Менеджмент
Бесплатный
Джамиль Андерлини (Пекин)| Питер Марш и Джон Рид (Лондон)| Джозеф Менн (Сан-Франциско)| Пегги Холлинджер (Париж)|Дэниэль Шафер (Франкфурт)
Статья опубликована в № 2788 от 09.02.2011 под заголовком: Файл из избы

Чтобы быть конкурентоспособным, надо тратиться на информационную безопасность

Чтобы оставаться конкурентоспособными, компаниям приходится тратить огромные суммы на информационную безопасность. В противном случае деньги они все равно потеряют – вместе с секретами

Четыре года назад Ханцзюань Цзин собиралась сесть на самолет, летящий в Пекин, когда ее остановили для выборочной проверки. Когда таможенники в аэропорту имени О’Хары в Чикаго проверили багаж 40-летней программистки, они нашли в нем более 1000 конфиденциальных документов, которые, как предполагается, были украдены у компании Motorola, из которой Цзин уволилась за два дня до задержания в аэропорту.

Согласно судебным документам таможенники также обнаружили китайскую военную документацию, каталог европейской компании, производящей оборонную продукцию, документы, посвященные возможностям использования электронного оборудования китайскими военными, составленные китайской телекоммуникационной компанией, название которой не разглашается, а также $30 000 наличными.

В уголовном обвинении против Цзин от имени компании Motorola, которое будет рассматриваться в марте в чикагском суде, утверждается, что расходы на исследования и разработку информации, которая находилась в ее распоряжении, превышают $600 млн. Выручке компании в глобальных масштабах мог быть нанесен серьезный ущерб, если бы документы были обнародованы. Цзин не признает себя виновной.

В отдельном гражданском иске, поданном Motorola, Цзин названа в качестве соответчика вместе с компанией Huawei, китайским производителем телекоммуникационного оборудования. В иске говорится, что она и другие лица «тайно занимались» разработками для китайской компании в период работы в Motorola. Huawei утверждает, что дело возбуждено Motorola «необоснованно», и отказывается его комментировать.

Цзин должна предстать перед судом, где ей предъявят обвинения по шести пунктам, по каждому из которых возможно наказание в виде 10–15 лет тюрьмы и штрафа, доходящего до $500 000. Если она будет признана виновной, многие борцы с промышленным шпионажем порадуются.

Сферы шпионов

Интерес к этой теме подогрели и широко обсуждавшиеся события во Франции, где автомобилестроитель Renault объявил об отставке трех топ-менеджеров, заподозренных в передаче конфиденциальных документов компании посторонним. По словам Карлоса Гона, гендиректора Renault, предполагаемая кража имеет отношение к разработанной компанией бизнес-модели питающихся от батарей электромобилей – сфере, в которую Renault и ее японский партнер Nissan (гендиректором которого также является Гон) инвестируют 4 млрд евро ($5,5 млрд) в надежде первыми приобрести соответствующие технологии.

«Все заметнее <...> глобализация, а игроки все сильнее <...> конкурируют. Чем сильнее конкуренция, тем сильнее преступность», – говорит Оливье Букен, начальник службы экономической разведки в Париже.

По словам Дейна Чамарро, управляющего директора по Северной Азии в компании Control Risks, занимающейся проблемами безопасности, промышленный шпионаж в настоящее время затрагивает многие важные секторы – компьютерный бизнес, автомобилестроение, телекоммуникации: «Любая компания, продукция которой связана с высокими технологиями, находится под угрозой». Исполнительный директор одной из крупнейших в мире компаний, действующих в аэрокосмической и оборонной сфере, подтверждает, что в его отрасли «промышленный шпионаж уже является проблемой и станет еще большей проблемой в будущем».

Законным путем

Сбор корпоративной информации ведется преимущественно в рамках закона, основываясь на таких традиционных действиях, как сбор обрывочной информации о конкурентах во время посещения торговых выставок. Но мало кто сомневается, что незаконная деятельность в этой сфере играет все большую роль.

Способы, которые используют для поиска секретов, разнообразны. Один из наиболее широко используемых – когда сотрудник меняет место работы, унося с собой конфиденциальную информацию. Андреа Риелло, гендиректор Riello (крупной итальянской компании – производителя станков), говорит: «В нашей компании три раза за последние пять лет были украдены технические секреты, а затем использованы в продуктах, выпущенных конкурентами. В каждом случае есть подозрения, что бывшие сотрудники передали данные другим компаниям». Сбор доказательств затруднен, добавляет Риелло, а потому его компания не пыталась юридическими методами бороться с кражей технологий.

Принимая во внимание все виды промышленного шпионажа, представители американской разведки предположительно оценивают потери в продажах из-за незаконного присвоения технологий и бизнес-идей в $100–250 млрд в год. General Motors, Ford, General Electric, Intel и Boeing входят в число американских компаний, пострадавших от промышленного шпионажа, хотя никто не хочет лишний раз обсуждать детали. В Европе озабоченность по поводу потери технических ноу-хау привела к тому, что от комиссии ЕС в Брюсселе потребовали создать группу для мониторинга иностранной инвестиционной активности.

Китайский метод

У России, Франции и Израиля также есть государственные и частные программы, направленные на получение соответствующих технологий от иностранных компаний, но методический подход Китая в корпоративной индустрии безопасности называют уникальным. Один менеджер, много лет занимавшийся корпоративной безопасностью крупных многонациональных компаний в Китае, говорит, что США рассматривают эту страну как источник наибольшей угрозы, если говорить об охоте за коммерческой конфиденциальной информацией. Найджел Инкстер, директор лондонского Международного института стратегических исследований, предупреждает, что коммерческий шпионаж в настоящее время стал «большим бизнесом», а такие страны, как Китай, заняты им «в промышленных масштабах».

В следующем месяце исполняется 25 лет с того момента, как Дэн Сяопин утвердил правительственную программу, известную как «проект 863» (она названа так по дате – третий месяц 1986 г.). «Проект 863» по-прежнему существует, финансируется и управляется китайским правительством.

Его заявленная цель – стимулирование передовых технологий с целью сокращения зависимости Китая от финансовых обязательств, связанных с иностранными технологиями. Многие на Западе считают, однако, что в программу на самом деле также входит незаконное приобретение иностранных технологий, находящихся под патентной защитой.

Независимо от масштаба и сферы деятельности «проекта 863» китайский промышленный шпионаж осуществляется очень аккуратно и осторожно. Об этом говорят специалисты по китайской экономической разведке, они называют такой подход «методом тысячи песчинок».

Китайцы собирают «все, что можно, в очень широкой сфере, которая их интересует, а затем терпеливо сортируют и анализируют находки, пока не получат нужный результат», утверждает начальник корпоративной службы безопасности одной из компаний, работающих в Китае: «Их подход контрастирует с русским – те очень амбициозны и неуклюжи».

Хакеры идут

«Промышленный кибершпионаж – одна из главных проблем, с которой сталкиваются все страны»,– говорит Мелисса Хэтэуэй, бывшая сотрудница американской разведки и руководитель группы по проблемам цифровой безопасности, созданной Бараком Обамой.

Масштабы хакерской деятельности, направленной на то, чтобы получить корпоративную информацию, по ее словам, достигли такого размера, что Комиссия по ценным бумагам и биржам (SEC) может в скором времени начать требовать от компаний отчетов перед акционерами о том, насколько хорошо они защищены от кибератак.

Из наиболее известных пострадавших – Google. В прошлом году компания стала объектом сложной хакерской атаки в Китае: нападавшие присвоили некоторые коды поисковика Google, важную составляющую интеллектуальной собственности компании. Google позднее уведомила более десятка других компаний, что они также стали жертвами атаки. Позднее сторонние исследователи пришли к выводу, что атаке подверглись более 100 компаний, в том числе большой инвестиционный банк, производитель высокотехнологичного оборудования, производители программного обеспечения и военные подрядчики. Среди тех, на кого обратили внимание китайцы, – Symantec, Adobe Systems и Northrup Grumman. Во всех случаях целью атак была интеллектуальная собственность, в том числе коды программного обеспечения, дизайн микропроцессоров и т. д.

Согласованная атака началась с компьютеров, установленных в двух университетах в Китае, один из которых имеет тесные связи с военными. Хотя китайское правительство публично отрицает связь с хакерами, многие иностранные компании и спецслужбы полагают, что подобные обвинения недалеки от истины.

Контратака разума

Что может сделать компания перед угрозой промышленного шпионажа? Свести к минимуму возможность утечки либо путем разработки соответствующих информационных технологий, либо просто следуя здравому смыслу. Другой подход состоит в том, чтобы не бояться утечек, а сосредоточиться на передовых технологиях и продуктах, которые вряд ли сможет воспроизвести кто-то еще.

Дитер Цетше, глава Daimler, немецкой автомобильной группы, говорит, что его «не волнует» кража секретов компании: «Мы не должны тратить время на защиту интеллектуальной собственности, надо стремиться быть инновационнее и быстрее, чем остальные».

Подавляющее большинство случаев кибершпионажа в США, связанных со взломом компьютерных сетей, были прослежены до электронных писем с безопасным на вид вложением, которые используют отдельные функции Microsoft Word и других программ, чтобы извлекать информацию и передавать ее посторонним через интернет. Предупреждения о таких методах шпионажа часто игнорируются сотрудниками, поэтому эксперты рекомендуют предприятиям сосредоточиться на быстром исправлении уязвимостей программного обеспечения.

Каждая компания должна принять «антишпионский» план с точным разграничением прав доступа к конфиденциальным данным, советует Франк Хульсберг из KPMG. Он также рекомендует, чтобы компьютеры, содержащие конфиденциальные данные, были отключены от интернета.

Часто виновата человеческая слабость. Питер Пендер-Кадлип, гендиректор лондонской компании ВОВ, занимающейся корпоративной безопасностью, говорит: «За каждым случаем промышленного шпионажа стоит личность, у которой был какой-то мотив, а мотивы известны веками – деньги, идеология, шантаж, эгоизм». Из этого следует, что добиваться повышения уровня жизни сотрудников – хороший способ снизить мотивацию к сведению счетов с компанией путем утечки информации.

В отдельных случаях корпоративные кражи могут быть связаны с личными отношениями. Так, недавно, например, одна германская машиностроительная компания обнаружила, что часто проигрывает конкуренту из-за цены. А потом в отделе информационных технологий обнаружился сотрудник, который оказался родственником гендиректора конкурирующей фирмы. Специалист по ИТ прослушивал офис и телефон своего гендиректора, поставил прибор слежения на его автомобиль, благодаря чему можно было определить клиентов и темы разговора с ними.

Хотя это может показаться несправедливым тем, кто работает в сфере ИТ, эксперты по безопасности предупреждают, что именно представители этой профессии зачастую являются главным источником утечек просто потому, что они находятся ближе к секретам.

Пока никто не прокомментировал этот материал. Вы можете стать первым и начать дискуссию.
Комментировать