Шпионский бизнес: что грозит тем, кто ворует коммерческие секреты?

Секрет фирмы

Коммерческий шпионаж — явление не новое. как ему противостоять в современных реалиях и не стать жертвой хакерской атаки и офисных лазутчиков?


Шпионские саги разворачиваются не только на киностудиях. Свежий пример — очередной скандал вокруг компании Uber. Бывший сотрудник обвинил ее в промышленном шпионаже — мол, руководители этого интернет-гиганта поручали проводить хакерские атаки против конкурентов, прослушивать телефоны и вербовать информаторов в других компаниях. Проблема утечек ценной информации не нова и для наших бизнесменов. Но обычно такие истории не придаются огласке, оставаясь головной болью руководителя или сотрудников службы безопасности. Лишь в конце прошлого года у нас впервые был вынесен приговор по делу о коммерческом шпионаже. И как показал этот случай, наказать нерадивых работников вполне реально.

Рецепт на легкие деньги

Прецедент был создан в Бресте. В апреле с необычной просьбой к 41-летнему минчанину Максиму обратился приятель из России. Его интересовала технология производства смолы и рецептура краски для нанесения дорожной разметки, разработанные брестским предприятием, где раньше работал Максим. Информацию заказчик оценил в 1 миллион российских рублей (около 17,5 тысячи долларов). У безработного минчанина были трудности с деньгами, так что предложение показалось ему интересным. От бывших коллег остались контакты лишь 48-летнего брестчанина Асана — к нему и обратился. Тот поддержал идею и встретился с технологом предприятия. Но женщина наотрез отказалась помогать. Зато откликнулся замначальника одного из цехов предприятия. Встретились, обсудили условия сотрудничества — за ценную информацию мужчины обещали заплатить 5 тысяч долларов. Вот только честный сотрудник сообщил о разговоре директору предприятия. В дело вмешалась милиция — Максима и Асана задержали при передаче 2,5 тысячи долларов.

На суде они полностью признали вину. Уверяли: не думали, что совершают преступление. К примеру, Асан полагал, что максимальное наказание, которое ему светит, — увольнение. Подельникам назначили наказание в виде ограничения свободы на два года, отбывать которое они будут по месту жительства, а также штраф 9,2 тысячи рублей.

История мало похожа на сюжет голливудского фильма. Ни тебе жучков, ни компьютерных взломов. Однако шпионская мишура совсем необязательна для того, чтобы нанести фирме весьма солидный ущерб.

Информаторы из сети

Легко ли найти лазутчика, который раздобудет секрет фирмы? За ответом отправляюсь на просторы интернета. Путь оказался не из простых — никто не дает объявлений о помощи в раскрытии тайн конкурентов. Зато нахожу несколько контактов частных детективов. Как правило, они предлагают проверить верность второй половинки, проследить, не попал ли в плохую компанию ребенок и тому подобное. Некоторые не гнушаются и тем, чтобы “прощупать” бизнес-партнера — они-то мне и нужны! Рассылаю несколько писем по электронной почте, дескать, нужно раздобыть информацию о фирме. Менее чем через час получаю ответ: сыщик просит конкретизировать: какая информация нужна и где находится жертва. Закинуть удочку решаю на вполне посильные задачи — информация об учредителях и условиях внешнеторговых контрактов отечественной фирмы.

Ответ приходит быстро. Примерно 500 долларов — и дело будет сделано. Как? Секреты работы детектив не раскрывает, но уверяет — методы исключительно законные. 



Подступиться к раскрытию секретов фирмы можно и с иного фланга: множество ценной информации хранится на компьютерах. Немудрено, что интернет пестрит объявлениями от хакеров. Предлагают взлом корпоративной почты, сайта конкурентов, базы данных по интересующему бизнесу и даже удаленный доступ к серверу компании! Обращаюсь в одну из хакерских фирм — для начала нужно вскрыть ящик, а в перспективе — незаметно “покопаться” в компьютерах компании. Мне отвечает консультант:

— Взлом почты — 5000 российских рублей. Займет 4—6 часов. То же самое — по доступу к компьютеру.

Как-то дешево, да и условия сделки очень напоминают развод. Нужно внести полную предоплату — через гарант-сервис. Это якобы независимая структура, которая получает деньги от клиента и переводит исполнителю, но только после выполнения заказа. Однако как убедиться в том, что гарант и взломщик — не одно и то же лицо?

— Не хотите — не заказывайте. Работаем только на таких условиях...

Ищу более сговорчивые конторы. Вот, к примеру, за 150 долларов предлагают “положить” сайт конкурента, за 100—1000 долларов готовы раздобыть базы данных, а за 50—100 зеленых — взломать почту. Но везде — лишь по предоплате. Только с седьмой попытки удается найти умельца, готового взяться за дело с предварительным взносом всего 10%:

— По срокам не скажу. Можно и за пару часов, а можно и неделю ждать. Имейте в виду, после того как я пришлю доказательства, остальная оплата должна поступить не более чем через 24 часа.

Если деньги не придут, парень свяжется с компанией-жертвой и расскажет, что ему заказали взлом и он получил доступ к конфиденциальной информации. О финансовой выгоде взломщик не поясняет, но, судя по всему, компанию ждет шантаж либо же за отдельную плату она получит сведения о заказчике атаки.

Впрочем, настоящие профи киберпреступного мира не оставляют свои контакты для поиска в Google. Они обитают на закрытых форумах или в сети Tor — скрытой части интернета, куда попасть не так просто. Здесь есть специализированные сайты, где хакеры принимают заказы. По словам специалистов, услуги по организации атак на предприятия сейчас в топе.

Извилистые русла утечки информации

О том, насколько часто наши предприятия сталкиваются с утечкой информации, можно лишь гадать. Официальная статистика такова: за последние 10 лет брестская история — первое уголовное дело, касающееся коммерческого шпионажа. Начальник 6-го управления (по Брестской области) Главного управления по борьбе с организованной преступностью и коррупцией Александр Лаврукович рассказывает:

— Мы изучали практику возбуждения уголовных дел. Такие ситуации имели место и в Минске, и в областных центрах. Но принимались решения об отказе в возбуждении уголовного дела, поскольку на предприятиях не соблюдался режим коммерческой тайны. Этот вопрос лежит в плоскости правовой неграмотности. В свою очередь брестская компания озаботилась тем, чтобы правильно защитить свой продукт.

Тем не менее в бизнес-кругах известны разные случаи. К примеру, в небольшой минской компании-поставщике инженерного оборудования завелся шпион. Сотрудники работали в специальной программе, куда вносилось множество ценных сведений. В системе появился неопознанный абонент — заметили его лишь через три месяца. Оказалось, информацию просматривал бывший сотрудник.

Был и такой случай. Компания оказывала услуги бизнесу по проведению корпоративных мероприятий. Большая клиентская база, где ценны не столько сделки, сколько контактные лица и пометки про компании — дни рождения, праздники, интересы. Сотрудник достаточно высокого статуса, когда увольнялся, сделал выгрузку всей этой базы, после чего пытался продать ее на рынке.

Отдельная тема — защита цифровой информации. Александр Сушко, эксперт по информационной безопасности, говорит, что ежегодно у нас регистрируется около 100 киберпреступлений, где жертвы — юридические лица. Злоумышленники получают удаленный доступ к компьютерам, сканируют их на уязвимости, внедряют вредоносные программы. Цель — получить несанкционированный доступ к заинтересовавшему их компьютеру. Потом они осматривают, что в нем содержится, выбирают нужные сведения. Так, например, можно прочитать переписку или похитить информацию.

— Был случай, когда злоумышленник получил данные о хозяйственной деятельности предприятия — договоры, соглашения. За то, чтобы информация не была предана огласке, вымогал у фирмы деньги, — вспоминает Александр Сушко. — Другой пример — киберпреступник нашел уязвимости в компьютерной системе предприятия и получил логины и пароли. Потом просил подарить ему мобильный телефон, чтобы он никуда не выложил эти данные.

Еще история. Студент минского вуза создал программу-шпион, от которой пострадало более 400 физлиц и около 10 предприятий. Все данные, вводившиеся в компьютер, отсылались парню на удаленный сервер.

— Примечательный факт: о шпионском проникновении в фирмах узнали лишь после того как к ним пришли представители правоохранительных органов. Это одна из особенностей таких преступлений: то, что кто-то ворует информацию, может очень долго оставаться незамеченным, — констатирует эксперт.

За семью печатями

И все же сегодня у нас есть вполне конкретные требования законодательства в отношении защиты информации. Пока их соблюдают далеко не все бизнесмены, а осознают ошибку лишь после того, как их оставили с носом. Адвокат АБ “Сысуев, Бондарь, Храпуцкий СБХ” Владимир Парахневич рассказывает:

— В моей практике был случай, когда конкурент переманил всех работников фирмы, а они, уходя, в придачу забрали базу данных. Это реальная ситуация, которая довела предприятие до предбанкротного состояния. В целом нередки случаи, когда бывшие сотрудники уносят базу данных клиентов. Потом пострадавшие компании обращаются к нам с вопросом — можно ли привлечь к ответственности за такие действия? Здесь важно, был ли установлен режим коммерческой тайны в отношении этой базы данных и соответствует ли она требованиям, которые предъявляются законом к таким сведениям.

— Судя по количеству уголовных дел, привлечь к ответственности за разглашение подобной информации — задача со звездочкой. Почему так?

— Любая коммерческая тайна должна быть надлежащим образом защищена — как минимум так, как предусмотрено Законом “О коммерческой тайне”. К нам зачастую обращаются клиенты с просьбой разработать положение о коммерческой тайне. Но, чтобы информация охранялась с точки зрения закона и можно было привлечь за ее раскрытие к ответственности, должна быть обеспечена не только “бумажная”, но и реальная защита этих сведений. Даже если база данных клиентов представляет коммерческую ценность, но собственник не принял надлежащих мер по ее защите, требовать наказания для виновных бесполезно.

— Легко ли определить, какую информацию нужно защищать?

— Основные требования к коммерческой тайне три. Первое — эта информация не может быть общеизвестной и доступной другим лицам, которые имеют дело с подобного рода сведениями. Часто задается вопрос: а являются ли таковыми сведения о размере заработной платы? Полагаю, нет. Можно, например, открыть сайт по трудоустройству — многие наниматели указывают предлагаемую зарплату.

Второе — информация должна иметь коммерческую ценность в силу неизвестности третьим лицам. Например, сведения о планах выпуска и о выведении на рынок товаров, работ, услуг. 

Третье — сведения должны приносить коммерческую выгоду: увеличивать доходы, сокращать расходы, поддерживать положение на рынке.

— Каковы здесь основные ошибки наших предприятий? Где есть недоработки?

— Первая ошибка, самая большая — у многих нет даже положения о коммерческой тайне, иного документального оформления. А тогда извините! Вы даже не утвердили документ, почему закон должен вас защищать?

Необходимо вести учет лиц, получивших доступ к коммерческой тайне. Если компьютер содержит ценные сведения, а на нем работает 8 человек, о какой защите информации речь? Далее — в трудовых контрактах, должностных инструкциях нужно указать, что в обязанности работника входят и вопросы работы с коммерческой тайной. Подписывается обязательство о неразглашении коммерческой тайны. Этот момент тоже зачастую не исполняется — текучка кадров. Еще важно в обязательстве предусматривать не только возмещение убытков, причиненных разглашением тайны, но и твердую сумму штрафа. Ведь главное — компенсировать убытки. А здесь есть проблема — их размер нужно доказать, но подсчитать убытки зачастую практически невозможно.

Также надо определить работников, ответственных за принятие мер по сохранности конфиденциальности этих сведений. Маленькому предприятию необязательно организовывать целую службу, однако нужен хотя бы один такой специалист.

— Допустим, все это соблюдено. Сотрудник все подписал и со всем ознакомлен, но в итоге раскрывает коммерческую тайну. Что ему грозит?

— Во-первых, это основание для прекращения с этим работником трудовых отношений. Во-вторых, может возникать или административная, или уголовная ответственность за разглашение коммерческой тайны, при этом ее не следует путать с коммерческим шпионажем. Допустим, работник в ресторане в неформальной беседе с конкурентами осознанно выдает секреты фирмы, зная, что наниматель на это согласие не давал.  Это разглашение коммерческой тайны, при этом если ущерба для владельца нет или он до 250 базовых величин — административное правонарушение. А вот если ущерб более 250 базовых величин — преступление с наказанием до 3 лет лишения свободы.

В случае коммерческого шпионажа происходит или похищение, или сбор незаконным способом сведений, которые составляют коммерческую тайну, и это происходит с конкретной целью — разглашения или незаконного использования этой тайны, например, тем же конкурентом. Пока в адвокатской практике это редкий случай, но сейчас, когда началось широкое правовое просвещение нанимателей, возможно, их число будет увеличиваться, ведь такое явление объективно существует.

Принять как данные

Отправляясь на беседу с заведующим кафедрой защиты информации БГУИР профессором Тимофеем Борботько, ожидаю услышать рассказ о новейших разработках, которые позволяют обезопаситься от шпионов и излишне болтливых сотрудников. Но Тимофей Валентинович охлаждает мой пыл — техника не всегда обеспечивает должный уровень защиты:

— В любой технической системе всегда присутствует человек. Даже из самых надежных систем все равно утаскивают сведения. Вспомнить проект “Манхэттен” — программу США по разработке ядерного оружия 1940-х годов. Объект вынесли в местность, где людей нет вообще. Система контроля очень серьезная. И все равно в итоге сыграл человеческий фактор. Информацию украли сотрудники, которые там работали. Так что здесь речь идет о системе мер. Нужно знать, кого можно допустить к информации, а кого нет. Необходимы организационные мероприятия, работа с персоналом.

Эксперт объясняет — сегодня у нас накопилось немало вопросов, связанных с надлежащей защитой сведений. Однако подобные проблемы есть во всем мире:

— К примеру, несколько лет назад в Лондоне провели исследование, в ходе которого выяснилось, что 44% коммерческих структур выбрасывают документы, содержащие конфиденциальную информацию, без соблюдения предосторожностей. В итоге фирмы оштрафовали на 790 тысяч долларов. Иными словами, пока утечка информации не приведет к убыткам, к ее защите зачастую относятся несерьезно.

Тем временем угроз меньше не становится. А по мере приближения светлого цифрового будущего появляются все новые. Александр Сушко приводит цифру: ежегодно количество киберпреступлений в нашей стране увеличивается на 20—30%:

— Каждое предприятие должно разрабатывать политику цифровой безопасности. Более того, важно поднимать этот вопрос на государственном уровне. Сегодня мы заинтересованы в создании единой стратегии информационной безопасности страны. И компании, обеспечивающие цифровую безопасность, уже участвуют в ее разработке.

Обеспечить 100%-ю защиту информации невозможно. Но снизить риски — вполне реально. И это важно, ведь двигать экономику вперед может только честная конкуренция. А это выгодно всем.

Разведка — еще не шпионаж

Словосочетание “конкурентная разведка” многих приводит в замешательство. Уж не то ли это самое, что и промышленный шпионаж? Схожие черты есть, но при этом и разительное отличие — “разведчики” добывают информацию о конкурентах лишь законными методами. Вот только секреты иногда лежат на поверхности, говорит член Сообщества Практиков Конкурентной Разведки Савелий Семеркин:

— Проблемы в духе “кто-то скопировал клиентскую базу” — это налог на разгильдяйство. У хорошего хозяина такое не стащишь. У нас в этом плане детский сад. Но в серьезных компаниях все организовано на должном уровне и там такого не происходит. Вообще, нужно понимать: одно дело, если мы что-то похищаем, за это положена уголовная ответственность. А другое — если мы открыли сайт конкурента, а там можно найти документы Word и Excel с целой кучей секретов — простите, вы сами дали доступ.

— У нас есть спрос на услуги конкурентных разведчиков?

— Спрос есть, но он какой-то неправильный. Все сводится к “не могли бы вы мне добыть клиентскую базу моего конкурента”. Для многих понятия “конкурентная разведка” и “промышленный шпионаж” — одно и то же. Да и предложение у нас невелико. Есть люди, которые работают на крупных фирмах, но они это не афишируют. Такие отделы обычно засекречены — лишний интерес здесь никому не нужен.

Топ-3 громких случаев корпоративной “бондианы”

Шинный скандал

В июне 2016 года финский производитель шин Nokian Tyres обвинил 10 бывших сотрудников в промышленном шпионаже и разглашении коммерческой тайны. Корпоративные секреты были связаны с производством шин на заводе в российском Всеволожске в 2011—2012 годах. Концерн оценил ущерб в 6 млн евро.

Военные тайны

В прошлом году в США судили гражданина Китая, проработавшего семь лет в компании United Technologies Research Center старшим инженером. Он занимался проектами, связанными с двигателями для истребителей ВВС США, а в 2014 году вернулся в Китай, захватив украденный внешний винчестер с ценной информацией.

Гонка технологий

В прошлом году Tesla Motors подала в суд на одного из своих бывших топ-менеджеров, руководившего программой по созданию системы автопилота. Его заподозрили в попытке переманить более десяти сотрудников в конкурирующую фирму. Кроме того, экс-работника обвинили в краже технологических секретов — сотнях гигабайт конфиденциальной и служебной информации.

gavrusheva@sb.by
Полная перепечатка текста и фотографий запрещена. Частичное цитирование разрешено при наличии гиперссылки.
Заметили ошибку? Пожалуйста, выделите её и нажмите Ctrl+Enter