Угрозы для IT-бизнеса
Внутренние риски
Исследования показывают тревожную статистику: 55% сотрудников IT-компаний совершали общие служебные нарушения, а 49% причастны к воровству. Это значит, что половина персонала несёт потенциальную угрозу для безопасности данных.
Сотрудники IT-компаний имеют доступ к критически важной информации. Они могут легко скопировать исходный код, передать базы данных клиентов или поделиться алгоритмами с конкурентами. Именно сотрудники были и остаются основным каналом утечки информации. Особенно люди на руководящих и ответственных позициях.
Специфические угрозы IT-сферы
IT-компании сталкиваются с уникальными рисками безопасности:
- Кража исходного кода программных продуктов;
- Передача технологических решений и ноу-хау конкурентам;
- Утечка персональных данных пользователей и клиентов;
- Незаконное копирование баз данных;
- Промышленный шпионаж в области разработки.
Важный факт: Финансовые и технологические потери из-за слива конфиденциальных данных компании, в т.ч. доступов, ноу-хау и готового кода информационных продуктов могут привести к банкротству даже успешного бизнеса.
Полиграф как инструмент защиты
Преимущества полиграфических проверок
Детектор лжи становится эффективным инструментом обеспечения безопасности IT-компаний. Единственный способ проверить их благонадежность — предварительное тестирование на полиграфе.
Проверки на полиграфе помогают решить несколько ключевых задач:
- Выявление неблагонадежных кандидатов на этапе найма;
- Предотвращение утечки конфиденциальной информации;
- Обнаружение связей с конкурентами или криминальными структурами;
- Проверка достоверности данных в резюме.
Типичные нарушения в IT-сфере
Чаще всего желающие пополнить ряды ИТ-сферы, джуны и мидлы в процессе прохождения полиграфа попадаются на таких моментах:
- фактический уровень знаний (программирования, английского, пользование спец. программами),
- искажение опыта работы,
- сокрытие конфликтов с предыдущими работодателями.
Опытные специалисты и руководители обычно попадаются на других нарушениях — финансовых махинациях, связях с конкурентами, планах по увольнению с кражей конфиденциальных данных.
Методы промышленного шпионажа в IT
Внедрение агентов
Конкуренты могут целенаправленно трудоустроить своего сотрудника, чтобы получить доступ к вашим конфиденциальным данным. Такие «агенты» устраиваются на работу с единственной целью — получить доступ к секретной информации и передать её заказчикам.
Промышленные шпионы используют разнообразные методы:
- Подкуп действующих сотрудников;
- Шантаж с использованием компрометирующих материалов;
- Трудоустройство под легендой;
- Похищение носителей информации.
Технические способы кражи данных
Скопировать информацию на внешние носители; извлечь данные из ПК других сотрудников; установить вредоносное ПО для копирования, передачи или отслеживания данных; сфотографировать изображение на мониторе компьютера — лишь часть технических методов, которые используют злоумышленники.
Реальный случай: Бухгалтер Facebook оставил винчестер с личными данными 29 тысяч сотрудников компании в салоне своего авто. В результате данные были украдены. Этот пример показывает, как халатность может привести к серьёзным последствиям.
Защита интеллектуальной собственности
Правовые механизмы
Бизнес должен быть защищен от нарушений со стороны третьих лиц. А оформление интеллектуальной собственности влияет на стоимость компании и на налоговое структурирование. Правильное юридическое оформление — первый шаг в защите IT-активов.
Ключевые элементы правовой защиты:
- Регистрация авторских прав на программное обеспечение;
- Оформление патентов на уникальные алгоритмы;
- Защита товарных знаков и брендов;
- Депонирование исходного кода.
Контрактные обязательства
Составление и подписание соглашения о неразглашение конфиденциальной информации (NDA) с каждым из сотрудников, клиентов, инвесторов, поставщиков, подрядчиков, контрагентов — обязательная мера защиты.
Соглашения о неразглашении должны подписывать все, кто может получить доступ к конфиденциальной информации, включая стажёров и посетителей офиса.
Комплексный подход к безопасности
Технические меры
Современные IT-компании внедряют многоуровневые системы защиты:
- Контроль доступа к критически важным данным;
- Мониторинг сетевого трафика и действий пользователей;
- Блокировка USB-портов и внешних накопителей;
- Шифрование конфиденциальной информации.
Кадровая политика
Проводить эффективную кадровую политику в организации. Вести продуманный отбор кадров с учетом проверки послужного списка кандидата, его репутации. При подборе сотрудников уделять повышенное внимание на управляющие должности, использовать средства технической проверки надежности персонала вроде полиграфа.
Эффективная кадровая политика включает:
- Тщательную проверку кандидатов на этапе найма;
- Регулярные полиграфические обследования ключевых сотрудников;
- Обучение персонала основам информационной безопасности;
- Создание мотивационных программ для предотвращения оттока кадров.
Практическое применение полиграфа
Процедура проверки
Только за период 2016-17 гг. проверку на «детекторе лжи» в компании HR-SECURITY прошло более 2500 человек, из них более 200 — в IT-сфере. Опыт показывает высокую эффективность метода.
Полиграфические проверки в IT-компаниях охватывают:
- Проверку мотивов трудоустройства;
- Выявление связей с конкурентами;
- Контроль отсутствия планов по краже информации;
- Проверку на наркотическую и алкогольную зависимость.
Периодичность обследований
Периодические проверки сотрудников на полиграфе (раз в 6-18 месяцев) — отлично дисциплинируют коллектив и становятся своего рода профилактикой неприятных ситуаций.
Регулярные проверки создают культуру безопасности в коллективе и предотвращают большинство нарушений.
Правовые аспекты и ответственность
Законодательные рамки
Прохождение детектора лжи при приеме на работу можно выделить особо. Стоимость подбора сотрудника высока, а потому оценить все риски на этапе знакомства с кандидатом критически важно.
Проверки на полиграфе должны проводиться с соблюдением трудового законодательства и с письменного согласия сотрудника.
Ответственность за промышленный шпионаж
Незаконный сбор конфиденциальной информации наказывается штрафом в размере до 500 тыс. рублей или лишением свободы на срок до 2 лет. За более серьёзные нарушения предусмотрены ещё более строгие наказания.
Защита интеллектуальной собственности в IT-компаниях требует системного подхода, сочетающего правовые, технические и кадровые меры безопасности. Полиграфические проверки становятся важным элементом этой системы, помогая предотвратить утечки конфиденциальной информации и сохранить конкурентные преимущества компании. Инвестиции в безопасность сегодня — это гарантия успешного развития IT-бизнеса завтра.