По оценкам представителей охранного рынка, в Иванове отношение к охране бизнеса колеблется от надежды «на авось» до серьезного продумывания охранной стратегии еще на стадии открытия дела.
Но даже при лучшем раскладе вопрос комплексной безопасности бизнеса зачастую сужается до контроля доступа в помещение, то есть защиты от внешних посягательств. А между тем, любое предприятие может столкнуться с проблемой недобросовестности сотрудников, утечки важной информации, атаки компьютерных вирусов и т. д. По оценкам американского Института компьютерной безопасности (CSI) ущерб, нанесенный вследствие электронного мошенничества, только среди опрошенных компаний превысил в прошлом году $123 млн., а в мировом масштабе эти убытки исчисляются десятками миллиардов долларов ежегодно. Методы взлома систем безопасности год от года становятся все изощреннее, а это побуждает разработчиков охранных устройств изобретать более совершенные методы защиты информации и контроля доступа, соответствующие запросам корпоративного рынка.
Как в кино
У многих словосочетание «биометрические системы доступа» ассоциируются исключительно с голливудскими экшенами, в которых можно увидеть многообразие суперсовременных средств защиты и контроля доступа. Никаких сложных паролей, никаких аппаратных ключей и смарт-карт: подставил палец, система отсканировала отпечаток - и ты внутри. На самом деле, системы доступа и защиты информации, основанные на технологиях идентификации человека по его уникальным биологическим признакам, давно в ходу, и на сегодняшний день они не только самые надежные, но и, похоже, самые удобные.
До 11 сентября 2001 года биометрические системы обеспечения безопасности использовались для защиты только военных секретов и самой важной коммерческой информации. Но после американской трагедии ситуация резко изменилась. Для усиления безопасности подобными системами были оборудованы важные объекты «жизнедеятельности», такие, как аэропорты, финансовые предприятия и медицинские учреждения, правительственные институты. Повышенный спрос активизировал исследования в этой области, что, в свою очередь, привело к появлению новых устройств и целых технологий, а создавшаяся конкуренция послужила причиной к значительному уменьшению цены на этот товар. Именно поэтому сегодня такими системами безопасности стали обзаводиться промышленные предприятия и крупные фирмы.
В нашей и соседних областях довольно высокий спрос на биометрические системы безопасности, однако предложений крайне мало, - говорит Дмитрий Харитонов, директор по развитию компании «Центр офисной безопасности». – Рынок прикладных биометрических решений пока неразвит и в целом по России. Руководство компании Вiоliпk Тесhпоlоgiеs, производителя биометрических систем, с которым мы сотрудничаем, крайне заинтересовано в освоении российского рынка и отлично понимает, что продвижение будет проходить медленно и сложно. Существуют препятствия - расхожее недоверие потребителей к электронике и высокая стоимость этих систем (из-за программно-аппаратного решения) в сравнении с системами, основанными на смарт-картах: первые примерно на 15% дороже. Но если говорить об аппаратных системах доступа, то здесь порядка 40% занимает стоимость расходных материалов, и предприятие будет из года в год менять смарт-карты, производить перекодировку и прочее, потому что одни сотрудники увольняются, другие приходят, и обновление должно быть постоянным. В биометрических системах это предусмотрено заранее - удалить старый и ввести новый файл с информацией о сотруднике достаточно просто, и это не требует дополнительных вложений.
Биометрические системы, как правило, используются по двум на- правлениям: для контроля физического доступа и доступа к информации. В настоящий момент это одна из технологий, наиболее полно отвечающих требованиям различных секторов. В биометрических системах используются физические характеристики человека, которые автоматически почти мгновенно анализируются. Оцифрованные отпечатки пальцев, записи голоса, анализ радужной оболочки глаза и лица, геометрия рук и подписей - все это используется для идентификации человека.
Так называемые системы контроля и учета доступа - это биометрические проходные на заводах, для которых разработана специальная серверная часть программы BioTime, - говорит Дмитрий Харитонов, - она позволяет обслуживать с очень большой скоростью пиковый поток людей - до 5000 человек. Наша основная клиентура - крупные предприятия, которые нуждаются в адекватном учете рабочего времени (системы не только непосредственно обеспечивают доступ, но и содержат информацию о времени нахождения сотрудников на работе). Другие решения - доступ к компьютерам: мышь со сканером для большого пальца, микрофон или веб-камера и специальное программное обеспечение - это все, что нужно для построения простейшей биометрической системы защиты информации. Биометрические решения сегодня находят широчайшее применение: Их можно использовать в любых общественных местах, имеющих реальную или потенциальную базу постоянных клиентов.
Перед тем, как посадить человека на аппарат, следует заручиться его до6ровольным письменным согласием на проведение этой процедуры. Этот закон действует во всех странах мира.
Компьютер как угроза
Включенный и оставленный пользователем без присмотра персональный компьютер представляет собой столь же серьезную угрозу безопасности, как и утерянные пароли, РIN-коды или электронные ключи. Это понимает большинство владельцев бизнеса, и ограничение доступа к рабочим машинам - для многих обязательная процедура. Также в понятие компьютерной безопасности входит защита от вирусных атак. По данным британской компании McAfee, специализирующейся на рынке компьютерной безопасности, до 70% всех малых и средних предприятий когда-либо подвергались нападениям вирусов, что в среднем обошлось каждой фирме в 1 265 евро плюс 7,2 часа бездействия компьютера.
Но, если включить в вопрос компьютерной безопасности использование лицензионного программного обеспечения (ЛПО), то нельзя не согласиться, что в России (а уж тем более в Иванове) подавляющее большинство коммерческих предприятий использует в работе нелицензионные софты. И это совершенно несправедливо. Распространители ЛПО отмечают, что это относительно новый и проблемный товар, на Ивановском рынке в особенности. Слишком долго существовала и до сих пор существует практика использования исключительно нелицензионных программ, и теперь (парадокс!) нужны неоспоримые доводы в пользу использования лицензионных.
Незаконное копирование программного обеспечения - в любом случае риск для компании. Нарушение требований закона об авторских правах влечет за собой юридическую ответственность и может негативно отразиться на репутации фирмы. В «пиратских» копиях программного обеспечения могут содержаться те же вирусы, способные поражать отдельные компьютеры и целые сети. Производитель программного обеспечения не предоставляет технической поддержки нелицензионных копий продуктов, к тому же они могут стать причиной несовместимости программ, которые в обычных условиях хорошо взаимодействуют друг с другом.
Главный довод приверженцев нелицензионного ПО - его низкая стоимость и незначительные отличия от фирменного, - отмечает Дмитрий Харитонов. - Считается, что с точки зрения получения прибыли и здравомыслия устанавливать ЛПО нецелесообразно - оно не дает эффекта, не приносит добавленной стоимости, не увеличивает маржу. Но сам факт наличия ЛПО не только освобождает вас от юридической ответственности за использование контрафактной продукции в коммерческих целях, но и значительно поднимает имидж компании. В глазах клиентов фирма обретает статус платежеспособной, устойчивой и финансово стабильной организации, серьезно подходящей к принципам построения своей деятельности.
Доверяй, но проверяй
В понятие комплексной, многоступенчатой офисной безопасности может входить многое, - говорит Александр Насонов, генеральный директор объединения структур безопасности "Тауэр». - Если предприятие действительно готово себя защитить, то в помещении необходимо периодически проводить полный спектр мероприятий по выявлению негласного съема информации. Хорошо бы проводить мониторинг офисных помещений на возможность присутствия подслушивающих устройств, но, к сожалению, в Иванове нет охранного предприятия, которое бы имело лицензию ФСБ на проведение таких проверок. Лицензия и специальные приборы стоят не один десяток тысяч долларов, а обыкновенным индикатором поля "жучков» выявить невозможно. Поэтому полагаю, что легально в Иванове этим никто не занимается. Но все равно следует периодически обновлять систему контроля доступа, проверять персонал на предмет разглашения важных сведений (этим занимаются психологи или люди смежных профессий). Известно, что при проверке персонала на детекторе лжи (если работает хороший специалист своего дела) раскрываемость преступления составляет до 90%.
Детекция лжи - процедура, давно переставшая быть прерогативой правоохранительных органов. Сегодня это такой же частный бизнес, как наладка компьютерных сетей или клининг, и, в то же время, услуга, доступная не только крупным корпорациям, но и представителям малого и среднего бизнеса.
Что такое детектор лжи по сути? Этот прибор в действительности не измеряет таких категорий, как правда или ложь, он просто фиксирует психофизиологические реакции испытуемого, возникающие при ответах на вопросы оператора. Для того чтобы картина ответов была достоверной, необходимо измерить не менее трех показателей: дыхание, кожно-гальваническая реакция (потоотделение), давление. Кроме этого можно использовать тремор (двигательную активность), давление периферических сосудов, мимику, голос и т. д. - всего до 12 параметров. Не зря этот аппарат называют "полиграфом» - от латинского "многописец».
В декабре прошлого года «Бизнес журнал» писал о разработчике полиграфов, руководителе московской компании "Поликониус-Центр» Александре Сошникове. После выхода статьи число желающих обучиться искусству полиграфолога значительно увеличилось. Среди них оказался и ивановский предприниматель Юрий Рубинчик.
Эта деятельность специфична для нашего региона, ниша была пуста, а быть первым всегда трудно, - говорит Юрий Рубинчик. - Но сейчас новые клиенты приходят в основном по рекомендациям тех, кто у меня уже проверялся. У меня полиграф такой же марки, как у Александра Сошникова - "Диана 01 ». Сам прибор - это небольшой блок, который подключается к ноутбуку. Датчики одеваются испытуемому на грудь и пальцы, манжетка - на предплечье, и сеанс можно начинать. Важная юридическая составляющая: перед тем, как посадить человека на аппарат, я должен заручиться его добровольным письменным согласием на проведение этой процедуры. Такой закон действует во всех странах мира, причем неважно, проводится ли криминальное расследование или заказное.
Чистка кадров
Работа специалиста-полиграфолога бывает двух вариантов: скрининг (кадровый подбор) и расследование. В мировой практике сложилось такое соотношение: 70-80% полиграфологических обследований населения составляет скрининг, и только 20-30% падает на расследования уже совершенных преступлений, будь то кража на предприятии или разглашение закрытой информации. В зависимости от заказа клиента подбирается тест и строится беседа с сотрудниками. Обследование с помощью полиграфа состоит из нескольких этапов, и непосредственный сеанс детекции - этап далеко не самый главный. Есть много сопутствующих, не менее важных моментов, в их числе - подготовка вопросов и обработка результатов. Поэтому не рекомендуется обследовать больше двух человек в день, этот процесс трудоемкий и кропотливый, это тяжело физически и психологически. Еще до начала работы полиграфолог подробно обговаривает с руководителем фирмы цели, сроки и объем работы. Если руководитель хочет провести скрининг персонала, то рекомендуется пренебречь скоростью исполнения во имя эффективных результатов. В Москве есть возможность при большом объеме работы и коротких сроках пригласить на предприятие нескольких специалистов, которые будут работать параллельно, каждый со своим полиграфом.
В Иванове встречаются самые разные заказы: проверяют от грузчиков до начальников службы безопасности и даже гендиректоров, - отмечает Юрий Рубинчик. - Принцип «доверяй, но проверяй» - разумен, но я придерживаюсь мнения, что честных людей больше. Поэтому часто задача полиграфолога состоит не в том, чтобы найти виновного, а в том, чтобы во время расследования оправдать невиновных. Если на фирме произошла кража, и круг подозреваемых замкнут (скажем, доступ в комнату, «где деньги лежат», имели пять человек), то ясно, что как минимум один из пяти - вор, и он непременно будет выявлен. Но если же круг большой (на предприятии работают сотни человек, и товар постоянно уходит), то сажать на полиграф триста человек одного за другим просто неэффективно. Надо сначала принять какие-то меры, сузить круг подозреваемых. Эффективным расследование будет, если круг состоит максимум из 10-12 человек.
Чтобы поставить барьер хищениям или утечке информации, вовсе не требуется частых и массовых проверок. При численности на фирме в 50-100 человек достаточно будет выборочно проверять на полиграфе 2-3 работника в месяц. В Москве руководители предприятий платят за тестирование одного сотрудника от 100 до 200 долларов при скрининге и от 200 до 500 при расследовании, в зависимости от глубины исследования и поставленных задач. В Иванове расценки на такую услугу ниже, в год это обойдется фирме в 2-3 тысячи долларов.
Полиграфологи утверждают, что после разовой кадровой проверки даже на фирмах с серьезной службой безопасности показатели финансовых потерь заметно падают, обороты растут, трудовой коллектив меняет свое поведение и перестает злоупотреблять своими полномочиями. Кроме того, в коллективе выявляются «слабые звенья». Однако, «увлекаться» этим средством защиты не стоит. Полиграф обостряет взаимоотношения между «верхами» и «низами», «добровольно-принудительные» обследования неприятны, и это может не снизить, а, наоборот, увеличить текучесть персонала.
На моей практике не было случаев, чтобы люди отказывались обследоваться, - говорит Юрий Рубинчик. - Разумеется, человек имеет право отказаться, но это бросает на него тень подозрения. Есть множество психологических практик, которые могут повернуть ситуацию в положительное русло. После проведения определенной работы человек либо сядет на аппарат, либо мотивировка отказа и его поведение при этом даст возможность заключить, какова причина отказа в действительности. Кроме того, у специалиста-полиграфолога есть определенные рамки, ограничения, которые налагает профессия: не задавать неэтичных вопросов и не вторгаться в личную жизнь испытуемого.
Услуги полиграфологов становятся все популярнее - во многих западных странах изначально закладывают определенный бюджет на работу с кадрами, в том числе и на полиграф. Лет десять назад Россия вступила на путь, по которому развивается цивилизованный мир, и можно предположить, что в ближайшем будущем системы идентификации и детекторы лжи у нас будет применяться гораздо шире, чем сейчас. Пока в Иванове многие еще довольно смутно представляют себе эффективность этих методов, считая последние достижения разработчиков систем компьютерной безопасности ненужными излишествами. Хотя в соотношении «цена И результат» эффект от внедрения новейших средств комплексной многоступенчатой безопасности бизнеса ожидается очень высокий.
Статья была взята из издания "Ивановский Бизнес - Журнал"