«Противоугонные» системы для турагентств
В Липецке у одного турагента украли клиентскую базу. Фирма девять лет на рынке, но вопросами защиты информации ее владельцы озаботились только сейчас и через нашу редакцию попросили коллег поделиться опытом. Но руководители пяти крупных и уважаемых розничных фирм, к которым обратилась «ГЛ», под большим секретом признались: их информационные ресурсы тоже не защищены от «угона».
Может, ценность пресловутых клиентских баз не так высока, как принято думать? Или положить их под надежный замок – задача нереальная?
Масштабы катастрофы
Оценивая масштабы «катастрофы» в Липецке, эксперты, к которым обратилась «ГЛ», разошлись во мнениях. Некоторые сочли, что из утечки списка с адресами и телефонами клиентов не надо делать трагедии. «Гораздо более серьезная потеря – сами менеджеры по продажам, потому что именно к ним в первую очередь идут туристы, – полагает, в частности, Валентин Егерев, управляющий банка «Интеллектуальные ресурсы». – Потребители, лояльные к конкретному сейлзу, – вот это дорогого стоит. А их вы можете удержать, только предотвратив увольнение сотрудника». Точку зрения другой группы специалистов выразила Анна Подгорная, директор по продажам компании «Пегас Туристик»: «Клиентская база розничной фирмы практически бесценна. Это, как правило, труд многих людей. Каждый контакт уникален, за ним стоит своя история». Только лишившись такого актива, можно оценить его в полной мере, подтверждает Евгений Болотов, инженер-программист Научно-производственной фирмы «Интек».
Подробности
Екатерина П., заместитель директора турфирмы, Липецк:
– Из нашей компании уволились несколько сотрудников и вскоре открыли собственный бизнес. Отношения остались хорошие, мы общались, помогали друг другу. И вот спустя некоторое время выясняется: они сделали рассылку по всей клиентской базе, наработанной нами за девять лет. Первая мысль была подать в суд. Я считаю, нельзя оставлять такие вещи безнаказанными. Но хозяйка нашей турфирмы не хочет «войны» и даже огласки. Опасается, что знакомые и родственники бывших сотрудников будут вставлять палки в колеса не только ее предприятию, но и бизнесу мужа. Город сравнительно невелик, все друг друга знают, и это чревато. Да и в суде нам, конечно, трудно будет отстоять свои права. Но надо хотя бы защитить себя от таких действий на будущее. Да вот только знать бы – как?
Кто и как ворует
По мнению Андрея Степаненко, директора по маркетингу компании «Информзащита», часть информации в крупном предприятии может украсть практически любой сотрудник. А вот базу целиком – или кто-то из топов, или системный администратор, делающий резервные копии. У них самые широкие права доступа. Эти люди, соответственно, наиболее опасны.
Сейчас, в век развитых информационных технологий, увести незащищенную базу легко. Обычно ее либо копируют на диск, на флешку, на телефон, либо высылают себе на личный электронный адрес через Интернет. Вручную на бумагу обычно не переписывают – слишком долго и трудно, кроме того, потом придется все снова вбивать в компьютер… Однако менеджеры всегда запоминают и уносят в голове самые прибыльные контакты, и бороться с этим невозможно.
Корпоративная защита
При большой ротации кадров в компании предотвратить утечку информации нереально, уверены эксперты. «Наверное, ни для кого не новость, что надо целенаправленно заниматься мотивацией сотрудников, поощрять их профессиональный рост, открывать им новые возможности для учебы, – говорит Валентин Егерев. – Пока в этом плане на туристическом рынке ничего не изменится к лучшему, успешные и активные менеджеры будут мигрировать между фирмами вместе с клиентскими базами».
Чаще всего люди уходят с банальной мыслью: «Нужно было платить больше». Но причиной могут быть и личные обстоятельства, и обида на руководство, которое не ценит «меня, любимого». В результате одни совершают акты вандализма на местах прежней работы (за что, кстати, легко привлечь к ответственности), другие – тащат все, что поможет, по их разумению, упрочить материальное положение в будущем. «Целенаправленно общайтесь с сотрудниками, выясняйте их настроения, – советует Андрей Степаненко. – Это почти ничего не стоит, а результат дает больший, чем разные программы и «железки». Вы гарантированно получите пищу для размышлений и сможете заблаговременно принять меры: либо удержать человека, который подумывает об уходе, либо лишить его права доступа к информации, если уход неизбежен. «Доброе слово и пистолет всегда эффективнее, чем просто доброе слово». Так, кажется, говорил Аль Капоне?»
При помощи закона
Защищаться можно и юридическими методами. Необходимо, например, помимо трудового договора заключить с сотрудниками дополнительное соглашение о коммерческой тайне. В нем перечисляется, какие данные не подлежат разглашению и передаче третьим лицам, а также указывается мера ответственности. Конечно, на практике выявить и наказать нарушителей очень трудно, но все-таки реально. «А самое главное, подписав такое соглашение, человек десять раз подумает, прежде чем вынесет с предприятия базу, – делится соображениями Марина Свобода, менеджер по развитию ИП «Крымкурорт». – Он уже будет четко понимать: такие действия криминальны».
Защите информации в рамках трудовых отношений посвящен ФЗ № 98-ФЗ «О коммерческой тайне» (от 29 июля 2004 г.). В ст. 11 этого закона приведены взаимные обязательства работника и работодателя, а в ст. 14 обозначена дисциплинарная, гражданско-правовая, административная и даже уголовная ответственность на случай утечки конфиденциальных сведений. Сотрудник, который умышленно или неосторожно разглашает коммерческую тайну работодателя и его контрагентов, получает выговор или может быть уволен. Правда, это вряд ли возместит убытки предприятия. Уголовная ответственность наступает в случае, если сотрудник собирал сведения, составляющие коммерческую тайну, незаконным способом, незаконно разглашал или использовал сведения, являющиеся коммерческой тайной, без согласия владельца таких сведений, если данные деяния повлекли причинение крупного ущерба или были совершены из корыстной заинтересованности, а также повлекли тяжкие последствия. Как мера наказания за совершения таких деяний судом может быть установлен штраф в размере от 80 000 до 200 000 рублей, лишение права занимать определенные должности на срок от года до трех лет, а также лишение свободы на срок до 10 лет.
«Конечно, доказать вину работника, наличие в его действиях умысла на практике бывает очень сложно, – предупреждает Наталья Петрова, юрист «Натали Турс». – Но в приложении к трудовому договору имеет смысл обозначить все виды санкций. Это, несомненно, заставит людей задуматься: стоит ли ради таблицы с телефонами и адресами клиентов идти на такие риски. Пусть даже в большей степени теоретические».
Оргвопросы и технологии
Говоря о технических и организационных методах защиты информации, эксперты подчеркивают комплексность задачи. Надо найти все щели, через которые возможна утечка, и постараться их «задраить».
Сначала рекомендуется отделить зерна от плевел – важные данные от остальных, и каждого сотрудника ограничить в праве пользования теми сведениями, которые не обязатальны ему для работы. Доступ к стратегическим ресурсам компании должен быть персонифицированным, благодаря чему пользователю вряд ли удастся откреститься от совершенных им действий, комментирует Сергей Вихрев, директор аналитического департамента «Элвис-плюс». Для аутентификации применяются аппаратные средства (смарт-карты или USB-ключи). Хорошо бы также шифровать важнейшие данные, представляющие сферу особого интереса инсайдера. Секретные данные пользователи должны хранить на личных съемных носителях (например, на тех же смарт-картах или USB-ключах), что повысит персональную ответственность каждого сотрудника.
В качестве профилактики утечки информации важно проводить регулярный мониторинг всех действий пользователей в сети. В более или менее крупной компании нелишне установить видеокамеру, о которой все будут знать (по закону руководство обязано предупредить, что ведется съемка), плюс к тому – несколько скрытых камер для локального обзора рабочих мест и мониторов. И в любом случае обязательно сообщите персоналу о том, что на предприятии отслеживаются деловая электронная почта, доступ в Интернет, телефонные разговоры. Даже если с вашей стороны это будет чистой воды блеф, он даст результаты: ощущение контроля со стороны администрации всегда дисциплинирует сотрудников, утверждают эксперты.
Средства защиты
Роман Кобсев, начальник отдела информации и связей с общественностью «Элвис-плюс»:
– Посоветовать какие-либо конкретные программы для обеспечения безопасности клиентских баз в турфирмах не так просто, как кажется на первый взгляд. Если речь идет о больших хранилищах данных на основе технологий IBM или Oracle, то решать такую задачу должны специализированные компании – системные интеграторы в сфере информационной безопасности. Я не буду вдаваться в подробности, так как самое короткое описание подобного проекта заняло бы десятки страниц. Другое дело – небольшие организации, где клиентская база обрабатывается на обычном персональном компьютере. В таких случаях для предотвращения кражи информации можно использовать различные средства, начиная со встроенных возможностей операционной системы, то есть парольной защиты. Главное условие – пароль должен содержать не менее восьми знаков (цифр и букв разных регистров). Если ваши сотрудники не готовы на такие умственные подвиги, используйте токены и смарт-карты, например ASECard, eToken или iButton (Dallas Touch Memory) производства Aladdin. Можно также применять биометрические средства, допустим сканер отпечатков пальцев BioLink U-Match.
Чтобы злоумышленник не получил доступ к данным, даже если он, например, украл компьютер и извлек жесткий диск, необходимо информацию шифровать. Для ПК подойдет, например, Secret Disk той же Aladdin или ПСКЗИ ШИПКА от ОКБ САПР. Для борьбы с сетевыми атаками хороши такие системы безопасности, как CISCO PIX производства Cisco Systems или ЗАСТАВА от «Элвис-плюс». Кроме известных марок, есть много бесплатных программ в Интернете. Но они более применимы в домашних условиях, использовать их на предприятии я бы не рекомендовал.