Эффективной может быть лишь комплексная система защиты, сочетающая следующие меры: законодательные, морально-этические, нарушение которых ведет к потере авторитета, технические, административные. В частности, необходимо стремиться исключить уход сотрудников, используя, например, систему пожизненного найма, при заключении контракта брать с сотрудника письменные обязательства о неразглашении тайн фирмы, разумно ограничить доступ к информации, заключать договорные отношения с заказчиками и поставщиками о неразглашении коммерческой тайны.
Эти условия выполнимы при наличии соответствующего законодательства. Если его нет, все усложняется. Конкурент может с легкостью купить, похитить, добыть любую информацию у разработчика и производителя. Тем не менее, если фирма приступила к разработке новой идеи, необходимо предусмотреть стандартные меры по ее защите. Для того чтобы предъявить иск в случае хищения интеллектуальной собственности, закон о коммерческой тайне США рекомендует:
1) указать ценность информации, т. е. какие средства затрачены на разработку идеи и во что обойдется ее несанкционированное обнародование;
2) назвать, какие меры защиты данного секрета были вами предприняты.
Наибольший доступ к получению информации, как известно, имеют журналисты. Поэтому предприниматели, банкиры, коммерсанты, если им приходится сталкиваться с журналистами, должны осмотрительно относиться к диалогу. Фирмы, занимающиеся экономическим шпионажем, часто используют в качестве своих агентов профессионалов-газетчиков. Российский закон о печати наделяет журналиста правом "искать, получать и распространять информацию", и, независимо от возможности разглашения тайн, агент не остановится ни перед чем для получения интересных данных. Это влечет за собой реальную опасность прямого или косвенного ущерба для бизнеса. Следует отметить то, что человек, вступивший в диалог с журналистским диктофоном или объективом телекамеры, меняется, забывая об осторожности и интересах фирмы. Это некий психологический феномен, опираясь на который, можно в большинстве случаев добиться значительных результатов. Для постоянного общения с представителями прессы необходимо назначить компетентного, толкового сотрудника, способного контролировать сохранение коммерческих секретов фирмы.
Обобщив сказанное, приведем ряд рекомендаций, которые помогут правильно сориентироваться в сложившихся производственных коммерческих отношениях на отечественном рынке.
1. Охрана секретов и интересов остается частным делом фирмы, в связи с чем требуется создание развитых структур защиты. Это, естественно, не та примитивная "крыша", основным достоинством которой считается сила, и не служба, ограниченная утвержденными инструкциями советского времени. Это должна быть личность, возглавляющая коллектив или действующая самостоятельно, интеллектуально развитая, настроенная на аналитическую деятельность, способная принимать решения и выдавать рекомендации.
2. Накануне острой конкурентной борьбы за рынок необходимо получать полнейшую информацию о потенциальных соперниках. Необходимо создание служб безопасности, занимающихся вопросами сбора и обработки информации о конкуренте, либо использование услуг фирм, специализирующихся на этом виде деятельности.
3. Перспективно создание фирм, занимающихся сбором промышленной и коммерческой информации по заказам клиентов. Потребность в услугах таких фирм должна быть достаточно высока.
4. Большое значение в вопросах получения и сохранения конфиденциальной информации имеет правильное использование журналистского корпуса.
Технические средства хищения и защиты деловой информации
В магазине позади прилавка висит огромное зеркало.
- Зачем вы повесили зеркало? - спросили директора.
- Чтобы покупательницы не смотрели на весы.
Для защиты секретов существует целый арсенал средств, способов, приемов. Но все равно средства хищения превосходят по числу и качеству средства защиты. В Колумбии, например, чтобы сохранить достояние, музей золота не имеет окон. Частный банк в Люксембурге купил под свои помещения заброшенную тюрьму. Подобные ухищрения в значительной мере способствуют сохранению имущества и секретов фирмы. И тем не менее современный уровень средств получения информации может свести на нет все способы защиты.
Зарубежные предприниматели тратят до 20 % прибыли на получение информации о конкурентах и контршпионаж. Мошенник, который в этой главе называется промышленным шпионом, может получать информацию в рукописном или машинописном виде, на магнитных носителях и аудио-, видеокассетах. Для получения информации на каждом из названных носителей служит большой набор технических средств, описанный в каталоге-справочнике.
Из шпионской аппаратуры на нашем рынке можно купить практически все, в том числе и то, что во многих странах продается с большими ограничениями. Предлагаемый набор включает:
- средства проникновения (отмычки, резаки, а также средства, позволяющие считывать письменную информацию через конверт, комплексы восстановления скрытых записей и т. д.);
- подслушивающие устройства (передатчики, микрофоны, стетоскопы, магнитофоны, устройства для прослушивания телефонов, факсов, телексов);
- системы скрытого видеонаблюдения (миникамеры, эндоскопы, фотоаппараты слежения);
- средства контршпионажа (аппаратура обнаружения подслушивающих устройств, скремблеры, маскираторы, шифраторы, системы защиты информации);
- системы компьютерного шпионажа.
На кого же работают секретные технологии, разработанные спецслужбами? Ими в большой мере пользуются сегодня представители криминальных кругов, добывая нужную информацию. Но рынок ее использования постоянно расширяется. Огромный арсенал средств аудионаблюдения можно разделить на две группы:
1) устройства, устанавливаемые на линиях связи (в основном телефонных, хотя имеется уже возможность считывать акустическую информацию и с других линий, например, с электропроводки);
2) устройства, излучающие сигнал в эфир, действующие автономно или использующие напряжение телефонной линии.
В мире существуют тысячи разновидностей радиомикрофонов, которые называются "жучок", "клоп" или "закладка" (от слова "заложить"), в том числе в России только за последние годы разработано более 100 типов подобных устройств. Их легко купить на рынке. Стоят они от 10 долл. "Слушают" звуки в радиусе до 20 м и передают информацию на расстояние до километра. Период активного существования радиомикрофона может продолжаться от нескольких часов до 20 лет. Эти передатчики маскируются в стакане, пепельнице, картине, зажигалке и т. п. Работают в широком диапазоне частот, в непрерывном режиме или включаются при появлении голоса либо иного звука. Могут сначала записать все, а уж потом передать в эфир.
Ряд устройств (трансформаторы, усилители, реле) обладают микрофонным эффектом, поэтому электронные часы, датчики пожарной сигнализации, телефонные аппараты, магнитофоны, проигрыватели могут быть "естественным" источником наведенного акустического сигнала. Если такой прибор во время разговора включен в сеть, то по сети распространяются акустические волны. Достаточно подключиться к электрической, телефонной, пожарной сети - и звук можно уловить и прослушать. Такие устройства существуют и их можно приобрести на рынке. В качестве защитного средства служит генератор электромагнитного шума, включенный в сеть.
Подслушать ваш телефонный разговор может любой желающий: от соседа-дилетанта до детектива. Подключиться к линии можно во многих точках, начиная с кабеля АТС, обслуживающей район, и кончая стандартной распределительной коробкой, от которой расходится 10 телефонных пар по квартирам. Для этого можно использовать примитивный инструмент телефонного мошенника - трубку монтера с номеронабирателем. Используя ее, подключившись к любому телефонному проводу, можно сделать бесплатный звонок в Америку или Австралию. Это распространенный сейчас вид мошенничества. Достаточно часто мы получаем счета за переговоры, которые никогда не вели. Но главное в этом случае не материальные потери, а потеря информации.
Радиотелефон еще более уязвим, поскольку информация передается в эфир. Для съема информации может служить обычный радиоприемник, а профессиональные мошенники, добывающие информацию абонентов сотовой связи, используют специальную аппаратуру, позволяющую в короткое время определить частоту, на которой контролируемый аппарат произвел соединение с абонентом, и записать информацию.
В Петербурге сотни тысяч клиентов сотовой радиотелефонной связи и только одна компания работает с цифровой передачей речи. Это затрудняет проблему радиоперехвата сообщений. Дальность радиоперехвата не меньше дальности работы телефона. По излучению радиосигнала можно установить местонахождение абонента. Именно так у немецкой фирмы "Schmidt und Fonke", которая конкурировала с другими компаниями в разработке месторождений на дне моря, был похищен ее самый ценный секрет: точное географическое положение обследованного района. Поэтому при переговорах по радиотелефону соблюдайте следующее:
1) не упоминайте важных сведений: сумм договоров, фирм, фамилий, мест проведения встреч и т. п.; в крайнем случае, используйте простейшие кодограммы (например, "совещание назначено в "семерке"", "я поехал к "первому"");
2) не ведите переговоры при движении по важным для вас маршрутам; остановитесь, например, у универмага, сделайте звонок и продолжайте движение;
3) не афишируйте номер своего телефона; сообщайте своим клиентам, партнерам номер телефона офиса; пусть только секретарь связывается с вами, докладывая о поступивших важных звонках.
При покупке радиотелефона уточните:
- как осуществляется защита от прослушивания переговоров;
- как уберечься от несанкционированного использования вашего номера;
- как вы можете проверить предъявленные вам счета за переговоры;
- как решаются спорные вопросы об оплате переговоров, которые вы не вели.
Если вы не получите удовлетворительных ответов, то следует поискать более авторитетную фирму.
Информацию надежнее передавать с помощью факса, чем через телефон. Перехватить факс гораздо труднее, чем подслушать телефонный разговор. Правда, от прослушивания властными структурами ваши средства связи и ваш офис защитить невозможно.
Для получения информации широко используют не только аудио-, но и видеосистемы. Скрытое наблюдение можно вести в самых трудных условиях: практически в абсолютной темноте, через отверстия диаметром 3 мм (и это не отражается на качестве снимков); изображение и звук можно транслировать на расстояние в несколько десятков километров, обеспечивая дистанционное управление. Специальную фотоаппаратуру размещают в часах, запонках и т. п., так что даже профессионал не всегда заметит ее. Стоимость систем - от нескольких сотен до нескольких тысяч долларов.
Можно перехватить речевой сигнал, считав виброколебания. Для этого служат стетоскопы и лазерные микрофоны. Со стекол звуковая информация считывается лазерным прибором, в коммуникационные шахты и каналы опускаются микрофоны, со стен и перекрытий звуковая информация снимается стетоскопом, то есть практически отовсюду можно добыть информацию техническими средствами.
Средства защиты, которые используются в контршпионаже, непрерывно совершенствуются. Средства обнаружения "жучков", как правило, специализированы и обеспечивают поиск работающих и неработающих устройств прослушивания. Простейшие устройства поиска "жучков", включенные в линию, через небольшое время сканирования выдают сигнал тревоги. Имеются разрушители "жучков", которые посылают мощный электрический заряд по телефонной линии, где предполагается наличие "закладок". Самый простой и дешевый прибор по обнаружению "закладок" на радиорынке стоит 100–200 долл. Более сложную аппаратуру по обнаружению "жучков" можно приобрести за 15 тыс. долл. Портативное устройство этого класса, смонтированное в чемоданчике, сигнализирует владельцу, что его подслушивают. Проверка помещений на отсутствие радиозакладок стоит от 50 до 100 долл. за квадратный метр. В контршпионаже обнаруженные приборы зачастую не устраняют, а оставляют на месте для передачи ложной информации.
Детектор, обнаруживающий записывающий магнитофон, можно носить в кармане пиджака, его загорающийся светодиод дает знать об опасности. Существуют устройства для обнаружения работы скрытой видеокамеры, определяющие место ее расположения.
Системы криптографической защиты информации позволяют перевести аналоговый сигнал в цифровой код, считывание которого возможно при наличии у абонента соответствующего устройства. Широкое применение нашли скремблеры. Существуют устройства маскировки тембра голоса, имеющие несколько уровней тембрового звучания: от детского и женского до самого низкого мужского.
Параметры спецтехники, используемой для сбора конфиденциальной информации экономическим шпионом, достойны восхищения:
- аппарат с телеобъективом размером со спичечный коробок, который фотографирует печатный текст на расстоянии 100 м;
- бумага, поглощающая свет, тем самым исключающая возможность фотокопирования текстов и чертежей;
- ружье-микрофон с лазером, гарантирующее хорошее качество речевой информации, снятой с двойных стекол на расстоянии нескольких сотен метров,
- радиопередатчик, вмонтированный в зуб;
- стетоскоп, позволяющий подслушивать разговоры не только в соседней комнате, но и через ряд комнат,
- бинокль с вмонтированным фотоаппаратом, снимающий на расстоянии до одного километра;
- зажигалка с магнитофоном и радиопередатчиком.
Уровень промышленного шпионажа можно характеризовать объемом продаж атрибутов шпионажа. Например, в Великобритании ежедневно продается до 200 подслушивающих устройств.
Закон о частной детективной и охранной деятельности гласит: "Запрещается использовать в своей деятельности специальные и технические средства, предназначенные для скрытого получения информации". Следовательно, детективам - запрещено, а просто гражданам или лицам криминальных группировок можно использовать все возможные средства, так как они не подпадают под действие этого закона.
Сегодня государство предпринимает робкие попытки противостоять компьютерным взломщикам. В МВД создано специальное подразделение по борьбе с ними, в котором на каждого сотрудника приходится по тысяче хакеров, и число их все пополняется молодыми студентами и инженерами, не находящими работы.
В банках появились отделы по информационной безопасности, которые разрабатывают комплексные методы защиты. Структура банковской сети, объединяющей филиалы не только страны, но и континентов, содержит несколько уровней, каждый из которых используется специалистами для различных целей. Самый защищенный - операционный уровень, доступ в который имеют несколько лиц, все действия при этом строго фиксируются. Есть другие уровни, которые используются для информационных целей, переписки, текущей работы. Защищенность этих уровней различна, а некоторые электронные ящики доступны прямому выходу на сеть Internet. Обслуживают сети филиалов разные по квалификации специалисты, поэтому у мошенника всегда найдется возможность "взломать" защиту и получить доступ к информации.
Способствует успеху хакера слабая подготовка или некомпетентность специалистов, обслуживающих сеть. Основными функциями, которые должна осуществлять система защиты, являются: идентификация субъектов и объектов, разграничение доступа к вычислительным ресурсам и информации, регистрация действий в системе.
Практика защиты информации диктует необходимость придерживаться следующих принципов безопасности:
1) ограничение доступа к информации всех, кто не должен ею обладать;
2) установка ловушек для провоцирования несанкционированных действий, когда, например, регистрируются те, кто пытается войти в систему защиты через специально оставленное "окно";
3) ограничение в управлении доступом к ресурсам компьютера; все лица, связанные с разработкой и функционированием защиты, не должны быть пользователями системы;
4) всеобщее применение средств разграничения доступа ко всему множеству защищаемых подсистем.
При идентификации используются различные методы: простые, сложные или одноразовые пароли, ключи, магнитные карты, средства анализа индивидуальных характеристик (голоса, отпечатков пальцев, геометрических параметров рук или лица) и т. п. При выполнении процедуры идентификации и установлении подлинности пользователь получает доступ к вычислительной системе, и защита информации осуществляется на трех уровнях: 1) аппаратуры; 2) программного обеспечения; 3) данных. Защита на уровнях аппаратуры и программного обеспечения предусматривает управление доступом к таким вычислительным ресурсам, как отдельные устройства, оперативная память, операционная система, специальные служебные программы. Защита осуществляется электронным блоком, доступ к которому имеет только "хозяин", открывающий его электронным ключом.
Защита информации на уровне данных используется при передаче информации по каналам между пользователем и ЭВМ или между различными ЭВМ и на обеспечение доступа только к разрешенным данным и допустимым операциям над ними. Для защиты информации при ее передаче целесообразно шифрование: данные шифруются перед вводом в канал связи, а расшифровываются на выходе из него. Для этого в компьютеры абонентов устанавливаются дополнительные платы, которые занимаются шифровкой и дешифровкой информации. Стоимость такого комплекта - несколько сотен долларов. Управление доступом к информации позволяет ответить на вопросы: кто, какие операции и над какими данными может выполнить. В частности, для коммерческих целей в последнее время используется "электронная подпись", позволяющая исключить отправление сообщения от вашего имени. Например, платежку в банк о перечислении денег с вашего счета примут только с вашей "электронной подписью". Правда, мошенники и здесь на высоте - оказалось возможным изменить содержание файла, оставив подпись в силе.
Система защиты доступа к информации регистрирует все действия, которые выполняют пользователи. Сведения об этом легко контролируются и собираются в специальном "журнале", доступ в который имеет только администратор. Например, можно увидеть, если кто-то несколько раз пытался вскрыть пароль.
Кибершпионаж совмещает в себе научные достижения с обычным воровством, сверхумные компьютеры с мелким мошенничеством, высокое образование с ограблениями, невиданными ранее не только по способам, но и по масштабам. Эти преступления - самые сложные для раскрытий. О них известно немного. Руководство банков нуждается в услугах специальных служб, чтобы выяснить, кто тайно манипулирует программами или торгует информацией. Объем компьютерных махинаций - примерно 200 млрд долл. ежегодно и постоянно растет. Фирмы, специализирующиеся на компьютерной безопасности, утверждают, что средние потери от одного налета составляют до 1,5 млн долл. В США преступникам удается расшифровать до 20 % программ, используемых банками. Все эти преступления и ограбления держатся в тайне. В противном случае клиенты могут спросить, как же банкам можно доверять чужие деньги, если они свои не умеют хранить. Даже когда налетчиков выслеживают, банки не возбуждают уголовное дело, пытаясь сохранить престиж.