Конкурентная контрразведка: Чертова дюжина советов руководителю
Есть такое понятие - конкурентная разведка. Не секрет, что успешность бизнеса во многом зависит от конкурентных преимуществ фирмы перед другими фирмами в аналогичном сегменте рынка. Именно за такими преимуществами, за ноу-хау, а также за финансовой информацией в настоящее время идет серьезная охота. Это касается не только крупных компаний и транснациональных корпораций. Теперь охота за секретами и данными по уплате налогов - обыденность и для относительно небольших фирм. Воруют все: начиная от клиентских баз и налогового учета, и заканчивая персональными данными сотрудников и учредителей. Одна-единственная фирма, может, ни черта и не стоит. Но если продавать их секреты оптом, как базу, то получатся уже серьезные деньги.
Поэтому информационная безопасность бизнеса должна быть если не первоочередной, то одной из главных задач компании. Если есть разведка, значит, должна быть и контрразведка, логично?
С крупными компаниями все понятно. У них по этому вопросу работает целый отдел или даже несколько отделов. Одна из лучших защит - в зданиях "Газпрома". Там без сопровождения гости даже в туалет не ходят. Есть у них и собственная внутренняя полиция, собственный тир. Но это "Газпром". А что делать представителям малого и «сверхмалого» бизнеса? Как сохранить клиентскую базу? Как уберечь от копирования систему мотивации сотрудников? Как застраховать себя от саботажа?
В технические аспекты глубоко погружаться не будем, рассмотрим аспекты психологические и управленческие. Для начала, давайте разберемся, какие могут быть каналы утечки коммерческой тайны?
1.В первую очередь, это сами сотрудники.
Нередки случаи, когда менеджеры отделов продаж и по работе с клиентами, меняя работу, «уводят» с собой клиентскую базу фирмы. Или «сливают на сторону» базу доверенных поставщиков. Мотивы этих людей различны, но, как правило, это материальная выгода и месть. Есть категория сотрудников, которые в принципе не способны хранить секреты, ни свои, ни фирменные, ни государственные. Стоит таким людям немного выпить или выйти в соцсеть, как грамотный профессионал за пару часов разведет болтуна по полной.
Простой пример из жизни, как это делается:
«А ты где служил?»
«Там-то и там-то»
«О, братан! А я там же, но на два года позже. Какой у вас номер В/ч был?»
«Кажется, 145982»
«Ничего себе! Это ж моя родная часть! А кто у вас командир части-то был? Этот, лысый такой?»
Идея ясна?
2.Соискатели и кандидаты на должность. Приходя в организацию на собеседование, они, так или иначе, собирают информацию о фирме. При этом они делают это очень качественно, ведь они заинтересованы в этом лично. Всякий, кто устраивался хоть раз на работу, старался получить максимум полезной информации. Старался поговорить с работающими сотрудниками в курилке, походить по этажам (где это удавалось сделать).
Соискатели, если им отказали или им самим что-то не понравилось, пойдут дальше, на другие фирмы. Грамотный рекрутер обязательно постарается узнать, где соискатель был, что видел, что понравилось у других, что не понравилось. Так как соискатель - это еще не сотрудник, он не обязан хранить чужие секреты. А в некоторых случаях и с удовольствием все расскажет, доказывая свою лояльность будущему работодателю. Особо ценной информации соискатели не нароют, но некоторые вещи вполне смогут утянуть с собой. Например, размер окладной части, систему премирования, организацию приема сотрудников на работу, включая структуру собеседования. И даже - форму анкеты, которую дают в отделе кадров. Достаточно просто сфотографировать ее на камеру мобильника.
3.Мусорные контейнеры, расположенные рядом с фирмой. Офисный мусор из корзин под столами сотрудников попадает именно сюда, в эти контейнеры. Если задаться целью, то за несколько дней наблюдения и сбора информации можно узнать про деятельность фирмы очень многое, начиная от поставщиков товара и заканчивая адресами сотрудников. Тот, кто заинтересован в получении информации, не побрезгует покопаться в контейнере и забрать мусор с собой, чтобы потом, в спокойной обстановке, рассортировать его и разобраться, что к чему.
4.Системные администраторы и программисты.
Это практически отдельная каста людей. Как правило, они замкнуты, говорят на своем языке, понятном только посвященным, и обладают особым типом мышления. Некоторые из них считают себя исключительными специалистами. Обижать таких людей не рекомендуется. Стоит незаслуженно (по его мнению) уволить такого человека, и через пару дней ваш сайт с интернет-магазином падет смертью храбрых, а конфигурация 1С, написанная под ваш род деятельности, перестанет «чего-то там конфигурировать», и вы даже не поймете, в чем дело. Каждый день простоя - убытки. Придется привлекать сторонних специалистов. А они тоже бывают разные, с разной степенью честности и жадности. И уж будьте уверены, среди них попадаются и такие, которые со спокойной совестью скопируют вашу клиентскую базу для перепродажи. На этом рынке всегда хороший спрос на коммерческую информацию.
5.«Засланные казачки». Некоторые фирмы устраивают на работу своих сотрудников к конкурентам, для того, чтобы в онлайн-режиме получать, например, бухгалтерскую и финансовую информацию, выявлять контрагентов, собирать компромат на руководство, и даже снимать оттиски печатей и образцы подписей.
Иногда в Интернете можно найти объявление: «Требуется сотрудник с хорошей наблюдательностью, отличной памятью и ВЫСОКОЙ ЛОЯЛЬНОСТЬЮ к нашей компании, для особой работы». Это и есть конкурентная разведка в чистом виде. Такой человек успешно проходит все этапы собеседования, устраивается на работу в организацию на нерядовую должность, например, на должность главбуха или экономиста. Работает несколько месяцев, а затем увольняется. А через некоторое время в вашей фирме - аудиторская проверка, визит сотрудников ОБЭП или (не дай бог!) рейдерский захват.
6.Входящие звонки.
Автор статьи нередко сам занимался подобного рода ценовым мониторингом конкурентов. Делается это так. Допустим, у тебя есть партия товара. Но ты не знаешь, за сколько аналогичный товар продают конкуренты. Тогда ты заводишь бесплатный почтовый ящик с серьезным, внушающим трепет именем, типа administraciya@bk или подобный ему. Далее, звонишь на фирму конкурента, запрашиваешь цену. Цену сразу не говорят, научены. Тогда ты представляешься секретарем из Администрации города или, если хватит наглость, советником из Администрации Президента, и говоришь, что тебе поручили промониторить рынок на предмет тендера и дальнейших госконтрактов. И данные нужны катастрофически срочно. При этом в твоем голосе звучат начальственные нотки. Как правило, это срабатывает. Тебе на указанный тобой ящик высылают прейскурант! Дело сделано.
Есть и другие каналы получения коммерческой информации. Но давайте хотя бы разберемся с этими. Не будет откровением, если скажем, что меры безопасности должны быть КОМПЛЕКСНЫМИ и МНОГОСЛОЙНЫМИ. Если вы поставили на сервер сложную многоступенчатую защиту, ограничили сотрудников в правах где только можно и нельзя, но у вас огромная дыра в заборе, то грош цена вашим файерволам и валидаторам.
Что же конкретно делать? Вот несколько практических советов для руководителей собственного бизнеса.
1.У сотрудников, работающих на входящих звонках (секретари и клиент-менеджеры), должны быть четкие инструкции, что можно говорить клиенту, а что нельзя. Спорные и щекотливые вопросы перенаправляются к руководству или, если такая возможность имеется, в особый отдел фирмы.
2.Все без исключения соцсети и аськи должны быть под запретом. Объясните сотрудникам, почему. Если не идиоты, поймут и согласятся. Пожалуй, исключением может быть скайп, и то - только для оперативного общения с клиентами. Закройте все посторонние и «нехорошие» сайты. Тогда вероятность подцепить какую-нибудь «стыдную болезнь» сведется к минимуму. Сейчас по планете гуляют, в основном, не те вирусы, которые «кладут» систему, а те, которые воруют данные. Более того, вирус может быть написан именно под вашу конфигурацию. Хотя, если ваша фирма - маленькая и никому не интересная, то специально под вас вирус писать не будут. Возьмут что-то готовое. Антивирус - дело хорошее, но, как правило, бесполезное. Самый главный антивирус и файервол должны быть в мозгах у сотрудников.
Ну, а если с мозгами никак не получается… Существуют программы, которые скрытно, в онлайн-режиме, отображают активность пользователей на локальной сети и ведут запись логов. Кто, на какой ресурс и в какое время выходил в течение рабочего дня. Кто, откуда и какие документы копировал или изменял. Ставьте такие программы тогда, когда есть ОБОСНОВАННЫЕ сомнения в лояльности сотрудников. Новых сотрудников в течение полугода мониторьте обязательно, начиная примерно со 2-й недели их работы. Если есть возможность делать скриншоты пользовательских экранов, - делайте! Но грань между безопасностью и паранойей очень тонкая. Помните об этом. Помните и про защиту частной жизни сотрудников. Будьте аккуратны и знайте меру, если не хотите судебных разбирательств.
3.Закройте на всех usb-портах и дисководах сети «авторан». Кто в теме, тот знает, что это и зачем делается. Для остальных совет такой. Флэш-носители должны быть под запретом. Должен быть один(!!!) ПК, через который при необходимости сотрудники подконтрольно смогут копировать необходимую для работы информацию. То же самое относится и к удаленному доступу.
4.Конец рабочего дня - конец и работы с документами и информацией. Домой, чтобы вечером поработать, сотрудники тоже ничего таскать не должны. Во-первых, это вредно для здоровья. На то есть санитарные нормы, чтобы сотрудники в нерабочее время отдыхали, а не сидели за компьютером. Во-вторых, это небезопасно. Если кто-то поставит себе цель завалить ваш бизнес, он начнет с сотрудников и их домашних компьютеров. Не верите? И очень зря. В офисе вы еще худо-бедно можете контролировать наличие сторонних загрузчиков, а дома у сотрудника - только если вы с ним ночуете, и то не всегда. То же самое относится и к руководителям всех уровней, а не только к их подчиненным.
5.Уровни допуска к информации и дверям. Если есть возможность и деньги, установите систему контроля доступа в помещения. Аналогичная система, только касающаяся информации, должна быть установлена на локальной сети. Никаких бумажных пропусков с печатями фирмы для гостей! Об этом ниже.
6.Видеонаблюдение. Не нужно тотальной слежки, такой, когда видеокамера смотрит каждому сотруднику в лицо на рабочем месте. Это сказывается на производительности труда. Даже в носу человек поковыряться не сможет, постоянно будет думать, что за ним прямо вот сейчас наблюдает босс. Но камеры, наблюдающие за входами в здание и помещения офиса, быть должны обязательно. Плюс камера на въездных воротах. Это не только сохранит вашу информацию, но снизит вероятность внезапного визита нежелательных лиц, будь то злоумышленники или сотрудники налоговой полиции с силовой поддержкой. Дополнительно поставьте в помещениях муляжи видеокамер. И - несколько скрытых, но работающих. Злоумышленник 10 раз подумает, прежде чем соваться под луч видеокамеры, пусть даже это всего лишь обманка. Он же этого не знает!
7.Сервер. Сервер с конфиденциальной информацией должен стоять ОТДЕЛЬНО от основного здания и об этом никто не должен знать. Пожар, проверка на наличие нелицензионного ПО, налоговая проверка и вредительство конкурентов - все это факторы риска. Хотите, спрячьте сервер в бетонный подвал с сигнализацией, а можете поступить по-другому. Например, на одной фирме сервер стоял в квартире жилого дома, которую фирма сняла специально для этих целей на длительный срок. Кабель связи был тщательно замаскирован. А в офисе стоял фальшивый сервер, который точно так же гудел и мигал, но не содержал ничего существенно секретного. О том, где находится настоящий сервер, знало лишь 3 человека: директор, сисадмин и… автор этой статьи)))
8.Кстати, о сисадминах.
Системный администратор должен быть профессионалом. И он должен быть или в штате, или справляйтесь сами. Никакого аутсорсинга! Некоторые фирмы, чтобы сэкономить на обслуживании локалки и сервера, используют приходящего сисадмина. Такие сисадмины обычно ведут несколько фирм. Как вы понимаете, это громадная дыра в системе безопасности. Поэтому берите компьютерщика в штат сотрудников, подписывайте с ним жесткое соглашение о соблюдении коммерческой тайны и в случае чего спрашивайте по полной программе. Да, ему придется платить другую зарплату, денег жалко. Но как бы не потерять потом больше.
9.Пару слов о паролях. Все доступы на ПК, а также на корпоративный сайт обязательно должны быть запаролены. Список паролей и логинов ни в коем случае не должен храниться где-то на сети! Только у сисадмина и у руководителя. Меняется сисадмин - НЕМЕДЛЕННО меняются все пароли доступа! Все без исключения!
10.Заведите шредер. Это такая штука, которая превращает листы бумаги в мелкую недетерминированную лапшу. Ни один документ не должен выбрасываться в офисные мусорные корзины, не пройдя предварительно через «лапшерезку». Отдельная история - коробки со склада. Обычно их собирают в кучу и затем выкидывают на ближайшую помойку. При этом все этикетки с адресами и наименованиями поставщиков остаются на коробках. Это плохая практика. Либо отдирайте их вручную, либо выбрасывайте рано утром, непосредственно перед приездом мусоровоза. Обычно на контейнерах пишется, в какое время мусор будут забирать. Вот под этот график и приспособьтесь.
11.Предупредите сотрудников об ответственности за разглашение секретов в соцсетях и приватных беседах. Разъясните, как это бывает, когда из болтунов выманивают секреты (см.выше). Даже если это произойдет не по злому умыслу, а по неосторожности, ответственность-то все равно наступит! А доказать, кто именно и что разболтал, - дело техники.
12.Кадры и визитеры.
У специалиста по подбору персонала должно быть четкое понимание, что на собеседовании можно раскрывать перед симпатичным кандидатом, а чего нельзя. Последующее обучение сотрудников, если оно предусмотрено перед трудоустройством, должно происходить в отдельном помещении. А лучше - в отдельном здании, из которого нет доступа к основным сотрудникам. Экраны работающих компьютеров должны быть закрыты скринсейверами и после 2-3-минутного бездействия автоматически становиться на пароль. Если на фирме посторонний человек, все мониторы должны переходить в «гостевой» режим. Это не очень удобно, но если вы хотите застраховаться от случайностей, потерпите. Визитер скоро уйдет, и вы продолжите работу.
13.Комплексная оценка безопасности.
Наймите специалиста, который тайно от ваших сотрудников попробует найти бреши в информационной защите фирмы. Выберите хорошую фирму-эксперта в области безопасности, с безукоризненной репутацией, не пожалейте денег. Это рискованно, но оно того стоит. Поставьте задачу, что конкретно вы хотите оценить: подбор персонала, локальную сеть или даже работу вашей охраны из ЧОПа, которому вы ежемесячно платите немалые деньги только за то, чтобы толстомясый мужик в форменке весь день читал газету, иногда спрашивая «А вы к кому?». Такая служба безопасности вам на фиг не нужна. После риск-аудита затребуйте у аудитора подробный отчет и немедленно исправьте недочеты.
Эксперимента ради, автор статьи пришел в роли соискателя на одну фирму, прошел все стадии собеседования, неделю обучался продукту и дошел аж до аттестации на должность. Но, так как трудоустройство в его планы, разумеется, не входило, пришлось вежливо отказаться от сотрудничества. При этом ему удалось собрать исчерпывающую информацию:
- о количестве и составе сотрудников,
- о структуре подразделений,
- о количестве и расположении части клиентов, с адресами и телефонами
- об архитектуре локальной сети и «мертвых зонах» видеокамер наблюдения.
В целом, найдено порядка 10-ти (!!!) серьезных дыр в системе безопасности. И это в организации, которая работает в сфере информационных технологий! По понятным причинам, называть фирму мы не будем. Извиняет их лишь то, что они не были готовы к подобной наглости «тайного покупателя» и, надеюсь, в самое ближайшее время все исправят. А мы никому-никому об этом не скажем.