Проект видавничого дому «МЕДІА-ПРО»
Бизнес идет в разведку: конкурентная разведка и информационная безопасность | director.com.ua

Бизнес идет в разведку: конкурентная разведка и информационная безопасность

Автор статьи: 

Денис ЛИСИЦЫН,
независимый эксперт

Заглавное изображение: 

Случалось ли вам быть свидетелем такой ситуации: человек устроился на новую работу, поработал месяц — и вот уже несет в отдел кадров заявление «по собственному желанию». Не сложились взаимоотношения в коллективе? Возможно. Спустя неделю ваш главный конкурент объявляет о запатентованной им прогрессивной технологии, в которой вы узнаете… новейшую разработку вашего конструкторского бюро, публично ранее не озвученную. Дежавю или конкурентная разведка?

Новый участник бизнес-среды

В последнюю неделю уходящего 2010 года служба исследований компании Headhunter провела опрос среди 1253 организаций, главной темой которого стало «отношение к конкурентам».

Согласно результатам опроса, 84 % респондентов следят за экономической жизнью конкурентов, 54 % стараются узнать о состоянии бизнеса конкурирующих компаний, а 49 % интересуются их активностями и другими событиями. Почти четверти опрошенных интересно узнать, как у компаний-конкурентов обстоят дела с прибылью, а 18 % следят за жизнью их отдельных персон.

Такая ситуация естественна, ведь после более чем 25-ти лет успешного использования инструментов и методик конкурентной разведки международными корпорациями в США и Европе, в Украине она развивается и завоевывает позиции в числе участников бизнес-среды чрезвычайно быстро и даже выделяется в самостоятельный вид предпринимательства. Появляются коммерческие организации, применяющие самые совершенные технологические средства для получения разнообразной информации о субъектах предпринимательской деятельности.

Бизнес идет в разведку

Определение конкурентной разведки (она же бизнес-разведка, деловая, аналитическая, коммерческая и т. д.) звучит вполне безобидно. Конкурентная разведка (от англ. CompetitiveIntelligence, CI) — сбор и обработка данных из разных источников для выработки управленческих решений с целью повышения конкурентоспособности коммерческой организации, проводимые в рамках закона и с соблюдением этических норм; а также структурное подразделение предприятия, выполняющее эти функции. Довольно «бело и пушисто», но от промышленного шпионажа данный способ получения информации о конкурентах отделяет довольно тонкая грань.

Приведем несколько примеров, когда конкурентная разведка может сыграть ключевую роль в жизни предприятия:
•опережение конкурентов как в различных тендерах, так и в маркетинговых кампаниях («Вы все еще кипятите? Тогда мы идем к Вам… раньше других»);
•слияния и поглощения на более выгодных условиях (возможности слияний и поглощений выявляются конкурентной разведкой, без которой они могли бы остаться незамеченными);
•раннее предупреждение о появлении нового конкурента, технологии, канала сбыта («Вчера у конкурентов были раки по три рубля, сегодня — по пять, а мы сделаем по четыре»);
•выявление различных каналов утечки информации («Извините, а откуда вы узнали, что у нас раки будут по четыре?»).

Это лишь несколько самых очевидных примеров. При системной работе службы конкурентной разведки предприятие может получить ощутимые преимущества в гораздо большем количестве областей.

Участники опроса отмечают: «Данная тема всегда была и будет актуальной. Нет ни одного бизнесмена, который бы не хотел идти хоть на полшага впереди конкурентов. Любая продвинутая технология, оригинальная модернизация или просто «фишка» стоят очень дорого. Поэтому экономическая эффективность кражи имеет большую рентабельность».

На сегодняшний день многочисленные способы конкурентной разведки можно выделить в четыре основные группы:
1. Разведка техническими средствами.
2. Анализ данных, доступных через открытые источники (пресс-релизы, социальные сети, отзывы и т. д.).
3. Инсайд.
4. Социальная инженерия.

Конечно, некоторые из способов конфликтуют с законом, поэтому рассмотрим только «безобидные».

«Здравствуйте, я по объявлению»

У каждой серьезной компании наверняка найдутся такие «коммерческие тайны», о которых не следует знать конкурентам. В 2001 году одна из крупнейших американских корпораций EnronCorporation объявила о банкротстве: причиной стала утечка информации о ее убытках. Если бы этого не произошло, менеджерам, вполне возможно, удалось бы вывести компанию из кризиса.

Эксперты уже давно подсчитали, что в шести случаях из десяти для банкротства компании достаточно утечки всего лишь 20 % ее коммерческих секретов.

В то же время, согласно самым последним исследованиям систем IT-безопасности, проведенным Департаментом внутренней безопасности США, большинство утечек данных происходят по вине человека. Тесты показали, что нынешние автоматизированные средства безопасности сравнительно неплохо защищают компьютеры, однако злоумышленники все чаще используют для вторжения в систему банальную человеческую глупость.

Например, согласно исследованию, проведенному компанией SearchInform, ведущим разработчиком систем ИБ в странах СНГ, в Киеве 71,4 % компаний угрожает утечка конфиденциальной информации. При этом лишь в 22,9 % организаций применяют специальные средства защиты. По итогам анкетирования, в котором участвовали 100 представителей государственных и коммерческих организаций Киева, лишь 14,3 % руководителей доверяют ИБ предприятия специальному отделу, т. е. профессионально подготовленным офицерам безопасности. Более половины респондентов (54,7 %) возложили ответственность за сохранность данных на IT-отдел, который, по идее, должен обеспечивать бесперебойное функционирование IТ-инфраструктуры организации, а не ее ИБ.

Результаты исследований комментирует Сергей Дяченко, подполковник запаса СБУ, бывший сотрудник подразделения по борьбе с киберпреступлениями с 2000 года: «На сегодня ситуация с ИБ полностью созвучна славянскому менталитету: «Либо все, либо ничего». Это проявляется так: или полное разгильдяйство, или доведенная до маразма ситуация. Хуже всего — в государственном секторе. Если на обеспечение ИБ и выделяется какой-то бюджет, то лишь по остаточному принципу: руководство не видит реальной выгоды от создания специального отдела ИБ, установки полноценной системы, по крайней мере, до тех пор, пока не столкнется с несколькими(!) серьезными инцидентами. Я наблюдал за ситуациями, когда в бюджетной организации использовались достаточно современные и дорогие решения от Cisco, но при этом системные администраторы путали второй и третий уровни OSI и не могли правильно настроить firewall». В подобных условиях не будет заниматься конкурентной разведкой разве что ленивый.

Получение сведений о конкуренте уже на стадии проведения собеседования с его действующим или уволенным/уволившимся сотрудником — сейчас отнюдь не редкость. Даже подписание соглашения о неразглашении не способно гарантированно спасти руководство организации от нерадивых работников. Важно помнить, что и самый «надежный» сотрудник может выдать «секреты» компании по неосторожности или неосведомленности, а иногда и по «злому умыслу». К тому же именно проверенные сотрудники зачастую располагают крайне ценными для компании-конкурента сведениями.

«Действительно конфиденциальную информацию можно получить от небольшого количества конкретных топ-менеджеров. Но это и ограниченный круг лиц, и ограниченный объем информации. Если же нужна именно она, находится способ выхода на этих людей. Если же решено применять собеседование, инсайдеры обращаются к знакомому рекрутеру, чтобы тот вышел на нужного кандидата и провел с ним собеседование», — рассказывает Михаил Молоканов, президент Профессиональной ассоциации «Клуб-бизнес тренеров».

А ведь каждый из нас хотя бы единожды побывал на собеседовании или, как его иногда называют, интервью! Тревожным является и тот факт, что по данным соцопроса, проведенного порталом hh.ru, примерно половина респондентов согласилась с утверждением, что они могли бы раскрыть корпоративную тайну кому-либо из близких при условии, что эти сведения дальше не распространятся. При этом 30 % опрошенных уже поделились конфиденциальной информацией с друзьями или родственниками, а некоторые из них — с конкурентами.

Целью прохождения собеседования обычно является поиск более интересной и высокооплачиваемой работы. Одни регулярно ходят на интервью, чтобы оценить уровень своих знаний, конкурентоспособность, желая не отставать от тенденций отрасли; другие — по заданию от конкурентов.

Рассмотрим собеседование как способ получения конкурентного преимущества.

На любом малом или крупном предприятии наблюдается некоторая текучесть кадров. Каждая серьезная компания знает о своих главных конкурентах и внимательно отслеживает все, что с ними происходит. В ситуации, когда любое преимущество перед конкурентом может значительно повлиять на ход «игры», грех не пригласить на фиктивное собеседование «вражеского» сотрудника, в особенности, обиженного на руководство.

Типовые вопросы «разведчиков» звучат так:
•расскажите о себе;
•расскажите о технологиях, использованных вами в Ваших проектах;
•как Вы относитесь к работе в open space?
•перечислите технологии, которые вы хотели бы изучить;
•почему вы хотите сменить работу?
•имели ли вы опыт работы с ATMEGA28? и т. д.

На первый взгляд, ничего особенного… Но если поставить целью выяснение стратегических планов конкурента, то вопросы не кажутся столь безобидными. Грамотно составленные вопросы, а также правильная подборка нескольких кандидатов из одной и той же организации, позволяют узнать о конкуренте практически все. Здесь не помогут даже соглашения о неразглашении. Ведь, если известно, что конкурент использует технологии A и B, а его сотрудник недавно прошел сертификацию на технологию C, становится очевидным, что за этим скрываются какие-то причины.

В рамках собеседований также обычно проводятся всеобъемлющее техническое тестирование соискателя и проверка знания заявленных в резюме технологий, что также может пригодиться «разведчику».

«Бывали случаи, когда кандидата принимали на должность, но после прохождения испытательного срока (после получения от него всей нужной информации) увольняли. Однако чаще всего собеседование используется как бенчмаркинг — получение сведений о «лучших практиках» и общей обстановке на рынке. Такую информацию даже сложно назвать конфиденциальной, скорее, труднодоступной», — подчеркивает г-н Молоканов.

Доверяй, но проверяй

Может ли сегодня руководитель обезопасить свою компанию от утечек? Правильно составленное соглашение о неразглашении коммерческой тайны подробно описывает, какая информация относится к конфиденциальной, каковы права и обязанности сторон, а также регламентирует срок действия договора и меры взыскания при его нарушении. Обычно сотрудник не имеет права разглашать информацию даже после смены места работы. Чаще всего такой срок варьируется от одного года до пяти лет. И не думайте, будто такие договоры являются простой формальностью. В течение шести с половиной лет легендарный автогонщик Бен Коллинз скрывался под маской Стига — самого таинственного участника британского шоу TopGear, истинная личность которого до определенного момента была известна лишь избранным. Рассекретив свое настоящее имя, Коллинз нарушил соглашение, подписанное с вещательной корпорацией BBC, что привело к его увольнению из программы.

С другой стороны, руководитель может защитить свою компанию, применяя современные технические решения. Хорошим инструментом в борьбе с потенциальными утечками — как случайными, так и намеренными, — может стать DLP-система (от англ. DataLeakPrevention — предотвращение утечек данных). Сотрудник, принявший решение найти себе новое место работы, как правило, отправляет резюме с рабочего компьютера. DLP-система способна автоматически обнаружить, во-первых, сам факт его отправки; во-вторых, выявить, содержится ли в нем какая-либо конфиденциальная информация, а также поставить сотрудников службы безопасности в известность о потенциальной угрозе.

Характерный случай вспоминает Сергей Дяченко: «Инцидент имел место в компании — дистрибьюторе нефтепродуктов. Топ-менеджер, проработавший в ней в течение нескольких лет, решил открыть собственный бизнес. Однако ему не хотелось начинать работу с «нуля» и с «простых» клиентов. Поскольку с VIP-клиентами контактировал только директор, их данные хранились исключительно на рабочем компьютере последнего, причем в открытом доступе. Недолго думая, инсайдер подключился к директорскому компьютеру и ежедневно скачивал с него все интересующие сведения, включая клиентскую базу данных. Отследили этот процесс с помощью установки своего рода элемента DLP-системы — подвесили «демон», контролирующий все сетевые подключения к компьютеру владельца».

Как говорит аналитик компании SearchInform Роман Идов, «при выборе DLP-системы очень важно обратить внимание на качественную поддержку русского языка и поисковые возможности: хорошая система должна уметь идентифицировать даже те секретные документы, которые были предварительно изменены инсайдерами с целью сокрытия факта их отправления. Также важно, чтобы система умела работать со всеми каналами потенциальной утечки данных: если не защищен хотя бы один из них, вся остальная защита становится бессмысленной».

Три составляющие защиты

Бизнес-разведка — необходимое условие развития организации, диктуемое временем. Компании, заинтересованные быть лучшими, уделяют немало внимания этому виду деятельности. Однако лишь некоторые способы бизнес-разведки законны и могут осуществляться любым человеком. Ключевую роль в их эффективности играет опыт интервьюера: умение правильно задать вопрос, грамотно добывая информацию из вполне открытых источников.

Наряду с «легальной» разведкой существует и ряд незаконных способов получения сведений. В Украине промышленным шпионажем пользуются нечасто, но ведь пользуются! Эффективность данного метода неоспорима, однако его этическая составляющая не столь однозначна.

В таких условиях руководитель компании просто обязан позаботиться о сохранности «тайн» своего детища, и соглашение о неразглашении является шагом в сторону усиления защиты. Но он не должен быть единственным. По данным исследования SearchInform, 37 % организаций Киева уже сталкивались с утечкой секретных сведений, однако имевшие место инциденты не послужили для них поводом к установке DLP-систем и проведению инструктажа персонала.

Прогноз г-на Дяченко относительно ближайшего будущего ИБ в Украине, также не оптимистичен: «Чехарда с законодательством, нестабильность с инвестициями и перспективами экономики не позволяют мне прогнозировать развитие ситуации с обеспечением ИБ в Украине. Хочется верить, что хотя бы мировой опыт нас чему-то научит».

А мировая практика показывает, что эффективнее всего борется с утечками данных трио, состоящее из службы безопасности организации, службы по управлению персоналом и DLP-системы. Ваши сотрудники могут действительно не знать о том, что некоторые документы компании являются секретными и их не следует сохранять на флешку, а уж тем более — уносить домой. Допустим, флешка была утеряна или ненамеренно оставлена в общественном месте. Вы уверены в том, что ваши финансовые документы попадут в руки к безобидному школьнику, а не к мошеннику или конкуренту?

Составляя резюме либо отвечая на вопросы анкеты от потенциального работодателя, сотрудник также может неосознанно выдать конфиденциальную информацию. Одна из функций хорошей DLP-системы заключается именно в том, чтобы уведомить ответственных за безопасность лиц о попытках передачи важных документов, в том числе и о пересылаемом с рабочего компьютера резюме. Такие системы помогают не только отслеживать «случайные» утечки, но и предотвращать инсайдерскую деятельность, поскольку, если сотрудник «вдруг» решил скопировать/распечатать и тем более отправить по почте финансовый отчет компании за год, есть повод задуматься: зачем он это делает, и как узнать об этом вовремя?

 

 

 

© 2017 ООО «МЕДИА-ПРО». Все права защищены. Украина, 02660, г. Киев, ул. М.Расковой 11, корпус А, 6 этаж