Щит для денег

1147
Основной путь утечки корпоративной информации – через топ-менеджеров.

Увеличение прозрачности компании вовсе не означает стремления к 100-процентному раскрытию информации. У любой компании существуют данные, которые необходимо беречь от посторонних глаз. Обычно защищаются данные об инвестиционной деятельности и планах (промышленный сектор), клиентские базы (финансы и страхование). В силу специфики российского бизнеса существует еще один аспект – сокрытие истинной информации о финансовом состоянии компании, или «черной» отчетности.

В рискменеджменте утеря такой информации классифицируется как стратегический риск, то есть угрожающий деловой репутации или самому существованию бизнеса. На первый план выходит безопасность, в том числе информационная. Заместитель генерального директора «Айтеко» Эдуард Оганов советует не хранить наиболее значимые данные по стратегическому и бизнеспланированию предприятия на серверах корпоративной информационной системы (КИС). Здесь можно довериться только персональному ноутбуку, до которого невозможно «дотянуться» через ITинфраструктуру компании. Некоторые подробности вообще лучше держать в голове, не доверяя ни бумаге, ни компьютеру.

Один из топменеджеров «Лукойла» рассказал FD, что в работе с конфиденциальной информацией они вообще используют исключительно бумажные документы. Отсутствие документа в электронном виде полностью решает проблему его компьютерной защиты.

Инсайдеры

Самый действенный способ получения данных – использование инсайдера, по крупицам собирающего информацию от окружающих. Директор по продуктам компании Aladdin Software Антон Крячков утверждает, что для финансового директора основным кандидатом на роль инсайдера будет системный администратор или просто разбирающийся в компьютерах сотрудник, который может получить доступ к конфиденциальной информации. С точки зрения владельца бизнеса наиболее вероятным инсайдером может быть топменеджер. Инсайдерские инциденты происходят ежедневно, хотя сами компании стараются не афишировать свои внутренние проблемы. По результатам исследования организации CERT (Центр компьютерных инцидентов), в котором участвовало более 800 компаний, каждая вторая из них хотя бы раз в году пострадала от утечки «чувствительных» сведений. По данным PricewaterhouseCoopers и CXO Media, опросивших более 13 тыс. компаний в 63 странах мира (в том числе в России), 60% всех инцидентов в сфере IT за 2006 год были вызваны именно инсайдерами.

Служба безопасности компании, аппаратные и программные средства защиты практически бесполезны от этого вида шпионажа. Их цель – обеспечение непрерывности бизнеса, предохранение от внешних атак, например вторжений хакеров в КИС. Спасти может политика информационной безопасности, но только в случае ее соблюдения.

Работники «Лукойла» каждое утро сдают на входе в офис свои сотовые телефоны, смартфоны, коммуникаторы, плееры на хранение. Право перемещаться по офису с подобными устройствами, тем более ноутбуками, дается весьма ограниченному кругу лиц. При этом служба безопасности имеет право остановить каждого на территории офиса с любым устройством и проверить его права пользователя и инвентарный номер устройства. Все каналы передачи электронных данных остаются под контролем корпорации. Объясняется применение столь жестких методов защиты информации эффективным использованием рабочего времени сотрудников. Для работы с конфиденциальной информацией, в том числе и вне офиса, все руководство пользуется исключительно устройствами, приобретенными организацией, которые подвергают ежегодной проверке и «фаршированию» защитными средствами.

Некоторые компании применяют методы контроля, граничащие с нарушением прав человека. Например, установка камер видеонаблюдения без оповещения об этом сотрудников. Однако инсайдерство все равно процветает.

Размышляет
ЭДУАРД ОГАНОВ:
«Наиболее эффективный способ защиты от инсайдера – это воспитание «корпоративного духа», качественно изменяющего отношение сотрудников к самой компании, ее ценностям. При управлении компанией следует исходить из того, что сотрудники – это не только ресурсы, но и партнеры. Реализация подобной доктрины всегда связана с немалыми финансовыми затратами. Пока руководство российских компаний не осознало важность и необходимость этой статьи бюджета, и инсайдерство как явление широко распространено».

Распространенным становится способ борьбы с инсайдерами с помощью детекторов лжи. По этому пути пошло руководство двух крупных российских ITритейлеров. По признанию их бывших сотрудников, чтобы выявить «плохих парней», на детекторе проверили всех менеджеров. Однако найти утечку это не помогло.

Руководство одной из известных нефтяных компаний также опасалось утечки финансовой информации, но неправильно расставило акценты. Самым уязвимым местом считалась ITинфраструктура. А специально приглашенный аудитор выявил, что корпоративная политика по отношению к персоналу формировала все предпосылки для ухода ключевых сотрудников. При этом риск потери информации через ITинфраструктуру был оценен намного ниже риска ее утечки при увольнении этих менеджеров.

Неспециально

Нельзя исключать ситуацию нечаянного разглашения данных. Речь идет даже не о потере ноутбука с данными. Наиболее вероятным каналом утечки конфиденциальной информации специалисты называют момент подключения к корпоративному порталу. Ведь при планировании менеджеры опираются на информацию о произошедших событиях, хранящуюся в КИС. Во время черновых расчетов появляется возможность съема данных через интернет.

При работе в интернете существует вероятность «подцепить» шпионскую программу, например клавиатурный считыватель (keylogger), который фиксирует все нажатия пользователя на клавиатуру и направляет эту информацию злоумышленникам. Заместитель директора департамента инновационных технологий компании «Лаборатория Касперского» Николай Гребенников рассказал, что большинство компьютерных преступлений, связанных с финансами, совершены именно с их помощью. В мае 2005 года «прогремело» дело израильской супружеской пары, которая занималась промышленным шпионажем именно с помощью такого ПО. Их удачной атаке подверглись операторы мобильной связи Cellcom и Pelephone, провайдер спутникового телевидения Yes. Среди возможных клиентов супругов полиция назвала израильскую Mayer (импортер Volvo и Honda), которая подозревается в шпионаже против Champion Motors (дистрибьютор Audi и Volkswagen). Для эффективной защиты от клавиатурных шпионов Николай Гребенников рекомендует пользоваться системами одноразовых паролей, которые единовременно генерируются при каждой аутентификации.

Распространенная возможность – халатность или неинформированность персонала. Банк «Возрождение», стремясь снизить роль «человеческого фактора» и его влияние на безопасность, развернул систему аутентификации на основе аппаратных электронных USBключей. С персоналом была проведена предварительная беседа, что свой ключ забывать нельзя, пароль от него никому не говорить. В первый же день опытной эксплуатации, как только часы показали обеденное время, сотрудницы одного из отделов покинули рабочие места, оставив ключи в USBпортах. Вернувшись с обеда, они не смогли начать работу, так как ключи были собраны отделом ITбезопасности.

Резюмирует
АНТОН КРЯЧКОВ:
«Без регулярного информирования о новых угрозах и способах защиты от них ничего не добьешься. Самые суровые технологические баррикады – ничто по сравнению с тем, что по незнанию секретарь отдаст ноутбук своего руководителя в ремонт малознакомой компании».
Рассказывает
ЕВГЕНИЙ БОРИСОВ,
заместитель генерального директора по финансам «Мосэнерго»:
«Внедренная «Мосэнерго» система предусматривает ведение базы специальным сотрудникомадминистратором, который обеспечивает организацию ее работы».

На случай прихода

В случае ведения параллельной отчетности бумажными носителями обойтись не удастся. На случай внезапного прихода контролирующих органов существуют отработанные способы защиты. Основная мысль – дублирование ITинфраструктуры. Вся информация копируется на сервер, находящийся в офшорной юрисдикции. А основной сервер располагается в России. Для него предусмотрена система экстренного уничтожения данных. В нужный момент руководитель нажимает потайную кнопку, и информация за считанные минуты исчезает.

Все методы делятся на разрушающие и не разрушающие носитель. Из первых наиболее востребованы химические, механические и термические средства. Среди неразрушающих выделяются программные методы, магнитное и электромагнитное воздействие на носитель.

Наиболее распространенный способ разрушения носителя данных (жесткого диска) – закладывание в серверную стойку пиропатрона. Но здесь есть свои ограничения и серьезные недостатки. Например, порой требуется уничтожить информацию на персональном компьютере или ноутбуке генерального директора. Пиропатрон может задеть и самого топменеджера. Взрыв в серверной комнате повлечет неприятные последствия для системного администратора, оказавшегося в ней в неподходящий момент.

Менее опасна для окружающих закладка внутрь корпуса емкости с небольшим количеством абразивного (твердого) вещества. По сигналу с дистанционного пульта оно попадает внутрь гермокамеры жесткого диска. Высокая скорость вращения считывающей головки обеспечит уничтожение магнитного покрытия за несколько минут. Не худшие результаты даст применение «химического оружия» – ампулы с кислотой, заложенной в корпус сервера.

Когда жаль терять дорогостоящий сервер или компьютер, лучше воспользоваться одним из методов, не предусматривающих уничтожения жесткого диска. Так, установка специального программного обеспечения в случае опасности позволит провести немедленное форматирование. Правда, данные на диске все равно могут быть восстановлены с помощью специальной аппаратуры. Отчасти от этого может предохранить многократная перезапись информации. Но на эту процедуру требуется несколько часов. Пожалуй, самым востребованным из неразрушающих является метод уничтожения данных с помощью магнитного или электромагнитного излучения. Но и здесь есть проблемы с созданием магнитного поля сложной формы.

ТЕСТ «НАСКОЛЬКО ЗАЩИЩЕНА ФИНАНСОВАЯ ИНФОРМАЦИЯ»

1. Где находится ваше рабочее место:

– в отдельном кабинете – 1 балл
– в кабинете с приемной, где сидит секретарь – 2 балла
– общее помещение финансового подразделения – 3 балла

2. Где находятся ваши ксерокс, принтер и факс:

– в моем кабинете – 1 балл
– в приемной у секретаря – 2 балла
– в общем помещении финансового подразделения – 3 балла
– в общем помещении, которым пользуется не только мой отдел, но и прочие подразделения – 4 балла

3. Если вам необходимо выйти из кабинета, вы:

– всегда запираете комнату – 1 балл
– оставляете ее открытой – 4 балла
– просите присмотреть секретаря – 2 балла
– в зависимости от ситуации бывает и то, и другое, и третье – 4 балла

4. Выходя из комнаты, вы:

– убираете документы со стола в ящик – 2 балла
– оставляете их лежать на столе – 3 балла
– убираете их в сейф – 1 балл
– иное – 4 балла

5. Приходя на работу, вы:

– минуете 1 пост охраны – 2 балла
– минуете 2 поста охраны – 1 балл
– иное – 3 балла

6. Открывая кабинет, вы:

– пользуетесь ключом – 4 балла
– открываете кодовый замок – 3 балла
– пользуетесь смарткартой – 2 балла
– проходите биометрический контроль – 1 балл

7. Установлены ли камеры видеонаблюдения:

– в вашем кабинете – 1 балл
– на вашем этаже – 2 балла
– не установлены – 4 балла

8. Чтобы начать работу на компьютере, вы должны:

– ввести четырехзначный пароль – 4 балла
– Вставить смартключ или USBключ – 2 балла
– воспользоваться биометрической идентификацией – 1 балл
– иное – 3 балла

9. Для передачи финансовой информации по электронной почте вы:

– пользуетесь специальными программами шифрования – 1 балл
– не знаете, установлены ли такие программы – 2 балла
– не пользуетесь алгоритмами шифрования – 3 балла

10. Когда необходимо поработать дома, вы:

– пользуетесь персональным автотранспортом, предоставленным работодателем – 1 балл
– пользуетесь личным автотранспортом – 2 балла
– пользуетесь общественным транспортом – 4 балла
– пользуетесь такси – 3 балла

11. Когда необходимо поработать дома, вы:

– берете с собой ноутбук – 1 балл
– берете с собой бумажные документы, фиксируя это у охраны – 1 балл
– берете с собой бумажные документы, никого об этом не информируя – 2 балла
– пересылаете необходимую информацию на домашний компьютер по электронной почте – 4 балла
– для переноса информации пользуетесь цифровым носителем – 3 балла

Ключ к тесту:

11–15 баллов: финансовая информация вашей компании хорошо защищена. Вероятность ее хищения – менее 15%. В случае ее утечки вина почти наверняка будет лежать на непосредственном владельце данных

16–25 баллов: средний уровень защищенности финансовой информации. Вашей компании есть к чему стремиться. Возможно, необходимо провести аудит информационной безопасности и потратить средства на дополнительные методы защиты

26–44 балла: воспользоваться финансовой информацией вашей компании весьма несложно. Требуется более серьезно подойти к этому вопросу, в первую очередь с организационной точки зрения

СХЕМА МЕРЫ ЗАЩИТЫ ФИНАНСОВОЙ ИНФОРМАЦИИ

ШАГ 1
Руководство компании формулирует задачу обеспечить сохранность финансовой информации и ставит ее перед сторонним консультантом.

ШАГ 2
Используя специальную методологию, консультант выявляет «критические точки» – возможности утечки информации. Вероятные способы проведения исследования – опрос, личная беседа, собрание. Собеседниками консультанта будут топменеджеры компании, а также сотрудники, соприкасающиеся с финансовой информацией. При этом оцениваются возможные потери в случае наступления риска.

ШАГ 3
Для каждой возможности составляется перечень причин возникновения риска. Из них выбираются наиболее вероятные. По этим данным рассчитывается вероятность наступления того или иного риска. Далее составляется карта рисков, выбираются те из них, для которых потери максимальны и вероятность наступления максимальна.

ШАГ 4
Консультант предлагает план нивелирования 3–5 основных рисков. Остальные «рисковые точки» не изменяются. Если консультант предлагает снижать все риски или большую их часть – это признак его некомпетентности.

ШАГ 5
Руководство компании оплачивает услуги консультанта и решает, какие из его рекомендаций претворить в жизнь.

Методические рекомендации по управлению финансами компании



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Школа

Школа

Проверь свои знания и приобрети новые

Записаться

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

А еще...


Рассылка




© 2007–2016 ООО «Актион управление и финансы»

«Финансовый директор» — практический журнал по управлению финансами компании

Зарегистрировано Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзор)
Свидетельство о регистрации Эл №ФС77-43625 от 18.01.2011
Все права защищены. email: fd@fd.ru


  • Мы в соцсетях
×
Зарегистрируйтесь на сайте,
чтобы скачать образец документа

В подарок, на адрес электронной почты, которую Вы укажете при регистрации, мы отправим форму «Порядок управления дебиторской задолженностью компании»

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Зарегистрируйтесь на сайте,
чтобы продолжить чтение статьи

Еще Вы сможете бесплатно:
Скачать надстройку для Excel. Узнайте риск налоговой проверки в вашей компании Прочитать книгу «Запасной финансовый выход» (раздел «Книги»)

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль