Словосочетание "коммерческий шпионаж" слышали, наверное, все. Но далеко не все догадываются, что и злые шутки компьютерных взломщиков порой могут быть приравнены к этому преступлению.
Заповедь разведки "информация из первых рук лучше любой другой" в полной мере применима и к работе "коммерческих" шпионов. По словам специалистов, главная угроза утечки секретной корпоративной информации заключается не в применении конкурентами новейших технологий, а в использовании человеческого фактора.
"Более 80% всех случаев воровства информации связано с получением ее от персонала компании, - отмечает Александр Крылов, генеральный директор службы безопасности Ассоциации российских банков. - Сотрудников даже не так часто подкупают: с любым можно найти общий язык, разговорить его, и он сам выболтает все, что нужно. Работники российских компаний в этом отношении наименее бдительны. Случается, к ним приходит шпион и под видом потенциального клиента в непринужденным разговоре выпытывает нужную ему информацию. Или вот распространенный ход - подослать липового журналиста. Руководитель компании с ним вполне может разоткровенничаться, особенно если это будет симпатичная девушка".
Но если найти вольного или невольного информатора не удается, в дело вступает техника. Как правило, первым этапом похищения коммерческой информации становится банальная подслушка. Экзотический, однако время от времени применяемый способ - подслушать разговор, направив с расстояния до несколько сотен метров (например, из окна соседнего здания) специальный ультразвуковой сканер на окна офиса: в этом случае их стекла будут играть роль микрофонной мембраны, колебания которой способен улавливать сканер.
Другой простейший способ узнать, о чем говорят в офисе фирмы-конкурента, как считает генеральный директор компании "Защита Экспо" Игорь Филоненко, - миниатюрные радиомикрофоны. Не очень сложно установить в офисе конкурента и подглядывающее устройство. Видимая часть современных видеокамер может не превышать 0,5 мм в диаметре, и такую технику не увидеть даже на ровной белой стене, а тем более в потолке (например, около кондиционера). Подобное устройство позволит не только знать в лицо всех посетителей "вражеской" конторы, но и различать содержание лежащих на столе документов или изображение на компьютерном мониторе. А возможности по прослушиванию телефонных разговоров поистине безграничны.
Однако самый распространенный сегодня способ "несанкционированного снятия корпоративной информации", как называют коммерческий шпионаж специалисты, - это проникновение в компьютерные сети конкурента.
Ущерб, который компьютерные взломщики нанесут мировой экономике в нынешнем году, может превысить $60 млрд. Сколько из них придется на долю российского бизнеса, не известно - российские взломы являются одними из самых засекреченных: компании готовы скорее признаться в падении уровня рентабельности, чем в том, что на них напали хакеры.
Впрочем, кое о какой российской статистике можно судить по данным МВД. По сведениям Управления Р (преступления в сфере высоких технологий), входящего в состав министерства, в 2000-2001 годах количество преступлений в сфере информационных технологий и телекоммуникаций выросло в 2 раза, в 2002-м общее количество зарегистрированных инцидентов достигло 6 тыс., а за первые 9 месяцев 2003 года отмечено уже 8240 преступлений.
Среди предприятий, пострадавших от действий Интернет-злоумышленников, - крупнейшие компании страны: "Газпром", РАО ЕЭС, Сбербанк и многие другие.
Больше всего от виртуальных похищений информации страдают банки. Например, совсем недавно громкий скандал по этому поводу разгорелся в Израиле. Там преступники с помощью троянской программы похитили из банка "Леуми" информацию о клиентах-должниках (их профиль деятельности, величина долга, гарантийные обязательствах под предоставление ссуды), что, ак предполагает полиция, может быть использовано с целью шантажа и вымогательства.
Но даже если на секреты вашей компании никто сознательно не покушался, от утечки информации вы все равно не застрахованы.
По словам Дениса Зенкина, специалиста по безопасности из "Лаборатории Касперского", похищение информации через Интернет иногда бывает просто случайным. Например, около года назад Рунет (как и вся Сеть) был поражен вирусом Klez, который проникал в любые попадавшиеся на его пути компьютеры, хватал первую попавшуюся информацию и рассылал ее в хаотичном порядке.
И во время "клещевой" эпидемии совершенно случайные люди обнаруживали на своем ПК почту с информацией о каких-то чрезвычайных военных учениях или бизнес-планы крупных инвестиционных проектов.
Коммерческий шпионаж исключительно выгоден. Но помимо этого в России у него есть еще одна привлекательная особенность - безопасность. Теоретически механизмы борьбы с коммерческим шпионажем у нас существуют, но на практике об их применении никто не слышал. Хотя санкции они предусматривают достаточно суровые.
Согласно Гражданскому кодексу к понятию коммерческой тайны относятся любые сведения, которые таковыми считает сама фирма и которые она охраняет, а их разглашение способно нанести финансовый вред этой самой фирме. Правда, есть и оговорки, сделанные в постановлении правительства на эту тему, - согласно им коммерческой тайной не могут являться бухгалтерский баланс, сведения о зарплате и учредительные документы.
Что же грозит коммерческому шпиону? По статье 183 Уголовного кодекса за разглашение коммерческой тайны виновному грозит до 10 лет лишения свободы. Гражданский кодекс говорит о том, что виновный должен возместить ущерб, причиненный нарушением коммерческой тайны. То есть если уперли секрет на $1 млн. и это доказано, то $1 млн. придется вернуть. Кроме того, для нерадивых сотрудников Трудовой кодекс за разглашение коммерческой тайны предусматривает возможность увольнения и взыскания причиненных убытков.
И тем не менее до сих пор ни одного процесса по обвинению в промышленном шпионаже в России не было. Возможно, дойдет до суда то дело, которое ФСБ расследовала на Уралмаше . Однако пока российская юридическая практика таких примеров не знает. А потому - воруют.
Владимир Мамыкин, менеджер по информационной безопасности российского представительства Microsoft:
"Хакерам помогает человеческий фактор"
По данным совместного исследования американского Института проблем безопасности и ФБР, в ходе которого было опрошено 530 американских компаний, в 2003 году корпоративные сети 40% этих компаний подвергались атаке со стороны конкурентов, причем потери от кражи информации составили $70 млн. Поскольку не все факты атак можно распознать, по-видимому, реальные цифры существенно выше.
Взлом корпоративной сети компании может осуществляться как извне (около 20% случаев), так и изнутри - сотрудниками компании, не имеющими доступа к определенным категориям информации (80%). Нередки случаи, особенно в западном бизнесе, когда конкуренты внедряют в компанию своего человека, чтобы он выкрал нужные сведения и потом уволился.
Еще одним способом проникновения в корпоративные информационные системы является внедрение в стандартное программного обеспечение специальных закладок для кражи или подделки информации и дальнейшая продажа такого ПО. Поэтому угроза появления в корпоративной системе лазеек для незаконного вторжения исходит прежде всего от пиратских версий ПО: в этом случае вы никогда не знаете, что купили, и никто не несет ответственности за такое ПО. В последнее время в мире все чаще говорят о том, что выпуск пиратского ПО с закладками - наиболее дешевый способ проникновения в корпоративные информационные системы.
Особую опасность представляют возникающие в последнее время специализированные группы, которые выполняют заказы по взлому корпоративных сетей.
Надо подчеркнуть, что успехи хакеров объясняются не столько несовершенством корпоративных сетей, сколько человеческим фактором. До 95% брешей в информационных системах являются следствием неправильного конфигурирования этих систем. Сама по себе система может быть хорошей, но не все умеют ее правильно настроить, в то же время пытаясь экономить на специалистах в этой области.
