Жертвой коммерческого шпионажа может стать любая компания. Причем опасность взлома базы данных исходит не только снаружи — «сливать» информацию могут и сотрудники предприятия. Как защитить свой бизнес от шпионажа? Есть ли наказание за раскрытие коммерческой тайны? Продюсеру радио «Business FM Челябинск» Марии Полевщиковой об этом рассказали технический директор компании «ИТ Энигма» Александр Метельников и руководитель коммерческой практики адвокатского бюро KR&P Виктор Глушаков.
— Александр, какие существуют виды коммерческого шпионажа? Отсюда же другой вопрос — какие цели они обычно преследуют?
— Можно пойти именно от цели коммерческого шпионажа. Что может быть важно, и что могут украсть у компании. Первое — это, конечно же, база контрагентов, база клиентов. Это одно из наиболее ценного, особенно для коммерческой компании. Другой момент — это, конечно же, производственные секреты, ноу-хау. То, как компания производит, какие есть у нее особенности, что-то такое, что для нее, действительно, важно и ценно. И, соответственно, уже исходя из этого, выделяются виды коммерческого шпионажа — разведка по открытым источникам, либо хищение ценной информации.
— Виктор, есть, что добавить?
— Немножко приземленнее отношусь к термину «коммерческий шпионаж». Больше мне это напоминает сбор информации, поскольку я больше в праве, нежели в ИТ. Может быть интересна структура цепочки компании с целью определения конечного бенефициара, так называемое раскрытие корпоративной вуали, когда нужно понять, кто собственник, кто хозяин. Также информация о сделках, то есть контрагенты — это интересно, но порой интересуют конкретные сделки, стоимости этих сделок и контрагенты, с которыми эти сделки заключаются. Это тоже может быть предметом шпионажа, причем не только сотрудников, а скорее это будут участники корпорации, конкуренты, игроки рынка и какие-то компании, которые заинтересованы с него вытеснить.
— То есть это юридические способы шпионажа?
— Они квазизаконные, потому что с точки зрения закона инструменты, о которых я чуть позже расскажу, считаются формально соответствующими, однако их в какой-то мере можно считать злоупотреблением права.
— Александр, какими методами пользуются злоумышленники?
— Один из наиболее популярных методов — это социальная инженерия. Если мы говорим про внешний взлом, когда пытаются выманить ценную информацию у сотрудников, получить доступ к базам данных, направляя фишинговые письма, совершая фишинговые звонки. Другой метод — это разведка по открытым источникам. В информационной безопасности есть термин osint — open source intelligence. Это когда идет сопоставление множества различных баз данных и цепочек информации. И на основе этого идет анализ информации и получение ценных, новых данных.
— Насколько в Челябинской области распространен коммерческий шпионаж?
— Если говорить про классический, если брать это модное слово «шпионаж», то, пожалуй, он не сильно распространен. Но если учитывать методы злоумышленников, которые совмещают вымогательство и шпионаж, хищение ценной информации с угрозой в дальнейшем ее опубликовать, то такое достаточно часто встречается. И челябинские компании встречаются с тем, что, во-первых, происходят взлом их инфраструктуры, шифрование их ценной информации, информационных систем. И при этом происходит также хищение информации, которой обладает данная компания и есть угроза ее опубликования, раскрытия в интернете.
— Виктор, а к вам часто ли обращаются с такими проблемами?
— Коллега рассказывал про методы, которыми действуют люди, которых можно охарактеризовать как преступники. Но не всегда цель собрать информацию носит преступный умысел и характер. Зачастую это может быть вся информация, которая положена по закону, или которая может быть получена тем же участником корпорации. И опять же, например, обращение в суд с иском об истребовании корпоративной документации, либо иные иски существуют, которые позволяют нам эту информацию получить, то есть сторона обязана будет представить эти сведения в суд. В противном случае, она просто не выполнит требования закона и потенциально может спор проиграть. Это законно и более того — направлено на защиту интересов лица, которое, как правило, пострадавшее. Кроме того, есть еще недобросовестные вещи, о которых я говорил, у многих ли информация, которую не считают важной, та же база данных контрагентов пресловутая, защищена режимом коммерческой тайны? С кем бы я не общался, она либо не защищена, либо она защищена неправильно. Простой пример — поскольку я в антимонопольном направлении работаю, поступают обращения в антимонопольную службу, например, недобросовестная конкуренция, либо какое-то недобросовестное поведение на рынке, побуждает антимонопольную службу собрать информацию о сделках и контрагентах, которые вы совершаете. А дальше что происходит? Информация о сделках и контрагентах попадает в дело, с которым может ознакомиться заявитель.
— Уже проговорили, что коммерческий шпионаж в Челябинской области редко, но бывает. И отсюда вопрос: как компаниям защитить себя?
— Если мы говорим именно про защиту какой-то ценной информации для компании, то есть два основных метода. Первый — это предотвратить утечку информации. Для этого есть класс решений, система защиты информации от утечек, модное слово DLP. Это когда на основе анализа информации и взаимодействия предотвращаются утечка информации и передача информации вовне тем, кому она не положена. Другой метод — это расследование и попытка выяснить, от кого же произошла утечка информации. То есть, когда происходит маркировка документов определенным, хитрым образом, когда чуть-чуть меняются шрифты, интервалы. Если документ где-то всплывает на форумах в интернете, то всегда можно выяснить, какой сотрудник допустил утечку, кто опубликовал информацию.
