Саминский А.Е. "Поговорить со мной сейчас! Статья “Бизнес шпионаж и контрразведка” в журнале ‘The Chief’ №1-2 (37) 2005 г."

Аватар пользователя Alex-Saminsky

Об авторе. Все материалы автора.

Статья по мотивам выполнения заказа по анализу системы безопасности.

Бизнес шпионаж и контрразведка

Любые рекомендации по безопасности, по определению, несколько параноидальны, создается впечатление, что вокруг одни мерзавцы и доверять нельзя, практически, никому.
Доля правды в этом есть

Текст Алексей Саминский,
руководитель проекта opponent.ru.

При словах «промышленный шпионаж» в голове возникают образы агентов, крадущихся по ночному офису к сейфам с секретной формулой, блондинки с фотоаппаратом в бюстгальтере, хитрые хакеры, ломающие коды, и прочая, и прочая, и прочая…
На самом деле все проще и прозаичнее.


Шпионы действуют у нас на глазах, и мы можем прочесть их объявления о продаже и покупке информации в разделе «резюме» и «вакансии».
Вот они:
строка в резюме «Имеется своя база данных» – продажа,
вакансия «со своей базой данных» – покупка.
Но не думайте, что у человека действительно «своя база». Это – база его предыдущего работодателя. А если вы не примете мер, то в следующий раз продаваться будет ВАША база.

«Три источника и три составные части…»
Всякая кража порождается тремя факторами. Легко крадется тогда, когда – во-первых, легко взять, во-вторых – легко продать и, в-третьих, покража ничем не грозит.
Скажите-ка, уважаемые читатели, положив руку на сердце: многие ли из вас, даже будучи вполне обеспеченными людьми, пройдут мимо одиноко лежащего на асфальте мобильника? Большинство даже кражей это считать не будут.

«Не введи нас во искушение…»
По статистике, «святых», которые сумеют не соблазниться ни при каких обстоятельствах, не более 10%. По той же статистике 10% людей склонны воровать сознательно и целенаправленно, прочие 80% ведут себя «по обстоятельствам».
Понятно, что воровство, в принципе, неистребимо. Но в наших силах «ввести процесс в разумные рамки», и надо постараться сделать так, чтобы искушение сойти с праведного пути для «колеблющихся» 80% не было слишком сильным.

 

«Что делать?» и «Кто виноват?»
Понятно, что нужно применять меры по противодействию «трем составляющим», т.е.
­— Затруднить доступ
­— Создать опасность наказания
­— Затруднить «реализацию краденого».

«А из зала мне кричат: давай подробности» (А. Галич)
Затруднить доступ
Никакие технические меры не могут полностью предотвратить утечку, в конце концов, адреса и телефоны можно записать или просто запомнить.
Но технические и организационные меры могут предотвратить попадание информации в случайные руки и сократить масштабы несчастья в случае утечки.
Начнем с того, что в руки сотруднику должна попадать та и только та информация, которая ему необходима по работе, чтобы в случае злоупотреблений потери были минимальны.
Информация, в отличие от материальных ценностей, легко копируется и размножается. Поэтому, в отличие от стульев, компьютеров, линеек и блокнотов, поделиться информацией с соседом вашим сотрудникам не жалко, значит, меры по предотвращению несанкционированного доступа должны предусматривать условия, при которых делиться паролями, пускать на свой компьютер и т.п. не хотелось бы.
Это достигается как установлением ответственности за «раздачу» паролей и информации, так и связыванием паролей и доступов к коммерческой информации с той или иной личной информацией, которую людям хотелось бы держать в тайне, типа зарплатного счета.
Разного рода бумажная информация должна храниться в бухгалтерии или у секретаря и выдаваться с отметкой в журнале с объяснением причины выдачи.
Создать опасность наказания
Реально подавляющий объем угроз, в условиях нашего законодательства, реализовать невозможно и значительная часть угроз – чистый блеф, но всем своим видом следует давать понять, что за ущерб виновный «заплатит кровью», и вы будете «портить жизнь» похитителю, невзирая на затраты.
Кроме того, теория говорит о том, что страшно не столь само наказание, сколь его неотвратимость.
Таким образом, мы будем говорить не столько о реальной угрозе наказания, сколько о создании видимости угрозы. Итак:
­— К информации следует допускать только тех, кто подписал «присягу о лояльности», т.е. договор или иную бумагу, устанавливающую ответственность за разглашение полученной информации, желательно установить ограничение по праву на поступление на работу в фирмы аналогичного профиля в течение некоторого срока после увольнения;
­— Сотрудники должны быть оповещены о том, что производится выборочная проверка электронной почты, Интернет-трафика, телефонных переговоров, и т.д. и т.п.;
­— В торговых залах, у копировальных аппаратов и т.п. должны стоять видеокамеры или их муляжи;
­— Следует периодически просматривать сайты по найму на предмет обнаружения там резюме своих сотрудников. Затруднить «реализацию краденого»
Главный козырь, который есть у вас в рукаве, это желание клиента остаться с Вами, а не уходить вслед за менеджером к конкурентам.
Характерной ситуацией для работы многих фирм является то, что кроме «своего» менеджера клиент никого никогда не видел и не слышал; в этом случае, в один прекрасный день менеджер просто приносит клиенту бумаги с другими реквизитами, и клиент даже не замечает, что перешел на обслуживание другой фирмой.
В практике автора даже был случай, когда клиенту принесли бумаги, внешне очень похожие на старые, вот только реквизиты оказались другими.
Признаком такой возможности служит ситуация, когда при отсутствии менеджера никто в фирме не способен решить проблему клиента: «Вашего менеджера сейчас нет, что ему передать?» Или и того хуже: «А кто Вас обслуживает?»
Клиент должен видеть и знать «фирму», бухгалтерию, которая выписывает счета, техническую службу, ведущих менеджеров и т.д. Он должен чувствовать готовность обслуживать его ВНЕ зависимости от отпусков или болезней менеджера и т.д. и т.п.
Для обеспечения этого следует «разрывать» технологическую цепочку обслуживания, включая в нее, помимо менеджера, других сотрудников.
Следует культивировать взаимозаменяемость менеджеров и требовать от групп и отделов готовности заменить «потерянного бойца» в любую секунду.
Необходимо следить за взаимозаменяемостью не только действующих клиентов, но и новых и потенциальных. Для этого надо регулярно требовать отчеты по новым контактам.
Эта рекомендация противоречит идее разделения информации, но искать компромисс придется.
Одним из важных элементов «извещения клиентов» о смене фирмы служит смена номеров телефонов. Старайтесь, чтобы у клиентов на визитках, в записных книжках, телефонах и т.п. оставались телефоны фирмы, а не личный «сотовик» менеджера. Для сотрудников, которым нужно пользоваться мобильной связью, лучше выдавать оплаченный телефон, зарегистрированный на фирму. При увольнении номер легко «изымается», а звонки перехватываются.

«Как жить, как верить людям?»
Любые рекомендации по безопасности, по определению, несколько параноидальны, создается впечатление, что вокруг одни мерзавцы и доверять нельзя практически никому.
Доля правды в этом есть, но чем больше вводится ограничений и слежки, тем труднее персоналу вести реальную работу, кроме того, сильно «закрученные гайки» снижают лояльность персонала.
Происходит что-то вроде супружеской измены вследствие чрезмерной ревности: «Уж если меня так мучают ревностью, так хоть чтоб не зазря». Поэтому приходится искать баланс между потерями от утечек и потерями от снижения производительности и «спровоцированных» действий.
Следует также учитывать степень лояльности различных категорий сотрудников. Например, бухгалтеры и финансисты, высоколояльны, поскольку они прилично оплачиваются, и этого требует их профессиональная этика.
Секретари, уборщицы и т.п. не имеют собственного интереса к Вашей информации, но, из-за низких зарплат, могут относительно легко стать агентами конкурентов.
Продавцы, как правило, имеют собственный интерес к клиентским базам данных, поскольку искренне (и это отчасти справедливо) считают их плодом собственного труда, к тому же способны использовать данные для собственного обогащения, поэтому вероятность прямой перепродажи данных конкурентам невелика, продажа может произойти «комплектом»: продавец+база.
На елку влезть и штаны не порвать?
Введение мер безопасности может резко ухудшить моральный климат и создать атмосферу слежки и недоброжелательства, поэтому меры следует маскировать под «позитивные» мероприятия:
­— распределение информации – перекладывание нагрузки с продавцов на бухгалтерию
­— сотовые телефоны – щедрость фирмы
­— видеокамеры – забота о безопасности и удобство секретарей, которые могут быстро найти сотрудника.
­— взаимозаменяемость — забота о клиентах и возможность поболеть или уйти в отпуск.
­— снятие информации о потенциальных клиентах – резервирование и планирование мощностей.
­— подписание бумаг — упорядочение документооборота в отделе кадров
­— и т.д., и т.п.

Выводы
Для снижения рисков хищения и перепродажи информации о клиентах мы должны:
­— Правильно оформлять документы о допуске к коммерческой информации.
­— Не допускать хранения информации «в одной голове».
Допускать сотрудников только к необходимой информации.
­— Обеспечить взаимозаменяемость сотрудников.
­— Обеспечить взаимодействие с клиентом не через одного сотрудника, а через несколько служб.
­— Известить сотрудников о существовании наблюдения.
­— Все меры маскировать под полезную деятельность во благо сотрудников и клиентов.

Врезки по материалам сайта http://www.sec4all.net/

Приложение 1.
Список основных сведений, составляющих коммерческую тайну предприятия
Список составлен на основе анализа зарубежных и отечественных материалов, содержащих возможные определения различных видов коммерческой тайны.
Список будет полезен руководителям предприятий и уполномоченным ими лицам при разработке Перечня сведений, составляющих коммерческую тайну предприятия.

Производство:
структура кадров и производства;
характер производства объекта;
условия производства;
организация труда;
сведения о производственных возможностях предприятия;
данные о типе и размещении оборудования;
уровень запасов, материалов и комплектующих, готовой продукции;
данные о резервах сырья на предприятии;
сведения о фондах отдельных товаров (в т. ч. товаров, не включенных в план или госзаказ), выделяемых для поставки на экспорт.

Управление:
сведения о перспективных и оригинальных методах управления производством;
сведения о подготовке, принятии и исполнении отдельных решений руководства по коммерческим, организационным и иным вопросам.

Планы:
планы развития предприятия;
сведения о планах предприятия по расширению производства и другие коммерческие замыслы;
план производства и перспективный план;
планы инвестиций предприятия;
планы запасов и готовой продукции;
планы закупок и продаж;
сведения о проектах годовых и перспективных экспортно-импортных планов по внешнеэкономической организации, инвестиционные программы, технико-экономические обоснования и планы инвестиций;
планово-аналитические материалы за текущий период;
оперативные данные о ходе выполнения экспортно-импортного плана по внешнеэкономической организации;
сведения о свертывании производства различных видов продукции и их технико-экономическое обоснование;
сведения о результатах выполнения экспортно-импортного плана за истекший год по внешнеэкономической организации;
объем предстоящих покупок по срокам, ассортименту, ценам, странам, фирмам;
сведения о планах предприятия (организации) по расширению производства (кроме оговариваемых в переговорах);
сведения с участием национального капитала (до их официальной регистрации);
сведения о планах коммерческой деятельности смешанных обществ с участием национального капитала;
сводные сведения об эффективности экспорта или импорта товаров в целом По внешнеэкономической организации.

Финансы:
сведения, содержащиеся в бухгалтерских книгах предприятия;
сведения, раскрывающие плановые и фактические показатели финансового плана;
сведения о балансах предприятия;
имущественное положение;
стоимость товарных запасов;
6юджет;
обороты;
сведения о кругообороте средств предприятия:
банковские операции;
сведения о финансовых операциях;
банковские связи;
специфика международных расчетов с инофирмами;
плановые и отчетные данные по валютным операциям;
состояние банковских счетов предприятия и производимых операций;
уровень выручки;
уровень доходов предприятия;
долговые о6язательства предприятия;
состояние кредита (пассивы и активы);
размеры и условия банковских кредитов:
размеры предоставленного предприятию кредита
принципы и условия предоставления коммерческих и государственных кредитов;
источники кредитов и условия по ним;
сведения о размерах и условиях кредита, полученного у иностранной организации (фирмы) или предоставленных ей предприятием;
сведения о размерах запланированного кредитования;
генеральная линия и тактика в валютных и кредитных вопросах;
размер комиссии;
сведения о вопросах кредитных и валютных отношений с иностранными государствами, фирмами.

Рынок:
оригинальные методы изучения рынка сбыта;
состояние рынка сбыта и перспектив рыночной конъюнктуры;
о6зоры рынка;
результаты маркетинговых исследований;
сведения, содержащие выводы и рекомендации специалистов по стратегии и тактике деятельности организаций;
те же сведения по использованию конъюнктуры товарных знаков:
рыночная стратегия предприятий;
коммерческие замыслы, коммерческо-политические цели фирмы;
сведения о времени выхода на рынок при закупках (запродаж) товаров и выборе фирм для ведения коммерческих переговоров;
сведения об эффективности коммерческой деятельности предприятия;
политика внешнеэкономической деятельности в целом и по регионам;
оригинальные методы осуществления продаж;
сведения о продажах товара на новых рынках;
сведения о конкретных направлениях в торговой политике;
сведения об экономических и иных обстоятельствах целесообразности закупки на свободно конвертируемую валюту отдельных товаров (лицензий), раскрывающие максимальную степень заинтересованности заказчика в импорте.

Партнеры:
круг клиентов;
списки клиентуры;
списки компаньонов, посредников, спонсоров;
списки покупателей;
поставщики и потребители;
сведения о составе торговых и пр. клиентов, представителей и посредников;
негласные компаньоны товарищества;
коммерческие связи;
карточки клиентов;
места закупки товаров;
данные о поставщиках и клиентах;
данные на клиентов в торговле и рекламе;
сведения о поставщиках;
сведения о потребителях;
сведения по иностранным коммерческим партнерам;
сведения о характеристике предприятий и организаций как торговых партнеров (основные производственные фонды, товарооборот, прибыли, кредиты и т.д.);
сведения о подрядчиках;
сведения о финансовом состоянии, репутации или другие данные, характеризующие степень надежности иностранной фирмы или ее представителей как торгового партнера, а также об их конкурентах.

Переговоры
Сведения о подготовке и результатах проведения переговоров;
Внутренний порядок проработки предложений российских и зарубежных партнеров;
Сведения о получаемых и прорабатываемых заказах и предложениях;
Сведения о фактах подготовки и ведения переговоров;
Сроки, выделенные для проработки и заключения сделки;
Сведения о лицах, ведущих переговоры, руководстве фирм, их характеристиках;
Цели и задачи заказчика, закупающего товар за рубежом;
Директивы по проведению переговоров, включая тактику, границы полномочий должностных лиц по ценам, скидкам и другим условиям;
Сведения и документы, относящиеся к деловой политике и позиции организации по конкретным сделкам (структура продажной калькуляции, уровень выручки, уровень предложенных цен до определенного момента);
Материалы и приложения к предложениям при прямых переговорах;
Уровень предложенных цен;
Тактика переговоров с партнерами;
Сведения, раскрывающие тактику ведения переговоров при заключении контрактов или соглашений на закупку (продажу товаров), уровень максимально достижимых (уговорных) цен, объемы имеющихся средств (фондов) и другие конкурентные материалы, используемые для повышения эффективности сделки;
Сведения о мероприятиях, проводимых перед переговорами;
Сведения о ходе и результатах коммерческих переговоров и условиях внешнеторговых сделок в т.ч. контрактов на шефмонтаж и оказание услуг;
Информация о деловых приемах;
Сведения о содержании технических переговоров с представителями иностранных фирм (до подписания протоколов, соглашений и т.п.).

Контракты:
сведения, условия конфиденциальности, которые установлены в договорах, контрактах и т. п.;
условия по сделкам и соглашениям;
условия контрактов, включая цены;
особые условия контрактов (скидки, приплаты, рассрочки платежей, опционы и т. п.);
условия платежа по контрактам;
особые сделки и условия платежа по бартерным операциям, условия компенсационных сделок;
сведения об условиях фрахтования транспорта иностранных компаний и фирм под перевозку внешнеторговых грузов;
сведения об исполнении контрактов;
сведения о номенклатуре в количестве товаров по взаимным обязательствам, предусмотренным соглашениями и протоколами о товарообороте;
сведения об условиях фрахтования транспорта иностранных компаний и фирм под перевозку внешнеторговых грузов, если они отличаются от общепринятых;
сведения о детальной расшифровке предмета лицензий при их купле-продаже.

Цены:
сведения о методике расчетов конкурентных цен по экспорту или импорту, а также при оценке стоимости работ и услуг;
сравнительные расчеты экономической эффективности строительства аналогичных объектов в РФ, и на рубежом;
расчеты цены;
сведения об элементах и расчетах цен;
уровень цены па продукцию;
структура цены;
структура продажной калькуляции;
калькуляция издержек производства;
данные для калькуляции цены;
затраты;
внутренние прейскуранты и тарифы;
уровень цен и размер скидок с прейскурантных цен;
сведения о себестоимости и контактных ценах товаров и услуг;
рыночные цены;
скидки;
сведения о расчетах цен и обоснований сделок;
сведения о контрактной цене товара или услуг;
сведения о размерах предоставленных скидках до и после заключения контракта.

Торги, аукционы:
Сведения о подготовке к торгам или аукционам и их результатам;
сведения о предполагаемом конкурсе или торгах до их опубликования;
материалы и приложения к предложениям па публичных торгах.

Наука и техника:
сведения о целях и задачах, программах перспективных исследований;
ключевые идеи НИР;
характер и цели НИР;
результаты научных исследований и проектных разработок;
результаты, полученные в ходе НИОКР;
технические проекты;
особенности конструирования;
изобретения, научные, технические, конструкторские и технологические решения;
изобретения, новые идеи и ноу-хау;
сведения о работе над изобретением или рацпредложением до момента подачи заявления на изобретение или рацпредложение;
проекты, модели и остальная документация с элементами предварительной калькуляции по новым изделиям, незащищенным патентом;
неполные патенты;
устройство;
конструкция объекта;
схемы и чертежи отдельных узлов и готовых изделий;
проекты, схемы, технические решения и рецептура;
формулы, расчеты, выводы, рецепты;
документы конструкторских и проектных бюро, содержащие новые технические решения; схемы и чертежи отдельных узлов, готовых изделий, новых разработок;
технический норматив;
технический образец;
товарные знаки (методы защиты от подделки);
произведения эстетического характера;
сведения о состоянии программного и компьютерного обеспечения;
точные значения конструкционных характеристик создаваемых изделий;
данные об условиях экспериментов и оборудования, на котором они проводились;
сведения об особенностях конструкторско-технологического, художественно-технического решения изделия, дающие положительный экономический эффект;
сведения о новых разработках, которые не пущены в серию и не относятся к категории госсекретов.
Технология:
сведения, связанные с технологической информацией;
технологические достижения, обеспечивающие преимущества в конкурентной борьбе;
сведения о применяемых и перспективных технологиях, технологических процессах, приемах и оборудовании;
сведения о модификации и модернизации ранее известных технологий, процессов и оборудования;
данные о специфике применения определенных технологических процессов;
способы производства продукции;
способы, методы и опыт изготовления продукции;
сведения о технологии производства;
технологии строительства объекта;
технологические режимы; технология; процесс;
сведения о технологии изготовления, перспективных технологических процессах, технологических приемах и оборудовании, в т. ч. и переданных в установленном порядке.
Совещание:
сведения о фактах проведения и целях совещаний и заседаний;
предмет и результаты совещаний и заседаний органов управления фирм.
Безопасность:
cведения о структуре, составе, материально-техническом оснащении службы безопасности предприятия;
cведения о сотрудниках службы безопасности, в том числе ФИО, домашний адрес, телефоны, личная информация;
сведения о порядке и состоянии организации защиты коммерческой тайны;
сведения о порядке и состоянии организации охраны, пропускном режиме, системе сигнализации;
сведения о технических средствах охраны, используемых на предприятии;
сведения, составляющие коммерческую тайну предприятий-партнеров и переданные на доверительной основе.

Источник публикации: 
Поделиться: