Как понять, что вашего «айтишника» УЖЕ завербовали?
Факторов очень много, например: несоразмерно доходам улучшилось благосостояние (вещи, машина, недвижимость); стал замкнутым или появились признаки паранойи, что за ним следят; по журналам информационных систем видно, что всё чаще происходит доступ к информации, к которой доступ не требуется и не вызван рабочими задачами; слухи.
Можно ли брать в штат только таких, кого невозможно завербовать? А кого невозможно завербовать?
С момента трудоустройства у сотрудника может измениться ситуация в жизни, после чего ранее преданный работник может оказаться «кротом».
Помимо человеческих качеств, лучшим «противовербовочным» средством является цена потери работы для сотрудника: чем она выше, тем преданнее он будет. Цена — не обязательно деньги, это может быть репутация, социальная составляющая и т. д.
Как? Кто они? Где водятся? Как проверяются?
Каждый случай индивидуален, найти такого сотрудника можно по рекомендации, по его репутации или воспитать самим.
Более того, будучи «кротом» в одной компании, он может оказаться преданным в другой.
Какие «слабые места» могут быть у «айтишников»?
Например, из-за несоответствия уровня доступа к секретной информации их мотивации на преданность (положение, репутация, признание, уважение, материальная составляющая) они становятся «лёгкой добычей» для вербовщиков, так как их просто не замечают и они предоставлены сами себе.
Как эти слабые места скрыть или «залатать»?
Надо работать над мотивацией.
Как храните секретную информацию?
Технология хранения секретной информации практически у всех одинакова: от бумажных копий до цифровых носителей с различной степенью защищённости, как по физическому доступу, так и по уровню шифрования. Мы используем различные методы. Также нельзя забывать и про «живой» носитель — сотрудника.
А на чём базируется Ваша уверенность?
В вопросах безопасности уверенность граничит с самоуверенностью, поэтому я бы назвал это осознанным и оцененным риском. Мы рассчитываем вероятность события с учётом принятых мер защиты.
Можете вспомнить какие-то ситуации с российскими компаниями с утечкой информации, которая нанесла компании серьёзный ущерб?
Да, такие случаи были, но не хотелось бы лишний раз озвучивать эти компании. В Интернете таких событий описано достаточно.
А почему даже сама Английская разведка так печётся о бизнесе?
Есть бизнес, который работает на интересы государства, в том числе и национальной безопасности. Вполне естественно, что Заказчик охраняет своего Исполнителя.
Ранее обычно искали «кротов» в компании. Почему сейчас флюгер повернулся?
Поиск «кротов» внутри компании не прекращался никогда, также как и поиск угроз извне. Надо признать, что упор делался не на поиск потенциального «врага», а на защиту от самой угрозы проникновения к информации / материалам. Такой подход ресурсоёмок, так как требует универсальной защиты от всего. Проведя анализ и сузив круг потенциальных «врагов», мы можем более целенаправленно защищаться и действовать проактивно и конкретно.
Как обезопасить компанию от утечки важной информации при увольнении «топа»?
Если контракт был расторгнут не по инициативе «топа», то риск всегда есть, и нивелировать его можно юридическими договорённостями.
HRD одной из крупнейших мировых IT-компаний задал вопрос о том, как они берегут информацию о новых разработках при увольнении «топов». Ответ был таков: «Переводим на неважные проекты за год до увольнения и подписываем контракт о том, что «топ» не может ещё год после увольнения работать у конкурентов». А как поступаете Вы?
Я думаю, что перевод на неважные проекты достаточно сильно демотивирует «топа» и делает его уязвимым для вербовки. Что касается контракта о запрете работы у конкурентов, то в нашей стране, насколько я помню законодательство, это противозаконно, нельзя
ограничить свободу выбора и право человека на труд. В любом случае, запрет работы с конкурентом не запрещает просто передать этому лицу анонимно информацию.
Ряд российских банков как-то «оптом» перекупили команды разработчиков новых продуктов. Какие могут быть проблемы у тех кто «перекупает» (сманивает)?
Это допустимая практика, мы в некоторой мере делали то же самое. Риск один — с перекупаемой командой под «шумок» легко можно купить и «крота». Поэтому важно проанализировать личные и профессиональные данные и провести интервью с каждым членом перекупаемой команды.
Как обезопасить компанию от таких глобальных провалов, как потеря всей команды разработчиков?
Снова актуален вопрос мотивации и преданности, особенно лидера команды. Важно держать контакт с организатором подразделения, знать атмосферу в коллективе и предпринимать предупреждающие действия. В фокусе риска те команды, которые имеют цену на рынке или способны создать самостоятельный бизнес.
Крупные компании могут позволить себе приглашение в штат ветеранов спецслужб для защиты информации... Насколько они реально помогают?
Ветераны спецслужб — отличные аналитики. Их применение в оценке рисков может быть довольно эффективно, но не надо увлекаться, так как можно даже при незначительном для компании риске «угробить» огромные средства лишь потому, что в практике ветерана была «такая история».
А что бы Вы порекомендовали среднему и малому бизнесу в этом плане?
Как ни странно, но среднему и, особенно, малому бизнесу очень выгодно использовать облачные решения, так как в основном утечка информации у них происходит в силу банальной халатности при хранении важной и секретной информации на флешках, бумажных носителях, на ПК в открытом доступе. Стоимость среднего и малого бизнеса, как правило, такова, что он не интересен большим игрокам и нет смысла договариваться с представителями облачного сервиса о «сливе» информации.
Модное ныне видеонаблюдение многие злоумышленники уже научились обходить (в плане безопасности). Что бы Вы рекомендовали из не технических способов защиты информации?
Надо соблюдать требования к способу хранения и использования секретной информации. Во всех крупных компаниях такие требования есть, и на первой взгляд они чрезмерны, но их исполнение практически исключает возможность утечки. Для малого и среднего бизнеса эффективно также доведение до каждого сотрудника, имеющего доступ к секретной информации, простейших мер предосторожности. Это как с техникой безопасности: никакие технические средства не спасут водителя, если он будет грубо нарушать правила ПДД, например, выезжать на встречную полосу движения при ограниченной видимости и под запрещающий знак. Шанс, что он попадёт в аварию, резко возрастает.
«Биохимия», о которой часто говорят при подборе персонала, здесь срабатывает? Если да, то как?
Думаю, что при приёме на работу с помощью технологий можно косвенно определить потенциального «крота», коррупционера и так далее, но это не является прямым доказательством. Многие люди склонны к чему-то, но никогда этого не делают. Думаю, что при подборе на ключевые должности есть смысл исключать кандидатов даже с косвенными доказательствами, так как риск велик.
Как заметить в биографии кандидата несоответствия (без специальной проверки)?
Вы когда-нибудь проходили длинные психологические тесты, замечали, как в них один и тот же вопрос задаётся несколько раз, но сформулирован он по-разному? Вот и в биографии могут быть подобные «ляпы», когда человек пытается что-то скрыть или наоборот, добавить.
Какие факты из биографии, места работы, связи в соцсетях... могут вас насторожить?
Слишком частая смена места работы, излишнее повествование событий из жизни в соцсетях, сухость биографии.
Какие «фишки» у кандидата (признаки): привычки, одежда, стиль, речь, физиогномика и так далее, могут быть сигналами надёжного в плане безопасности сотрудника?
По отдельности эти факторы мало что значат для меня. Проводя интервью с потенциальным кандидатом, я наблюдаю за всем: одежда, поведение, разговор и, больше всего, зрительный контакт. Именно последний фактор лично для меня является основным источником информации для принятия решения
*Артём Головатый, директор Центра информационных и коммуникационных технологий ОАО «КАМАЗ».
Беседовала
Татьяна Осипова, при участии Ягудина Марата зам. руководителя пресс-службы ОАО «КАМАЗ».
СПРАВКА
Артём Головатый начинал работать техником-программистом в Техническом колледже «КАМАЗа». Потом системный администратор ОАО «Автомеханический завод», помощник директора по техническому обеспечению ООО «Спарк». Был заместителем начальника отдела службы автоматизации производства ОАО «Завод ячеистых бетонов», начальником отдела информационных технологий ОАО «Камазтехобслуживание». Работал главным специалистом по автоматизации и информатизации ООО «Челны-Бройлер», занимал должность начальника управления ИТ ОАО «Алнас», начальника управления ИТ ООО «Инвэнт». С 2013 г. — директор Центра информационных и коммуникационных технологий ОАО «КАМАЗ».