1. ПРОМИСЛОВЕ ШПИГУНСТВО - ІСТОРІЯ ВИНИКНЕННЯ, РОЗВИТОК У СУЧАСНОМУ СУСПІЛЬСТВІ УКРАЇНИ

Після переходу до ринкових відносин у нас швидко засвоїли, що вивідуючи комерційні секрети, можна значно оптимізувати процес входження на ринок, потіснити конкурентів, раніше за інших вивести новий товар, заволодіти новими технологіями і значно зекономити час і гроші. Сучасні шпигуни у галузі бізнесу не дуже захоплюються класичними прийомами для збирання інформації про підприємство, яке їх цікавить. В умовах корупції легко визначити, наскільки захищена та чи інша фірма. Іноді достатньо одного шумного наїзду представників органів, які перевіряють з вилученням важливих документів. Як тільки таке трапляється, керівництво компанії залучає весь свій захисний потенціал, зокрема і внутрішні резерви та доступний адміністративний ресурс. У такій ситуації шпигунам не складно виявити покровителів підприємства: достатньо відстежити, кому телефонують (і що при цьому кажуть) стривожені керівники компанії, і зробити відповідні висновки. У другому турі можуть «накрити» конвертаційний центр, яким користується фірма, ініціювати нові перевірки з вилученням усього, що становить хоча б якусь цінність, опечатуванням складів і залякуванням контрагентів, аби ті перестали підтримувати ділові відносини з даним підприємством.

Однак силові методи можуть бути використані здебільшого проти тих компаній, які ведуть не дуже прозору бухгалтерію і не мають високих покровителів, здатних охолодити запал будь-яких перевіряльників. Щодо інших підприємств зацікавлені сторони змушені застосовувати витонченіші методи отримання конфіденційної інформації. Розвідники в один голос стверджують, що 70-80% інформації про обєкт, яка їх цікавить, можна отримати цілком законним способом, використовуючи відкриті джерела: газети, журнали та Інтернет, а також шляхом придбання і вивчення продукції конкурентів, під виглядом переговорів, за допомогою запитів і проведення різних досліджень, словом, усього того, що називається діловим моніторингом (докладніше про легальні способи отримання ділової інформації читайте в наступному номері Контрактів). Незважаючи на невичерпний ентузіазм у вивченні легальних джерел інформації, залишаються запитаними й інші методи збирання інформації, що потрапляють під визначення «промислове шпигунство», за яке передбачено карну відповідальність. Зокрема, ті, що передбачають несанкціоноване вторгнення в заборонені зони -- таємницю переговорів, листування, а також збирання інформації, яка охороняється законом, аж ніяк не в межах оперативно-розшукової діяльності. Найуразливіший канал незаконного вилучення конфіденційної інформації -- електронні носії. На думку експертів, 90% користувачів не мають захисту від несанкціонованого доступу в систему. Своєю чергою, 90% тих, хто намагається захиститися від віртуального злому, не можуть визначити, хто, скільки разів і з якою метою намагався отримати доступ до їхньої інформації. Здоровий глузд підказує, що локалізувати небезпеку можна шляхом установлення спеціальних захисних екранів і фільтрів на вході в локальну мережу. Найефективніше (але незручно) взагалі не підключати компютери з важливою інформацією ні до локальної, ні до глобальної мережі. Інформація, якою володіє персонал компанії, також стає легкою здобиччю шпигунів, особливо в тому випадку, якщо компанія поводиться некоректно щодо працівників та ігнорує заходи кадрової безпеки. Прослуховування телефонів, переговорів в офісі і придбання стенограм телефонних діалогів, записаних із санкції силових структур, застосовуються лише у разі гострої потреби з огляду на дорожнечу. Як розповіли фахівці у сфері безпеки бізнесу, дедалі більшого поширення дістають роздрук номерів абонентів, що викликаються, і встановлення місцезнаходження обєкта за сигналами його мобільного телефону. Незважаючи на скромний перелік основних методів збирання інформації, протистояти розвідникам або ж запобігти розвідувальній операції щодо підприємства практично неможливо. У тих, хто затіяв збирання комерційної інформації, є кілька беззаперечних переваг перед тими, хто зацікавлений зберегти свої таємниці. Жертва просто не знає, коли, де і хто починає збирати інформацію: розвідоперація починається раптово, ведеться таємно, а після її закінчення на підприємстві зазвичай немає очевидних змін. Наслідки витоку інформації стають помітними тоді, коли щось робити вже запізно. Одним з результатів роботи шпигунів може стати стрімка втрата позицій підприємства на ринку, -- якщо впродовж короткого часу підприємство без очевидних причин розгубило налагоджені канали збуту, надійних постачальників і найкращих працівників -- найімовірніше, це результат організованого витоку інформації до конкурентів. Щоб цього не трапилося, керівникам підприємств, які можуть становити інтерес для конкурентів, слід заздалегідь потурбуватися про збереження інформації. Обрати заходи, оптимальні за своєю вартістю та ефективністю, можна, лише застосувавши системний підхід до проблеми зберігання інформації. Наприклад, може допомогти карта ризиків.Вчасно складена карта ризиків дає змогу проаналізувати наявну систему безпеки підприємства і виявити її слабкі місця.

Для проведення аналізу достатньо уявити і розписати всі можливі шляхи витоку важливої інформації, що зберігається на підприємстві. При цьому важливо, щоб штатні або запрошені аналітики служби безпеки розписали всі можливі, неможливі і навіть фантастичні сценарії викрадення даних, що становлять інтерес.

Перелічивши канали витоку, особисті, виходячи з реальних умов зберігання даних і покладаючись на власний досвід, оцінюють імовірність використання кожного зі шляхів, що розглядаються, у відсотках або за пятибальною (дванадцятибальною) шкалою. Оцінивши ймовірність витоку даних, що охороняються, фахівці вибирають як най адекватніші заходи протидії для запобігання кожній з можливих подій. Запобіжні заходи обираються відповідно до співвідношення їхньої вартості і спроможності знизити ефективність роботи шпигунів. Наприклад, склавши карту, аналітик доходить висновку, що на підприємстві най вірогідніший витік інформації через шпигуна-працівника. За попередніми оцінками така ймовірність становить 90%. Після вжиття низки заходів щодо забезпечення кадрової безпеки імовірність витоку інформації за допомогою несумлінних працівників може бути знижено на 30-40%. Можливий ефект зіставляють з вартістю заходів і доходять остаточного висновку про доцільність застосування тих чи інших заходів протидії. У такий самий спосіб оцінюються вартість і ефективність заходів протидії розбазарюванню комерційної таємниці іншими каналами, після чого експерт складає остаточний перелік заходів із забезпечення безпеки, визначає їхню приблизну вартість і приступає до впровадження. Знаючи про існування системи безпеки на обєкті, розвідники передусім спробують визначити, наскільки ефективно вона працює. Зазвичай ступінь захищеності обєкта визначається шляхом дослідження. Наприклад, зловмисники можуть у вихідний день запустити каменем у скло офісу і спокійно стояти осторонь із секундоміром, роблячи для себе висновки про працездатність сигналізації і про те, як швидко і яка саме охорона приїде за тривогою. «Помилкові» дзвінки у двері можуть бути перевіркою пильності охорони. Сюди також належать усі помилкові спрацьовування будь-яких сигналізацій і не дуже наполегливі спроби входу в компютерну мережу. Якщо в офісі встановлено не надто дороге прослуховування, його наявність може виказати постійне денне паркування немісцевого фургона середніх розмірів неподалік офісу (у фургоні може розміщуватися радіолабораторія). Має насторожити й поява «зайвих» грошей на мобільному телефоні. Шпигун, намагаючись установити звязки за роздруками абонентів, з якими спілкувався той чи інший субєкт, нерідко поповнює невідомі йому номери, дізнаючись при цьому прізвища абонентів. Пристрої прослуховування, які найчастіше встановлюють в офісах, що прослуховуються, залежно від джерел електроживлення можуть бути стаціонарними або автономними. Автономні «жучки» черпають енергію від невеликих батарейок або акумуляторів, до яких приєднують мініатюрні мікрофони і передавачі. Цих «комах» зловмисники непомітно розміщують у приміщенні, де вони й працюють, поки вистачає заряду батареї (зазвичай 7-10 діб). Оскільки у більшості автономних «жучків» слабкі передавачі, в радіусі 50-100 метрів від офісу, що прослуховується, має стояти машина (найчастіше закритий фургон), у якому потужний приймач вловлює сигнали, які передають «жучки». Щоб не ставити радіолабораторію безпосередньо біля офісу, що прослуховується, шпигуни можуть додатково встановити біля цього офісу портативний ретранслятор, який дає змогу передавати сигнали малопотужних «комах» на значні відстані. Стаціонарне прослуховування живиться від телефонної лінії або побутової електромережі напруженням 220 вольт. Відповідно стаціонарні «жучки» встановлюються в патронах ламп, розетках електроживлення, телефонних апаратах, телевізорах, системних блоках компютерів, моніторах тощо. Цей вид «жучків» може працювати кілька років поспіль. Вони мають більші, ніж у автономних, габарити, зате й сигнали передають на великі відстані. Рядові демаскуючі ознаки погано виконаного підключення до телефонної мережі виявляються передусім у клацанні і перепадах гучності, що виникають під час розмови в телефоні, який прослуховується. Багато підприємств, що забезпечують безпеку бізнесу за $200-300, беруться перепалити всю прослуховувальну апаратуру за допомогою спеціального генератора імпульсів. Якщо ж замовнику хочеться дізнатися, де встановлено мікрофони, фахівці застосовують генератор частоти, який дає змогу виявити випромінювання, яке надходить від мікрофонів підслуховувальних пристроїв, після чого спеціальним приладом сканують простір і виявляють прослуховування. «Жучки» можна знищити, а можна спробувати зясувати, хто і з якою метою їх установив. Наприклад, виявивши ретранслятор, його потрібно акуратно вивести з ладу, але так, щоб втручання не було помітним під час зовнішнього огляду. Передавання даних припиняється, і зацікавлена сторона робитиме спроби відновити порушений звязок. Тим часом фахівці служби безпеки підприємства, що прослуховується, можуть влаштувати засідку і поспостерігати, хто саме прийде його лагодити. «Ретранслятор, який вийшов з ладу, ремонтуватимуть напевно, -- переконаний спеціаліст з безпеки бізнесу Юрій Єлісєєв, -- оскільки фабричний прилад коштує понад $2000, а відповідальність за його збереження і працездатність, найімовірніше, несе хтось із працівників державних спецслужб. Таку техніку кидають напризволяще лише у шпигунських фільмах». На думку експерта, «ремонтну бригаду», яка зявиться відновлювати втрачений звязок, можна розсекретити на місці і влаштувати скандал з викриттям або ж дозволити їм піти і спробувати відстежити справжнього замовника розвідзаходів. Існують й інші методи захисту інформаційних систем підприємства -- парольний доступ до системи та інформації, програмні й апаратні рішення щодо захисту від несанкціонованого доступу, міжмережеве екранування, захист електронних документів при передаванні каналами звязку, зокрема й за допомогою шифрування, застосування програм криптографічного захисту текстів тощо. Докладно про ці методи ми розповімо у найближчих номерах.

У всіх випадках вторгнення перед початком розроблення насамперед перевіряється начальник служби безпеки підприємства-жертви. Перед тим як почати діяти, шпигуни встановлюють коло його звязків, оцінюють його професіоналізм і скрупульозно відстежують усі його переговори. На думку бувалого контррозвідника, який побажав залишитися невідомим, найкраще, коли начальник служби безпеки -- номінальна фігура, зайнята забезпеченням лише охоронних заходів. А контррозвідкою мають займатися люди, які не мають прямого відношення до підприємства. Прикидаючись непоінформованим, найлегше розслабити шпигунів і вчасно вичислити, хто і з якою метою зацікавився компанією. За словами борця зі шпигунством, найгірше, коли бізнесмен, отримавши інформацію про ініціаторів розроблення, починає зясовувати з ними стосунки, демонструючи розвідникам кваліфікацію своїх захисників. Наступного разу, коли його розроблятимуть, це буде зроблено так, що виявити шпигунів буде просто неможливо. Розумний підприємець не подасть виду, що розкусив шпигунів, і використовуватиме цю ситуацію для дезінформації замовників.