Разделяй, учи, следи

По данным исследования Global Economic Crime Survey, которое проводит PwC, ежегодно жертвами разного рода экономических преступлений становятся более трети крупнейших компаний мира. Четверть подобных происшествий сопряжены с хищением данных и конфиденциальной информации посредством компьютерных сетей и промышленного шпионажа.

Под грифом «Секретно»
Необходимым условием надёжной защиты, по мнению западных экспертов, является создание детального плана соблюдения коммерческой тайны. Он должен включать в себя два базовых элемента – разграничение доступа и мониторинг.

За обеспечение эксклюзивного доступа отвечают кодовые замки, физическая охрана помещений, правила обращения с мусором, системы видеонаблюдения, контроль над прототипами, ведение записей и организация закрытых презентаций. Рекомендуется обязать сотрудников досить беджи, установить в зонах ограниченного доступа табло, информирующие об этом, ввести обязательный журнал посещения закрытых помещений, жёсткие правила использования компьютерных паролей. Также необходимо внед-рить в практику правила контроля, не допускающие проникновения в места хранения конфиденциальных материалов внешних посетителей.

Научная и техническая информация должна быть сброшюрована и иметь гриф секретности. Следует исключить её несанкционированное копирование. При этом сведения обо всех экземплярах (включая их местоположение) необходимо протоколировать. Санкцию на выбрасывание секретных документов должно давать уполномоченное ответственное лицо. Любые конфиденциальные бумаги перед отправкой в мусорную корзину должны быть приведены в негодность с использованием устройств уничтожения документов.

Компании, интеллектуальной собственностью которых является уникальная рецептура, практикуют кодирование компонентов и ингредиентов. Например, при получении партии оригинальные наклейки производителя удаляют и заменяют на цветные или пронумерованные по внутренним правилам.

Контроль за действиями сотрудников, направленный на защиту коммерческой тайны, должен начинаться с момента получения их резюме в качестве соискателей. Во всех средних и крупных компаниях претенденты на занятие вакантных должностей обязательно проверяются на предмет совершённых ранее преступлений.
Работнику сразу необходимо изложить требования, связанные с обеспечением безопасности. Если в ходе беседы работодатель предполагает открыть потенциально опасную информацию о бизнесе, претендент должен подписать соглашение о конфиденциальности.

В первый же рабочий день нового сотрудника нужно проинформировать о том, какую конкретно информацию он должен держать в секрете. Как правило, в крупных компаниях эта функция реализуется через кодексы корпоративного поведения. В соответствующих документах североамериканских железнодорожных компаний коммерческая информация именуется активом, который подлежит обязательной охране независимо от формы представления – электронной или печатной. В кодексе Canadian National, к примеру, сотрудникам предписано хранить в безопасном месте рабочие пароли и карты доступа, не допуская их использования посторонними. Покидая рабочее место, необходимо выйти из Сети или заблокировать компьютер. Сотрудник несёт полную ответственность за противоправные действия, совершённые при использовании его учётных данных, в том числе за просмотр запрещённых интернет-страниц. В кодексе сказано, что вся переписка, телефонные переговоры и другие формы коммуникации с внешним миром фиксируются средствами мониторинга.

За нарушение правил предусмотрены жёсткие меры, вплоть до увольнения.

Границы контроля
Ряд компаний практикует подписание соглашений, содержащих положения о конфиденциальности. При этом деятельность сотрудников может подвергаться автоматическому дистанционному мониторингу, особенно в случаях использования компьютерной и телекоммуникационной техники. Работодатели устанавливают программные или аппаратные регистраторы нажатия клавиатуры, снабжают компьютерные сети анализаторами пакетов данных.

Впрочем, подобная слежка не должна переходить границы дозволенного. Например, в 2009-м Deutsche Bahn была оштрафована за нарушение правил обращения с личными данными. Компания с 1997 по 2006 год в устной форме отдавала сторонним фирмам распоряжения по мониторингу счетов своих сотрудников. В общей сложности объектами наблюдения стали около 180 тыс. человек. Руководство Deutsche Bahn пыталось таким образом обезопасить себя от коррупции в процессе закупок. Надо сказать, что довольно успешно. Собранные данные легли в основу уголовных обвинений против 150 работников, заподозренных в нечистоплотности.

Особое внимание рекомендуется уделять мониторингу активности сотрудников в социальных сетях. Преступники, атакующие компанию из-за пределов её корпоративной среды, часто используют их для сбора информации. В кодексе корпоративного поведения Canadian National правилам работы с соцсетями посвящён целый раздел. При публикации какой-либо информации о компании сотрудникам предлагается руководствоваться здравым смыслом, избегая раскрытия конфиденциальных данных. Комментируя ту или иную новость о Canadian National, сотрудники обязаны указывать, что выражают лишь собственную точку зрения.

Для пассажирских перевозчиков опасность таится ещё и в необходимости использования систем онлайн-бронирования. Они могут стать каналами инфицирования компьютерными вирусами, угрожающими другим системам. Для предотвращения атак устанавливают дополнительные средства управления безопасностью. Они базируются на разграничении доступа с использованием системы электронных сертификатов.

Серьёзное внимание уделяется защите внутренней переписки. Например, Deutsche Bahn недавно перешла на использование системы ePost Select. Она позволяет на этапе отправки сообщения определить способ доставки – бумажным письмом, бандеролью или в цифровой зашифрованной форме. С помощью ePost Select кадровый департамент компании рассылает сотрудникам расчётные листки и другую финансовую информацию.

Уроки безопасности
Но полицейские методы решают не все вопросы. Важным моментом является обучение сотрудников. С одной стороны, речь должна идти о чётком разъяснении их обязанностей по защите информации, а с другой – о возможных последствиях нарушения принятых правил.

Не следует пренебрегать такими, казалось бы, очевидными рекомендациями, как не обсуждать рабочие вопросы в присутствии посторонних (например, в лифте или ресторане), а также в личной переписке.

Сотрудники должны чётко осознавать разницу между обычной и конфиденциальной информацией. При увольнении рекомендуется проводить прощальное собеседование, чтобы определить, какие угрозы безопасности компании несёт уход человека, а также дополнительно указать на необходимость сохранения коммерческой тайны. Не лишним будет подписание соглашения о неразглашении или подобного документа.

Немаловажным вопросом является корпоративное управление прежде всего в деле предотвращения киберпреступлений. Ещё недавно директора по информационной безопасности в большинстве компаний находились в подчинении директоров по информационным технологиям. Сегодня они всё чаще имеют статус заместителей генерального директора. Рост в корпоративной иерархии гарантирует, что вопросам защиты данных будет уделено должное внимание.

Важным аспектом контроля коммерческой информации является регулярный аудит, направленный на обеспечение сохранности физических образцов, технической и финансовой документации, проверку соблюдения правил доступа к ним. В соглашениях с поставщиками, внешними консультантами, подрядчиками должны содержаться положения о конфиденциальности. Но даже это не гарантирует полной защиты. Весной этого года в Японии разгорелся скандал, связанный с утечкой данных о технологиях производства подвижного состава для высокоскоростного пассажирского сообщения. Соглашение Kawasaki Heavy Industries с китайской CSR Sifang о передаче технической документации содержало все необходимые оговорки о конфиденциальности и предусматривало использование её только при производстве продукции для внутреннего рынка. Однако это не помешало китайским партнёрам нарушить договорённости – японцы утверждают, что их патентованные технологии используются в экспортных вариантах подвижного состава.

Новым вызовом для компаний стали утечки персональных данных сотрудников. С апреля 2006 по январь 2007 года американская Union Pacific зафиксировала восемь удачных попыток хищения информации. Украденные данные о 35,7 тыс. действующих и прежних сотрудниках компании хранились на ноутбуках и флеш-дисках.

Union Pacific по решению суда создала фонд объёмом $550 тыс. для выплаты компенсаций пострадавшим.

Это не единичный случай. Так, в 2008-м сотрудник британского подразделения аудиторской компании Deloitte потерял ноутбук с данными пенсионного фонда, обслуживавшего счета инфраструктурной компании Network Rail.

Сейчас в европейских компаниях защиту персональных данных обеспечивают специально уполномоченные сотрудники. Они определяют правила хранения, обработки и защиты личной информации работников и клиентов. Соответствующая должность была введена согласно директиве Евросоюза в 1995 году. Однако эффективность подобной меры вызывает сомнения. Ведь, к примеру, в ходе расследования уже упомянутого скандала со слежкой в Deutsche Bahn выяснилось, что директор по защите данных даже не был уведомлён о столь радикальных мерах контроля.