Финансовые директора остро нуждаются в том, чтобы компания своевременно генерировала актуальную и достоверную информацию, необходимую для принятия управленческих решений. Ради этого выделяются внушительные бюджеты и внедряются дорогостоящие ERP-системы. Однако с появлением жизненно важных для бизнеса сведений у некоторых сотрудников может возникнуть соблазн передать их конкурентам. За вознаграждение, разумеется. Как же не допустить утечки?
Например, на ЧОП (частное охранное предприятие), которые отвечают за безопасность в большинстве российских офисов, можно надавить. Обычно такие фирмы возглавляют бывшие офицеры различных силовых ведомств. Если коррумпированному сотруднику подобного ведомства требуется узнать какую-то закрытую информацию, он вызывает начальника ЧОПа и говорит: «Полковник, нам нужно негласно посетить ваш объект». И полковник отдает приказ своим сотрудникам пропустить людей.
Редкие компании подходят к охране конфиденциальной информации системно. Многие руководители даже не могут сформулировать, что такое «коммерческая тайна». А если их спросить о том, как ее следует защищать, можно получить наивный ответ вроде: «надо сказать всем сотрудникам, что за разглашение конфиденциальной информации их будут наказывать».
О том, как на самом деле нужно выстраивать защиту конфиденциальных сведений и с какими сложностями придется столкнуться на этом пути, www.cfo-russia.ru поговорил с Алексеем Клинцовым и Константином Цыпленковым, владельцами консалтингового агентства по безопасности бизнеса «Леопольд АГ», посвятившими этим вопросам не один десяток лет.
В чем разница между агентствами, подобными вашему, и милицией?
Клинцов: Разница принципиальная. Милиция обычно работает с уже совершенными преступлениями, а их профилактикой практически не занимается. Хотя это и входит в ее задачи. Агентства же работают прежде всего на профилактику. Кроме того, величина зарплаты сотрудника милиции практически не зависит от качества его работы. А мы получаем ровно столько, сколько заработали.
Показательно, что к нам на работу приходят бывшие сотрудники органов, но часто выясняется, что работать на результат они не умеют. В органах главное, чтобы у руководства не возникало нареканий по поводу качества работы. Поэтому сотрудники быстро учатся оправдывать собственные неудачи.
Когда люди, уже пострадавшие от мошенников, обращаются к нам, мы прежде всего предлагаем потратить деньги на то, чтобы избежать подобных происшествий в будущем. Суммы, которые уходят на раскрытие преступления и на профилактику, несопоставимы: на защиту денег уходит меньше.
А почему бизнесмены приходят в агентство, а не в милицию?
Клинцов: В милицию они тоже приходят. Это всегда решение потерпевшего, куда и к кому обращаться. Иногда сама милиция присылает людей к нам. Представьте себе: сидит следователь, у которого в производстве 28 уголовных дел. Это значит, что вашему делу он в лучшем случае уделит 1/28 часть своего рабочего времени. Кого устроит такая ситуация?
Можно ли сказать, что какие-то услуги по защите коммерческой тайны сейчас более востребованы, чем, например, десять лет назад?
Цыпленков: Нет. Просто список услуг постоянно расширяется. Единственное, что изменилось,— раньше мы расследования проводили платно, а консалтинговые услуги были бесплатным приложением. Теперь консалтинг стал отдельной услугой, за которую мы берем деньги.
Есть ли какая-то разница между терминами «конкурентная разведка» и «промышленный шпионаж»?
Цыпленков: Есть, и существенная. Конкурентная разведка предполагает использование открытых источников информации. А промышленный шпионаж является преступлением: он предполагает использование закрытых баз данных, инсайдеров и различных технических средств с целью кражи информации, юридически подпадающей под понятие «коммерческая тайна».
Что сейчас больше интересует людей: конкурентная разведка или защита?
Цыпленков: Обычно компании начинают задумываться о серьезной защите, когда что-то случилось: разглашены секреты, что привело к финансовым потерям, произошло хищение продукции или документации… Первые два вопроса, которые мы задаем: «Кто у вас занимается обеспечением безопасности?» и «Есть ли у вас понятие коммерческой тайны?» Обычные ответы: «Все понемножку» и «Да. Мы всем на предприятии сказали, что есть информация, за разглашение которой будем наказывать». А для реальной защиты не сделали ничего.
А что именно нужно было сделать?
Цыпленков: Для начала ознакомиться с законом о коммерческой тайне. Информация обладает таким статусом при соблюдении трех условий. Во-первых, она неизвестна третьим лицам, в силу чего представляет действительную или потенциальную ценность. Во-вторых, собственник должен принять меры, как организационные, так и технические, к защите такой информации. И, в-третьих, коммерческой тайной не могут являться сведения, которые должны быть открытыми по закону. Например, балансовые показатели предприятия. Таким образом, понятие коммерческой тайны заложено в законе. Просто мало кто об этом знает.
Человек определил, какая информация является коммерческой тайной, и хочет ее защитить. С чего начинать?
Клинцов: Начинать всегда нужно с персонала. Люди – самое главное. По мнению европейских экспертов, если, например, банк утратит 15% коммерческой информации, это приводит к его краху. А организовать хищение просто: недобросовестный сотрудник проникает в базу данных и скачивает оттуда информацию, интересную конкурентам.
Работа с кадрами – это прежде всего правильный подбор персонала и его проверка. Именно проверка помогает выявить, кто из сотрудников может разгласить закрытую информацию. Далее персонал нужно обучать на случай непредвиденных ситуаций. Например, как вести себя при налете вооруженных преступников? При официальной проверке контролирующих органов?
Иногда нужно объяснять банальные вещи. Например, что дверь в кассу должна быть закрыта независимо от того, есть кто-то внутри или нет. Какие-то процедуры на первый взгляд могут показаться простыми, а на деле их внедрение оборачивается проблемой. Как организовать проход людей в здание? Если это банк, то его следует разделить на зоны безопасности, и вход в здание – уже первая ступень. Никто же не знает, что предпримет человек, вошедший в операционный зал.
От правильной организации прохода посторонних в здание банка зависит очень многое. Конечно, большинство руководителей уверены в том, что служба безопасности работает хорошо. Но очень часто они сталкиваются с неприятными сюрпризами. Недавно по просьбе руководителя одного из банков я проверял надежность охраны. И без проблем прошел с пистолетом на поясе три КПП, оборудованные металлоискателями. О чем это говорит? Охрана потеряла бдительность. А чтобы она была в тонусе, ее нужно подвергать провокациям и плановым проверкам.
Очевидно, что меры по защите предполагают серьезное вмешательство в сложившиеся процедуры? Наверняка требуется масса согласований, разрешений?
Цыпленков: Все проще. Мы всегда работаем на собственника. Только собственник может принять решение быстро. Даже если есть несколько акционеров, все равно найдется самый главный из них.
Если еще ничего не случилось, а заказчик уже обращается в агентство, как строить работу?
Клинцов: Мы сначала оцениваем объем работ, обсуждаем, сколько будут стоить наши услуги, и что клиент поучит «на выходе». Но все равно начинаем с сотрудников.
Цыпленков: Прежде всего, рекомендуем использовать нашу анкету, которую заполняют все. Уже по анкете можно многое сказать. Сотрудник ставит подпись, что он не возражает, если его сведения будут проверены. И мы начинаем проверку. Был случай, что человек в графе «адрес фактического проживания» указал нежилой дом. Мы зацепились за это, начали раскручивать и выяснили, что он совершил преступление против работодателей, которое в данный момент расследовалось. Кто обманул однажды, легко сделает это и в другой раз.
Если выясняется, что человек написал в анкете неправду, мы беседуем с ним: почему он пошел на обман. Бывает, ничего серьезного, но иногда доходит до курьезов. Скажем, берут сотрудника, у которого 10 лет не было никаких пометок в трудовой книжке, а потом начинается воровство. Выясняется, что 10 лет человек провел в тюрьме.
И что нужно сделать, чтобы избежать подобных вещей?
Цыпленков: Мы соответствующим образом обучаем HR-отдел или предлагаем ввести в штат сотрудника нашего агентства с правами начальника отдела службы безопасности. Он постоянно держит руку на пульсе и собирает всю информацию, даже на первый взгляд незначительную, о сотрудниках компании. Например, вы врезались в «Мерседес», стоимостью $50 тысяч, а ваша зарплата – $500. Все это вполне может оказаться провокацией конкурентов, которые хотят, чтобы вы поделились с ними закрытой информацией.
Мы неоднократно сталкивались и с бухгалтерами, ворующими деньги или разглашающими закрытые финансовые показатели ради сыновей-наркоманов. Был такой случай. Работала в бухгалтерии женщина, и в течение 20 лет не было ни одной недостачи. Вдруг из кассы пропадают деньги. Выясняется, что ее сын подсел на наркотики, она начала его лечить. А это стоит денег. Если бы компания знала о ситуации, сложившейся у нее в семье, она могла бы заранее исключить воровство. Например, оплатить лечение ребенка ценного сотрудника в специализированной клинике.
Клинцов: Очень много бед случается при попустительстве ЧОПов (частные охранные предприятия). Не секрет, что на многих из них работают непрофессионалы, у которых даже не прописаны процедуры и сферы ответственности. Несмотря на серьезную конкуренцию ЧОПов, в Москве охранник в среднем получает 7–12 тысяч рублей в месяц. Что от него можно требовать за такие деньги? Только присутствия на работе в трезвом виде.
ЧОП требует постоянного контроля. У нас был показательный случай. Полтора года ЧОП охранял склад, на который до этого было совершено разбойное нападение. Мы приехали на проверку и попросили охранников показать лицензии. Нам отвечают: «У нас нет никаких лицензий. Зачем они нужны?» Мы говорим: «Вообще-то у вас помповое ружье стоит!» Что получается? Полтора года группа людей, не имея лицензии, с незаконным оружием охраняет склад, выдавая себя за ЧОП.
Итак, мы вызываем начальника ЧОПа и просим объяснить ситуацию, ведь то, что произошло,— уголовное преступление. Ответ нас просто потряс: «А кто здесь честно работает?»
На ЧОП можно легко надавить. Обычно такие фирмы возглавляют бывшие офицеры различных силовых ведомств. Если коррумпированному сотруднику подобного ведомства требуется узнать какую-то закрытую информацию, она вызывает начальника ЧОПа и говорит: «Полковник, нам нужно негласно посетить ваш объект». И полковник отдает приказ своим сотрудникам пропустить людей.
Некоторые фирмы практикуют использование сотрудников милиции в свободное от службы время в качестве охранников. Здесь кроется следующая опасность: сотрудник милиции на подработке, запрещенной законом о милиции, не может ни за что отвечать, а в случае ЧП просто скроется с глаз приехавших коллег, чтобы не иметь неприятностей на службе.
Каков же выход? Самое простое – поставить камеры, о которых не будет знать ЧОП. Нужно фиксировать, что делают охранники, особенно когда в офисе никого нет.
У руководителей есть еще одна головная боль – уволившиеся сотрудники, которые разглашают коммерческие секреты. Как быть с ними?
Цыпленков: Надо пресекать возможность такого развития событий с самого начала. И опытный кадровик может это сделать. Во время первого собеседования важно понять, раскрывает ли потенциальный сотрудник конфиденциальную информацию с предыдущего места, или нет. Если он идет на это, не следует брать его ни при каких условиях, так как в будущем он разгласит и ваши секреты.
Клинцов: Высокопоставленный сотрудник обладает сведениями, формально не являющимися коммерческой тайной, но разглашение которых может нанести урон прежним работодателям. Здесь все сложнее. Дело в том, что у нас нет устоявшейся судебной практики. На Западе достаточным материалом для обвинения человека, например, в том, что он работает на конкурентов, будут пара фотографий, где он входит в их офис и выходит из него.
Если говорить о топ-менеджерах, то часто причиной «слива» информации конкурентам является банальная обида партнеров друг на друга. Здесь есть только один способ профилактики – умение «гасить» конфликты. Мы пытаемся донести до людей, что на любой войне наживаются поставщики оружия. При помощи этой философии удается убедить партнеров или собственников придти к «нулевому» варианту: мы с тобой таким-то образом делим деньги, бизнес и сферы влияния, но ни в коем случае не ссоримся. У нас кончилась дружба, но не началась вражда. К этому всегда можно придти.
Вы постоянно делаете упор на персонал. Но при воровстве коммерческих секретов используют технические средства, и сотрудники организации могут быть не при чем…
Цыпленков: Нет, и в этом случае почти все сводится к людям. Если говорить о технической стороне вопроса, важно грамотно подбирать системного администратора. Сисадмин, которому вы не доверяете на 100%,— не сисадмин. Как-то я столкнулся с такой ситуацией. В одной компании системный администратор, устанавливая сотрудникам пароли на компьютеры, инсталлировал и специальные программы, которые считывали с клавиатуры всю информацию. В результате расследования выяснилось, что его подкупили конкуренты.
О чисто технических средствах «съема» информации можно говорить неделю. Они постоянно совершенствуются, буквально каждый день появляются новые разработки. С чисто практической точки зрения важно знать только одну вещь: сколько стоит информация, с которой вы работаете. Задайтесь вопросом, сколько можно заработать, в течение суток прослушивая ваш телефон? Если тысячу долларов, значит, на технические средства потратят 200–300 долларов, не больше. Полторы тысячи никто тратить не будет. Руководствуясь такой простой арифметикой, можно спрогнозировать, какие технические средства могут применить конкуренты, чтобы узнать ваши коммерческие секреты.
Клинцов: При подсчетах обращайте внимание не только на стоимость аппаратуры, но и на цену ее обслуживания. Например, банальный жучок стоит по нынешним меркам копейки, но ведь надо его обслуживать: посадить человека, который будет прослушивать информацию и выбирать то, что действительно ценно, готовить отчеты… Все это стоит денег, и эксплуатация технических средств всегда дороже самих устройств.
И часто приходится сталкиваться с техническими средствами слежения на практике?
Цыпленков: Не так часто. В основном коммерческие тайны воруют при помощи людей. Это намного проще, эффективнее и безопаснее. Жучок или камеру надо установить, обслуживать… Например, если установить камеру в шкаф, рано или поздно (а обычно довольно рано) заряд батареи питания закончится. И от жучка не будет никакого прока. Удобнее установить аппаратуру, скажем, в настенные часы, в которых заботливый хозяин сам будет менять батарейки. Но установка технических устройств сопряжена с немалыми рисками, тем более что большинство используемых при шпионаже средств запрещены законом.
Если у компании появились подозрения, что разговоры кто-то подслушивает, есть смысл пригласить профессионалов со специальной аппаратурой, которые проверят офис. Если что-то действительно удалось найти, важно установить, кто заинтересован в установке средств слежения и потенциально мог их занести. И проверить собственный персонал.
Есть еще одна деталь. Когда
| вы провели комплексную проверку здания и выявили жучки и камеры, важно правильно организовать защиту на будущее и сделать ее непрерывной. Если вы потеряете контроль над ситуацией хотя бы на полчаса, считайте, что все пошло насмарку, ведь за это время заинтересованные лица вполне могли установить новые устройства слежения. |
Александр Московкин
Все
Комментарии