по противодействию угрозам;
• комплексное использование задействованных сил и средств на всех вышеуказанных направлениях.

Многие специалисты в области безопасности также считают, что управление комплексной системой защиты является частным случаем управления в системах организационно-технологического типа.

По их мнению, полное множество функций управления в таких системах составляют следующие четыре функции:

• планирование;
• оперативно-диспетчерское управление;
• календарно-плановое руководство;
• обеспечение повседневной деятельности органов управления.

Но нельзя забывать, что сама система безопасности тоже подвержена внутренним и внешним угрозам. Поэтому, чтобы не "заблудиться" во всех этих взаимосвязанных и взаимозависимых уровнях безопасности, целесообразно, по моему мнению, ввести понятие о пределе или достаточности мер защиты.

Таким образом, надо исходить из того, что средства защиты сложным образом взаимодействуют друг с другом, с субъектом угрозы и объектом защиты, а эффективность их применения зависит от множества факторов.

Типы средств защиты также многообразны и различны по принципам построения, функциональным возможностям, стоимости. Из чего следуют два вывода:

1. Защита должна проектироваться как единая система.
2. Система защиты должна строиться с учетом определенных принципов, обеспечивающих эффективность их создания и эксплуатации.

Такими принципами являются:

• комплексность;
• эшелонирование;
• равнопрочность рубежей;
• разумная достаточность;
• непрерывность.

Рассмотрим подробнее, что это такое.

Принцип "комплексности" означает, что при построении системы защиты необходимо учитывать все виды возможных угроз и все возможные для данного предприятия средства защиты. Применение этих средств должно быть согласовано с возможными видами угроз, а средства защиты должны функционировать согласованно как единый механизм защиты, взаимно дополняя друг друга в функциональном и техническом смысле. Особое внимание должно уделяться обеспечению "стыков" между различными средствами защиты.

Принцип "эшелонирования" заключается в создании нескольких последовательных рубежей защиты таким образом, чтобы наиболее важная зона безопасности объекта находилась внутри других зон.

Принцип "равнопрочности" требует, чтобы все участки всех рубежей, защищающих зону безопасности, были "равнопрочными" с точки зрения вероятной реализации угрозы. Если в рубежах есть слабые, плохо защищенные места, и это известно конкурентам, то никакие эффективные меры на остальных участках не защитят эту зону безопасности.

Принцип "разумной достаточности" заключается в установлении некоторого приемлемого уровня безопасности, без попыток создать "абсолютную" защиту. При достаточном количестве средств и времени можно преодолеть любую защиту. Высокоэффективная система защиты стоит дорого, поэтому важно выбрать тот достаточный уровень, при котором вероятность и размер возможного ущерба оптимально сочетаются с затратами на систему безопасности. При реализации этого метода необходимо использовать ранжирование угроз с точки зрения влияния на предприятие по степени важности.

Принцип "непрерывности" требует, чтобы в процессе функционирования системы защиты не было перерывов в ее работе, вызванных ремонтом, сменой паролей и т.п., которыми может воспользоваться субъект угрозы.

Таким образом, можно сделать следующие основные выводы:

1. Наиболее эффективная система защиты предприятия может быть построена при комплексном, системном подходе к организации процесса защиты
2. Система защиты в обязательном порядке должна обеспечивать выполнение двух основополагающих функций:
• функции создания механизмов защиты;
• функции управления этим механизмом.

Поэтому система противодействия экономическому шпионажу представляет собой комплекс целей, задач и основных направлений деятельности службы контрразведки предприятия, а также различных видов, форм, методов и соответствующего механизма управления, направленных на обеспечение экономической безопасности предприятия.
Конкуренты не спят, или Как защитить свой бизнес от шпионов »