Научная статья на тему 'Инсайдер как внутренний враг бизнеса: социальные особенности работы с персоналом в период кризиса'

Инсайдер как внутренний враг бизнеса: социальные особенности работы с персоналом в период кризиса Текст научной статьи по специальности «Экономика и бизнес»

CC BY
303
53
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / ВНУТРЕННЯЯ БЕЗОПАСНОСТЬ / ЗАЩИТА ИНФОРМАЦИИ / ВНУТРЕННЯЯ УТЕЧКА ИНФОРМАЦИИ

Аннотация научной статьи по экономике и бизнесу, автор научной работы — Медведева Е.И., Крошилин С.В.

В настоящее время информация занимает первое место в конкурентной борьбе, и соответственно, небольшая утечка информации за пределы компании может нанести непоправимый ущерб ее репутации и финансовому положению. Большинство современных направлений по обеспечению безопасности бизнеса связано с предотвращением утечки информации в результате злонамеренной деятельности легитимных пользователей (персонала предприятия) инсайдеров.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Инсайдер как внутренний враг бизнеса: социальные особенности работы с персоналом в период кризиса»

опыт; проблемы, решения

21 (54) - 2009

инсайдер

как внутренний враг бизнеса: социальные особенности работы с персоналом в период кризиса

е. и. Медведева,

кандидат экономических наук,

доцент кафедры менеджмента и маркетинга

E-mail: pecof@kolomna. ru

С. В. КРОШИЛИН,

кандидат технических наук,

доцент кафедры менеджмента и маркетинга

e-mail: krosh_sergey@mail. ru

Коломенский государственный педагогический институт

В настоящее время информация занимает первое место в конкурентной борьбе, и соответственно, небольшая утечка информации за пределы компании может нанести непоправимый ущерб ее репутации и финансовому положению. Большинство современных направлений по обеспечению безопасности бизнеса связано с предотвращением утечки информации в результате злонамеренной деятельности легитимных пользователей (персонала предприятия) — инсайдеров.

Ключевые слова: информационная безопасность, внутренняя безопасность, защита информации, внутренняя утечка информации.

Само понятие «инсайдер» в различных источниках имеет разную трактовку. Это английский термин, который в нашем случае означает — «член какой-либо группы людей, имеющих доступ к информации, не доступной широкой публике» [1]. Обычно данный термин используется в контексте, связанном с секретной или какой-либо другой закрытой информацией или знаниями. Само собой, что это человек, а именно сотрудник компании, который обладает реальной информацией «из первых рук». Таким образом, с точки зрения информационной безопасности инсайдер — сотрудник компании, имеющий доступ к конфиденциальным данным, размещенным в компьютерной сети предприятия.

Обычно инсайдерами являются директора и старшие менеджеры, а также владельцы более 10 % голосов компании [2]. Однако это может быть как секретарша, по ошибке переславшая «не то и не туда», так и злоумышленник, внедренный специально для кражи данных. Как видно, разброс достаточно большой. А ведь чтобы эффективно бороться, надо знать своего противника в лицо.

Вообще, с точки зрения инсайдеров весь персонал предприятия условно можно разделить на 4 группы: «послушные», «нарушители», «преступники», «кроты-предатели».

1. «Послушные» — это лояльные служащие компании, которые никогда или очень редко нарушают корпоративную политику и в основном не создают угрозы безопасности. Однако согласно статистики от 80 до 90 % всех зарегистрированных утечек данных были следствием неосторожности или безалаберности сотрудников компаний.

2. «Нарушители» — это составляющее большинство «офисного планктона» и топ-менеджмента компании. Они позволяют себе небольшие фамильярности относительно информационной безопасности: работают с персональной веб-почтой, играют в компьютерные игры и совершают онлайн покупки. Этот класс инсайдеров представляет угрозу ИТ-безопасности, но сопутствующие им инциденты являются случайными и неумышлен-

ными. Однако не следует забывать, что большинство внешних атак начинается именно с ICQ или web-ящика сотрудников.

3. «Преступники» — это те работники, которые проводят большую часть дня, делая то, что они делать не должны. Как правило, это топ-менеджеры, которые злоупотребляют своими привилегиями по доступу к Интернету, самовольно устанавливают и используют различные приложения. Более того, такие топ-менеджеры могут отсылать конфиденциальную информацию компании внешним адресатам, заинтересованным в ней. Таким образом, этот класс инсайдеров представляет собой серьезную угрозу ИТ-безопасности.

4. «Кроты-предатели» — это служащие, умышленно и регулярно крадут конфиденциальную информацию компании (обычно за финансовое вознаграждение от заинтересованной стороны). Такие сотрудники представляют собой самую большую угрозу, и их сложнее всего поймать, так как обычно это достаточно опытные пользователи, «заметающие» за собой следы.

Все перечисленные группы инсайдеров опасны. При этом не следует забывать об определенной специфике информации — ее неиссякаемости [2], т. е. можно продавать всем или несколько раз. В России давно привыкли брать то, что «плохо лежит», а что касается информации, то тут редко кто сможет устоять перед соблазном заработать на эксклюзивном доступе к данным.

Что берут инсайдеры? В условиях кризиса значительно увеличилось число уволенных, а уволенные сотрудники (значительно чаще у нас, чем за рубежом) забирают с собой оперативную рабочую

Персональные данные

Финансовые отчеты

Детал и конкретн ых сделок

Интеллектуальная собственность

Бизнес-планы

Другая

41%

38%

40%

47%

19%

25%

19%

19%

10% 14%

Результаты исследований компании РептеМх по вопросу «Информация, наиболее подверженная утечке»

информацию — контакты, сведения о бизнес-планах, персональные данные, финансовые отчеты. Инсайдеры «торгуют» финансовыми отчетами, деталями конкретных сделок и даже интеллектуальной собственностью компании (см. рисунок) [4].

Известна мировая формула, согласно которой утечка всего 20 %> корпоративных секретов в 60 %> случаев приводит фирму к банкротству. Например, летом 2005 г. американский процессинговый центр CardSystems Solutions допустил утечку номеров 40 млн кредитных карт. В течение месяца от работы с ним отказались крупнейшие клиенты, государство наложило крупный штраф, а в декабре бывшая преуспевающая компания была куплена за символическую цену небольшим конкурентом. При этом практика имеет много подтверждений того, что 20 % — это даже много [4]. Однако в России подобных примеров полного разорения компании после утечки информации не зафиксировано. Причина кроется во многих факторах, о которых речь пойдет впереди.

Что по закону им за это будет? В России меньше знают об инсайдерах и утечках информации, чем за рубежом. Дело в том, что информацию о неприятном происшествии многим проще «замять», дабы «не выносить сор из избы». Так, например, в период «лихих 1990-х» многие НИИ «решились» своих разработок, которые потом появились и успешно продавались за рубежом. Вспомним и продажу финансовой отчетности из налоговых органов в наши дни через Интернет. Причины возникновения такой ситуации не в «российском менталитете», а в ощущении безнаказанности. Ведь в российской действительности судебное преследование грозит лишь 9 % инсайдеров. Максимум, что им могут сделать — это уволить, иногда наложить штраф (или лишить премии) — и все. Для сравнения: в США всех внутренних нарушителей такого типа рано или поздно постигают или крупный штраф, или тюремное заключение.

К сожалению, несмотря на бурную законотворческую деятельность, российские предприятия еще очень далеки от практической реализации эффективной системы защиты персональных данных. Об этом свидетельствуют факты: по нашим подсчетам, порядок работы с персональными данными в России регулируют бо-

- 83

68%

57%

2008I од 2007I од

PERIMETRIX "2009

Опыт. Проблемы. Решения

21 (54) - 2009

лее 30 законов (в том числе федеральных), указов, постановлений, приказов и распоряжений. Излишне говорить, что разобраться в этом нормативном буйстве очень сложно даже профессионалу. Тем более это трудновыполнимая задача для приблизительно 7 млн юридических лиц и индивидуальных предпринимателей, которые оперируют персональными данными и обязаны соответствовать требованиям Закона РФ «О Персональных данных» и т. д.

Чем это грозит нам? Деятельность инсайдеров порождает целый спектр неприятностей: начиная с порчи нервных клеток, переживаний, срыва важных сделок, нанесения ущерба репутации, и заканчивая прямой угрозой бизнесу. Ведь по определению бизнес — это самостоятельная, осуществляемая с определенным риском деятельность с целью получения систематической прибыли. А теперь эту прибыль могут получать инсайдеры и другие лица вместо вас.

Российские компании обычно замалчивают факты утечек с целью сохранения публичного имиджа, а некоторые просто не в состоянии их учитывать. Исследования российской компании РейтеМх показывают, что в 2008 г. 42 % российских организаций затруднились назвать хотя бы приблизительное количество подобных инцидентов [4].

Причина замалчивания фактов утечек кроется также в нежелании нести дополнительные расходы на ликвидацию последствий утечек, оповещение пострадавших и возмещение понесенного ими ущерба. Очень часто в наших компаниях полагаются «на авось», считая, что утечку никто не заметит. Информация о случившихся инцидентах порой вовсе не доходит до руководства, так как менеджеры справедливо опасаются санкций со стороны начальства или просто не воспринимают всерьез угрозу утечки. Кроме инцидентов, которые хоть как-то обнаруживаются внутри компаний, существуют еще и утечки-«фантомы», о которых никто ничего не знает. Доля таких утечек особенно велика и наносит ущерб безопасности, поскольку далеко не все компании имеют средства для выявления данных проблем.

Кому следует опасаться инсайдеров? Как уже говорилось, инсайдеров интересуют, в частности: персональные данные, финансовые отчеты, детали конкретных сделок, интеллектуальная собственность и бизнес-планы. Эти виды информации присутствуют во всех сферах деятельности и отраслях. Однако угроза нарушения конфиденциальности данных растет пропорционально приближению организации к «живым» деньгам (банковская и финансовая сферы, коммерческая деятельность,

84 -

торговля, производство и т. д.) и персональным данным (сотовая связь, телекоммуникации, налоговые органы, государственные учреждения любого учета и т. д.) [3]. Впрочем, нельзя недооценивать реальной опасности и для среднего и малого бизнеса. Скажем, перешедший к конкуренту сотрудник уносит с собой список клиентов небольшого дистрибьютора, в итоге: минимум — многократное снижение продаж, а максимум — банкротство организации.

Однозначно можно утверждать, что проблема защиты данных от инсайдеров — это проблема универсальная с точки зрения расположения, отраслевой принадлежности и размера бизнеса. Как правило, проблема связана с грамотной организацией работы с персоналом.

Как защититься от инсайдеров? Несмотря на то, что утечки данных занимают первую строчку в рейтинге критических угроз бизнесу, на практике лишь 29 % российских компаний используют специализированные системы защиты [5]. По признанию экспертов, человек является самым слабым звеном в системе безопасности, но ведь он является и самым важным! На наш взгляд, здесь нет универсального рецепта. Известны организации, где насаждается обстановка тотальной слежки, в чем видится торжество порядка. При этом компания продолжает функционировать и демонстрировать приемлемые показатели эффективности работы. В других организациях вполне логично делается упор на образование сотрудников, воспитание в них корпоративного духа, самосознания, чувства единения со стратегическими целями и задачами компании. Известно, что именно сплоченный коллектив способен на решение самых сложных задач.

В этом вопросе не следует зацикливаться только на технологических особенностях систем защиты, многое зависит от моральных и этических норм в организации, корпоративного духа, кодекса этики. Эффективная защита возможна в том случае, если в организации существует соответствующая корпоративная культура, предполагающая вовлечение руководителей в процесс обеспечения информационной безопасности. Ведь проблема эта сложна и многогранна, поэтому в отношении работы с персоналом следует сделать больший упор на защиту данных от копирования на мобильные устройства, возможен контроль за корпоративной почтой части работников. Но такие действия никогда не должны быть публичными или анонсируемыми: ничего кроме страха и напряжения это не вызовет. Однако если их осуществлять незаметно, то такие действия способны уберечь ценную для компании информацию.

Практические рекомендации по борьбе с инсайдерами. Проблема весьма деликатна, и дать универсальный совет на все случаи жизни достаточно тяжело. Механизмы защиты от инсайдера (или инструменты защиты) зависят от множества факторов: начиная с рода деятельности предприятия и территориального расположения офиса и заканчивая количеством персонала на предприятии и сложившимся отношением к информационной безопасности внутри предприятия. Однако, опираясь на опыт специалистов в данной области, можно дать несколько практических советов.

Во-первых, это проверка персонала при приеме на работу, всех деловых качеств и социальных аспектов будущего работника. Это должна быть совместная работа блока безопасности и блока по управлению персоналом. Это не только тестирование, собеседование, определение личностных характеристик и наклонностей, но и проверка предыдущих мест работы, так называемое «наведение справок» по своим источникам информации. Это поможет отсеять «кротов-предателей» еще до того, как они проникнут в ваш бизнес.

Во-вторых, это грамотная пользовательская политика внутри корпоративной (компьютерной) сети. Разграничение прав и уровня доступа к отдельным видам информации, особенно к той, которая представляет коммерческую тайну, к клиентской базе данных (которая сегодня является важным ресурсом предприятия), финансово-бухгалтерская информация и т. д. Грамотная защита всего перечисленного поможет избежать многих неприятностей.

В-третьих, постоянный контроль. Это не должна быть тотальная слежка за всем и вся, но сотрудники должны понимать, что их действия

отслеживаются. Необходимо применять различные средства мониторинга сетевого трафика (например, TrafficInspector — разработка компании SmartSoft), анализа сетевой активности: кто и что посещает в Интернете, куда уходят письма с корпоративного ящика. Камеры видеонаблюдения и фиксация телефонных звонков оказывают также очень положительный эффект в плане защиты. Простое понимание персоналом того, что любое действие фиксируется, заставляет по-другому относиться не только к вопросам безопасности, но и повышает эффективность работы на протяжении всего рабочего дня.

Очевидно, что проблема инсайдеров — это реальная угроза бизнесу сегодня. Более подробно средства защиты от инсайдеров и других угроз информационной безопасности будут рассмотрены в следующих публикациях.

Список литературы

1. Википедия. URL: http://ru. wikipedia. org.

2. Крошилин С. В., Медведева Е. И. Информационные технологии и системы в экономике: учебное пособие. М.: ИПКИР, 2008. 485 с.

3. Крошилин С. В. Возможные угрозы безопасности экономических информационных систем и методы их устранения // Проблемы и методы управления экономической безопасностью регионов. Материалы межвузовской научной конференции профессорско-преподавательского состава. Коломна: КГПИ, 2006. С. 240-244.

4. Преображенский Е. Инсайдерские угрозы в России // Управление персоналом. М. : Корпоративная Периодика. № 7 (209) . 2009. С. 6-10.

5. Технологии разведки для бизнеса. URL: www.it2b.ru.

Подписка eUBRARy»RU

Теперь журналы Издательского дома «Финансы и Кредит» стали доступны в электронном виде в Научной Электронной Библиотеке (eLIBRARY.RU).

На сайте eLIBRARY.RU можно оформить годовую подписку на текущие и архивные выпуски журналов, приобрести отдельные номера изданий или статьи.

i Надоели баннеры? Вы всегда можете отключить рекламу.