Безопасность бизнеса - Ренат Мамбетов

Да, будет много споров на эту тему. Начиная от финансовой целесообразности и заканчивая этической стороной дела. Да, симбиоз всех информационных систем и надстройка в виде ИИ обойдется в «копеечку». Да, черт побери, будут ошибки, сбои, нехватка памяти на серверах, «косяки» ИИ, проблемы, споры, некачественное оборудование, закостенелость отдельных руководителей. Но спустя несколько лет искусственный интеллект прочно войдет в корпоративную жизнь и технологические процессы многих предприятий.

Десять лет назад телефон с Face ID казался фантастическим, а в споре «может ли ИИ написать картину» царствовал аргумент «робот никогда не создаст шедевр». Ну и автомобиль без водителя мы и представить не могли.

Роботы и правда пока не создали шедевральных картин. Но нейросети уже рисуют коммерческие постеры, пишут коммерческие тексты и отслеживают белый поток удобрений на фоне белого неба.

Возможно, вы читаете этот текст в 2032 году и скажете — 50 % предприятий уже работают с применением ИИ. А может быть, в 2023 году вам кажется это фантастикой. Время покажет.

Но за прогрессом и инновациями в своей сфере следить нужно постоянно, чтобы потом не быть глупым и бесперспективным сотрудником.

Итак, пока в крупных холдингах симбиоз информационных систем не доведен до логического завершения, обсудим сегменты, из которых складывается цифровой контур безопасности предприятия.

1. Программная безопасность компьютеров и закрытая корпоративная сеть.

Этот сегмент предполагает свою внутреннюю корпоративную сеть, установку только лицензионного ПО, хранение всех данных на собственных серверах. Кроме того, лучше иметь собственное подразделение информационной безопасности.

При наличии такой службы вы сможете полностью контролировать компьютеры сотрудников, закрыть доступ к USB-портам, закрыть доступ к определенным сайтам, запретить скачивание/отправку информации с корпоративного компьютера на сторонние адреса электронной почты, запретить подключение к общедоступным Wi-Fi сетям. И многое-многое другое. Корпоративный компьютер предназначен для работы, и сотрудник не должен иметь возможности использовать его в личных целях, а также скачивать с него файлы. Дабы потом эти файлы не обнаружились у конкурентов.

А в совокупности с работающей системой Корпоративной тайны программная безопасность, кроме предупреждающей функции, будет нести и санкционную — сотрудник, скачавший корпоративный документ со своего компьютера, мало того, что понесет дисциплинарную ответственность, так еще и ответит по всей строгости закона. Вплоть до уголовной ответственности.

2. DLP. Data Loss/Leak Prevention — предотвращение утечек данных. Святой Грааль возможностей СБ

Информация — ключ к миру, особенно к современному миру. Каждый жесткий диск каждого корпоративного компьютера содержит внутри себя такой массив информации, который элементарно может уничтожить организацию за очень короткое время. Только задумайтесь, сколько информации содержит компьютер среднестатистического менеджера — сделки, торги, договоры, резюме, объемы продаж, инсайдерская информация, переписка с контрагентами, пароли, учетные записи, история браузера, проекты, личная информация. Перечислять можно бесконечно.

Обладая этой информацией, конкуренты или мошенники могут подделать письмо или счет, подготовить и заверить доверенность, совершить сделку или просто похитить информацию для передачи третьей стороне.

Как нивелировать вышеперечисленные риски для организации? Интегрировать в систему информационной безопасности DLP.

DLP позволяет обезопасить корпоративную сеть как от внешних угроз, так и от внутренних утечек. При помощи системы можно полностью контролировать компьютеры сотрудников, анализировать, с кем они общаются, сколько времени работают, а сколько тратят на «Ютуб» или «танки». Можно смотреть, что менеджеры пускают на печать в принтер, кому отправляют письма закупщики, какими сервисами пользуются логисты.

Остается тонкий вопрос — законно ли это? Законно, если вы соблюли несколько достаточно простых мер кадровой безопасности, а именно:

1. При подписании первичного пакета документов при приеме на работу сотрудник должен подписать «Согласие на контроль рабочего времени». Данное Согласие содержит максимально развернутый перечень утверждений о том, что сотрудник обязуется использовать рабочий компьютер/планшет/смартфон исключительно для исполнения своих трудовых обязанностей, что вся информация, хранящаяся на жестком диске ПК, в облачных сервисах, открытых на ПК, на флешках, вставленных в этот самый ПК — имеет непосредственное отношение к трудовой деятельности или вообще является собственностью компании. После этого все файлы, содержащиеся на компьютере, можно смело просматривать удаленно.

2. Если сотрудник уже работает в организации, то ему тоже необходимо рекомендовать подписать Согласие.

Теперь мы видим, что благодаря комплексу информационных систем можно видеть обширную картину происходящего на любом предприятии. Причем это касается и «белой», и «серой» зоны работы.

Да, можно сказать — разнорабочий, который выполняет элементарные работы, не пользуется компьютером и корпоративным телефоном, и при этом он имеет все возможности расхищать имущество компании.

Таких примеров наберется масса. Добрая половина сотрудников некоторых компаний в принципе не имеют отношения к информационным системам. Какая-то часть собственников досадливо поморщатся, если им предложить потратить десятки миллионов на цифровизацию и информатизацию — это их дело. Но если не шагать в ногу со временем, то придется догонять. И можно не догнать.

Возможности анализа при помощи информационных систем на предприятии, не побоимся этого слова, безграничны. Если проанализировать в совокупности СКУД, GPS, данные со смартфона, данные с компьютера, записи видеонаблюдения, выгрузки из бухгалтерских программ, то можно сложить большую мозаику рабочей деятельности любого сотрудника.

Остается два вопроса:

• откуда взять время;

• как легализовать информацию.

Сложно представить классического безопасника, анализирующего массивы данных информационных систем, прорабатывающего стратегию «обвинения» по итогу служебного расследования, участвующего в инвентаризации, проверяющего тендерные процедуры, на равных проводящего переговоры по взысканию дебиторской задолженности, постоянно совершенствующегося, да еще и имеющего время на это все.

В следующей главе мы поговорим о сотрудниках служб безопасности будущего. А пока вернемся ко времени.

Вы можете задать вопрос — откуда взять время для анализа информации с компьютера закупщика? Ладно еще сработать по конкретному факту хищения или задокументировать коммерческий подкуп — можно одного сотрудника выделить, но анализировать весь массив? Проводить периодический анализ нарушений закупочных регламентов, отклонений от технологических процессов — для этого нужен целый отдел аналитиков. И более того, вы вправе сказать — в некоторых холдингах присутствуют службы внутреннего аудита и контроля/управления рисками.

И будете абсолютно правы. Для анализа массива данных нужен сотрудник с навыками такого анализа. Этому сотруднику нужна зарплата, рабочее место, полис ДМС со стоматологией, корпоративный кофе, служебный автомобиль и прочие нормальные условия труда. Да еще и результаты деятельности такого сотрудника будут весьма призрачны поначалу (до первого выявленного факта коммерческого подкупа). Увы, убеждать вашего директора и руководителя кадров придется именно вам. Но реальность такова, что современной СБ нужны именно аналитики, хотя бы один-два на десять штатных безопасников.

Как легализовать DLP?

Путем изъятия компьютера с сотрудниками правоохранительных органов. Исключительно так. Вы можете получать информацию, прорабатывать ее, рисовать схемы преступной деятельности, но легальной для последующего суда она станет только после изъятия носителя. Кстати, в судах уже есть