Bookmark and Share
Page Rank

ПОИСКОВЫЙ ИНТЕРНЕТ-ПОРТАЛ САДОВОДЧЕСКИХ И ДАЧНЫХ ТОВАРИЩЕСТВ "СНЕЖИНКА"

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.



Как конкуренты получают секреты вашей фирмы

Сообщений 1 страница 2 из 2

1

Как конкуренты получают секреты вашей фирмы

Продукты и услуги часто похожи как братья-близнецы. Порой вывести компанию в лидеры могут только грамотный маркетинг, стройные бизнес-процессы, крепкие отношения с поставщиками и клиентами. Информация полезна для вас? Полезна она и для конкурентов

https://s0.rbk.ru/v6_top_pics/resized/1180xH/media/img/3/16/755493658660163.jpg
Фото: Владислав Шатило / РБК

Ваши планы, стратегия развития, перечень лиц, принимающих решения, кредитная нагрузка, дизайн новой упаковки, список поставщиков и условий работы с ними, клиентов, ценообразование, скидки и т.д. — лакомый кусок для конкурента, пишет в колонке на MarketMedia директор по безопасности «СёрчИнформ» Иван Бируля.

Специалисты знают десятки способов, как вытащить такую информацию: от внешнего наблюдения до установки шпионского ПО. В частности, один из наших клиентов говорил о попытке аудиторов поставить такую программу при проведении проверки.

Но куда проще и дешевле для конкурента искать источники внутри. Для этих целей чаще всего используют подкуп или шантаж сотрудников, внедрение в компанию своего человека, фишинг и социальную инженерию.

Вот пара примеров в тему из практики наших клиентов.

- Первый пример: cлужба безопасности завода по производству хлеба контролировала рабочую переписку недавно устроившегося на работу менеджера по работе с торговыми сетями. Информацией о состоянии дел в компании он делился и с какими-то адресатами вне организации. Более пристальный контроль показал, что человек — «засланный казачок». Он специально устроился на эту работу с целью получить доступ в 1С и информацию о сотрудничестве с контрагентами.

- Второй пример: специалист по обслуживанию физических лиц в юридической фирме затягивал сроки сделки, приводил аргументы, которые усложняли процесс. Руководитель стал пристальнее наблюдать за продуктивностью сотрудника. Выяснилось, что тот наладил отношения с конкурентом, дела затягивал намеренно и в конце концов вынуждал клиентов уходить к «нужным» конкурентам. Те проявляли готовность решить проблему клиента качественно и без проблем, но повышали стоимость «за срочность». За каждого «переданного» клиента сотруднику организации N полагалось 5–10% от стоимости оказанных услуг.
Понятно, что каждый такой кейс — это недополученная прибыль, упущенные конкурентные преимущества, имиджевые потери, в том числе и для HR-бренда.

Опустим в этой статье вопрос непредумышленного слива. Это огромный пласт проблем, и тема достойна отдельного разговора: по данным нашего исследования, до половины всех утечек происходит случайно. Люди продолжают попадаться на фишинг и социальную инженерию, тем более что эти методы активно совершенствуются. Поговорим о злонамеренном инсайдерстве. Практика показывает, что решение «слить» не появляется мгновенно, а формируется постепенно.

По мнению Кейта О'Брайена, автора книги «В вашем магазине мошенники», которого чаще всего цитируют, когда речь идет о склонностях персонала к нарушениям, только 20% людей готовы на мошенничество в любой ситуации, примерно столько же никогда не пойдет на нарушения. Остальные же подвержены влиянию обстоятельств, которые делают преступление более вероятным. Именно поэтому ИБ-службы формируют группы риска среди сотрудников. Если выделенной службы нет, руководству нужно держать в голове, что чаще всего подтолкнуть к инсайдерству могут: негативное отношение к начальству, компании, коллективу; финансовые проблемы; алчность; зависть; шантаж и др.

Именно поэтому нужно обращать внимание на то:

- есть ли у сотрудника долги и зависимости,

- общается ли он с бывшими сотрудниками и конкурентами,

- обсуждает ли зарплату и действия ИБ-службы,

- разделяет ли он острые политические взгляды,

- принадлежит ли к сексуальным меньшинствам.


Последнее интересует ИБ-специалистов не из праздного любопытства. К сожалению, такие особенности — вероятный повод для шантажа сотрудника, и о нем лучше знать заранее.

Конечно, группа риска — не приговор. Это всего лишь маркер предрасположенности сотрудника к нарушению, которое может и не состояться. Часто компании сами благоволят тому, чтобы сотрудники воспользовались жизненными обстоятельствами. Перечислю некоторые проблемы.

1. Отсутствие режима коммерческой тайны в компании

Это создает поле неопределенности для благонадежных сотрудников и поле для злоупотреблений — для тех, кто способен на подлость. Кроме того, отсутствие режима коммерческой тайны в компании делает попытки доказать вину сотрудника тщетными, а мотивы для увольнения или обращения в суд — ничтожными. Чтобы ввести такой режим, определите перечень информации, которую нужно охранять; разграничивайте права доступа к ней; включите в трудовые и гражданско-правовые договоры пункты о порядке обращения с конфиденциальной информацией; нанесите соответствующий гриф на документы.

https://s0.rbk.ru/v6_top_pics/resized/945xH/media/img/1/26/755493659586261.jpg
Фото: Владислав Шатило / РБК

2. Отсутствие контроля доступа к информации

Ситуация с комплектацией штата ИБ-специалистов в компаниях пока очень разная. Чаще всего этому вопросу уделяется, мягко говоря, мало внимания. В результате легко можно представить ситуацию, когда при увольнении привилегированный сотрудник сохраняет возможность читать свою почту или заходить в CRM. Специальные средства, которые и призваны предотвращать, фиксировать и расследовать факты утечек данных (DLP-системы), судя по нашему исследованию, пока стоят только у трети компаний.

3. Не доводят разбирательство до конца

Большинство работодателей не выносят сор из избы. Наши данные показывают, что до 14% работодателей предпочитают и вовсе обходиться без санкций. Увольняют — почти половина. В результате недобросовестный сотрудник может еще долго работать на разных должностях в разных компаниях без риска разоблачения. В самой же компании создается атмосфера вседозволенности и безнаказанности. Считается, что довести дело до суда сложно. Отчасти это действительно так. Тем не менее в нашей практике есть десятки случаев, когда принципиальный работодатель все же доводил дело до суда, используя данные из DLP-системы как доказательство. Другое дело, не всегда эта информация фигурирует в материалах дела. За умышленное использование данных, относящихся к коммерческой тайне, нарушитель может быть наказан штрафом либо до 120 тыс. руб., либо в размере годового заработка. Ему также может грозить запрет занимать подобную должность или даже тюремный срок до 3 лет.

Самые творческие ИБ-службы могут обернуть ситуацию с промышленным шпионажем в свою пользу. В качестве примера расскажу об истории одного нашего клиента. Из компании уволилось несколько топ-менеджеров, и они организовали аналогичный бизнес. Естественно, возникла борьба за клиентов. ИБ-специалисты быстро выяснили, что уволившиеся менеджеры оставили в бывшем коллективе «шпионов» — лояльных сотрудников, которые передавали им информацию об участии в тендерах, о планах и готовящихся сделках.

Сотрудники ИБ-отдела, вычислив «шпионов», не стали требовать их увольнения. Они начали грамотно сливать дезинформацию, якобы «забывая» секретные документы у общего принтера, оставляя информацию в общедоступных папках и т.д. Весь процесс слива они наблюдали в DLP-системе, управляли им. Очень быстро у молодых конкурентов дела пошли неважно. Участвуя в тендерах с серьезным обеспечением, но не выигрывая их, компания обанкротилась. Это высший пилотаж работы ИБ-специалистов, в котором требуются глубокие знания психологии. Не рекомендовал бы повторять этот прием неподготовленным людям.

Ну и напоследок хочется добавить ложку меда в свое повествование. Все-таки желание человека унести секрет конкуренту сильно зависит от той ситуации, которая складывается в коллективе. Этичность работодателя, соблюдения им договоренностей об оплате и условий труда — это тот базис, на котором нужно выстраивать отношения с сотрудниками. Он есть?

материал с marketmedia.ru

https://pro.rbc.ru/news/5c595fd59a79476 … =vitrina_2

0

2

Несовершенно секретно: как защитить бизнес от утечек информации

Российские компании в 2018 году сталкивались с утечками информации чаще, чем годом ранее. Хорошая новость в том, что все больше руководителей начинают понимать, что это серьезная проблема

https://s0.rbk.ru/v6_top_pics/resized/1180xH/media/img/3/75/755502484304753.jpg
Фото: Сергей Карпов / ТАСС

Две трети (66%) российских компаний в 2018 году столкнулись с утечками корпоративной информации. Такой вывод сделала компания SearchInform по итогам ежегодного исследования уровня информационной безопасности в компаниях России и некоторых регионов мира (Латинская Америка, Ближний Восток, Средняя Азия и т.п.). Авторы исследования отмечают, что вырос и уровень осведомленности отечественных компаний о негативных последствиях утечек для бизнеса — 30% из них увеличили бюджеты на информбезопасность.

По мнению руководителя отдела аналитики SearchInform Алексея Парфентьева, опасности, связанные с утечками данных, острее всего осознают ретейлеры и высокотехнологичные производственные компании. «Хорошего ретейлера от плохого отличают выработанные бизнес-процессы и репутация. И то, и другое подвержено информационному риску. Базы (условия работы с поставщиками, ценообразование, сроки отгрузки, отсрочек платежей и т.д.) — это самая большая ценность розничных компаний». Но даже самые большие базы могут уместиться на обычную флешку, и конкуренты порой этим пользуются. «Что касается репутации, то при нынешнем развитии соцсетей даже единичное негативное высказывание сотрудника или раскрытие внутреннего секрета способно нанести огромный ущерб компании. Если работодатель вовремя не увидел и не пресек, контроль над ситуацией можно упустить очень быстро», — говорит Парфентьев.

У высокотехнологичной компании уязвим другой важнейший актив — интеллектуальная собственность. Исходный код, чертежи, исследования и т. д. в цифровую эпоху чаще всего являются обычными файлами, которые можно унести на флешке, распечатать, загрузить в облако или переправить по электронной почте. «Уже сам по себе факт попадания этих технологий, даже без деталей, касающихся их работы, в чужие руки бьет по компании, потому что становятся известны стратегия развития, планы и так далее. А если непосредственные разработки утекут к конкуренту, то он может стартовать с заведомо более выгодных позиций, сэкономив на дорогих исследованиях», — поясняет Парфентьев.

Определенную опасность представляет и репутационный ущерб. «Конечно, в России репутация — вещь специфическая, — рассуждает бизнес-консультант по безопасности Cisco Systems Алексей Лукацкий. Если у крупной компании происходит утечка, меньше клиентов у нее от этого, скорее всего, не станет, особенно если ты — компания с госучастием, но сам по себе фон неприятный».

Отмеченный рост числа инцидентов, скорее всего, связан не только с развитием самих технологий взлома, но и с фактами публичной огласки. Украденная информация чаще всего попадает в интернет, после чего трудно отрицать факты утечек, считает Лука Сафонов, руководитель лаборатории практического анализа защищенности компании «Инфосистемы Джет». По его мнению, большинство компаний сегодня осознает эти риски. Можно потерять лояльность клиентов и партнеров, а порой утечка данных может грозить и вовсе закрытием бизнеса. Так, 11 февраля 2019 года американский провайдер электронной почты VFEmail подвергся атаке, в результате которой все данные, включая резервные копии, были удалены. Компания разом лишилась всего, что было наработано за 18 лет существования.

Под ударом часто оказываются и финансовые структуры. «Американское кредитное бюро Equifax в 2017 году столкнулось с крупным взломом. Там были интересные детали: злоумышленники залезли через необновленный веб-сервер, несколько месяцев сидели внутри сети и понемногу воровали данные. Всего им удалось украсть данные по более чем 140 млн клиентов, в основном из США и Канады. Расследование длилось долго, и компания серьезно пострадала, попав на большие штрафы и судебные иски», — рассказывает Алексей Лукацкий.

https://s0.rbk.ru/v6_top_pics/resized/945xH/media/img/3/65/755502484651653.png

Малый бизнес, большие проблемы

Еще три-четыре года назад клиентами фирм, работающих в сфере информбезопасности, были преимущественно средние и крупные предприятия. Однако сейчас интерес к системам, которые позволяют предотвратить утечки конфиденциальных данных, появился и у малого бизнеса, отмечает Алексей Парфентьев. По его мнению, российские предприниматели начали осознавать: от размера бизнеса зависит выбор инструментов защиты, которые он может себе позволить, но не зависят сами проблемы, которые у него есть. «Риски у ретейлера с тремя с половиной сотрудниками в штате такие же, как у огромной ретейл-компании, потому что они используют в работе одни те же принципы, одни и те же бизнес-модели», — поясняет эксперт.

Парфентьев подчеркивает, что огромное количество инцидентов совершается из-за человеческого фактора, причем в основном речь не идет о злом умысле. Чаще всего утечка происходит по ошибке или невнимательности. Типичный инцидент — передача конфиденциальных данных на облачные системы хранения либо их пересылка через веб-почту. Как правило, это категорически запрещено. «Был случай в нашей практике, когда сотрудницу уволили за то, что она нарушила внутренние правила информбезопасности, просто сохранив данные в Dropbox. Свое увольнение она пыталась опротестовать в суде, доказывала, что не имела злого умысла и не передавала никому эти данные — ни конкурентам, ни прессе. Но, несмотря на это, суд встал на сторону работодателя», — говорит Парфентьев.

https://s0.rbk.ru/v6_top_pics/resized/945xH/media/img/0/93/755502487069930.jpg
Фото: Сергей Коньков / ТАСС

Специалист считает, что желание компаний в России обезопасить себя от рисков обусловлено исключительно их собственным выбором. «Клиент видит репутационные и финансовые риски, а вовсе не руководствуется требованиями федерального законодательства», — уверен Парфентьев. Если в Евросоюзе в мае 2018 года был принят «Общий регламент по защите данных», по которому штрафы за разглашение персональных данных могут достигать €20 млн, или 4% от оборота компании, то российский федеральный закон 152-ФЗ «О персональных данных» предполагает штрафы размером лишь в десятки тысяч рублей. «Что даже для маленькой компании деньги небольшие, — говорит Парфентьев. — А цена на средства защиты таких данных может достигать нескольких миллионов. Компаниям проще когда-нибудь штраф заплатить и забыть об этом».

Такое положение вещей, по мнению эксперта, вряд ли изменится в ближайшее время. Принятый в 2017 году Закон «О безопасности критической информационной инфраструктуры РФ» приводит ряд требований, за неисполнение которых предусмотрена даже уголовная ответственность (закон относит к критической инфраструктуре информационные системы и телекоммуникационные сети госорганов, а также автоматизированные системы управления технологическими процессами в оборонной индустрии, здравоохранении, связи, на транспорте и т.п. — РБК). Но персональные данные граждан там не фигурируют — только интересы государства», — говорит Парфентьев.

По его словам, во многих из упомянутых отраслей — госсекторе, медицине, транспорте, а также, например, гостиничном деле — скапливается огромное количество критической для пользователей информации. Контроль регулятора при этом слаб, и ситуация с сохранностью персональных данных печальна. «Хостелы и отели — это, например, надежный поставщик сканов паспортов на черный рынок. Нас регулярно просят снять копию с паспорта, но, какова судьба этой копии, никто не знает. Как показывает история с Marriott, в зоне риска даже мастодонты гостиничного рынка, что уж говорить о небольших отелях, хостелах», — рассказывает эксперт.

https://s0.rbk.ru/v6_top_pics/resized/945xH/media/img/0/75/755502484651750.png

Упомянутый инцидент показателен: 30 ноября 2018 года Marriott International сообщила о масштабной утечке данных своих гостей. «Компания незадолго до утечки купила сеть отелей Starwood, в системе которой, как оказалось, в течение нескольких лет сидели злоумышленники, которых никто не мог увидеть. В результате были похищены данные около 500 млн клиентов. Сегодня это одна из крупнейших утечек в истории. Компания пострадала как репутационно, так и финансово, потому что обещала своим клиентам — гражданам США, Великобритании и других стран — оплатить процедуру смены паспортов, а это стоит порядка $100 за каждый», — говорит Алексей Лукацкий.

Как защититься от утечек?

1. Заставьте сотрудников подписать документы об ответственности. Сотрудники должны осознавать последствия несоблюдения правил безопасности. Например, угроза выплатить штраф в размере 1,5 млн руб. или получить семь лет тюрьмы за кражу данных (ст. 183 УК) отбивает у сотрудников желание воровать секреты фирмы. Если вы используете инструменты мониторинга пользовательской активности, обязательно уведомляйте об этом сотрудника.

2. Обучайте сотрудников. Персонал должен знать, как правильно работать с информацией. Нужно вовлекать их в процессы безопасности. Если сотрудник знает, что работа, которой он занимается сейчас, критичная, пусть он это пометит в системе безопасности. Сотрудники должны быть осведомлены, как именно происходят инциденты, какая информация является критически важной, что с ней можно делать, как ее правильно переносить, хранить и т.д.

3. Разделите понятия «личное» и «корпоративное» на ментальном и техническом уровнях, чтобы ни в одном критичном для бизнеса процессе не нужно было применять личные средства коммуникации, контролировать которые в России незаконно.

4. Используйте виртуальные рабочие места. Если сотрудники работают удаленно, можно использовать решения, при которых все рабочие действия происходят на оборудовании заказчика и внутри его инфраструктуры, а пользовательский компьютер работает просто как средство удаленного подключения к виртуальному рабочему месту. Это позволяет гарантировать, что данные компании не будут похищены, скажем, через сеть Wi-Fi.

(Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ»)


Белые хакеры

Компании, занятые в сфере информационной безопасности, время от времени анализируют уровень защиты клиентов, проводя так называемые пентесты — атаки на их ИТ-инфраструктуру. Пентестеры, которых иначе называют белыми хакерами, не только ищут технические уязвимости, но и проверяют надежность сотрудников с помощью социотехнических тестов. Например, рассылают сотрудникам от лица компании-клиента письма о конкурсе с призами или раздаче подарков. «Мы разослали сотрудникам компании-клиента письма о раздаче остатков сувенирной продукции. У акции был свой сайт в фирменных цветах организации, на котором людям предлагали ввести логин и пароль, с помощью которых они входят в свои учетные записи на работе», — рассказывает Лука Сафонов. Число сотрудников, сдавших данные фишинговому сайту и потом приславших возмущенные письма, что он не работает, исчислялось десятками.

Такие атаки удобно проводить перед праздниками: Новый год, 23 февраля, 8 Марта, майские каникулы. «Во время «новогоднего конкурса» в большом холдинге на крючок попались и финансовый директор компании (мы получили доступ к документам), и несколько инженеров, у которых был удаленный доступ к критичным элементам инфраструктуры», — говорит Сафонов. При наличии у исполнителя нужного опыта затраты на такую атаку минимальны, а эффективность очень высока.

https://s0.rbk.ru/v6_top_pics/resized/945xH/media/img/5/85/755502484651855.png

Белые хакеры зачастую играют на человеческом любопытстве или жадности: например, якобы по ошибке рассылают «зарплатную ведомость» по всем сотрудникам либо «ведомость» о премиях руководства, которую откроет практически любой. «Распространенный тип атаки — так называемое дорожное яблоко: разбросать по компании флеш-накопители (около кулера, принтера, в коридоре и т.д.). Люди находят флешки, вставляют их в компьютер, после чего злоумышленники или пентестеры (специалисты по оценке информационной защищенности предприятия. — РБК) получают доступ в корпоративную сеть», — поясняет Сафонов.

Что касается технических уязвимостей, то одной из стандартных остаются «мертвые» учетные записи работников. Порой даже крупные работодатели не заботятся о том, чтобы удалять учетные записи покинувших компанию сотрудников. Иногда кто-то из них на протяжении многих лет бесконтрольно пользуется доступом к корпоративным ресурсам. Не так давно белые хакеры из «Инфосистем Джет» получили доступ к серверу одного из клиентов, используя сохранившуюся учетную запись давно покинувшего компанию сотрудника. «Пикантность этому взлому придает то, что мы даже нашли предполагаемого хозяина и выяснили, что он сейчас либо в тюрьме сидит, либо стал священнослужителем. На всех его фотографиях, к которым мы получили доступ, священнослужители в каких-то СИЗО» — рассказывает Сафонов.

Опасная удаленка

Сегодня значительный процент компаний (в США — 63%) допускают удаленную работу или даже полностью перешли в безофисный формат. Это повышает удовлетворенность сотрудников и одновременно способствует уязвимости компаний, ведь сотрудники используют для работы и личных дел один и тот же компьютер. «Понятие «персональный компьютер» размылось, за рабочей машиной все чаще следят не специализированные сервисы и сисадмины, а лишь сам пользователь, который обычно не задумывается о безопасности: ну словил вирус — переставил систему», — поясняет Лука Сафонов.

Удаленка чаще всего подразумевает свободный график, и здесь скрывается еще одна опасность. «В корпорации, где все работают с 09:00 до 18:00, сисадмин может заметить подозрительную активность в нерабочее время и хотя бы послать охранника проверить, на месте ли сотрудник», — говорит Сафонов. При работе из дома взлом компьютера отследить трудно, ведь даже его IP-адрес тоже может меняться, если человек работает то из дома, то из кафе, то из коворгинга. А злоумышленники могут перехватить его данные, например через Wi-Fi.

По мнению Алексея Парфентьева, это главная проблема, которую и юридически, и технически решить пока невозможно: «Возьмем банки. Их кол-центры территориально могут располагаться где угодно, сотрудники могут даже работать из дома. Таким сотрудникам необходимо дать доступ к их основным рабочим инструментам — базам, клиентским данным. Но так как оборудование используется личное, никакие активные средства мониторинга в принципе не могут быть применены по закону, ведь в мониторинг неминуемо попадет и личная переписка». Решить проблему могло бы использование виртуальных рабочих мест, и эту практику сейчас вводят многие компании. Однако это решение требует дополнительных финансовых вложений в ИТ-средства, серверы и линии связи. К этому работодатель часто оказывается не готов, ведь, как правило, сам факт оформления сотрудника на фриланс говорит о желании сэкономить.

Переход на удаленку, по словам экспертов, открывает новую эпоху в охоте за чужими данными, ведь личные компьютеры взламывать гораздо легче, чем корпоративные. «Вычислить домашние адреса сотрудников и взломать их роутер и компьютеры, с которых что-то могли пересылать, — дешевле и эффективнее. Смартфон и вовсе проще даже не взламывать, а украсть. Пока вы проведете без связи полчаса или час, ваш телефон выпотрошат. Половину китайских смартфонов, на которых установлена разблокировка с помощью лица владельца, можно разблокировать с помощью его фото», — говорит Сафонов. К сожалению, тут руководители российских компаний не могут быть хорошим примером для подчиненных. В сентябре 2018 года PwC выяснила, что 81% членов советов директоров хранит на своих телефонах закрытую дорогостоящую информацию.

Автор: Мария Шакирова

https://pro.rbc.ru/news/5c668a7d9a79479 … =column_12

0