Промышленный шпионаж: риски выросли, подходы устарели

Темная сторона бизнеса

Под промышленным шпионажем (экономическим, коммерческим, офисным) принято понимать форму недобросовестной конкуренции, цель которой — незаконная добыча сведений. Если организацию взломали, вытащили данные, то намерения преступников – вопрос второй. Важно понимать, шпионаж – не надуманная угроза, это риск. Из отчетов Ponemon Institute, в 6 случаях из 10 для банкротства компании хватает утечки 20% коммерческих секретов фирмы. Поэтому в разных формах промышленный шпионаж как угроза актуален всегда. Для предприятий, работающих со сложными технологиями, ИТ-компании вкладывают деньги в НИОКР, для лидеров рынка, для компаний удачно минимизирующих издержки или получающих готовую технологию быстрее, дешевле.

Первый, зафиксированный в источниках случай промышленного шпионажа произошел в VI веке нашей эры. Византийский император Юстиниан, используя корысть персидских монахов, получил крупную партию шелковичных червей, вывезенных священнослужителями в полых посохах из Китая. Шелк был самой ценной валютой того времени, и Юстиниан существенно пополнил казну, тогда как предприниматели и торговцы Поднебесной понесли огромные потери, потеряв статус монополиста.

Хакеры переключились на небольшие компании

В случае, когда речь идет о незаконных попытках доступа к внутренней информации компании, говорят о кибербезопасности. В мире, в последние годы, отмечается рост кибератак на малые и средние предприятия (с доходом до 1 миллиарда долларов), вне зависимости от сферы деятельности. По данным PWC, в 2014 году количество таких взломов подскочило на 64%. Нередко украденную информацию используют для атак на крупные компании, являющиеся заказчиками более мелких.

Первый шаг решения проблемы – признать угрозу взлома в качестве действующего риска. Затем проводится ревизия ИТ-инфраструктуры компании и установленного ПО. Если инструменты взлома не «заточены» под конкретную организацию, закрыть бреши относительно легко.

Сегодня практически у каждого бизнеса есть сайт. Еще пару лет назад, если вы не занимались финансовыми услугами, то о проблеме взломов узнавали из новостей. Сегодня мелкие сайты «вскрывают» массово. Чаще речь идет о банальном хулиганстве или тренировке навыков. Лишь в 10% случаев за этим стоят действия конкурентов. Хакеры размещают фишинговые ссылки, отправляют с взломанного ресурса спам, перетаскивают трафик, используют как плацдарм для атаки на крупную цель.

Система ИБ должна постоянно эволюционировать

Большие компании и государственные структуры сталкиваются с угрозами хакерских атак, хищения данных ежедневно. Крупные фирмы и государственный сектор приходят к пониманию необходимости внедрения гибкого проектного управления системами информационной безопасности.

Новая методология подразумевает отказ от долгосрочного планирования комплексной системы ИБ в пользу постоянных небольших изменений под влиянием внешних и внутренних угроз.

Как возникают угрозы? Они появляются в процессе любого изменения технологического процесса обработки данных в компании. При использовании архитектуры безопасности на базе «внедренных» решений каждое нововведение в процессах должно вести к перенастройке комплексной системы защиты информации.

Еще лет пять назад такой проблемы не было: информационные системы изменялись раз в полгода, а то и в год. Компании успевали проводить аудиты безопасности. Сегодня изменения в финансовых системах происходит раз в 3-4 дня, а в системах электронной коммерции еще чаще. Даже на промышленных предприятиях программное обеспечение обновляется чаще, чем раз в полгода. Мы советуем реализовывать у себя комплексную систему ИБ, имеющую в своей основе архитектуру для гибкого, постоянного наращивания механизмов защиты и предотвращения утечки информации.

Гонка вооружений в ИБ

Технические инструменты незаконного сбора информации совершенствуются, но это ограниченный набор приемов и методов. Преступники используют уязвимости в оборудовании и ПО. Например, в декабре 2015 году крупнейший мировой производитель телекоммуникационного оборудования Juniper Networks признался в проблемах с безопасностью сетевой защиты. Позже СМИ случайно узнали, что бреши в 13 моделях файрволлов Juniper открыло и использовало британское шпионское агентство GCHQ с помощью специалистов АНБ. Эти сведения каким-то образом стали доступны мошенникам.

Для взлома корпоративной защиты используют бэкдоры (backdoor) – специальное ПО, вредоносный код, устанавливаемый на компьютере жертвы для повторного проникновения в систему.

С января 2016 года вступило в силу ограничение на закупку зарубежных программ для государственных и муниципальных организаций. Иностранное ПО разрешается приобретать, если нет аналогов в реестре отечественного ПО. Ограничение также действует на средства и системы защиты информации ограниченного доступа. В настоящий момент количество зарегистрированных систем, реализующих функционал защиты информации, в реестре составляет более 170 наименований.

С технической точки зрения, выстроить систему информационной безопасности, поставить под контроль все средства внешней и внутренней коммуникации не так сложно. Любой специалист по ИБ подтвердит, что основной инструмент, который используют в промышленном шпионаже преступники – человеческая глупость.

Защита информации начинается с контроля сотрудников

Представьте, что в зале для совещаний или в комнате отдыха кто-то из сотрудников находит бесхозную флэшку. У него срабатывает хватательный рефлекс. Он не видит в ней угрозу, он видит бесплатный носитель и использует его по назначению. Результат – вредоносное ПО проникает в корпоративную сеть.

Иногда промышленным шпионам даже не требуется применять технические средства. На предприятие, работающее в высококонкурентной отрасли, приезжает делегация под видом потенциальных клиентов. На переговорах руководители ведут себя осторожно. В это время в «курилке» секретарь или глава отдела в неформальной обстановке рассказывает представителям конкурента все нужные сведения: о новых проектах, заказчиках, рынке сбыта и объемах производства, цене, ключевых компонентах технологии. Это реальная история, произошедшая на химическом заводе. Конкурирующее предприятие стояло через дорогу.

Это примеры неосознанной передачи ценной информации посторонним лицам. Практикуется также подкуп должностного лица, шантаж (у сотрудника покупают не очень важные сведения, составляют компромат и предлагают передать что-то более существенное), внедрение инсайдера, саботаж.

Правонарушения, сознательные или бессознательные, совершают люди. Работу по выстраиванию комплексной защиты информации нужно начинать с людей. Она подразумевает техническую систему контроля сотрудников, кадровую работу, определенную информационную гигиену в компании и корпоративную этику.

Для технического оснащения, разработки комплексной системы информационной защиты, аудита ИТ-инфраструктуры компании всегда можно обратиться к надежным специалистам.

Первоначально статья опубликована на в блоге компании.