ИТ-отрасль - одна из тех сфер бизнеса, для которой информация является не просто одним из ключевых активов, а самой сутью всего бизнеса компании. Поэтому и утечки информации для ИТ-компаний являются заметно более серьезной проблемой, чем, скажем, для металлургической промышленности.

Утечка утечке рознь, конечно. Когда та же Apple за несколько месяцев до выхода нового iГаджета допускает "утечку информации", и его фотографии облетают все ведущие мировые СМИ, то никакого ущерба компания не получает, а маркетологи, колдовавшие несколько месяцев над "утечкой", получают заслуженные премии. Таким способ любит развлекаться не только Apple, но и ряд других компаний, работающий в сфере высоких технологий. Но разговор сейчас не о таких утечках, а о тех, которые действительно могут нанести ущерб бизнесу ИТ-компании.

Согласно данным, обнародованным в 2011-м году специалистами McAffee, во всём мире ИТ-компании ежегодно теряют $1 трлн из-за взломов и утечки информации. Цифра внушает уважение, поскольку любая компания, обладая подобной суммой, смогла бы легко выйти в лидеры того сегмента рынка, на котором она специализируется.

ИТ-компании ежегодно теряют $1 трлн из-за взломов и утечки информации.

Утечки не минуют ни одну компанию, какой бы известной и богатой она ни была, поскольку все они, так или иначе, обусловлены человеческим фактором - либо халатностью сотрудников, которые по ошибке раскрыли закрытую корпоративную информацию, либо их злым умыслом. А поскольку люди работают во всех компаниях, то и от утечки информации не застрахована ни одна из них, даже та, которая сама занимается безопасностью. И Symantec, и Лаборатория Касперского, и многие другие компании, работающие в сфере информационной безопасности, становились героями новостей об утечках программного кода и других конфиденциальных данных.

Крупнее компания - крупнее утечки данных. В начале апреля, например, стало известно, что бывший сотрудник Intel похитил секретную информацию компании на сумму в $400 млн. Правда, большая компания на то и большая, что часто может даже и не заметить подобных "мелочей". В то время как для сравнительно небольшой компании, выпускающей один небольшой программный продукт на высококонкурентном рынке, утечка её наработок может стать фатальной.

Каким образом ИТ-компании обычно борются с утечками информации? Самый распространённый, но наименее действенный способ - это подписка о неразглашении, которую хороший работодатель всегда берёт с каждого из своих сотрудников, имеющих доступ к любым мало-мальски значимым информационным активам. Впрочем, способ этот трудно назвать сверхэффективным, поскольку тот, кто захочет нарушить подписку, часто находит способ "замести следы" таким образом, что юридическое преследование становится малоэффективным.

Многие ИТ-компании имеют собственные отделы информационной безопасности, в компетенции которых входит, ко всему прочему, и защита бизнеса от утечек информации. Арсеналы применяемых ими методов достаточно широки, но в последние годы достаточно большую популярность набирают DLP-системы - специальные программные продукты для мониторинга исходящих данных, которые в автоматическом режиме способны обнаруживать в них конфиденциальную информацию, а часто ещё и блокировать её дальнейшую передачу.

Многие ИТ-компании имеют собственные отделы информационной безопасности, в компетенции которых входит, ко всему прочему, и защита бизнеса от утечек информации.

"Айтишники", конечно, вовсе не в восторге от мысли, что кто-то их подобным образом контролирует, и поэтому подавляющее большинство компаний этот контроль никак не афиширует, не забывая, впрочем, вписывать его в трудовые договоры. Но во многих компаниях пошли дальше простого использования DLP-систем, организовав настоящую "полицию мысли", почти как в романе Оруэлла "1984".

Одной из таких служб безопасности, над которой удалось приподнять завесу секретности, стала действующая в компании Apple служба Worldwide Loyalty Team. Полномочия этой команды распространяются очень широко: от проверки истории почтовой переписки каждого сотрудника (что также является нормальной практикой в других корпорациях и государственных учреждениях), до распространения поддельных изображений, чтобы предупредить возможные утечки и рассеять ажиотаж вокруг некоторых анонсов. Также в обязанности Worldwide Loyalty Team входит проведение превентивных проверок, которые сотрудники между собой называют "операциями".

В своё время Gizmodo опубликовали достаточно интересную статью о деятельности этого подразделения Apple, а её полный русский перевод можно найти здесь. Так описывается, как проходят "операции". Менеджер просит всех сотрудников оставаться на своих местах, и говорит им что и когда делать. У всех забирают мобильные телефоны. Как правило, их забирают у всех одновременно, поэтому процесс проверки затягивается надолго. Если в это время вам нужно будет позвонить кому-нибудь постороннему, вам придется попросить разрешения и звонок будет прослушиваться. Они не забирают камеры и фотоаппараты, потому что в Apple их вообще нет: на территорию кампуса сотрудников с камерами не пускают. Если ваш телефон - iPhone, его содержимое сохраняют на ноутбук. Пока происходит проверка, всем работникам приказывают включить заставки на компьютерах, чтобы "спецназ" мог убедиться в том, что сотрудники не переписываются между собой или с посторонними людьми. Им нельзя разговаривать, писать текстовые сообщения или звонить друг другу.

Можно предположить, что такие службы существуют во многих ИТ-компаниях, но, по понятным причинам, никто особенно не стремится распространяться об их деятельности.

Впрочем, помимо "кнута", у ИТ-компаний есть и "пряник" в виде различных способов мотивации и поддержки персонала. Речь идет не только о непосредственном материалом вознаграждении, хотя оно, конечно, тоже играет важную роль. В арсенале HR'ов есть множество приёмов повышения лояльности сотрудников, начиная с элементарных подарков от компании на День рождения и заканчивая опционами, благодаря которым сотрудник, проработавший в компании определённое количество лет, сможет стать её совладельцем.

Пожалуй, можно сказать, что большинство ИТ-компаний умело сочетают в своей работе по предотвращению утечек информации кнут и пряник, поочередно пуская в ход то и другое, и при этом не слишком афишируя контрольно-карательные мероприятия, и делая рекламу разным механизмам поощрения.

Большинство ИТ-компаний умело сочетают в своей работе по предотвращению утечек информации кнут и пряник.

Но, конечно, какими бы лояльными ни были сотрудники, и насколько хорошо бы ни работал отдел информационной безопасности, 100%-ю защиту от утечек информации это всё не гарантирует. Как, впрочем, и при любых других профилактических действиях. Но как давно известно, бережёного Бог бережёт. И если в вашей компании ещё не задумались о том, как защититься от утечек информации, то лучше это сделать сейчас, до того, как произойдёт первая утечка.

Злюка-Гадюка