Ющук Евгений Леонидович (yushchuk) wrote,
Ющук Евгений Леонидович
yushchuk

По секрету всему web’у

http://dkvartal.ru/kvartal/2005/n18/posekretuvsemuwebu/comments/add


Автор: Алексей Жданов
№ 18 (494) от 16 мая 2005, в рубрике: Безопасность
В 2002 г. «Деловой квартал» сообщил читателям, что легальный рынок конкурентной разведки в городе только зарождается. Роды оказались затяжными: в 2005 г. операторы этого рынка говорят то же самое. Зато местные бизнесмены уже научились отличать конкурентную разведку от промышленного шпионажа и на собственных ошибках выявили наиболее эффективные способы получения информации о конкурентах. Чтобы узнать, как дешево и просто следить за ними (и самому уйти от такой слежки), «ДК» и консалтинговая компания «КБЕ — Кадровый банк Екатеринбурга» организовали встречу Дискуссионного клуба под кодовым названием «Маркетинг угроз и возможностей». Оказалось, что у местных бизнесменов две основные угрозы (они же и возможности): Интернет и собственные сотрудники.

Конкурентные разведчики против промышленных шпионов

Изначальный и основной смысл существования конкурентной разведки (КР) — необходимость получения любой компанией объективной информации о рынке, о конкурентах, о себе самой, наконец. Объем подобной
информации никогда не бывает избыточным. Но из этого совершенно не следует, что предпринимателям, собирающим такие данные, следует руководствоваться лозунгом: «Цель оправдывает средства».

Средства, которыми пользуются бизнесмены, прибегающие к конкурентной разведке, всегда ограничены. Первый по значимости в ряду таких естественных ограничителей — закон. Андрей Межутков, заместитель директора екатеринбургского филиала ГУП «Атлас»: Попытка завладеть коммерческой информацией любого предприятия наказуема с точки зрения закона. Перечня информации, считающейся коммерческой, в России не существует. Закон лишь регламентирует список тех сведений, что не могут считаться закрытыми. В частности, к закрытой коммерческой информации не должны относиться балансы. Но ни для кого не секрет, что существенная часть оборота многих компаний идет через «черные» кассы. Поэтому из официальных балансов конкуренты мало что могут узнать друг о друге. Именно по этой причине, полагает г-н Межутков, российские предприниматели вынуждены прибегать к промышленному шпионажу, зачастую уголовно наказуемому, — подкупать рядовых сотрудников конкурирующих компаний, пользоваться техническими средствами съема информации. Среди таких средств, наряду с телефонными «прослушками», г-н Межутков выделил сетевые технологии. По его словам, квалифицированному программисту сегодня не составит труда войти в подключенную к Интернету компьютерную сеть компании, не защищенной межсетевыми экранами, и скопировать (либо уничтожить) файлы с коммерческой информацией.

Евгений Ющук заметил, что иногда взламывать чужие сети совершенно не обязательно — достаточно знать особенности программных продуктов, используемых в бизнесе. Предположим, вы посылаете своему контрагенту файл Word с текстом договора или информацией о ценах. Объем обычного пустого Word’овского файла — около 20 Кб. Если вносить в текст изменения, файл «распухает». Windows, не способная гарантировать бесперебойную работу всей системы, закладывает в каждый файл историю изменений, чтобы иметь возможность восстановить информацию в случае «падения» программы. Если вы откроете такой файл в ОС Linux программой AntiWord, будут видны все скопированные, измененные и удаленные фрагменты в тексте. Та информация, утечки которой вы хотели не допустить, редактируя файл, уйдет за пределы компании. Файл никто не воровал, вы сами его прислали. Это конкурентная разведка или промышленный шпионаж? — задался вопросом г-н Ющук.

Иными словами, разграничить конкурентную разведку и промышленный шпионаж, используя лишь букву закона, не удается. Чтобы все-таки отделить зерна от плевел, один из экспертов предложил обратиться к этике. Евгений Ющук заметил, что этические нормы не универсальны, они различны в Европе и Америке. В США специалисты КР — как правило, выходцы из спецслужб, считающие вполне этичным все, что прямо не запрещено законом.
Г-н Ющук рассказал о судебном разбирательстве в Америке. Охранники компании Uniliever на улице рядом со своим офисом поймали нанятых Procter&Gamble бывших сотрудников спецслужб, когда те рылись в мусорных баках. С точки зрения закона Procter&Gamble был прав, поскольку детективы руководствовались прецедентным судебном решением, гласившим, что никаких ограничений на поиск и получение информации о конкурентах на помойке не существует — место это публичное и под юрисдикцию отдельно взятой компании не подпадает. Procter&Gamble решил до очередного суда дело не доводить, агентов уволили, а от Uniliever откупились $10 млн, дабы не предавать дело огласке.

В Европе такого случиться просто не могло: там спецслужбы вынуждены принимать во внимание бытующие этические нормы, а по ним рыться в помойке рядом с офисом конкурентов неприлично. В Европе считают необходимым вкладывать деньги в пропаганду этических норм среди детей, чтобы потом, когда они вырастут, не тратиться на содержание их в тюрьмах, — пояснил г-н Ющук.

В ответ на просьбу из зала привести пример методов конкурентной разведки, соответствующих европейским этическим нормам, он рассказал о практике организации специализированных выставок. Чтобы попасть на такую выставку, посетитель (как правило, профессионал в той или иной области) должен зарегистрироваться на специальном сайте. Крупные компании, входящие в оргкомитет выставки, получают списки зарегистрировавшихся и сверяют их со списками уволившихся. Человека, который есть в обоих списках, приглашают к стенду компании, где он когда-то работал, — пообщаться со вчерашними коллегами. Задают всего пару вопросов. Первый: не хотите ли вы вернуться обратно? Если человек отвечает «нет», объясняя, что он работает в другой фирме, у него интересуются, чем условия на новом месте отличаются от старых. Собирать таким образом информацию о прямых конкурентах считается абсолютно этичным. Равно как и общаться с бывшими работодателями.

Николай Самодаев, менеджер российского офиса компании Ernst&Young, предложил другую классификацию методов конкурентных разведчиков, которая позволила бы примирить американское верховенство закона и европейский моральный императив. Существуют «белые», «серые» и «черные» источники конкурентной информации. «Белые» — совершенно открытые сведения, их можно добыть без всякого нарушения закона. «Черные» — те, что без нарушения закона получить нельзя. И наконец, «серые» — они находятся на грани «белого» и «черного». Чаще всего «серые» методы не конфликтуют с законом, но нарушают распространенные этические нормы. Получается, россиянам и здесь удалось найти уникальный третий путь, более близкий все-таки к американской модели, чем к европейской. Заниматься конкурентной разведкой в России — значит, безусловно, использовать все допустимые законом методы и технологии, принимая во внимание и этику, но помня о том, что за нарушение этических норм у нас все-таки не сажают.

Дмитрий Жегуль, гендиректор компании «Авто-Интер», спас участников дискуссии, совсем было увязнувших в топком болоте рассуждений о законе и морали. Глава «Авто-Интера» заявил, что главный ограничитель в конкурентной разведке — не закон и не этика, а деньги. Понятное дело, любой бизнесмен хотел бы иметь максимум информации о конкурентах, но лишь в том случае, если стоимость этой информации для него будет больше, чем цена ее получения. В противном случае, полагает г-н Жегуль, затея лишена экономического смысла: Действия конкурентной разведки подразделяются на два этапа: сбор информации и ее анализ. Специалисты и в той и другой областях стоят дорого.

С другой стороны, «зеркальное» правило для «обороняющейся» компании, согласно которому стоимость усилий по защите информации должна быть адекватна возможным затратам на ее получение (как они определяются — см. выше), сейчас потеряло актуальность. И конкурентная разведка здесь совсем ни при чем. Андрей Межутков: Все специалисты по компьютерным сетям знают о так называемых скрипт-кидди. Скрипты — это постоянно обновляемые программки, позволяющие взламывать корпоративные сети благодаря все новым обнаруживаемым прорехам в операционных системах. Новые скрипты выкладываются в Сети ежедневно. А кидди — малолетние хакеры-балбесы, умеющие эти скрипты запускать. Причем делают они это совершенно бесплатно, из любви к хакерскому искусству. Сказать определенно, как раньше, что, допустим, на защиту информации надо потратить 10% от ее стоимости, сейчас нельзя. Если ваша информация условно стоит $100 тыс., то вам уже недостаточно будет потратить $10 тыс. на новый сервер и межсетевой экран. С учетом ежедневной активности скрипт-кидди вам придется много расходовать на поддержание системы в работоспособном состоянии.

Евгений Ющук попробовал подвести черту под рассуждениями об эффективности инвестиций в защиту информации, сказав, что единственный известный науке способ гарантировать секретность информации — сжечь документ перед прочтением. Сейчас есть фирмы, которые восстанавливают информацию из пепла, — тут же откликнулся представитель Ernst&Young.

Наши сети
притащили болтуна…

Когда участники Дискуссионного клуба перешли к обсуждению наиболее простых и эффективных практических методик конкурентной разведки, стало окончательно ясно: абсолютному большинству екатеринбургских фирм прибегать к услугам «восстановителей из пепла» и профессиональных хакеров ни к чему. Большие и малые корпоративные тайны, помимо сейфов и серверов, хранятся в головах сотрудников. И эти головы, как бы ни хотелось того начальникам служб безопасности, сдать на хранение в специально оборудованные помещения по окончании рабочего дня ну никак не удается. Более того, выясняется, что с помощью Интернета сотрудники разглашают тайны «по секрету всему свету», не отходя от рабочего места.

Евгений Ющук привел пример из своей практики. В примере фигурировало реальное уральское предприятие, название которого г-н Ющук зашифровал кодовым словом «Кристалл». У этого предприятия в Сети есть свой домен — kristall.ru, все сотрудники пользуются электронной почтой с адресами @kristall.ru. Поиск в Яндексе, Рамблере и Google фраз, содержащих сочетание @kristall.ru, привел г-на Ющука на форум московской компании, занимающейся бизнес-образованием. Там в разделе «Отзывы клиентов» финансовый директор «Кристалла» благодарил москвичей за хорошо организованный тренинг. В отзыве финдиректора содержался и его персональный e-mail — скажем, ABIvanov@kristall.ru. Набрав e-mail в тех же поисковых системах, Евгений Ющук наткнулся на другой форум, где аноним с электронным адресом ABIvanov@mail.ru отвечал на вопросы посетителей о схемах движения денег на предприятии, на котором он работал. Так, потратив 20 руб. на интернет-трафик и не прибегая к промышленному шпионажу (т.е. не нарушая абсолютно никаких законов), г-н Ющук нашел именно ту информацию, что интересовала его заказчика. Экспертам метод понравился, правда, они посоветовали проверить полученные сведения: возможно, конкурент ведет игру, вбрасывая в Интернет дезинформацию.

Дмитрия Жегуля простота и эффективность использования поисковых машин одновременно и вдохновила, и расстроила: Как вбить сотруднику в голову, что он не должен всем подряд рассказывать коммерческие секреты предприятия, да еще и в Интернете? Душеспасительные беседы — не помогают. Запретительные инструкции люди забывают, выходя с работы.

Эксперты приводили и другие примеры вредоносности сочетания «болтливый сотрудник + Интернет». Рассказали, в частности, о том, как одна местная компания заказала профессиональное сканирование Интернета, чтобы выяснить о себе объем информации, находящейся в открытом доступе. Специалисты в области конкурентной разведки обнаружили в Сети двух сотрудников фирмы, регулярно размещавших на специализированных форумах якобы анонимные сообщения, не забывая при этом оставлять в качестве контактных данных свои корпоративные электронные адреса. Одним из сотрудников был системный администратор. На сисадминском сайте он охотно отвечал на вопросы об эффективности разных систем безопасности в компьютерных сетях — профессионал в этой области легко мог сделать выводы о том, что именно использует компания для защиты своих данных. Второй сотрудник — один из руководителей отдела маркетинга — в Интернете знакомился с девушками. Он разместил свой портрет, опять-таки оставил персональный e-mail. Излишне говорить, что виртуальная Мата Хари образца 2005 г. могла бы с легкостью вытянуть из такого специалиста массу сведений. В итоге сисадмину всего лишь запретили использовать корпоративный адрес при общении в профессиональных форумах. Эта мера оказалась действенной, поскольку без указания на место его работы оставляемые им сообщения никакой ценности для конкурентов не представляли. С маркетологом все прошло не так гладко. Когда его попросили убрать с сайта знакомств портрет и ссылку на место работы, он счел это вмешательством в личную жизнь и написал заявление об увольнении.

Доменные имена — незаменимое орудие специалиста по конкурентной разведке. Они выдают с головой любую компанию. Мне удалось доказать без всяких затрат аффилированность одной известной компании с не менее известным холдингом — их сайты имели общее доменное имя и администрировались одним специалистом, — рассказывал г-н Ющук. Чтобы поиск был успешным, необходимо знать различия в языках запросов Яндекса, Рамблера и Google и уметь получать информацию в «невидимом» Интернете — отыскивать в Сети файлы, не индексируемые поисковиками.

Сканирование Сети — лишь начальный этап малобюджетной конкурентной разведки. В Свердловской области зарегистрировано около 98 тыс. предприятий. И лишь у малой части из них есть собственные сайты. На рынке работают вполне успешные компании, которые не пользуются даже электронной почтой, — сообщил Сергей Черкасов, генеральный директор объединения безопасности «Сатурн». Если информации в Сети нет, он посоветовал попробовать запросить нужные сведения, прикинувшись журналистом или работником общественной организации — кем угодно, лишь бы легенда соответствовала тематике задаваемых вопросов. В 8 случаях из 10 таким образом можно легко выяснить структуру компании, имена должностных лиц и основные сведения о бизнесе.

Вполне цивилизованный (но не самый распространенный у нас) способ восполнить пробелы в знаниях о конкуренте — обратиться в специализированное агентство, которое концентрирует и анализирует экономическую информацию, собирает и проверяет факты об одних предпринимателях и фирмах по заказу других. В Екатеринбурге о таких компаниях не всегда знают даже специалисты в области корпоративной безопасности. Когда один из экспертов поинтересовался, есть ли у нас специализирующиеся на конкурентной разведке фирмы, выяснилось, что руководитель подобной фирмы сидит с ним за одним столом. Сергей Черкасов: Одно из наших предприятий называется «Агентство экономической безопасности». Оно вплотную занимается конкурентной или деловой разведкой, что для нас одно и то же. Это наш бизнес.

Помимо сканирования Интернета, звонков от имени известных СМИ и обращения в разведфирмы, Дмитрий Жегуль посоветовал еще один простой способ найти информацию о сотрудниках конкурирующих компаний — читать их корпоративные газеты. Там чего только не пишут: и об увлечениях менеджеров, и о том, кто чем занимается на предприятии. Хорошо, что корпоративных газет становится все больше. Бери, читай, работай! — воодушевил всех конкурентных разведчиков в зале г-н Жегуль.

Елена Ларичева, директор КБЕ, рассказала, как много ценной информации о конкурирующей компании можно собрать, объявив конкурс вакансий. Необходимо искать узких специалистов в тех отраслях, где работают конкуренты. Вероятнее всего, на собеседования придут сотрудники из этих компаний. За 1,5 часа грамотный менеджер по персоналу вытянет из претендента массу специфических данных о бизнесе его работодателя, — уверила всех г-жа Ларичева.

Бойцы невидимого рынка

Признав, что словесная невоздержанность персонала — сегодня основной канал утечки корпоративной информации, эксперты стали обсуждать, как с этим явлением бороться. По мнению Андрея Межуткова, самые простые организационные меры из советского прошлого позволяют ограничить болтливость сотрудников и в наши дни. ГУП «Атлас» не так давно пришлось проводить аудит системы безопасности одного из екатеринбургских заводов. С техническими средствами там не нужно было делать ничего — компьютерные сети, серверы и т.д. были защищены и настроены правильно. Итогом полуторамесячной работы аудиторов стали три документа. В первом содержался список сведений, которые сотрудникам запрещалось разглашать за пределами предприятия. Там же вводились степени допуска к коммерческой информации — каждый работник подписался под обязательством о неразглашении доступных ему сведений. Второй документ — внут­ренняя инструкция по работе с информацией. Третий — приказ по предприятию, вводивший новый порядок работы с коммерческими данными. Начальник службы безопасности завода глупо посмотрел на эти три документа и спросил: «И вот это весь ваш аудит? За эти три бумажки вы хотите получить деньги?» Мы ему ответили: «Да, парень, за эти три бумажки. Чтобы их написать, нам пришлось полтора месяца прожить на твоем заводе, перепахать всю твою базу данных, поговорить со всеми твоими людьми», — рассказал г-н Межутков. Из его слов следовало, что административным методам защиты информации после полутора десятилетий забвения суждено пережить на российских предприятиях настоящий ренессанс.

Тему подхватил Иван Израйлев, коммерческий директор компании CIFT. По его мнению, самый неправильный способ защитить коммерческую информацию — позвать компанию, специализирующуюся на технических средствах защиты. Они обследуют вашу фирму и скажут: необходимы межсетевые экраны, новые серверы и т.д. На самом деле все это вам действительно понадобится, но только после того, как вы отладите внутренние бизнес-процессы и доведете до каждого сотрудника, что он может говорить вне компании, а что нет, — заключил Иван Израйлев. В ответ представитель Ernst & Young заявил, что оттачивать бизнес-процессы необходимо параллельно с защитой сетей: Нам приходится делать так называемые Penetration testing — выявлять уязвимые точки в корпоративных сетях крупных российских компаний. Результаты этих тестов часто неутешительны. Но меня радует, что все больше компаний осознают необходимость таких проверок.

Елена Ларичева усомнилась в эффективности одних только административно-запретительных мер или средств технического контроля. Методы предотвращения утечки информации не будут работать, если сотрудники нелояльны, считает г-жа Ларичева: Деньги компании в первую очередь стоит вкладывать не в средства безопасности, администрирование или разработку документов. Если у сотрудника нет внутреннего мотива, побуждающего его не разглашать коммерческую тайну, никакие документы или технологии не заставят его хранить молчание.

По словам Николая Самодаева, более чем в 70% случаев утечки корпоративных секретов задействованы сотрудники, имеющие вполне легальный доступ к хранилищам этой информации. Сергей Черкасов посоветовал делать доступ сотрудников к необходимой им корпоративной информации контролируемым: если кто-то из них обращается к большому массиву важных данных, у администратора системы должно появляться соответствующее сообщение. Доверять сотрудникам надо, но лучше создавать максимум технических препятствий для выноса данных за пределы предприятия. С точки зрения безопасности лучше использовать компьютеры без дисководов и пишущих приводов CD-R.

Василий Валов, главный инженер компании «Джи-секьюрити», заметил, что технические методы позволяют выявить пусть немногочисленных, но все-таки присутствующих в каждой фирме нелояльных сотрудников. В частности, эксперты поделились личными наблюдениями: чаще всего информацию о планах руководства разглашают сотрудники бухгалтерии, общаясь со своими знакомыми по телефону на рабочем месте или в курилке. Делают они это без всякой задней мысли, чтоб только поддержать разговор: «Зин, а наш-то генеральный у «Снабсбытпроминвеста» здание на Ленина покупает. За миллион». После чего здание неожиданно оказывается у главного конкурента генерального за несколько большую сумму.

Более опасная форма нелояльности — продажа конкурентам информации, например сведений об условиях поставок основным клиентам компании. Эксперты признали, что другими способами, кроме как прослушивания телефонных линий и курилок (в своих фирмах! За шпионаж в чужих сажают в тюрьму), нелояльных сотрудников не выявить. Евгений Ющук посоветовал службам безопасности приобретать и использовать программы-роботы, позволяющие сканировать содержимое определенных сайтов и находить нужные данные: Запустив такую программу стоимостью 1200 руб., вы будете молниеносно узнавать обо всех резюме, размещенных вашими сотрудниками на сайтах с вакансиями. Сразу увольнять нелояльных г-н Ющук не рекомендовал. Если вероятность ухода к конкурентам высока, лучше через таких сотрудников запустить дезинформацию.

В обоснование тезиса о том, что львиную долю информации компании теряют из-за нелояльности работников, Дмитрий Жужгин, вице-президент по безопасности НП «Объединение заводов «Финпромко», привел пример из своей практики. Один из сотрудников предприятия, входящего в холдинг «Финпромко», совершенно свободно вынес с предприятия чертежи передовой разработки — современного высоковольтного выключателя (законодательство ограничивает личный досмотр персонала службой безопасности). Затем он уволился из «Финпромко», и через какое-то время выключатель стал выпускать конкурирующий завод. «Финпромко» один за другим выигрывает судебные иски против этого работника, но призвать к ответу конкурента сложно из-за крайне запутанной ситуации в области патентного права. Конкурент «Финпромко» выпускает украденную модель выключателя и сегодня.

Пример достойного отпора хитроумным планам конкурентов привела Юлия Юдина, начальник бюро маркетинга завода имени Калинина: Каждый год мне звонит маркетолог с конкурирующего завода. Он предлагает обмениваться маркетинговой информацией, чтобы было легче противостоять зарубежным производителям. Наш завод крупнее, информации у нас больше, так что нам такой обмен совсем ни к чему. Я всякий раз предлагаю обратиться к моему начальнику, поскольку такие вопросы в его компетенции. Начальник советует маркетологу-конкуренту вновь позвонить мне. И так год за годом.

Конкурентные разведчики отвечают бизнесменам

Вопрос из зала № 1: как поступить с опытным, проработавшим не один год сотрудником, о котором стало известно, что он сливает корпоративную информацию конкурентам?

Ответы экспертов: а) предложить сотруднику заняться конкурентной разведкой в интересах компании, поскольку, вероятно, в нем «дремлет» шпион; б) не увольнять такого человека, используя его как канал дезинформации конкурентов.



Вопрос из зала № 2: стоит ли принимать на работу ценного специалиста, если известно, что на предыдущем месте работы он разглашал (продавал) секретные данные?

Елена Ларичева:

— Не стоит. Проводя собеседования с людьми, желающими попасть в наш банк специалистов, мы обязательно задаем конкретные вопросы о предыдущем месте работы. Если человек в ответе приводит цифры и факты, касающиеся конкретной компании, работодателям мы его уже не рекомендуем. Многократно проверено на практике: работник, единожды выдавший коммерческую информацию, будет так же поступать и в дальнейшем.



Вопрос из зала № 3: каковы правовые последствия разглашения коммерческой информации за деньги?

Сергей Черкасов:

— Если человек, продавший информацию, — должностное лицо, его действия можно классифицировать как взятку и возбудить уголовное дело.

Николай Самодаев:

— Сотрудник, получивший за несанкционированные действия какие-то материальные ценности, может выдать их за подарок и уйти от ответственности. Чтобы этого не произошло, на предприятии следует ввести простые правила: подарком считается вещь не дороже определенной суммы, допустим, $25. Оставленная сотрудником у себя вещь, которая стоит больше, классифицируется как взятка.



Вопрос из зала № 4: меня зовут Александр Аникин. Я директор по международным контактам Международного клуба маркетологов. Вокруг сайта нашего клуба возникло сообщество более чем из 1,5 тыс. маркетологов по всей России. Большой популярностью пользуются обсуждения на форумах сайта кейсов из практики участников нашего клуба. К нам несколько раз обращались сотрудники служб безопасности разных компаний, требуя прекратить обсуждения, поскольку в них раскрывалась информация об этих фирмах. Могут ли профессиональные сообщества быть инструментом конкурентной разведки? И как нам поступить, чтобы у служб секьюрити не было претензий?

Дмитрий Жегуль:

— Такое сообщество очень может помочь службе разведки компании, если удастся внедрить туда своего человека под видом независимого маркетолога. А еще известно, что лучший способ победить восстание — возглавить его. Службам маркетинга стоит обдумать идею создания таких виртуальных площадок, чтобы привлекать на них специалистов конкурирующих компаний.

Ирина Каримова, руководитель Клуба маркетологов компании «Марко Поло»:

— Наш клуб не виртуальный. Мы ввели несколько правил, позволяющих нам обсуждать любые темы, не боясь нареканий со стороны служб безопасности. В конкретном заседании не могут участвовать прямые конкуренты. Обсуждая кейсы, мы не приводим точных фактов и цифр. Мы лишь обсуждаем, насколько эффективна определенная маркетинговая технология в данной ситуации.

Обратная связь:
zhdanov@apress.ru
 

 

 

Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments