Основные каналы утечки информации

Основными каналами утечки информации на предприятии являются ее носители, то есть:

- люди,

- документы, изделия (образцы товаров, продукции),

- технические средства обработки информации и коммуникаций.

Наиболее вероятные каналы утечки информации, образуются в про цессе профессиональной деятельности сотрудников предприятия, а имен но: щ

- совместная деятельность с другими фирмами;

- устные доклады и выступления сотрудников

- проведение переговоров;

- прием посетителей и делегаций на предприятии;

- участие в выставках, семинарах, конференциях;

- реклама;

- публикации в печати, интервью;

- привлечение сторонних консультантов, получающих доступ к докумен тации и производственной деятельности предприятия.

Нельзя исключать утечку информации в результате целенаправленных спланированных акций в отношении предприятия и его сотрудников, таких, как

- фиктивные запросы о возможности работы на предприятии, о вероятно сти заключения с данным предприятием сделок, осуществления совмест ной деятельности;

- рассылка сотрудникам предприятия различных анкет, вопросников

под видом проведения опросов, научных или маркетинговых исследований;

Осуществление угроз информационным ресурсам может быть так же произведено:

- путем подкупа лиц, работающих в данной организации либо непосред ственно связанных с ее деятельностью;

- путем перехвата информации, циркулирующей в средствах и системах связи и вычислительной техники с помощью технических средств разведки и съема информации, несанкционированного доступа к информации и преднамеренных программно- математических воздейст вий на нее в процессе обработки и хранения;

 

- путем подслушивания конфиденциальных переговоров, ведущихся в служебных помещениях, служебном и личном автотранспорте, на квартиpax и дачах;

- через переговорные процессы, используя неосторожное обращение с информацией;

Технические каналы утечки информации⁷

- радиоканалы (электромагнитные излучения радиодиапазона);

- электрические (напряжения и токи в различных токопроводящих ком муникациях);

- акустические (распространение звуковых колебаний в любом звукопро водящем материале);

- оптические (электромагнитные излучения в видимой, инфракрасной и ультрафиолетовой частях спектра).

Конфиденциальная информация циркулирует в разнообразных технических средствах, поэтому к числу источников излучения относятся:

- сети электропитания и линии заземления;

- автоматические сети телефонной связи;

- системы факсимильной, телекодовой и телеграфной связи;

- средства громкоговорящей связи;

- средства звуко- и видеозаписи;

- системы звукоусиления речи;

- электронно-вычислительная техника;

- электронные средства оргтехники.

Кроме того, источником излучений в технических каналах утечки информации может быть голос человека. Средой распространения акустических волн в этом случае является воздух, а при закрытых окнах и дверях - воздух и различные звукопровбдящие коммуникации. Использование при этом специальных микрофонов создает акустический канал утечки информации.

Опасность утечки информации значительно увеличивается вследствие того, что технические средства, которыми оборудован офис, не только сами излучают в пространство сигналы, содержащие обрабатываемую информацию, но и улавливают, за счет меющихся в их конструкции микрофонов или антенных контуров, другие излучения (электромагнитные, акустические) от устройств, расположенных в непосредственной близости от них. Уловив эти излучения, они преобразовывают их в электрические сиг-

 

78

 

Торянников Б.Н. Экономическая безопасность предпринимательской деятельности. - СПб., 2000.

 

налы и бесконтрольно передают по своим линиям связи на значительные расстояния.

К числу технических устройств, способных образовывать электрические каналы утечки информации, относятся телефоны (особенно кнопочные), датчики охранной и пожарной сигнализации, их линии, а также сеть электропроводки.

Телефонные переговоры, в том числе по сотовым телефонам, сами по себе должны вестись сотрудниками предприятия с соблюдением мер предосто рожности. Например, мобильные телефоны, работающие в аналоговых стандартах МТ-450, АРБ («Фора», «Дельта»), может прослушать любой радиолюбитель. _щ

Оборудование для прослушивания телефонов в цифровых стандартах может стоить до $50 тысяч.

Особо следует оговорить опасности проникновения в ваши сейфы с помощью внедренных технических средств - приборов оптического наблюдения, вмонтированных микрофонов, а также дистанционных средств съема информации (оптических или акустических).

Таким образом, утечка информации может происходить по каналу побочных электромагнитных излучений (телевизор, компьютер, видеомагнитофон и т. д.), через цепи электропитания (технические устройства, имеющие питание от сети переменного тока), через цепи заземления (в случае применения технических средств, имеющих защитное заземление), через внешние цепи, выходящие за пределы контролируемых помещений (телефонные линии, пожарная сигнализация, радиотрансляция и т. п.). Особо следует отметить тот факт, что 90% конфиденциальной информации утекает именно по техническим каналам, то есть конкуренты для проникновения в ваши секреты применяют преимущественно технические средства Другой вопрос, как эти средства внедряются в помещения предприятия, но этот вопрос относится к проблемам работы с персоналом

Предпочтение технических средств обусловлено их высокой надежностью и устойчивостью при перехвате, а так же, что очень важно, при документировании перехваченной информации. Кроме того, нельзя не отметить относительную дешевизну средств технического шпионажа: цена одной радиозакладки не превышает однодневного заработка одного высококвалифицированного специалиста по извлечению информации.

33.2. Способы получения информации

Существует очень хороший способ проверить, какую информацию можно выведать у своих работников, можно представиться клиентом и тогда все

 

необходимые данные вы получите прямо из рук сотрудников, а можно просто позвонить в собственный офис, и что интересно вы можете быть неприятно удивлены непосредственностью своих работников. Милая непосредственность ваших сотрудников часто представляет достаточно серьёзную угрозу безопасности вас и вашего дела. И хотя многие ошибки совершаются по незнанию или непониманию возможных последствий, это вряд ли может успокоить. Особая тема - разговор по телефону.

Часто можно услышать, например такой монолог: "Ивана Ивановича сейчас нет на месте!" Казалось бы, все сказано, нет человека в данный момент в данном месте. Осталось узнать, кто его спрашивает (если это ещё не известно, т. е. говорящий сам не представляется) и зачем (что сообщить Иван Иванычу по прибытии его в офис). Но словоохотливый секретарь, не останавливаясь, продолжает: «он у г-на М. на совещании по поводу и будет… ". Сообщена вся информация об Иван Ивановиче, а часто даже и непонятно кому. Вы можете потратить большие средства на обеспечение, например, личной безопасности. Но зачем такие расходы, если ваш секретарь свободно сообщает, где Вы в данный момент находитесь, что вы там делаете, куда и когда отправитесь. По крайней мере половина затрат произведена впустую.

Можно позвонить к себе в офис и задать следующие вопросы (или попросите кого-либо из своих близких или знакомых, голос которых не знают в Вашем офисе): На месте ли директор (обязательно надо назвать Вас по имени и отчеству)? А где он? Когда будет? Когда он сегодня уедет домой или как долго обычно бывает на работе? И после этого оценить степень подробности предоставленной Вам о Вас информации. И сделать соответствующие выводы. Кроме того, как уже упоминалось, что можно представиться потенциальным клиентом фирмы, и посмотрите, как и что вам сообщат о Вашей фирме сотрудники: о клиентах, о поставщиках, о методах работы, об используемых технологиях и т. д.

Специалисты считают, что сохранность фирменных секретов, как минимум на 80% зависит от правильного подбора, расстановки и стимулирования персонала. Данные о том, что 90% конфиденциальной информации фирмы «утекает» по техническим каналам, не противоречит сказанному, так как «организовать» технические каналы утечки информации, тем более при существовании каких-то мер защиты без привлечения сотрудников фирмы практически невозможно. Тут же появляется серьезная проблема с такими работниками как системные администраторы, которые имеют не только полный доступ ко всей информации, но и имеют возможность ее постоянного контроля. Такие внутренние угрозы представляют наибольшую опасность. Нельзя исключать вероятность того, что та-

 

кие сотрудники с высоким уровнем самооценки из-за неудовлетворенно сти своих амбиций (уровнем зарплаты, отношениями с руководством, коллегами, и пр.) могут предпринимать шаги по инициативной выдаче коммерческой информации конкурентам, попытаться уничтожить важную информацию или пассивные носители, например, внести компьютерный вирус. Рядовой работник, не имеющий доступа к коммерческой тайне, также может оказать помощь конкурентам в проведении электронного шпионажа; в обеспечении условий для хищения носителей информации; снятия копий; в создании ситуаций для выведывания информации у дру гих сотрудников. ^

Немаловажным остается тот факт, что при всей защите коммерческой тайны, при безупречной работе службы безопасности и службы управления персоналом со всеми отделами предприятия, риск все равно остается, а в некоторых случаях возрастает. По словам И. Винклер, директора по технологиям Национальной Ассоциации Компьютерной безопасности⁸, выяснилось, что шпиону, проделывающему свое задание на предприятии, иной раз даже можно не использовать специальные шпионские штучки, можно даже не устанавливать радиомикрофоны, не подключаться к телефонным линиям или, например, вербовать сотрудников организации, просто можно познакомится, можно даже не копаться в мусорных бочках, где сохранится и копится каждый день огромное количество конфиденциальной информации, не надо даже много времени и денег, все можно провернуть за 3 дня. Необходимо лишь получить статус сотрудника и меры защиты становятся бесполезными, а информация подвергается риску.

Всем этим объясняется исключительная важность изучения кадров, проверки любой информации, свидетельствующей о сомнительном поведении сотрудника или наличии у него компрометирующих связей. Осознание предпринимателем роли и места своих сотрудников в создании и поддержании общей системы экономической безопасности закономерно ведет к внедрению процедур тщательного подбора и расстановки кадров. Однако руководители подавляющего большинства коммерческих организаций далеко не в полной мере осознали необходимость совершенствовать процесс подбора и расстановки кадров для организации комплексной защиты своих структур от уголовных и экономических преступлений.

Персонал фирмы, с одной стороны, несомненно, является важнейшим ресурсом предпринимательской деятельности, но, с другой, как уже говорилось в силу различных обстоятельств, отдельные сотрудники могут

 

стать причиной крупных потерь и даже краха фирмы. Поэтому организационные и административные меры защиты конфиденциальной информации необходимо сочетать с социально-психологическими мерами, среди которых можно выделить два основных направления: во-первых, правильный отбор и расстановка кадров, во-вторых, использование материальных и моральных стимулов.