Актуальность темы безопасности финансовых структур — развитие программы «Киберщит Казахстана» и изменения в законах, ужесточающие требования к защите систем данных, — заставили «Капитал.kz» изучить тему шире. Готов ли бизнес подхватить заданный государством тренд на обеспечение безопасности собственных данных? Какие бреши в системах защиты являются типичными для компаний нашей страны? К каким потерям приводит пренебрежение базовыми принципами сохранения коммерческой тайны? Эти темы «Капитал.kz» изучил через практику частных детективов.
Предприниматели пренебрегают антивирусами
Сколько стоит хищение коммерческой тайны в Казахстане? Наши собеседники приводили примеры, когда хакер атаковал компьютерную сеть крупной компании за вознаграждение в $5 тыс. В другом случае бизнесмену за $10 тыс. была предложена флешка с файлами, касающимися планов конкурента. Сделка не состоялась, потому что покупателю цена показалась возмутительно завышенной — он был согласен на $500.
Игорь Чернов, директор компании Informsecurity, заведующий сектором информационной безопасности общественного объединения «Объединение профессионалов корпоративной безопасности и детективной деятельности «Калкан», считает, что рынок взлома и защиты компаний в стране не устоялся, поэтому любая сделка может обсуждаться в весьма широком ценовом диапазоне. Виктор Покусов, председатель Казахстанской ассоциации информационной безопасности, говорит, что половина казахстанских предпринимателей пренебрегают рисками кибервзлома и даже не устанавливают на компьютеры антивирусные программы. В будущем же из тех, кто стал жертвой хищения данных или средств через компьютерные сети, о правилах цифровой безопасности задумывается тоже не более 50%.
Между тем в общем рейтинге киберугроз заражение компьютеров программами-шифровальщиками занимает третье место. Первое место в этом криминальном рейтинге занимают хищения средств с банковских счетов через клиентские программы, второе — хищение личных данных.
Глобальная безопасность стоит $100 млрд
По данным Gartner, авторитетной компании рынка исследований и консалтинга в области информационных технологий, в 2018 году во всем мире затраты на информационную безопасность составят $96,3 млрд. Это на 8% больше, чем годом ранее.
53% опрошенных Gartner экспертов считают, что главная движущая сила, влекущая повышение этих расходов, — реальность угрозы сокрушительных кибератак. К примеру, в мае 2017 года 300 тыс. компьютеров 74 стран мира одновременно атаковал вирус-шифровальщик WannaCry. Попадая в компьютер, этот вирус распространяется по всей сети, блокируя ее работу.
В сентябре 2017 года было атаковано крупнейшее в мире бюро кредитных историй Equifax. Хакеры завладели личными данными почти 160 млн человек, включая номера их банковских счетов.
Почему жертвы обращаются к частным детективам
Комментируя тему информационной безопасности казахстанских компаний, Игорь Чернов подчеркивает, что кибербезопасность — всего лишь часть этой большой задачи. Криминальная статистика подтверждает этот тезис.
Например, за первые 4 месяца текущего года МВД зарегистрировало 210 тыс. краж, 32 тыс. случаев мошенничества, 6500 — присвоения или растраты вверенного имущества, разбоя — 800, вымогательства — 500. То есть криминал, как и прежде, не блещет утонченными манерами и далек от высоких технологий. При этом, уточняет эксперт, значительная часть правонарушений была направлена против предпринимателей.
А что же с информационной безопасностью? За те же 4 месяца зарегистрированы 80 случаев неправомерного доступа к информации.
Правда, надо учесть специфику этого правонарушения: жертвы не стремятся предавать такие случаи огласке. Полиция работать с такими преступлениями не привыкла: улики и доказательства неочевидны, да и судебная система рассматривать «кибердела» не готова.
Игорь Чернов рассказал об оборотистом специалисте, который на рынке, где конкурировали четыре компании, смог войти в доверие, получить работу и похитить ценную информацию в трех из них. Понимая бессмысленность уголовного преследования, владельцы мирились с убытками.
Что же остается жертвам преступлений? Они могут проанализировать слабые стороны организации системы безопасности и ликвидировать слабые места. Для этого они обращаются к частным детективам.
Частный детектив: между законом и спросом
Андрей Крикнин, директор Агентства коммерческой безопасности «ПравдаЛаб», заведующий сектором детективной деятельности ОО «Объединение профессионалов корпоративной безопасности и детективной деятельности «Калкан», считает, что в Казахстане услуги частного сыска оказывают около 2 тысяч человек. При этом только 38 детективов и детективных агентств дают рекламу о своих услугах.
Работа эта в стране не запрещена. Закон о детективной деятельности не принят, поэтому сыщики руководствуются 5 статьей Предпринимательского кодекса, разрешающего то, что прямо не запрещено.
Игорь Чернов полагает, что в ближайшее время ситуация изменится. По его мнению, участившиеся коррупционные скандалы и громкие аресты указывают на меняющийся характер бизнес-среды. Заканчивается эпоха безраздельного управления рынком чиновниками разного ранга, наступает время рыночной конкуренции.
Информация становится товаром
Игорь Чернов называет два гарантированных способа достичь успеха на рынке: использование административного ресурса, то есть коррупция, и шпионаж. Cистема коррупционного рынка, по его мнению, дает сбой. Казахстан неизбежно становится частью глобального рынка промышленного шпионажа.
По словам Игоря Чернова, последнее время стали привычными обращения компаний, которые не понимают, почему их отодвинули от недавно еще гарантированного доступа к тендерным контрактам. Им кажется, что чиновники играют с ними в какие-то игры на повышение вознаграждения — хотя на самом деле это вполне понятный страх наказания.
Конкуренция стимулирует бизнесменов покупать секреты конкурентов. Самое громкое событие последнего времени — потеря одной из казахстанских компаний контракта, гарантирующего ей прибыль в 2,4 млрд тенге. Частное расследование показало, что причина провала — банальный подкуп топ-менеджмента, который передал конкуренту подробности сделки. Конкурент успел сделать заказчику более выгодное предложение.
Коммерческая информация превращается в товар. Это также значит, что в криминальные сводки может вернуться такое понятие, как заказное убийство, мотивом которого будет конкуренция, считает Игорь Чернов.
Логика событий заставит государство принять закон о частной детективной деятельности. Чтобы закон разрабатывался с учетом опыта реальной работы, наиболее экспертная часть детективов учредила общественное объединение «Калкан». Это объединение профессионалов корпоративной безопасности и детективной деятельности. Далее, считает Игорь Чернов, в стране появятся 10−12 крупных детективных фирм, обеспечивающих весь цикл систем безопасности и частных сыскных мероприятий.
Характер задач частного детектива меняется
Андрей Крикнин также видит все признаки изменения правил игры. По его мнению, чиновников все жестче заставляют работать в правовом поле. При росте законности и порядка снижается важность административного ресурса.
Как это отражается на работе частного детектива? Андрей Крикнин говорит, что увеличилось число заказов на проверку лояльности работников интересам компаний. Эксперт считает это логичным, ведь сотрудничество с госчиновниками не просто имеет все меньше гарантий, но и становится опасным. Главным фактором успеха становится сплоченность команды.
Андрей Крикнин специализируется на составлении психологических портретов. Как это помогает владельцам бизнеса? Например, в компании произошло хищение средств или утечка информации. В компьютерной сети не осталось следов, указывающих прямо на злоумышленника. Детектив определяет круг подозреваемых и изучает каждого на предмет способности к подобным действиям через все легальные инструменты, включая социальные сети. Когда определяется главный подозреваемый, владелец компании может потребовать от него проверки на полиграфе — детекторе лжи. В среднем подобное расследование занимает две недели.
Сколько стоит проверка на полиграфе
Стоимость полиграфического оборудования зависит от имени производителя. Прибор от малоизвестного производителя стоит примерно $2500. Хороший российский прибор можно купить за 2,8 млн тенге, американский — 3,5 млн тенге. Чернильнопишущие полиграфы, отражающие кривые результатов на бумаге, остались в кино: современные аппараты составляют отчеты при помощи специального компьютерного софта. Существуют мобильные версии полиграфов, их цена — примерно $7 тыс.
По словам Андрея Крикнина, в общих потерях компаний недобросовестные действия работников в среднем достигают 17%. Поэтому часто заказывают проверку на полиграфе во время принятия человека на работу. Стоит эта услуга 35 тыс. тенге, проверка соискателя длится до трех часов.
Игорь Чернов говорит, что минимальный комплект для качественной проверки помещения на предмет «жучков» стоит 2 млн тенге, серьезное снаряжение — 6 млн тенге. Сейчас на рынке много предложений обеспечения безопасности переговоров за 30 тыс. тенге. Эксперт указывает, что за эти деньги возможна проверка только одного канала утечки информации. Всего же их 6, и каждый имеет свои подканалы, что расширяет возможности для прослушки до 40 позиций.
Главная задача безопасника — контроль сотрудников
Игорь Чернов утверждает, что главная уязвимость любой компании кроется не в компьютерных сетях, а в головах ее работников. Он рассказал о случае, когда сотрудник похищал секретные документы для передачи конкуренту, просто фотографируя их с экрана компьютера. В то же время руководство компании нанимало последовательно все более дорогих специалистов, чтобы обнаружить причину утечки данных в компьютерной сети.
Воздействуя на сотрудников компании-конкурента, можно добиться получения любой информации, не рискуя при этом быть обвиненным в организации уголовного преступления. То же самое касается и завербованного работника: невозможно доказать, что он осознавал факт передачи секретной информации.
Взлом компьютерных сетей — второй по эффективности способ рассекречивания данных. Третий способ — перехват информации по техническим каналам, то есть с помощью прослушки, и так далее. Казахстанские компании, как правило, выстраивают работу от обратного: департаменты кибербезопасности купаются в бюджетах, в то время как «оперативные» подразделения финансируются по остатку.
Как обеспечить комплексную информационную защиту? Увеличить статью расходов на информационную безопасность с привычных для нашего бизнеса 3% до 20%. Направлять эти средства на превентивную работу, а не на борьбу с последствиями. Внедрять в бизнес-процесс понятие о коммерческой тайне, чем наши компании пренебрегают. Штатные сотрудники должны иметь четкое понятие о том, какая именно информация охраняется законом и об уголовном наказании за ее разглашение.