АРХАНГЕЛЬСКИЙ: Вот давайте тонкую грань для не очень большого бизнеса с точки зрения вот этих вот моментов с каналами связи. Первую рекомендацию услышали – Skype. Что-то ещё? Как защитить каналы связи, не впадая в маниакальную, параноидальную структуру.

РОМАЧЕВ: Использовать какие-то шифровальные средства при передачи электронной почты. Можно просто архивировать Winrar. Winrar – достаточно хорошо защищённая программа, и вложенные файлы можно заархивировать и переслать. И очень трудно будет его...

КОНЮЧЕНКО: Заархивировать с паролем.

РОМАЧЕВ: Совершенно верно, заархивировать с паролем.

АРХАНГЕЛЬСКИЙ: То есть подбиралками паролей этот файл нелегко открыть?

РОМАЧЕВ: Зависит от того, какой пароль вы придумаете. Если вы придумаете "12345", то взломают быстро. А если вы придумаете пароль как положено, то взломать его будет крайне проблематично.

АРХАНГЕЛЬСКИЙ: Кстати, дайте пару рекомендаций про пароли. По-моему, такая очень простая тема, в которой именно "123", один пароль на все случаи.

РОМАЧЕВ: Да, да, да. Пароли должны содержать разные символы, большие и маленькие буквы, цифры, какие-то символы типа "%", "$".

АРХАНГЕЛЬСКИЙ: А потом это всё написано на стикере и приклеено к монитору, потому что запомнить это невозможно.

КОНЮЧЕНКО: Или передаётся в том же письме, где и архив.

РОМАЧЕВ: Как правило, есть два варианта пользования. Когда вы отправляете файл с паролем клиенту, и пароль отправляете ему SMS, то есть другим каналом. Эти каналы нужно разделять. То есть, как вариант: запароленный файл – электронной почтой; пароль – SMS.

АРХАНГЕЛЬСКИЙ: Ну, это очень простая и понятная рекомендация, не перегружено. Я слышал рекомендацию о паролях – выбирать какие-то фразы, которые тебе хорошо известны и понятны ("буря мглою небо кроет, вихри снежные крутя"), а в серединку где-то вставлять циферки. И такое, я так понимаю, уже никто не подберёт.

РОМАЧЕВ: Как один из вариантов. Чем длиннее фраза, тем сложнее её взломать.

АРХАНГЕЛЬСКИЙ: То есть, запомнить её, в принципе, не трудно, для этого не надо стикер на монитор клеить. Хорошо. Это была рекомендация Романа Ромачова, владельца компании "Р-техно". Андрей, есть ли у вас, что добавить?

АСКЕРКО: Если вы заметили, если не заметили – хочу ещё раз поднять. Вот вся тема крутится вокруг кадров. Человеческий фактор – самый главный...

АРХАНГЕЛЬСКИЙ: Я слышал, что чуть ли не 80 или 90% всех утечек и проблем, они от человека, и только 10-15% – от техники.

РОМАЧЕВ: Да, человек – самое слабое звено.

АСКЕРКО: Если вы взяли человека и не понимаете, что он из себя представляет, если служба безопасности, допустим, в крупной компании не проверяет людей, которые владеют какой-то бухгалтерской, финансовой информацией или интеллектуальной собственностью компании. Допустим, как живёт этот человек, чем живёт, чем он занимается. Может быть, он постоянно играет в игровые автоматы и ему постоянно не хватает денег? Соответственно, такой человек намного слабее, и он намного быстрее поддастся каким-то предложениям или шантажу конкурентов.

То есть человек – это всё-таки самое главное звено в любой организации. И вы должны понимать, что за люди работают. Тем более это важно, если у вас в компании десять человек. Вы их должны знать, как свои пять пальцев, и должны понимать, чем дышит каждый человек, особенно те, которые связаны с очень важной для вас информацией.

АРХАНГЕЛЬСКИЙ: Рекомендация глобальная, очень хорошая рекомендация Андрея Аскерко. Но мне, например, не очень понятно, а что делать конкретно? Службы безопасности нет, это небольшой бизнес – десять человек, пятьдесят человек, сто. Когда нет ещё возможности посадить 38 тысяч человек в отдельную службу безопасности.

Какие-то простые советы, простые рекомендации, применимые, как отсеять людей недобросовестных, желательно на входе, конечно, а не когда они попали в компанию?

АСКЕРКО: Сразу хочется сказать, что генеральный директор, он на то и генеральный, что он должен обладать некими навыками психологии, и понимать, что за человек. И когда он принимает на работу человека, он должен с ним беседовать не просто "где ты работал, чем занимался, чего любишь, выпиваешь, не выпиваешь?", и на этом закончили. Он понимает, что это человек идёт, допустим, системным администратором к нему, соответственно, он должен этого человека более досконально изучить и понять, что он из себя представляет. Как я уже сказал, позвонить на прежнее место работы, пообщаться.

АРХАНГЕЛЬСКИЙ: Это была рекомендация Андрея Аскерко, владельца компании "Спецагент". Алексей?

КОНЮЧЕНКО: У меня после кейса, описанного Романом, появилась идея. Например, я могу попросить близкого своего человека проверить нового работника на, собственно...

АРХАНГЕЛЬСКИЙ: На вшивость.

КОНЮЧЕНКО: На вшивость, да. То есть позвонить ему и спросить: "А можешь ли ты мне прислать базу клиентов?" Встречались в вашей практике примеры такие?

РОМАЧЕВ: Как вариант, такие действия иногда делают, совершают, но это немного влияет на мотивацию сотрудника. Если вы будете часто проверять, то они от вас разбегутся, потому что...

КОНЮЧЕНКО: Нет, только в начале работы. Один раз человека проверил, и если он не поддался, скорее всего, он и в будущем не будет.

РОМАЧЕВ: Не совсем так. Сегодня он может не поддаться, а завтра у него висит кредит, завтра жена заболела, нужны деньги на операцию.

АРХАНГЕЛЬСКИЙ: Ведь было же такое предложение. Дай-ка я посмотрю, кто наши конкуренты и, может быть...

РОМАЧЕВ: Да, да. Здесь лучше не навредить...

АРХАНГЕЛЬСКИЙ: То есть таких активных мероприятий, Роман, вы бы не рекомендовали?

РОМАЧЕВ: Почему? Если вы точно знаете, что человек хочет продать информацию, тогда да, надо готовить...

АРХАНГЕЛЬСКИЙ: Тогда его увольнять надо просто.

РОМАЧЕВ: Для чего увольнять? Опять же, мы не затронули тему увольнения. Увольнять нужно тоже правильно, чтобы человек ушёл от вас не со злостью, не с желанием отомстить, а ушёл от вас удовлетворённый. При увольнении сотрудника нужно у него заново брать подписи на всех документах, что он обязуется не разглашать информацию. Необходимо его инструктировать, нужно рассказывать, что он имел доступ к той информации, которая для нас является конфиденциальной. И если он будет распространять, то наступит некоторая ответственность.

Опять же, нужно говорить, что мы будем этого сотрудника мониторить, будем смотреть, куда он уходит на работу, в какую компанию устраивается. Если это конкурент, то, опять же, надо сказать, что конкурентам не должна быть рассказана информация, которой он обладал. Здесь нужен контроль и некий мониторинг в течение одного-двух лет за сотрудником, хотя бы средствами Интернета. То есть ищет он работу, не ищет, куда ушёл. Это очень легко всё делается. Многие пишут свои новые места работы в социальных сетях, то есть, тут проблем никаких нет.

АРХАНГЕЛЬСКИЙ: Хорошо. Это была рекомендация Романа Ромачова, владельца компании "Р-техно". Андрей, добавите ли вы что-то к этому?

АСКЕРКО: Наверное, нет.

АРХАНГЕЛЬСКИЙ: Хорошо. Тогда у нас есть классический, очень любимый мною блок нашей передачи – книги. Такой вопрос Алексей уже сегодня задавал. Что бы вы посоветовали почитать или посмотреть (фильмы тоже могут быть очень поучительны) на тему информационной безопасности бизнеса?

РОМАЧЕВ: У нас в России достаточно много в последнее время выпускается книг по безопасности бизнеса. У меня, например, библиотека насчитывает около 300 книг. И очень много авторов, очень много написано. Но, к сожалению, о коммерческой тайне написано очень мало. Я бы вообще рекомендовал бы подходить, как я сказал ранее, к безопасности комплексно, и покупать книги, где рассказывается о безопасности бизнеса в комплексе, а не просто о каком-то куске коммерческой тайны. Потому что проблема системна, и уделяя внимание одной проблеме, уделяя другой, вы как бы систему рушите.

У нас достаточно много интересных книг. Есть книга Игоря Нежданова "Технологии разведки для бизнеса", есть книга Евгения Ющука "Конкурентная разведка". Там, кстати, очень много рассказано о том, как нужно собирать информацию из открытых источников.

АРХАНГЕЛЬСКИЙ: Соответственно, как защищаться, чтобы такую информацию не собрали на тебя.

РОМАЧЕВ: Да, да, да. У меня есть книга "Конкурентная разведка" в соавторстве с Игорем Неждановым. Опять же, издательство "Ось-89" выпускает целую серию по безопасности бизнеса. Там уже где-то 15 книг выпущено очень интересных.

АРХАНГЕЛЬСКИЙ: Это была рекомендация Романа Ромачова, владельца компании "Р-техно" и, как мы выяснили, ещё и соавтора книги. Мне об этом не было известно. Андрей, ваш совет?

АСКЕРКО: По поводу книг Роман много чего интересного сказал, да и книги перечислил. Я бы хотел ещё рекомендовать такую книгу, я, правда, не помню автора, "Искусство обмана". Очень интересная книга, которая, я думаю, генеральному директору любой компании будет интересна.

АРХАНГЕЛЬСКИЙ: Издательство не помните?

АСКЕРКО: Издательства тоже, к сожалению, не помню. Но можно в Интернете набрать "Искусство обмана", она распространённая, интересная книга.

Потом, сейчас выпускается очень много журналов, по-моему, "Коммерсантом" – "Генеральный директор", "Финансовый директор". И там очень много информации, которая непосредственно касается безопасности бизнеса, IT-безопасности. Сейчас очень много полезной информации.

РОМАЧЕВ: Да. Есть ещё такой журнал "Директор по безопасности". Он как раз довольно-таки практичный, и там больше практики, нежели теории, очень много кейсов. Тоже рекомендую.

АРХАНГЕЛЬСКИЙ: Хорошо. На входе, скажем, генеральному директору стоило бы это почитать, не впадая в маниакальную параноидальность, всё-таки ознакомиться. Спасибо нашим гостям за рекомендации.

Напомню, друзья, мы говорили об информационной безопасности бизнеса. Разобрали эту тему и с точки зрения безопасности со стороны сотрудников, кадровой безопасности, информационной безопасности и с точки зрения взаимоотношений с внешним миром, с клиентами, социальными сетями, с нашими сотрудниками после того, как они перестали быть сотрудниками компании.

Напомню, в гостях у нас были: Роман Ромачов, владелец компании "Р-техно", занимающейся конкурентной разведкой; Андрей Аскерко, владелец компании "Спецагент", обеспечивающей информационную безопасность бизнеса; Алексей Конюченко, владелец компании "Top-7", одной из компаний, входящих в бизнес-инкубатор "Точка входа". Который и был поставщиком практической проблемы информационной безопасности.

Всем до свидания. В эфире была программа "Время предпринимать". До встречи в следующий понедельник.