Денис Скорицкий,
руководитель коммерческого центра
Департамента комплексных работ
ГК МАСКОМ.
Имеет два высших образования,
степени PMP и MBA.
Опыт работы в отрасли информационной безопасности более 8 лет.




По плану сегодняшний материал должен был рассказывать об устройствах обнаружения закладочных устройств – скрытых видеокамер и жучков. Мы полагали, что эта тема будет интересна для руководителей предприятий, обеспокоенных сохранностью коммерческой тайны и конфиденциальной информации. Однако мой собеседник, заместитель директора департамента комплексных работ Группы компаний «МАСКОМ» Денис Скорицкий, любезно ответив на запланированные вопросы, заметил, что говорить только об обнаружении закладочных устройств, значит упустить главное. А главное - это ущерб, который может нанести предприятию утечка информации. И пояснил, что от этого напрямую зависит комплекс мероприятий по ее предотвращению. Наш разговор перешел в несколько иное, но не менее интересное русло.

- Денис, тогда возникает вопрос о конкурентной разведке: есть ли она в нашей стране? Что может служить объектом корпоративного шпионажа в российских компаниях? Какие такие технологии или информацию у нас можно украсть?
- Действительно, многие сегодня не придают должного значения этому вопросу. Какой владелец или руководитель сегодня думает о том, что за его ноутбук (планшетник) конкуренты готовы выложить внушительную сумму, поскольку в нем содержатся планы развития бизнеса, клиентские базы и другие ценные сведения? Если они попадут к конкурентам, компания понесет прямые убытки. Вот самый простой пример потерь: группа из двух-трех руководителей на протяжении нескольких месяцев прорабатывала бизнес-план, который позже был похищен. В рамках проекта проводили аналитические, маркетинговые исследования. Я уже не говорю о том, что они осуществляли определенные авансовые вложения. Прямые затраты предприятия только на ФОТ рабочей группы директоров, которые трудились над этим планом, порядка миллиона рублей. И это прямые потери. Далее из-за нереализации бизнес-плана предприятие упустит колоссальную выгоду, которая измеряется уже не миллионом, а десятками и сотнями миллионов рублей.
А какой интерес для конкурентов представляет система финансового отчета, клиентская база компании, а обсуждение перспектив развития бизнеса в кабинетах директоров, в переговорных…

- Почему, на Ваш взгляд, организации не уделяют должного внимания защите корпоративных сведений? Почему для руководителя является нормой платить зарплату, а затраты по сохранению имеющихся и перспективных позиций бизнеса считаются бесполезными?
- Отсутствие негативного опыта. Мы надеемся на русский «авось». Прямой выгоды от защиты конфиденциальной информации владельцы бизнеса и руководители не видят. У них, безусловно, есть приоритетные направления для того, чтобы прибыльно вкладывать средства. До поры никто не думает над тем, что можно потерять и имеющуюся прибыль. Интерес к данной теме на предприятиях возникает с появлением подозрений на утечку информации. Только тогда руководство обращается в организацию, занимающуюся защитой информации, с просьбой провести поисковые работы. Если закладочные устройства (в нашей терминологии – ЗУ) обнаружены не были, подозрения рассеиваются, и надобность в дальнейших защитных мерах вроде бы отпадает. То, что необходимо проводить комплекс мероприятий (и не только технических), видят очень немногие руководители. То, что угроза утечки обязательно повторится, понимают единицы. Полноценная работа по обеспечению защиты коммерческой тайны требует системности. В большинстве же компаний под обеспечением информационной безопасности понимается приобретение антивирусной продукции. Руководители и владельцы бизнесов словно забывают о возможности утечек информации через нелояльных сотрудников, о различных технических каналах, по которым недруги и конкуренты могут ее добыть.

- Специалисты по корпоративной безопасности часто сводят все проблемы к человеческому фактору. Действительно ли все зависит только от людей?
- Нет, не все. На мой взгляд, панацеей можно считать только комплексный подход. Ведь и после обнаружения устройств сбора информации, утечка с большой долей вероятности будет продолжаться по другим каналам. Техническая сторона обеспечения безопасности информации – поисковые работы, обязательная защита автоматизированных систем: как автономных, так и сетевых, контроль доступа и т.д. – должна идти в тандеме с превентивными и организационными мерами.

- С чего должна начинаться работа по обеспечению защиты ценных сведений?
- Прежде всего, нужно четко понимать, какие ресурсы попадают под защиту. Сначала мы определяем их ценность и сроки этой ценности, рассчитываем стоимость хищения данной информации. Затем создаем модели нарушителя и угроз. После этого осуществляется технико-экономический анализ, позволяющий решить, стоит ли принимать защитные меры, какие именно и с какой приоритетностью.

- На что Вы рекомендуете обратить внимание среднестатистическому предприятию?
- Проблем немало. Это работа с персоналом и защита помещения от непреднамеренного прослушивания (так называемая защита от своих), защита автоматизированных систем, проработка записи телефонных переговоров, аудио- и видеозаписей в секретарской, в холлах, защита от чужой «сувенирки» (когда устройства устанавливаются в сувенирные изделия). Большим злом являются беспроводные средства связи – телефоны, смартфоны и ноутбуки, которые оснащены диктофонами и имеют выход в интернет. Все эти моменты нужно учитывать при составлении плана мероприятий по защите информации. И, конечно, использовать принцип экономической эффективности: не вкладывать больше, чем можешь потерять.

- Насколько сложно установить в помещении скрытую видеокамеру или жучок для сбора корпоративной информации?
- Судите сами. Размеры данных устройств обычно не превышают 2–3 см – как маленькая батарейка. Если говорить о портативных видеокамерах, то их так называемый «глазочек» – пинхол – и вовсе измеряется двумя миллиметрами. То есть можно булавкой сделать небольшое отверстие в потолке и совершенно незаметно установить там камеру. Обнаружить визуально такую «точку» будет весьма сложно. «Доработать» кабинет не составит труда: попав в него в качестве посетителя или подкупив сотрудника службы эксплуатации.

- Всегда ли можно обнаружить такое устройство?
- Да, практически в любом кабинете. Время обнаружения зависит от того, ведется ли только визуальное изучение поверхностей, на которых теоретически может быть установлен интересующий нас объект, или поиски производятся в капитальных конструкциях, требуется ли рентгенография. Многое также зависит от модели нарушителя, которая отдельно прорабатывается с заказчиком. При выявлении демаскирующих признаков при помощи поисковой техники производится подтверждение наличия устройства и его локализация – так называемая «доводка».

- Нужно ли проверять на наличие шпионского оборудования все помещения предприятия или только конкретные зоны?
- Работы производятся в зоне, в которой, по мнению заказчика, в том или ином формате циркулирует коммерческая тайна. Потому что контролировать все – мероприятие затратное и избыточное. Место переговоров должно быть строго регламентировано организационными документами. В противном случае конфиденциальная информация рано или поздно утечет.

- Заметно ли для окружающих ведение поиска скрытых видеокамер и жучков?
- Да, тот, кто находится в помещении, поймет, что происходит. И тот, кто находится на контроле с той стороны, по прямым или косвенным признакам поймет, что ведутся поисковые мероприятия. Поэтому работы, как правило, проводятся в нерабочее время в присутствии заказчика либо его доверенного лица.

- Какова вероятность ошибочной тревоги?
- Ошибка может быть всегда. Все зависит от задачи, поставленной заказчиком, и от изощренности атакующей стороны.

- Существует мнение, что наличие у службы безопасности даже обширного арсенала специальных поисковых средств еще не гарантирует обнаружения жучков и иных устройств и не дает уверенности в «чистоте» помещений, а успех поиска в немалой степени определяется профессионализмом поисковой бригады, тем, в каких условиях и насколько грамотно они будут применять средства поиска. Что Вы думаете об этом утверждении?
- В состав службы безопасности крупного предприятия, где объем защищаемых ресурсов велик, разумеется, должен входить не только руководитель подразделения, который мог бы правильно поставить задачу перед организацией, ведущей поисковые работы, и принять результаты на экспертном уровне, но и свой хорошо обученный инженерный состав.

- Допустим, что директор предприятия, осознав важность защиты корпоративных сведений, решится на принятие комплекса соответствующих мер. Гарантирует ли это безопасность информации?
- Обычно руководитель поручает исполнение этой задачи подчиненным, и в этом случае есть два равновеликих варианта развития событий. Первый – когда при отсутствии контроля направление будет спущено на тормозах. Второй – когда исполнение задачи контролируется руководителем, и она выполняется. Залогом успеха служит серьезное отношение руководителя предприятия к предпринимаемым мерам. Интересуется же он отчетами о прибылях и убытках, прогнозными показателями. Точно таким же должно быть отношение к защите информации. В противном случае даже не стоит браться. Мне хочется верить, что в будущем мы научимся наконец считать потери от утечки конфиденциальной информации, и тогда ситуация в сфере защиты данных изменится в лучшую сторону. Возможно, это произойдет благодаря подобным публикациям.

- Мы тоже на это надеемся. Спасибо Вам, Денис, за интересную беседу!

Подготовила Адель Соколова