Контакты
Подписка
МЕНЮ
Контакты
Подписка

Защита коммерческих секретов: как сэкономить и не просчитаться

Защита коммерческих секретов: как сэкономить и не просчитаться

В рубрику "Право и нормативы" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Защита коммерческих секретов: как сэкономить и не просчитаться

Любая компания для производства своих продуктов и услуг использует ресурсы, и чем они ценнее, тем дороже конечный продукт. Какими могут быть эти ресурсы?
Георгий Гарбузов
Руководитель отдела консалтинга
Центра информационной безопасности
компании “Инфосистемы Джет"

Например, персонал – ресурс ценный и уникальный. В последнее время стали появляться компании, специализирующиеся на привлечении талантов: по оценкам Boston Consuling, такие компании увеличивают свою прибыль в среднем в 2,2 раза быстрее прочих. "Кадры решают все" – нам ли этого не знать?! По оценкам DailyMail, уход одного – единственного Кларксона из программы TopGear обойдется BBC в 100 млн фунтов! Однако под персоналом имеется в виду усредненная рабочая сила предприятия – специалисты, руководители среднего звена, офисные работники. На все компании Кларксонов не припасено, и такие локомотивы бизнеса всегда индивидуально мотивированы, а всех прочих можно без проблем заменить или даже сократить.

Осознавали ли 9 работников Kia Motors, в 2007 г. выкравшие и продавшие за $250 тыс. китайским конкурентам 57 технологических секретов, что причинят ущерб родной компании в $22,3 млрд? Предполагал ли в 2012 г. один из руководителей ФосАгро, передававший информацию о продаже минеральных удобрений партнерам холдинга из московского представительства швейцарской Transammonia AG, что причиненный им ущерб составит $2 млн? Скорее всего – нет.

Что еще? Оборудование? Оно может оказаться весьма дорогостоящим (как и последствия от его отказа). Однако оно склонно стареть морально и физически, а вышедшее из строя "железо" легко заменить таким же или его современным аналогом.

И все же представьте: у вас украли сервер с базой данных. Что вас будет больше беспокоить – утрата основного средства, стоящего на балансе, или возможное разглашение информации из "утекшей" базы данных с неясными пока последствиями? Информация! Вот единственный действительно невосполнимый ресурс. Она может быть не очень важной, известной всем и обошедшейся в копейки, ее легко воспроизвести и совершенно незачем охранять от посторонних. Но может являться плодом труда сотен людей, составлять основу бизнеса, стоить миллионы рублей (и прочих валют) и, попадая в руки недоброжелателей, угрожать бизнесу существенным ущербом или даже разорением. А "вынести" ее просто, она не выпирает из-под одежды, не требует специального пропуска и места в багажнике автомобиля. Именно это подчас заставляет людей относиться к кражам информации походя.

Информация – актив нематериальный, и пока это не государственная тайна, в том, чтобы ей поделиться, нет ничего трагичного. На самом деле это не так. И в последние годы ситуация сильно изменилась – громкие утечки и наработанная судебная практика по разглашениям делают свое дело: компании всерьез задумались о защите своей информации.

Стой! Кто идет?

Для защиты информации от утечек применяют различные организационные и технические меры: кто-то отключает работникам Интернет, кто-то берет подписки о неразглашении, наиболее продвинутые внедряют системы противодействия утечкам. И под системой противодействия утечкам имеется в виду комплекс мер и технологий, обладающих умением выявить попытку неразрешенного перемещения информации и способностью предпринять в этой связи определенное действие. Системы эти могут работать "в параллель", в режиме информирования или "в разрыв", предотвращая утечку информации, которая была предварительно классифицирована и распознана как не подлежащая передаче. Их эффективность подтверждена массой удачных внедрений практически во всех отраслях, а возможности хорошо известны. Поэтому я предлагаю поговорить не о том, что они могут, а о том, чего они не могут.

Что почем?

Любопытно, что на практике встречается и противоположная ситуация, когда руководитель деятельно включается в процесс, объявляя чрезвычайно ценным все, с чем он имеет дело. В таких случаях люди нередко руководствуются соображениями повышения собственной значимости и авторитета внутри компании, с ними тоже придется разбираться консультанту.

Первичная классификация информации – важнейший элемент корректно работающей системы противодействия утечкам. Не секрет, что она будет работать и "из коробки", с предустановленными настройками. Подобные внедрения напоминают стрижку без учета особенностей головы – результат устроит только самого непритязательного клиента, если он, конечно, останется "жив" после такой процедуры. Причем если случаи утечек как результат некорректно настроенной системы могут остаться незамеченными, то "торможение" нормальной бизнес-переписки в 99% случаев приведет к тому, что безопаснику "намылят шею", а систему выключат. Система классификации информации – особенность конкретного бизнеса. Только ваш коммерческий директор считает важной именно эту информацию, только в вашем производстве ключевым считается именно этот показатель, и уж конечно только в вашей практике они имеют конкретно эти ключевые признаки, по которым информация "вылавливается" из общего потока. Процесс выявления такой информации не так прост, как может показаться: ответ на вопрос "зачем?" нельзя автоматизировать, а потому классификация информации осуществляется сугубо вручную. Для чего могут понадобиться десятки и сотни интервью с руководителями и работниками предприятия, в ходе которых будут заданы десятки вопросов, позволяющих сделать вывод о том, какую именно информацию и от чего следует защищать. Процесс этот затратный и небыстрый, особенно учитывая занятость руководителей современных компаний, а подчас и неготовность выделить что-то действительно важное в повседневной деятельности. В этих случаях могут проводиться повторные и перекрестные встречи.

На основе полученной информации путем ее консолидации, систематизации и анализа консультант подготовит для команды внедрения системы противодействия утечкам подробное указание признаков информации с описанием того, куда и от кого она может передаваться, а куда – ни в коем случае.

Утекло – так утекло

Вообще говоря, есть возможность подать на обидчика в гражданский суд с целью стребовать с него ущерб (ни о каком привлечении к иной ответственности речь не идет). Придется самостоятельно доказывать факт причинения ущерба, его размер, взаимосвязь с утечкой и т.д. Никаких следователей и государственных обвинителей гражданский процесс не предполагает.

Совершенных систем не бывает и ошибки случаются. Первичная классификация – чрезвычайно ответственный процесс, и результат всецело зависит от качества работы консультанта, осуществляющего подготовку информации. Процесс внедрения и настройки – ручной труд, и он тоже не добавляет надежности ее работе. Итак, случилась утечка. Намеренная или нет – принципиально не важно. Зато важны ее последствия – от никаких до катастрофических, как, например, в случае с JP Morgan в 2012 г., когда благодаря разглашению японский хедж-фонд узнал о выпуске акций Nippon Sheet Glass до официального объявления, что привело к снижению курса акций JP Morgan на 17% и совокупному убытку в $2 млрд. В таких случаях проблема из чисто технической трансформируется в организационную, точнее, юридическую: она становится проблемой защиты прав обладателя информации и компенсации его убытков, возникших в результате утечки (которая теперь называется разглашением). И здесь сказывается принципиальная невозможность решения организационной проблемы техническими методами – максимум, чем может быть здесь полезна система противодействия утечкам, это предоставить свидетельства для судебных разбирательств. Ее возможности не распространяются дальше способности проконтролировать саму утечку, и если информация упущена, то дальше ее обладателю, как правило, остается только выбрать один из принципов: "будь что будет" или "авось да небось".

Причем сама система противодействия утечкам "не виновата" – виноваты люди, в первом случае не настроившие систему, а во втором – воспользовавшиеся ее состоянием. Что же можно предпринять? Как не переплатить и одновременно гарантировать эффективность защиты на всех этапах жизненного цикла системы защиты? Есть только один механизм, позволяющий решить обе проблемы и не потратить целое состояние – режим коммерческой тайны.

Мы наш, мы новый мир…

Режим коммерческой тайны предполагает выполнение нескольких обязательных условий, перечисленных в законе "О коммерческой тайне". К их числу относятся разработка перечня информации, учет допущенных лиц, маркировка носителей информации и др. Все они носят организационный характер, но за обладателем признается право применять и прочие меры по защите своей информации (сюда прекрасно вписывается система противодействия утечкам). Но самое интересное заключается в том, что режим коммерческой тайны помогает "замкнуть" цикл защиты информации – без него цепочка неполная (см. рис.).


На первом этапе происходит классификация и выявление информации ограниченного доступа, которую мы можем называть информацией, составляющей коммерческую тайну (ИКТ). Здесь можно буквально убить двух зайцев: результаты этого объемного труда далее могут быть использованы как командой внедрения системы, для разработки правил, так и консультантами – для построения режима коммерческой тайны. На этапе внедрения выполняется параллельная работа двух команд – инженеров и консультантов. Отличие в результатах их труда в том, что работа инженеров будет видна сразу по завершении внедрения. Тогда как труд консультантов станет незаменим, когда утечка все же состоялась и идет речь о разглашении (напомню, разглашением называется действие или бездействие, в результате которых ИКТ стала известной постороннему без вашего согласия). В этом случае (при состоявшемся разглашении и внедренном режиме коммерческой тайны) вы располагаете всем арсеналом мер воздействия, предоставляемых судебной системой, – информация теперь находится под защитой закона и называется "охраняемой законом тайной" (к слову, до этого, с т.з. закона, законного обладателя эта информация не имела, т.е. была фактически ничья). А это означает, что:

  • можно уволить виновника по всем правилам трудового законодательства за однократное грубое нарушение трудовых обязанностей, выразившееся в разглашении охраняемой законом тайны;
  • можно начать уголовное преследование виновного лица, и тогда ваши интересы будут защищать государство и прокурор, а доказательства будут собирать следователи и оперуполномоченные;
  • закон предоставляет возможность прекратить незаконное использование информации и взыскать с виновных сумму ущерба, как, например, в случае с НИЦ "Поиск" г. Уфа, бывшие работники которого организовали собственное производство с использованием украденных секретов производства.

Судебная практика по статьям, связанным с разглашением ИКТ, неплохо проработана и активно пополняется. Режим КТ дает и другие, не столь очевидные преимущества, и если ваша компания представляет высокотехнологичную отрасль, интеллектуальное производство, а вы думаете внедрить или уже внедрили систему противодействия утечкам, возможно, это сможет вызвать ваш живой интерес и оказать существенную поддержку вашему бизнесу.

ИНФОСИСТЕМЫ ДЖЕТ, КОМПАНИЯ
127015 Москва,
ул. Большая Новодмитровская, 14,
стр. 1
Тел.: (495) 411-7601, 411-7603
Факс: (495) 411-7602
E-mail: info@jet.msk.su
www.jet.msk.su

Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2015
Посещений: 5446

  Автор

Георгий Гарбузов

Георгий Гарбузов

CISSP, MCSE:Security, дирекция информационной безопасности Страховой Группы "УРАЛСИБ"

Всего статей:  7

В рубрику "Право и нормативы" | К списку рубрик  |  К списку авторов  |  К списку публикаций