25-26 апреля в Москве состоялся IX Всероссийский Форум «Комплексная безопасность и управление рисками в бизнесе» с участием директоров служб безопасности ведущих мировых компаний, разработчиков систем безопасности, государственных судебных экспертов, экспертов криминалистов, а именно:
- Дмитрий Аргуновский, начальник управления информационной
безопасности и Владимир Вихрев, начальник отдела экономической
безопасности представляли АВИАЦИОННЫЙ КОМПЛЕКС им. С. В.
ИЛЬЮШИНА; - Александр Тарасенко, директор отдела консультационных услуг по
расследованиям финансовых преступлений и мошенничеств КПМГ; - Юлия Бронских, Юрист компании СИРИУС;
- Кирилл Баранов, руководитель финансового отдела и бухгалтерии
HYUNDAI TRUCK & BUS RUS; - Максим Олейник, руководитель департамента Экономической безопасности
и Кирилл Богатиков, начальник управления корпоративных расследований
ЧТПЗ - промышленной группы металлургического комплекса России; - Михаил Романов, Адвокат и партнер Адвокатского бюро «Адвокаты &
Бизнес»; - Евгений Соболев, Генеральный директор PRACTICAL SECURITY LAB;
Павел Миловидов, Основатель и Генеральный директор «БЕЗОПАСНЫЙ
ОФИС»; - Андрей Пряников, заместитель Генерального директора по безопасности по
защите информации «УНКОМТЕХ»; - Павел Арланов, инженер-проектировщик по информационной безопасности
компании «Инфосистемы ДЖЕТ»; - Анастасия Голева, эксперт по кибербезопасности, Расчетные Решения (ПАО
СБЕРБАНК); - Михаил Черемисинов, региональный менеджер по безопасности и защите
товарного знака в России и СНГ, LEVI’S; - Рушан Богаудинов, директор направления «РУСАЛ»;
- Алексей Афанасьев, управляющий партнер «СЕЙФ Консалтинг».
Безопасность – одна из ключевых составляющих бизнеса, которая важна для принятия окончательного решения, куда вкладывать деньги, силы и средства и от чего конкретно защищаться владельцу предприятия. Несанкционированный доступ к нецелевым интернет-ресурсам и нерациональное их использование порой вредит общему делу, а зачастую уничтожает его. Поэтому правила безопасности должны соблюдать все сотрудники компании. Конфиденциальной методикой управления киберрисками должны владеть все структурные подразделения компании, в которых каждый сотрудник отвечает за свой спектр рисков кибербезопасности.
IT-специалисты любого предприятия являются привилегированными сотрудниками, творческими людьми с нестандартным мышлением. В связи с этим у любой службы безопасности возникают трудности с установлением контроля за доступом к информации, которой они владеют. При соблюдении всех требований информационной безопасности лояльный IT-специалист с высокой работоспособностью – находка для работодателя. Но жёсткие рамки контроля могут его оттолкнуть от компании и привести к уходу из нее. А это прямая потеря для бизнеса. Другое дело – пользователи, которые не являются потенциальными нарушителями и в большинстве своём не владеют конфиденциальной информацией. Вместе с тем при возникновении нарушений с той или другой стороны сотрудники по кибербезопасности вынуждены использовать специальные технические средства (системы обнаружения утечки информации) для выявления нарушителей и сохранения при этом комфортного микроклимата организации. И здесь важно найти баланс между контролем за доступом сотрудников и их правами для решения служебных задач, а также проявлять лояльность к тем «нарушителям», которым не свойственна углубленная работа с IT-системами.
Как увлечь всех сотрудников обеспечивать кибербезопасность на предприятии, если даже знакомство с соответствующими документами – скучное и малоэффективное занятие. Специалист по информационной безопасности дочернего предприятия ПАО Сбербанк Анастасия Голева предложила решения по снижению рисков кибербезопасности при работе с кадрами в различных сферах экономической деятельности. По мнению эксперта, игровая форма в формате скринслайдеров, плакатов, массовых фишинговых рассылок в разных вариациях, интерактивных курсов без отрыва от основной работы даёт сотрудникам возможность познавать сферу кибербезопасности легко и непринуждённо. При этом использование специальных технических средств работает в режиме мониторинга.
К внутренним и внешним угрозам относятся и кражи, происходящие каждый день. Как правило, они выявляются не сразу, а через какое-то время, обычно после инвентаризации. Как быстро провести внутреннее расследование безинструментарным методом определения правды, рассказал региональный менеджер по безопасности и защите товарного знака в России и СНГ компании LEVIS Михаил Черемисинов.
Просто поговорить с сотрудником «по душам» – непродуктивно. Обычно лишь один из ста может признаться в содеянном. Выявить нарушителя нередко позволяет полиграф. И здесь задача профессионального полиграфолога – определить и учесть, в каком состоянии находится человек, который сообщает значимую информацию, каковы у испытуемого лица индивидуальные психофизиологические реакции на стимулы. «При этом заключение эксперта-полиграфолога является косвенным доказательством, прямым же – показания других участников процесса», – уточнила главный редактор федерального научно-практического журнала «ЭКСПЕРТ-КРИММИНАЛИСТ» Ярослава Комиссарова.
По мнению эксперта-полиграфолога, получение информации всегда предполагает работу с её материальным носителем. Сведения, сообщаемые людьми, исключением не являются. Однако ситуация межличностного общения весьма специфична, поскольку обусловлена психофизиологической спецификой изложения и восприятия информации. И в науке пока нет ясного ответа на вопрос о соотношении психических и физиологических процессов, протекающих в организме человека при получении, сохранении и воспроизведении какой-либо информации.
Известно, что в крупных международных компаниях полиграф использовать нельзя. И поэтому работу, которую проделывают с помощью полиграфа, здесь приходится выполнять «вручную». Ведь значительный объем информации, помимо речи, передаётся языком тела и мимикой, и благодаря этому опытный наблюдатель может получить полное представление о степени правдивости или скрытности говорящего. Микродвижения, длящиеся буквально мгновенья, могут выдать тщательно скрываемые эмоции. И в этой ситуации научиться улавливать и правильно расшифровывать их при постановке хорошо продуманных «провокационных» вопросов – одна из важных задач интервьюера.
Модератор мероприятия, Президент Ассоциации Профессионалов Сыска, заместитель Председателя Гильдии НСБ МТПП Сергей Любименко отметил, что при расследовании, определение базовой линии поведения человека – с использованием методики психологического давления – во многих случаях позволяет раскрыть всю цепочку событий. Но профессиональные лжецы неудержимы, и чем больше выгоды они могут получить от разглашения конфиденциальной информации, тем вернее поддаются соблазну продать эту информацию. В таких случаях необходимо подключать иные ресурсы. Необходимо организовать дело таким образом, чтобы никакая утечка информации не стала возможной. «Поставьте мошенника у всех на виду, и он будет действовать как честный человек» (Наполеон Бонапарт). Но как это сделать, если доля мошенников как раз среди российских руководителей высшего звена увеличилась с 15% в 2016 году до 39% в 2018 году? Результаты глобального обзора свидетельствуют о том, что доля экономических преступлений, совершенных руководителями высшего звена, также выросла с 16% до 24%.
Особенно ощутима и болезненна кража информационных данных, осуществляемая с целью личного обогащения высокопоставленными носителями информации в компаниях (предприятиях, учреждениях и т.д.). По мнению директора направления компании РУСАЛ Рушана Богаудинова, современный мошенник из числа таких сотрудников высокоэффективен, внешне респектабелен и дисциплинирован. В целях реализации своих корыстных планов мошенник, как правило, создает своего рода «непрозрачную» среду, в которой накапливается и хранится информация компании, формирует обособленные, трудно проверяемые кластеры, в целом способствуя воцарению управляемого информационного хаоса. Службы безопасности в прямом смысле тонут в настоящем бумажном океане, который при всей своей огромности насыщен сведениями, отличающимися неполнотой и неадекватностью истинному положению вещей, искаженным представлением текущих процессов, конфликтов и проводимой финансово-экономической политики, несовершенством инструкций и регламентов, игнорированием имеющейся регулятивной документации и многим другим. Это настоящая зона риска, которая, по мнению оратора, должна находится под неусыпным контролем служб безопасности и сотрудников аудита компании.
Классические методы противодействия и защиты предполагают наличие постоянно обновляющихся, но не конфликтующих между собой направлений деятельности совета директоров, дотошное соблюдение регламентов, адекватное распределение обязанностей, непрерывный мониторинг деятельности персонала с использованием автоматизированных аналитических систем контроля оценки всего массива регламентирующей документации. Непрерывная актуализация и совершенствование требований к персоналу в сфере безопасности существенно снижают уровень информационных рисков для всего предприятия.
Обладание информацией повышенного риска – один из важнейших факторов увеличения прибыли компании. Напомним, что коммерческая тайна – это конфиденциальная информация, позволяющая её обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Не секрет, что в повседневной практике служба безопасности нередко сталкивается с такой ситуацией, когда возникает угроза раскрытия коммерческой тайны. Зачастую это связано с изменением законодательства, случаями недобросовестной конкуренции, отсутствием четкого разграничения прав доступа среди сотрудников, промышленным шпионажем, недостаточной зрелостью компании и ее корпоративной культуры, неэффективной системой управления, нечистоплотными сотрудниками и т.д. С точки зрения руководителя службы безопасности ПК «ЭКСТРА М» Юрия Евтина, причины, по которым сотрудники начинают работать «на свой карман», объясняются следующим: завышенной самооценкой сотрудника, чувством мести, «импульсом извне», долгами, «чёрным налом». При этом низкая зарплата является самой распространённой причиной. Если на предприятии платят зарплату, за которую сам руководитель никогда не согласился бы работать, то такому руководителю остаётся лишь бороться с воровством и выявлять злоумышленников. Искоренить это зло ему никогда не удастся. В то же время необходимо считаться и с тем, что высокая зарплата далеко не всегда гарантирует, что сотрудник не будет искать дополнительный доход за счёт работодателя. В то же время, если своим успехом фирма обязана какому-то сильному и профессиональному сотруднику, а он вовремя не был оценен по заслугам, в том числе материально, то он либо увольняется, либо неизбежно организует свой «внутренний бизнес». Недооценка руководством своих сотрудников приводят к утечкам и разглашению конфиденциальной информации.
– Охрана конфиденциальности информации очень важна, – отмечает управляющий директор СЕЙФ КОНСАЛТИНГ Алексей Афанасьев. – Защита коммерческой тайны – это большой спектр административных и нормативных процедур. Построение систем безопасности данного направления помогает сформировать режим конфиденциальности компании. При этом с каждым работником должен быть подписан полный пакет документов по охране конфиденциальности, а работодателем должны быть созданы достаточные меры, условия и процедуры для обеспечения охраны.
Трудовые отношения должны строиться с учетом содержания Федерального закона «О коммерческой тайне» (п. 1 ст. 11):
В целях охраны конфиденциальности информации, составляющей коммерческую тайну, работодатель обязан:
– ознакомить под расписку работника, доступ которого к этой информации, обладателями которой являются работодатель и его контрагенты, необходим для исполнения данным работником своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну;
– ознакомить под расписку работника с установленными работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;
– создать работнику необходимые условия для соблюдения им установленного работодателем режима коммерческой тайны.
Немаловажная область работы, которая есть у любого человека, связанного с безопасностью, – организация качественного отбора: как выявить ненадёжного, «проблемного» сотрудника в процессе собеседования, на что обратить внимание с целью предотвращения любых инцидентов? Исходя из своего практического опыта директор по безопасности HEADHUNTER Виталий Терентьев подчеркнул:
– Люди, работающие в компании, – это не ресурс, а прежде всего инвестиции в бизнес. Единственную базовую компетенцию, которую нужно искать в человеке при устройстве на работу, – это ответственность. Ответственный – значит контролируемый! Главное построить доверие, но рецепта, как это сделать, нет.
Разработан целый ряд программ и схем по проверке персонала, начиная с всевозможных наборных тестов на благонадёжность человека в различных ситуациях, заканчивая использованием IT -технологий, позволяющих выявить огромный пласт информации в режиме «вопрос-ответ» и получить полную психологическую картину о текущем состоянии испытуемого. В банковской сфере уже отработано 1600 кейс-стори, исследующих подсознание человека с использованием подобных технологий с целью выявления утечки информации. Немаловажную роль может сыграть сбор информации информационными коллекторами и агентствами сыска, если этого требует ситуация.
Собирая таким образом информацию, необходимо построить карту рисков по каждому человеку, который проходит регулярную проверку в отделе безопасности. В дальнейшем, отслеживая динамику изменений по этой карте и в итоге получая полную картину текущего состояния сотрудника компании, можно рассчитать вероятность и мотивированность риска утечки информации.