953
В настоящее время бизнес представляет собой «гонку вооружений»: кто быстрее и качественнее может предложить свои услуги, тот занимает ведущие позиции. «Вооружения» в этой области отличаются своей специфичностью, однако предмет «гонки» не меняется – актуальная информация при правильном ее использовании способна как обеспечить своему владельцу светлое будущее, так и поставить крест на его конкурентах.
Способы получения «полезной» информации зависят от ее типа и инфраструктуры, в которой она циркулирует, поэтому трудно проводить классификацию методов ее добычи. Однако существует два принципиально разных метода, которые, так или иначе, занимаются ее сбором и обработкой.
Конкурентная разведка – сбор и обработка информации в условиях «легального» бизнеса. Данные получаются исключительно в результате анализа сообщений из различных СМИ и тому подобных источников, находящихся в рамках закона.
Промышленный шпионаж – незаконное получение и (или) использование закрытой информации в условиях ведения недобросовестной конкуренции.
Оба метода присутствуют во всех сферах и уровнях бизнеса, но в разном проявлении. Я хотел бы заострить внимание на последнем, в силу его противозаконности и особенности используемых техник получения конфиденциальной информации.
Из наиболее распространенных практик промышленного шпионажа можно привести несколько примеров:
- шантаж лица или круга лиц, имеющих доступ к определенной информации;
- подкуп того же круга лиц;
- кража носителей информации;
- инсайдинг.
Последний пункт, содержащий модное в настоящее время английское слово, скрывает целый класс преступлений, которые могут быть осуществлены как умышленно (с использованием специально внедренных и подготовленных агентов), так и неумышленно (преступления, совершенные сотрудниками целевой организации по причине своей некомпетентности и т.п.).
Инсайдинг – гражданская активность, связанная с утечкой информации и, как следствие, с нарушением закона.
Наиболее опасными, с точки зрения защиты информации, являются именно специально внедренные инсайдеры, обладающие техническими знаниями и средствами для сбора конфиденциальной информации. Однако, как показывают ежегодные исследования аналитического центра компании Perimetrix, и те и другие нарушители внутренней информационной безопасности получают приблизительно одинаковые по степени тяжести наказания, которые зависят лишь от стоимости потерянной информации: от строгого выговора до увольнения из компании. Редко дело доходит до суда. Возможно, этот факт является следствием того, что многие компании не хотят портить себе репутацию в глазах потенциальных клиентов, но тем не менее, нарушители не получают должного наказания, что ведет к «иллюзорной» безнаказанности инсайдинга (как средства конкуренции) и его распространению в бизнесе.
Инфраструктура, в которой циркулирует информация, также несовершенна к ее утечкам. Если в серьезных организациях техническим аспектам и стали уделять больше внимания, то организационное и кадровое обеспечение ИБ содержит потенциальные бреши практически в любой отдельно взятой организации. Внутренние уставы компаний, прежде всего, рассчитаны на «удобство работы», нежели на защиту информации. Конечно эти рассуждения весьма относительны, но позволяют сделать умозаключение – правильная организация внутрекорпоративных кодексов и уставов зачастую является одним из ключевых этапов обеспечения информационной безопасности наряду с отключением портов ввода-вывода на критичном аппаратном обеспечении :).
Искажение «критической» информации зачастую более опасно, чем ее кража или потеря. Во-первых, факт изменения данных может откатить уровень развития компании, переопределив направления движения ее бизнеса в целом, и, во-вторых, искажение – трудно отслеживаемая процедура, которую можно избежать лишь логированием всех действий пользователя с «критическими» данными и архивированием всех документов.
Даже эти несколько вышеперечисленных фактов позволяют сделать вывод: только комплексный подход к обеспечению информационной безопасности позволяет пресечь попытки кражи информации санкционированными пользователями.