Владимир Наймарк, офицер информационной безопасности региона Центральной и Восточной Европы компании PWC
Проблема вербовки IT-специалистов, в том числе и иностранными службами разведки, не новая. Может быть, она сейчас стала более публичной в связи с усилением противостояния России и Запада. Эта проблема всегда была и в коммерческом, и в государственном секторе. Говорить о том, что произошло усиление угрозы, я бы не стал. Но жизнь действительно смещается постепенно в виртуальный мир. Возможность влияния на жизнь человека, жизнь государства через виртуальную реальность увеличивается. Соответственно, постепенно угроза вербовки российских IT-специалистов растёт. Она не новая, просто про неё стали больше писать и говорить. Люди, которые не имеют прямого отношения к данной сфере, узнают о ней больше, так как появилось больше статей на эту тему.
Если смотреть на любые консалтинговые компании, предоставляющие профессиональный сервис, то «секретная информация» — это любая информация, принадлежащая клиенту, потому что клиенты доверяют им большое количество чувствительной информации. А далее не вижу смысла дифференцировать, утечка какой именно информации может подорвать бизнес. Это большого значения не имеет, потому что любая утечка о клиентах в бизнес-сфере — это серьёзный удар по репутации компании, которой были доверены эти данные.
Завербованный IT-специалист приходит в компанию уже с опредёленной целью. Иногда его можно вычленить, а иногда нельзя. Гарантировать на 100 %, что такого человека можно узнать по определённым маркерам, тоже нельзя. Имеет смысл проверять его прошлое: в каких компаниях работал, по каким причинам уходил. С другой стороны, наше законодательство не позволяет в полной мере проводить проверку. Следует обратиться к предыдущему работодателю.
Существует практика переманивания сотрудников, которые могут принести нужную информацию. Я же советую дважды подумать, стоит ли такого человека брать, потому что он так же может унести информацию из вашей компании следующему работодателю. Он уже привык работать таким образом. Я бы не нанимал человека, который предлагает информацию о прошлом работодателе.
«Крот» может появиться везде и всегда
Нет таких IT-специалистов, про которых мы можем сказать с уверенностью на все сто процентов: «Вот его завербовать точно невозможно!» В сфере безопасности нельзя утверждать, что какой-то риск не может реализоваться. Никогда не скажу: этого человека невозможно завербовать. Этот подход с точки зрения безопасности неправильный. Надо всегда подозревать, что завербовать можно кого угодно. И исходить из-за этого.
Не стоит из IT-специалиста делать абсолютно уникального: у любого человека должен быть заместитель, который во время отсутствия старшего выполняет его обязанности. Важно, чтобы за одной сферой смотрели два человека. И не нужно ничего делать для того, чтобы они следили друг за другом. Достаточно, чтобы они оба выполняли одни и те же обязанности. В этом случае одному сделать что-то против компании будет сложнее. Тем не менее, всё равно это возможно.
Системы мониторинга и отслеживания происходящего в критических информационных ресурсах важны. Я не очень большой сторонник устанавливать на все компьютеры программы, которые отслеживают каждое действие сотрудников. Ресурсное обслуживание этих программ должно быть большим: не все компании могут этим ресурсом обладать. И не для всех компаний это целесообразно. Если это компания, которая владеет секретами производства, то имеет смысл налаживать жёсткий контроль работы IT-специалистов. Не имеет смысла следить за каждым шагом подчинённых, когда количество сотрудников большое. В этом случае надо защищать ключевые точки. Но профессиональные шпионы проникнут везде, даже на ядерные объекты.
Бойтесь нелояльных сотрудников!
«Слабые места» в любой компании, через которые может происходить утечка информации, — это недовольные сотрудники. Во вторую очередь — это люди с высокой квалификацией, которые долго сидят на одном и том же месте, которым уже надоело и хочётся чего-то нового. Такие IT-специалисты не чувствуют своего развития. Им кажется, что компания не уделяет им должного внимания. Итак, высококвалифицированные и недовольные IT-сотрудники — вот те потенциальные шпионы, которые могут увести коммерчески важную информацию. На мой взгляд, если компания хочет себя защитить, снизить риски в области вербовки IT-специалистов, то имеет смысл проводить программу, которая показывает сотрудникам, что компания о них заботится, в них нуждается, интересуется ими. IT-специалистов нельзя оставлять без внимания. Если они чувствуют, что компания уделяет им внимание, то они будут более лояльными.
Обычное, но проверенное средство, позволяющее минимизировать возможности утечки информации, — это повышение лояльности сотрудников. Рынок технических средств, которые позволяют защититься от случайных утечек, достаточно развит. Система контроля доступа, контроля утечек информации, обучение сотрудников, понятная программа наказаний за совершенные деяния, преследование сотрудников, в том числе и уголовное, если сотрудник нарушает какое-то законодательство, связанное с защитой информации — весь этот комплекс мер позволит обеспечить некий фильтр на входе.
Ряд российских банков как-то «оптом» перекупили команды разработчиков
новых продуктов. Если люди покупаются вами и идут к вам работать исключительно за деньги, то они совершенно спокойно уйдут на другое место, где им предложат доход выше. Это нормальная практика. Когда команде по каким-то причинам становится лучше работать в другой компании, это тоже нормальная практика. И это не значит, что, уходя, они предварительно украдут важную информацию с предыдущего места работы. Отлично, если компания, которая переманила к себе этих разработчиков, имеет долгосрочный план на них. И собирается долгое время использовать их труд. Но если они говорили о длительном сотрудничестве, а на самом деле не знают, что с ними делать, то здесь возникает риск, что люди захотят совершить противоправные действия — отомстить недальновидному работодателю. Пока человек заинтересован в работе в этой компании, то существует сдерживающий фактор. Если IT-специалист перестаёт быть заинтересованным, то начинаются проблемы. Тут все зависит от отношения человека к компании, от его этических норм. Если компания сманивает сотрудников, она должна быть готова постоянно поддерживать приманку.
Крупные компании могут позволить себе приглашение в штат ветеранов
спецслужб для защиты информации. Руководству следует ответить на следующие вопросы: «Как компания позиционирует себя по отношению к нему? И какая у этого человека роль в компании?». Такой сотрудник не должен выполнять «декоративные» функции, он не должен быть недогружен работой, тогда и не будет возникать дополнительных рисков — человека будут ценить и уважать как любого другого.
Полностью IT-специалист раскрывается через полгода
Идеальный вариант сбора информации о приходящем к вам IT-специалисте — через людей, которым сам доверяешь, постараться узнать об этом человеке. Хотя в сфере безопасности круг людей, через которых можно собрать интересующую вас информацию, достаточно узок, о человеке всегда можно что-то узнать. Не просто прошу кандидата принести рекомендации, а через бывших работодателей выясняю, как он проявлял себя, какие о нем отзывы. Я не стараюсь специально отслеживать несоответствия в биографии кандидата. И особо людей не подозреваю.
Второе: не доверяйте людям, которые хотят принести вам секреты от прошлого работодателя, чтобы продать себя. Это неправильная тактика, хотя этим многие пользуются. И пока есть такая порочная практика, существуют и повышенные риски утечки информации. Компаниям нужно самим думать, стоит ли нанимать сотрудников, которые приносят данные от прошлых работодателей.
Соцсети — интересный и перспективный ресурс для поиска информации. В том числе там же можно проверить несоответствие фактов биографии кандидата. Но я пока не уверен, что имеет смысл на сто процентов опираться на информацию, полученную из соцсетей. Люди на работе и в жизни — разные. Если мы видим негативную информацию о человеке в соцсетях (например, его фотографии в нетрезвом виде, множество фотографий с различных праздников), то откидывать его сразу не стоит. Человек на отдыхе и человек в работе — это разные люди. На что я бы обратил внимание, так это на увлечения, которые близки его профессиональной деятельности. Если IT-специалист лично для себя увлекается чем-то, что связано с его работой, я бы проверил, хотя бы в рамках тестового периода, как он соблюдает корпоративную политику в компании —внедрённые там правила, насколько он им лоялен. Если я знаю, что IT-специалист в свободное время активно увлекается хакерскими делами, он может проверить ради интереса свои навыки и в рабочей сети. Компании это явно не нужно!
Если были какие-то инциденты, меня это явно насторожит. Например, я узнаю, что он «сливал» информацию конкурентам. Дальше уже можно не разговаривать. Это полностью останавливает. Общий настораживающий фактор — частая смена работы. Когда человек часто уходил с конфликтами. Но это может быть вообще не связано с безопасностью. Это говорит о личностных качествах человека.
Если вам попадется профессиональный хакер, никаких настораживающих факторов не будет. Он ничем никого не будет настораживать — на то он и профессионал. Если перед нами просто не очень надёжный сотрудник, то настораживающие факторы будут носить общий характер.
В начале работы я не даю человеку много привилегий и прав. Ошибкой будет, если вы сразу дадите широкие права во всех сферах новому сотруднику, пришедшему в IT-отдел или в службу безопасности. Надо внимательно смотреть на нового сотрудника и постепенно расширять его доступ к информации. Полностью понять человека на интервью невозможно. Чтобы человек проявил себя, раскрылся, понадобится 3-6 месяцев.
Если я замечу во время собеседования, что кандидат по своей природе авантюрист, склонен к приключениям, новым ощущениям, эмоциям, всегда за всё новое, — я всё равно не отвернусь от него. Для меня это не показатель того, что он будет ещё и мошенником. Я смотрю, что человек делает по факту. Если по профессиональным и личным качествам он подходит, нет плохих отзывов и подозрений, то почему бы его не взять. По личным качествам можно проверить человека только потом, когда он уже будет работать в компании. Сразу он не получит расширенных прав и постепенно будет входить в дело.
Не факт, что IT-специалист сразу же придёт в компанию с определёнными негативными намерениями. Неблагонадёжный сотрудник для меня — это тот, кто занимается не тем, чем он должен заниматься по своей работе. Руководитель должен хорошо знать, чем занимается его подчинённый. Не в данный конкретный момент, а какими проектами он управляет, какие сроки у этих проектов, чем загружено его время. Если руководитель не контролирует эти моменты, риски повышаются.
При найме IT-специалиста изначально необходимо подписание соглашения о неразглашении коммерчески важной информации. И письменное подтверждение того, что человек ознакомился с данной информацией и согласен соблюдать эти правила. Затем стоит регулярно переподписывать этот документ. На что это влияет? Достаточно опытный человек понимает, что его попросят подписать такие бумаги в любой крупной компании. Если у него есть намерения нарушить эти правила, то подписание этих документов ни на что особо не влияет. Такие люди не очень боятся увольнения, но они видят, что компания следит за их действиями. Им важно знать, что компания отслеживает их. Это лишь регулярная демонстрация серьёзного отношения компании к инцидентам, связанным с вопросами безопасности. Если человек серьёзно нарушит политику компании, то его уволят. Для многих подписание таких бумаг станет дополнительным останавливающим фактором. Но есть категория людей, которых и подписание документов не остановит.
Расставаться нужно так, чтобы хотелось вернуться
Увольнение «топов». Это забота оставшихся «топов»: как они организуют расставание со своим коллегой. Никакие компенсации не спасут, если человек намерен вынести информацию. И он даже пойдёт в другой бизнес на основе этой информации. Но всё-таки компании следует соблюдать для репутации уважительное отношение к сотрудникам — как к увольняющимся, так и к увольняемым. Таким образом, у IT-специалиста будут определённые сдерживающие моральные принципы. И он будет беспокоиться о последствиях нарушения данных принципов. Если для увольняющегося или уволенного по тем или иным причинам дорога его репутация в этой компании и среди людей, с которыми он общался, то вероятность противозаконных действий снижается. Ещё лучше, если он одновременно понимает, что за серьёзное нарушение законодательства компания будет его преследовать.
Когда прекращается контракт с конкретной компанией, человек волен работать там, где захочет. Эти обязательства существенной законной силы не имеют. Подписание таких документов можно рассматривать лишь с точки зрения сдерживающих моральных факторов, но это зависит от отношения человека к компании. Он будет вспоминать, что компания сделала для него. И стоит ли ему также отплачивать взаимностью. Я, скорее, сторонник того, что с любым сотрудников надо расставаться в положительном ключе. Лучше расстаться так, чтобы он мог вернуться, если захочет. Или же компания захочет его обратно пригласить, что у нас случается достаточно часто. Уходящие сотрудники потом часто возвращаются к нам. И «топы» в том числе. А как IT-специалист вернётся, если его сначала посадили на неважный проект, а потом заставили подписать бумагу, что он не должен работать на этом рынке? Это сомнительное мероприятие с точки зрения стратегической защиты информации.
Беседовал Владислав Лапинский
Справка о компании. Компания PwC представлена сетью фирм в 157 странах с более чем 184 000 сотрудников. Компания предоставляет услуги в области аудита, консалтинга, налогообложения и др. Штат сотрудников в регионе Центральной и Восточной Европы — более 7 000 человек. Сайт компании http://www.pwc.com