Володин Д.Н.
Управленческое эссе.
РАБОТА МЕНЕДЖЕРА С КОНФИДЕНЦИАЛЬНЫМИ ДОКУМЕНТАМИ
В современном информационном обществе защита конфиденциальных данных от несанкционированного доступа, разглашения и распространения – основа устойчивого развития любой компании. Секретные данные представляют повышенный интерес не только для преступных сообществ, но и для конкурирующих организаций.
Любое использование материалов допускается только при наличии гиперссылки.
Казалось бы, выделив ценные сведения и документы из общей массы, можно поместить эти документы в сейф, запереть его и сохранность интеллектуальной собственности фирмы будет обеспечена. Однако в этом случаемы забываем о назначении документированной информации (документа). Это важнейший элемент процесса управления.
Документированная информация необходима для принятия решений руководителями, для выполнения функций, возложенных на сотрудников фирмы. Ценная информация постоянно перемещается между руководителями и сотрудниками, увеличивается число лиц, обладающих этой информацией, и, следовательно, появляется опасность ее утечки. Во всех звеньях процесса по обмену информацией принимают участие менеджеры и секретари.
Понятие угрозы, или опасности, ценной информации
Любые (открытые и конфиденциальные) информационные ресурсы фирмы постоянно подвергаются объективным (не зависящим от человека) и субъективным (связанным с человеком) угрозам утраты носителя (материального объекта, на котором записана информация) или потери информацией ценности, конфиденциальности. Следует это всегда помнить и поэтому заботиться о сохранности всех документов фирмы.
Под угрозой или опасностью утраты информации понимается целый комплекс источников критических ситуаций. Эти источники могут быть единичные и комплексные, реальные и потенциальные, активные и пассивные. Однако все они оказывают разрушающее воздействие на защищаемую информацию, документы и базы данных организации.
Риск объективной угрозы информационным ресурсам создают стихийные бедствия (пожары, наводнения и др.), экстремальные ситуации (террористические и военные действия, аварии технических средств и линий связи, другие подобные обстоятельства).
К субъективным угрозам, создаваемым заинтересованными лицами, относятся: не разрешенное уничтожение документов, ускорение угасания (старения) текста или изображения, подмена или изъятие документов, фальсификация текста или его части и др.
Для информационных ресурсов ограниченного доступа диапазон угрозы утраты информации (ее разглашения, утечки) или утери носителя (документа) значительно шире. Это происходит потому что к этим документам проявляется повышенный интерес со стороны злоумышленников.
ЗЛОУМЫШЛЕННИК - лицо, действующее в интересах конкурента, противника или в личных корыстных интересах
Злоумышленниками могут быть: агенты иностранных спецслужб, промышленного и экономического шпионажа, представители криминальных структур, отдельные преступные элементы, лица, сотрудничающие со злоумышленником, психически больные лица и т. п.
В отличие от закономерного обмена ценной информацией между сотрудниками фирмы, т. е. ее объективного распространения, утрата информации предполагает незаконный переход конфиденциальных сведений или документов к лицу, не имеющему права владеть ими и (или) использовать их в своих целях.
Основная угроза и угрозы вторичные
Основной угрозой безопасности ценным информационным ресурсам является несанкционированный (незаконный, неразрешенный) доступ постороннего лица к документированной информации и в результате - владение информацией, противоправное ее использование и совершение иных преступных действий.
Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности фирмы (работники других организационных структур, коммунальных служб, экстремальной помощи, прохожие, посетители фирмы), а также сотрудники данной фирмы, не обладающие правом доступа в определенные помещения, к конкретному документу, информации, базе данных.
Следует всегда помнить, что когда вы работаете с конфиденциальным документом, рядом с вашим рабочим местом не должны находиться сотрудники, не имеющие права знакомиться с содержанием этого документа. Они не включены в список лиц, обладающих подобным правом. Для вас они посторонние лица, даже если у вас с ними дружеские отношения. Это элементарное, обязательное правило необходимо строго соблюдать, хотя определенный моральный дискомфорт вы будете чувствовать.
Целью и результатом несанкционированного доступа злоумышленника к информации может быть не только обладание ценными сведениями и их использование, но и их видоизменение, модификация, уничтожение, фальсификация, подмена и т. п. Все эти опасности называются вторичными по отношению к несанкционированному доступу.
Часто намерение злоумышленника понимается только как получение и использование информации в противозаконных целях. Это не так. В последнее время в результате несанкционированного доступа все чаще осуществляется подмена документов или отдельных элементов документа (листов, фотографий, схем и т. п.).
Например, в контракте на поставку продукции могут подменить листы, на которых фиксируются ценовые и стоимостные сведения о продукции. Можно подменить спецификации, сертификаты, счета и т. д. В результате фирма понесет большие убытки. Не случайно рекомендуется дублировать подписи и визы на всех листах документа.
Следует помнить, что мы защищаем информацию именно от несанкционированного доступа к ней злоумышленника и постороннего лица. Для того чтобы осуществить вторичные угрозы, злоумышленнику необходимо взять документ в руки, т. е. обеспечить доступ к информации лично или по линиям связи.
При этом объектом кражи обычно является не документ, а информация, зафиксированная в документе. Документ как материальный носитель информации обычно не воруют, т. к. подобное действие будет быстро обнаружено и предприняты меры по поиску злоумышленника, а крадут информацию.
Предпосылки и условия утраты ценной информации
Побуждением к несанкционированному доступу к информации является интерес к ней со стороны конкурентов, определенных лиц, служб и организаций. При отсутствии такого интереса угроза потери информации не возникнет даже в том случае, если создались предпосылки для ознакомления с ней постороннего лица. Основным виновником подобных предпосылок, как правило, является персонал, работающий с документами, информацией и базами данных. Утрата информации происходит в большинстве случаев не в результате преднамеренных действий злоумышленника, а из-за низкого профессионализма персонала в вопросах безопасности информации.
В связи с этим интересно, что злоумышленнику в большинстве случаев не приходится прибегать к использованию сложных приемов добывания информации. Он просто внимательно слушает и анализирует переговоры сотрудников фирмы.
Например, электрик, занятый в офисе банка ремонтом освещения, может быть по своей реальной, но скрываемой профессии не электриком, а специалистом в банковском деле. На него сотрудники банка не обращают внимания и ведут переговоры. Можно представить, сколько ценной информации получает этот "электрик".
Великие мастера прошлого никогда не записывали секреты своего искусства, а передавали их ученикам и потомкам устно. Поэтому тайна изготовления многих уникальных предметов того времени так и не раскрыта до наших дней.
Приемы взаимодействия злоумышленника с персоналом фирмы
Для несанкционированного доступа к информации злоумышленник использует следующие приемы:
• поступление на работу в фирму на второстепенную должность и установление доверительных и иных отношений с сотрудниками, владеющими ценной информацией;
• установление взаимоотношений с сотрудником интересующей фирмы (который таким образом становится соучастником злоумышленника);
• использование ошибочных действий персонала или умышленное провоцирование подобных действий.
Как же организует свою работу злоумышленник?
Прежде всего, можно выделить так называемое осознанное сотрудничество работника фирмы со злоумышленником, когда работник отдает себе отчет в преступном характере этого сотрудничества.
• Работник может быть инициатором этого сотрудничества и осознанно искать контракт со злоумышленником с целью передать или продать ценную информацию фирмы. В основе преступного желания работников лежит множество причин, но чаще всего - месть руководству фирмы.
Например, работник был несправедливо обижен отказом в повышении в должности или увеличении оклада, оскорблен руководителем, поставлен в условия, когда ему надо выполнить какие-то противозаконные или аморальные поступки.
В числе других причин инициативного сотрудничества можно назвать стремление получить материальное вознаграждение за передаваемую информацию, т. е. желание продать информацию.
Осознанное сотрудничество часто базируется на убеждении работника в якобы противоправных действиях руководства фирмы, его моральном разложении, отношении к работникам как к рабам и других грехах.
Подобное убеждение может формироваться или развиваться злоумышленником на основе внушений, гипноза. Возникающее "единство" убеждений образует дружескую атмосферу в общении работника фирмы и злоумышленника. Материальная заинтересованность в передаче информации в этом случае, как правило, отсутствует.
К осознанному сотрудничеству можно отнести также склонение (принуждение, побуждение) работника к сотрудничеству путем обманных действий, изменения взглядов или моральных принципов с помощью убеждения, шантажа, иногда - физического насилия.
Наиболее частым, достаточно опасным и трудно раскрываемым является использование работника фирмы для неосознанного сотрудничества.
Сюда мы относим разнообразные обманные действия, предпринимаемые злоумышленником.
• Так, злоумышленник использует естественное стремление человека получить интересную работу или больший оклад.
В частности, работнику фирмы, обладающему знанием ценных сведений, предлагается кадровой службой другой фирмы неизмеримо лучшая работа и, соответственно, более высокий оклад, другие преимущества. Конечно, работника такое предложение обязательно заинтересует, и он согласится приехать в фирму для собеседования. В ходе собеседования работник, стремящийся произвести лучшее впечатление о себе, своих профессиональных знаниях, расскажет многое из того, о чем следовало бы молчать.
Получив от работника нужные сведения, кадровая служба откажет ему в работе по двум причинам. Во-первых, предложение, сделанное работнику, было фиктивным с самого начала, и, во-вторых, болтливых работников на хорошую должность не назначают.
Обманные действия злоумышленника достаточно результативны при выведывании ценной информации у работника с помощью подготовленной системы (схемы) вопросов на научных конференциях, встречах с прессой, на выставках, в личных беседах в служебной и неслужебной обстановке.
Эти действия особенно опасны для работников, занятых творческой деятельностью. Такие работники обычно эмоциональны, склонны к научному спору, их легко вывести на обсуждение вопроса, интересующего злоумышленника. В пылу спора они сообщают злоумышленнику много конфиденциальной информации.
Злоумышленники широко используют подслушивание и записывание на диктофон разговоров работников фирмы в служебных и неслужебных помещениях, в процессе переговоров и во время приема посетителей, в транспорте, на банкетах, домашней обстановке, при общении с друзьями и знакомыми. Секретарю-референту всегда надо помнить, что любое лицо, в том числе работник фирмы, может иметь миниатюрные технические средства для фотографирования документов, записи переговоров, видеозаписи.
От персонала информация легко переходит к злоумышленнику в результате следующих действий:
• слабого знания персоналом правил защиты информации;
• злостного невыполнения работниками правил защиты информации;
• использования злоумышленником экстремальных ситуаций и происшествий: нападения на сотрудников, пожара (или инсценирования подобных действий), отключения электропитания в помещениях фирмы, провоцирования паники и т. п.;
• других ошибочных или безответственных действий персонала.
Неустойчивый и сложный психологический климат в коллективе фирмы является подходящей основой для успешной работы злоумышленника и его помощников.
Личные и бытовые затруднения работника, на которые не обращает внимания руководство фирмы, также являются хорошей почвой для работы злоумышленника.
Например: временные материальные затруднения, жилищные проблемы, тяжелые заболевания близких людей, трудности с детьми, шантаж криминальных элементов и т. п. Злоумышленник обязательно поможет этому работнику и затем сделает его своим соучастником.
Чаще всего злоумышленник выявляет работников, обладающих человеческими слабостями, которые можно развивать и использовать с пользой для его дела.
Например: болтливость сотрудников, легкомыслие, стремление к развлечениям и участию в сомнительных мероприятиях, любовь к подаркам и незаработанным деньгам, другие качества, которые формируют безответственность, создают фактическую основу для шантажа и угроз и, естественно, ведут к разглашению тайны фирмы.
Во всех случаях злоумышленник с успехом использует: лесть, обещания, сочувствие, подарки, установление дружеских и близких отношений, одалживание денег и т. п. Он играет также на естественном стремлении работника показаться более компетентным, осведомленным и значимым в делах фирмы, особенно, если этот работник находится в состоянии алкогольного опьянения или под действием наркотика, психотропных препаратов.
Но наиболее частой причиной разглашения секретов фирмы является низкий культурный и образовательный уровень работника, банальная человеческая глупость или неумение работника оценивать ситуацию, незнание методов эффективного противодействия злоумышленнику, т. е. плохой подбор персонала. Кроме того, работников фирмы необходимо учить методам противодействия злоумышленнику, распознаванию его обманных, провоцирующих действий.
Следовательно, угрозы конфиденциальной информации всегда реальны, отличаются большим разнообразием и создают предпосылки для утраты информации. Источники угрозы информации конкретной фирмы должны быть хорошо известны ее руководителю и главным специалистам, а также сотрудникам системы безопасности этой фирмы. В противном случае будет невозможно профессионально построить систему защиты информации.