Основатель социальной сети «ВКонтакте» и мессенджера Telegram Павел Дуров рассказал о том, как американские спецслужбы пытались склонить к сотрудничеству одного из его сотрудников, а позднее и самого Дурова. Как выяснилось, на проводимой Google конференции одному из разработчиков Telegram предложили 10 тысяч долларов за создание канала, через который можно будет втайне передавать нужную американским властям информацию. Но тот отказался, сообщив о попытке подкупа руководству. Позднее спецслужбы пришли домой к Павлу Дурову, попросив его передавать по тайному каналу данные о пользователях Telegram, которые могут быть опасны для благополучия страны. Но получили отказ.
В данной ситуации очень правильно поступил разработчик мессенджера, отказавшийся от денег. Хотя неизвестно, сколько попыток подкупа или давления было до и после этой истории. Сопротивляться давлению государственных структур всегда тяжело. Впрочем, подобные методы практикуют и обычные компании. Промышленный шпионаж, переманивание сотрудников, прямой подкуп — для достижения успеха нечистоплотные конкуренты не брезгуют ничем.
Компания «Альфа-Развитие» неоднократно участвовала в разработке комплексных систем защиты коммерческих тайн организаций разного уровня. Мы знаем, как обеспечить техническую и физическую безопасность данных. И успешно применяем свои знания на практике. Что мы можем посоветовать компаниям, которые хотят защититься от шпионажа и других способов хищения информации?
Секреты информационной безопасности
Строгий отбор кадров. В штате не должно быть «балласта». То есть некомпетентных, нечистых на руку, неэффективных сотрудников. Отсев должен производиться с учётом рекомендаций «безопасников», проверяющих личные и профессиональные качества каждого соискателя. Здесь можно действовать по-разному. Или полностью доверить подбор кадров службе безопасности (например, нашей), или поручить HR-отделу предварительно согласовывать кандидатов, а собеседования или тесты проводить в присутствии сотрудника, отвечающего за безопасность.
Проверка персонала. Если сотрудники уже набраны, службе безопасности стоит проверить каждого из них. Обязательно изучается достоверность предоставленных документов, собираются характеристики с прошлых мест работы. Изучаются проблемы с законом и кредитными организациями, отсутствие пагубных зависимостей. Также может быть организована негласная слежка, которая позволит выявить нечестных сотрудников, которые занимались воровством, саботажем или прямым сливом информации.
Ликвидация безграмотности. Имеется в виду безграмотность в сфере информационной защиты. Многие люди, даже занимающие ответственный пост, не понимают смысла некоторых требований службы безопасности. Поэтому с каждым человеком должна быть проведена беседа, на которой просто и понятно объясняются наиболее важные постулаты безопасности. Приводятся реальные примеры из практики с подкинутыми заражёнными флешками или мошенниками, притворяющимися сотрудниками соседнего отдела. Как правило, такие меры дают нужный результат.
Внедрение программных систем защиты информации. Это может быть не только антивирусное ПО. Но и отслеживающие программы, которые срабатывают при использовании ключевых фраз. Таким образом исключается необходимость тотального чтения переписки или прослушивания переговоров. Служба безопасности получает только ту информацию, которая затрагивает их сферу деятельности.
Ограничение доступа. Может быть многоуровневая. Например, физическое ограничение предполагает работу охранников, а также пропускных систем. В помещения, доступ к которым ограничен, попасть можно только при наличии актуального допуска. Виртуальное ограничение даёт возможность сотрудникам пользоваться урезанной формой базы данных в рамках своей компетенции.