Главная угроза безопасности информации — люди, которые имеют к ней доступ. Конфиденциальные и секретные документы, оставленные без присмотра, сразу становятся общедоступными. Однако даже навороченные технические средства отнюдь не гарантируют полную защиту документов — здесь необходим постоянный контроль так называемых болевых точек организации, т. е. персонала, который может стать каналом утечки важных сведений за пределы охраняемого периметра.
Этот персонал специфичен — люди не занимают высших должностных постов и не являются носителями секретов, но в силу служебных обязанностей или неформальных отношений имеют явный или скрытый доступ к конфиденциальным или даже секретным документам. Причем наиболее опасен в этом смысле персонал, который не только опосредованно имеет доступ к этим документам (т. е. не обязательно принимает участие в их разработке — это очевидно), но и извещен о различных мерах защиты данного вида документов (в самых ответственных случаях — сам и реализует эти меры безопасности).
Основная группа риска — секретари и личные помощники. В силу специфики работы они имеют доступ не только к расписанию шефа (зачастую они его и составляют), но и к большинству входящих/исходящих секретных документов — сами занимаются их сортировкой, отправлением и архивированием. Редко какой руководитель самостоятельно может общаться не только с электронной почтой, но и с системами криптозащиты текстовых документов в электронном виде. Скорее всего это делает приятная на вид секретарша, которая знает не только всю структуру компьютера шефа, но и все его пароли — «на всякий случай, вдруг забудет».
Безусловно, самый лучший с точки зрения безопасности вариант — длительный наем секретаря на основе личной преданности, однако в современных условиях российского бизнеса это не всегда возможно. Ведь помимо материального вопроса, для того чтобы склонить объект к вербовке, можно найти множество различных причин — идеологические, личные, профессиональные (возможность карьерного роста или обучение в заграничном вузе), межличностные (скрытый конфликт с шефом или обида не него) и т. д. Шантаж и угрозы используются редко — это показатель низкого качества работы. Контакт и вербовка обычно происходят молниеносно (за счет тщательного изучения объекта и его потребностей) — буквально в течение нескольких минут, причем предложение делается индивидуальное, с учетом конкретной ощутимой ситуации в жизни объекта.
Необходимо также отметить, что вербовка секретарей и личных помощников бизнесменов, политиков и крупных чиновников облегчается еще и за счет небольшого жизненного опыта данной категории людей, которые в своем большинстве находятся в возрастной категории 20—26 лет — подчас они не совсем четко осознают последствия данного сотрудничества на сторону и имеют не совсем адекватные представления о своих не всегда ярких возможностях.
Вторая по значимости группа риска — водители личных машин руководства. В моде у современного бизнеса множество иностранных машин представительского класса, однако среди них много моделей (в том числе и джипов), которые не оснащены специальными разделительными перегородками между пассажирами и водителем. За счет этого водитель имеет возможность слышать разговор руководства по сотовым телефонам или между собой. Причем это, как понятно, далеко не всегда беззаботные разговоры о женщинах, деньгах, детях и будущем — скорее, это оперативно-коммерческая информация о перемещениях персонала, изменениях в организации, будущих деловых планах, договоренностях и, что самое важное, возникающих проблемах и способах их разрешения. Все это, без сомнения, представляет явный интерес для сторонних лиц и организаций.
Причем в силу профессионализма и образованности отечественных специалистов служб безопасности технические средства передвижения руководства не только сопровождаются эскортом, но и регулярно осматриваются на предмет выявления закладок и радиомикрофонов, зачастую применяются также такие устройства, как скремблер (препятствует передаче аудиоинформации по радиомикрофонам, блокирует подслушивающие устройства) или локальная «глушилка» сотовых телефонов (перекрывает возможность использования сотового телефона стандарта GSM, DAMPS или NMT как микрофона). Все это усложняет сбор информации техническими методами — остается только вербовать персонал.
Третья группа риска — системные администраторы и технические специалисты, обладающие доступом к внутренней компьютерной сети учреждения с определенными правами, превышающими уровень обычного пользователя. Надо отметить, что эти сети могут быть изолированы от сети Интернет, что делает внешнее проникновение проблематичным. Незаконное чтение и копирование данных обычно перекрывается техническими средствами контроля — разграничением доступа, средствами шифрования и защиты паролями. Правда, взломать и подобрать пароль всегда возможно, однако есть одна сложность — все действия пользователей фиксируются в специальных файлах на головном сервере (так называемые логи), которые содержат посекундную расшифровку всех действий, совершаемых любым пользователем с документами, папками или другими массивами информации (в том числе с внешними носителями информации и электронной почтой).
Поэтому мало открыть документы, необходимо еще подчистить в указанных логах электронные следы своих действий, причем сделать это надо аккуратно, не оставляя никаких зацепок. Получить доступ к логам можно только с правами системного администратора — для этого необходимо их похитить или же имеет смысл завербовать самого администратора, который знает обо всех технических средствах защиты, ведь, скорее всего, он их и устанавливал в данной компьютерной сети. В силу недостаточной технической грамотности большинства сотрудников, общающихся с компьютером на вы, этот способ утечки представляется наиболее опасным, так как при должной постановке дела почти не поддается документированию и доказательству.
Четвертая группа риска — технический персонал. Это курьеры и уборщицы помещений. В силу специфики своей деятельности курьеры могут смотреть переносимые внутри большого здания документы и составлять графики пересылки таких документов и предпринимаемых действий, они имеют также доступ к бумажным отправлениям в подчас еще открытых конвертах. Необходимо все же признать, что в современных условиях только небольшое количество банковских учреждений имеет свои собственные курьерские службы, это направление утечки иссякает — его вытесняют системы электронного документооборота.
Однако никакие компьютеры не вытеснят влажную уборку помещений, протирку стекол и пыли на мебели — этим занимаются тоже люди, которые могут получить конфиденциальную информацию, только если внимательно будут смотреть по сторонам. Очень многие пользователи после завершения работы с компьютером оставляют на мониторах листочки с паролем и логином для входа в систему: несмотря на меры по профилактике безопасности, окончательно искоренить эти ошибки представляется затруднительным. На листочках, разложенных на столе, могут быть также записаны номера телефонов и имена деловых партнеров с кратким изложением вопроса — данные сведения представляют безусловный интерес для конкурентов. Еще эти люди имеют доступ к остаточным бумажным материалам, выброшенным дискетам, компакт-дискам, кассетам. Могут встречаться и документы, не запертые в ящик или сейф по забывчивости, — с ними могут ознакомиться все те же люди, занимающиеся уборкой помещения.
Их вербовка не представляет особой сложности: она может быть разыграна как вербовка от своей собственной службы безопасности, которая, к примеру, просит сотрудника сообщать о тех, кто оставляет документы на столах, с указанием содержания этих документов. Канал утечки через эту группу риска может быть не очень информативным, но стабильным и насыщенным цифровыми показателями.
Пятая группа риска — офицеры охраны, занимающие небольшие должности, к примеру офицер по режиму и т. д. Они могут поставлять интересные сведения о графике приезда/отъезда руководства организации, о перемещениях в рамках организационной структуры, о специфике проходного режима и пропускных документов. При наличии электронной пропускной системы можно попытаться получить сведения о людях, включая их фотографии, должности, паспортные данные и сводные данные об их перемещениях по зданию с точным временем — дело в том, что многие организации устанавливают по всему зданию двери, которые реагируют на магнитные именные пропуска. Эти магнитные пропуска опознаются в пассивном режиме специальными детекторами в ключевых точках — поворотах коридоров, приемной руководства, гараже, лифтах и т. д. Однако вербовка указанных объектов затруднена вследствие их личной истории службы и персональной устойчивости к вербовочным мероприятиям.
Руководству организации и службы безопасности необходимо помнить, что получить актуальную, достоверную и полную информацию о состоянии дел на самом хозяйствующем субъекте и в окружающей его среде невозможно без использования конфиденциальных источников информации. Сторонние организации всегда будут пытаться получить информацию от так называемых доверительных источников. Причем база для привлечения к сотрудничеству весьма широка: идеологическая близость, корысть, компрометирующие материалы, недовольство руководством в связи с длительной задержкой продвижения по службе, ущемление национального или человеческого достоинства, зависть, желание отомстить за мнимые и настоящие обиды, авантюристические наклонности, честолюбие или тщеславие, одиночество, неспособность завести семью или круг близких друзей, наличие одержимости или хобби. Их приобретение и целенаправленное использование составляют основное содержание деятельности конкурирующих организаций. Все остальные средства носят вспомогательный характер.
ЧИТАЙТЕ ТАКЖЕ:
Классика сбережений - вклад в банке. Услуги на рынке валютных обменов FOREX. Дилинговые центры FOREX. Стратегии управления инвестиционным портфелем. Оптимальный выбор — фьючерсы. Отечественный рынок производных финансовых инструментов. Есть ли вечные ценности или имеет ли смысл инвестировать в золото, серебро, платину и платиноиды? Модели ипотечного кредитования и перспективы их применения. Зарубежная недвижимость. Домик у моря. Инфляция или укрепление рубля: какое из зол меньше? Золото как инструмент оптимизации инвестиционного портфеля.
Ипотека. Сегодня это слово у всех на слуху. Однако далеко не все знают...
Инновационные программы должны быть подвергнуты "усушке"
Ипотека: монополия или конкуренция
Патентная неизбежность для малого бизнеса
Что должен знать клиент, прежде чем заключить договор с банком
Лучше банка может быть только… брокер!
Виды инвестиционных качеств ценных бумаг и методы их оценки
425 000 000 клиентов Facebook, которые не приносят доход
Первичный и вторичный рынки ценных бумаг
В долгах как в шелках. Рост рынка потребительского кредитования.
Правила денег от Уоррена Баффета, инвестора №1 в мире.