Промислове шпигунство - проблема, що стосується не тільки тих компаній, які потай займаються розробкою нового «убійциiPhone». Бізнес-плани, фінансові звіти та інші документи, які є в будь-якої компанії - ось що цікавить сучасних промислових шпигунів. Як захиститися від нього, і чи можливо це в принципі?
За прикладами далеко ходити не потрібно: не так давно тому Пентагон звинуватив китайців в крадіжці новітніх розробок в сфері військової авіації. Як пишуть ЗМІ, в результаті кібершпіонажу Китаєм були отримані секретні технології, що застосовуються на американському винищувачі 5-го покоління F-35 Lightning II. Інженери з КНР знайшли застосування американським розробкам в своєму літаку "Цзянь-20" (J-20). За словами Пентагону, китайці отримали інформацію про технології ще сім років тому - і стільки часу китайцям знадобилося на те, щоб втілити американські ідеї в життя.
Втім, думати, нібито загроза промислового шпигунства виходить тільки від китайців, буде, скажімо так, не зовсім правильно. В цьому році співробітник компанії Toshiba, відомого японського електронного гіганта, був затриманий за підозрою в передачі технологій, розроблених компанією, своїм колегам з Південної Кореї - країни технологічно більш ніж розвиненою. Що цікаво, цікавили корейців розробки Toshibaв області NAND флеш-пам'яті, в якій світовим лідером за загальним визнанням є корейська корпорація Samsung.
Список цей можна продовжувати дуже довго, але вже, напевно, і так зрозуміло, що промислове шпигунство є серйозною проблемою для компанії будь-якого масштабу. Як вже говорилося вище, він загрожує сьогодні всім - від банків і страхових компаній до роздрібних торговців, тому що в кожній організації є певна інформація, яка не повинна бути доступна нікому за її межами.
Багато організацій до сих пір мають дуже туманне уявлення про сучасні практики захисту від промислового шпигунства. Проте, в більшості з них так чи інакше існують політики інформаційної безпеки, яких зазвичай цілком достатньо для того, щоб убезпечити організацію від промислового шпигунства. Єдиною проблемою в даному випадку стає практична реалізація цих політик. Для того щоб вони працювали, головним є воля керівництва організації до їх дотримання. Методи, що застосовуються при цьому, давно відомі: дисциплінарні стягнення по відношенню до тих, хто не дотримується вимог щодо забезпечення безпеки, контроль з боку відповідних профільних служб, проведення інструктажу серед співробітників.
Якщо такі заходи в компанії досі не практикувалися, не варто чекати від них миттєвого ефекту: цілком можливо, для того, щоб політики безпеки дійсно почали ефективно працювати, доведеться навіть звільнити кілька особливо злісних порушників правил.
Не секрет, що успіх захисту організації від витоків інформації і від промислового шпигунства багато в чому визначається її кадровою політикою. Тому що, як відомо, «на жаднюгу не потрібен ніж» працівника, який має доступ до важливих даних, можна купити або залякати. Саме тому важливо звертати увагу на психологічну складову забезпечення інформаційної безпеки організації. На жаль, далеко не всі компанії можуть собі дозволити мати штатного психолога. Проте, якщо така можливість все-таки є, варто їй скористатися для відстеження співробітників, які перебувають в надмірно збудженому або, навпаки, пригніченому стані. Цілком може виявитися, що причиною такого психічного стану є можливість отримання великого винагороди або загрози, пов'язані з невиконанням вимог з надання конфіденційної інформації про компанії, в якій він працює.
При прийомі співробітників на роботу і при висуненні на керівні посади необхідно враховувати не тільки послужний список і професійні навички, а й психологічні особливості співробітника. Зайве полохливий або надмірно жадібному людині навряд чи варто довіряти керівні посади, пов'язані з доступом до конфіденційних даних, тому що якщо випаде можливість вигідно продати дані, або якщо на нього буде чинитися тиск, організація, в якій він працює, може серйозно постраждати. Не можна не згадати і про мотивацію співробітників хоча, звичайно, це вже не відноситься до компетенції відділу інформаційної безпеки, однак якщо співробітник відчуває себе непотрібним власної компанії, ніякі технічні засоби боротьби з промисловим шпигунством не зможуть змусити його відмовитися від наміру їй нашкодити.
Однак і без технічних засобів, ясна річ, теж нікуди. Найбільш ефективним рішення проти промислового шпигунства сьогодні є DLP-системи - програмні продукти, що діють за принципом віртуального захисного контуру інформаційної безпеки, навколишнього кожну робочу станцію в корпоративної інформаційної мережі. Скорочення DLPрасшіфровивается як DataLeakPrevention, тобто, запобігання витокам даних. При виявленні в переданих даних конфіденційної інформації DLP-система повідомить про це в реальному часі фахівцям щодо забезпечення інформаційної безпеки, і якщо це необхідно, то блокує подальшу передачу даних. За оцінками експертів, впровадження DLP-системи знижує ймовірність успішного промислового шпигунства проти впровадила таку систему компанії, в середньому, в 2,5 рази.
З промисловим шпигунством, як показує практика, рано чи пізно стикається будь-яка компанія. Тільки не кожна з компаній дізнається своєчасно про те, що її бізнес-плани, перспективні розробки або персональні дані клієнтів потрапили в руки третіх осіб. В наш час, коли для винесення великого обсягу конфіденційних даних з компанії не потрібні вантажники, а достатньо однієї людини, який перепише їх на «флешку» або передасть по електронній пошті, вже важко зустріти «класичний» промислове шпигунство з «жучками» і мініфотокамерамі. Тому і захищатися потрібно відповідно до вимог часу: контролювати можливі канали витоку інформації і стимулювати працівників матеріально і морально, щоб у них не виникало бажання торгувати документами компанії.