Чем успешнее компания, тем больше желающих раскрыть секрет ее эффективности. Как фирма Х зарабатывает миллион там, где остальные довольствуются тысячами? О чем договорилась с партнерами компания Y? По какой технологии производится продукт Z – лидер продаж? Конкурентов всегда будут интересовать подобные вопросы. И важно знать, как сохранить ответы в тайне.
В конце июня на рынке сотовой связи произошло примечательное событие. Давние конкуренты «Мобильные телесистемы» и «Вымпелком» в один день выступили с подозрительно похожими маркетинговыми инициативами, которые касались тарифных планов категории препейд. «Вымпелком» изменил правила пользования карточками «Би+», а МТС предложила абонентам новый тариф «Супер Джинс». Фактически операторы сделали одно и то же – сняли ограничения по срокам действия платежей, что позволит существенно расширить число клиентов (раньше не выговоренные абонентом в течение определенного срока деньги просто «сгорали»). На рынке мобильной связи это далеко не первое «совпадение». Например, в октябре прошлого года оба оператора с разницей в несколько часов объявили о соглашении со Сбербанком РФ (речь шла о предоставлении комбинированной услуги для общих с банком клиентов). Синхронизация действий прослеживалась и в разработке компаниями отдельных тарифных планов. Но если до сих пор этому не придавалось особого значения, то на сей раз «Вымпелком» предположил, что имела место утечка информации, и даже провел внутреннее расследование.
После трехдневной проверки служба безопасности выявила источник утечки. Один из сотрудников «Вымпелкома» якобы поделился ближайшими планами компании с приятелем, а тот не преминул обнародовать эту новость на сайте, посвященном сотовой связи. У МТС иная версия событий: идея, мол, витала в воздухе и ее одновременное воплощение не более чем случайность. Однако некоторые наблюдатели сочли эту историю типичным примером маркетингового шпионажа.
Информация о маркетинговых планах является коммерческой тайной, и ее утечка (если она действительно произошла) причинила «Вымпелкому» ущерб. Подобные коллизии характерны для большинства рынков, где существует острая конкуренция. Инновации, клиентские базы, содержание контрактов, рекламные идеи, условия работы с поставщиками и контрагентами, финансы, технологии – многие из этих тайных сведений нередко становятся явными, попадая именно к тем, от кого их в первую очередь охраняют. В результате потери компаний от утечки могут исчисляться десятками, если не сотнями тысяч долларов.
Секрет инофирмы Второй этап включает уже непосредственно меры по недопущению утечки коммерчески важной информации. Например, осуществляется контроль за перемещением находящихся в офисе людей. Всех сотрудников обязывают носить на одежде идентификационные карты. Вводится круглосуточная охрана, в комнатах устанавливаются камеры слежения, системы сигнализации и контроля за визитерами. Например, американский пищевой гигант Kellogg вообще не допускает на свои производственные мощности посторонних визитеров, с тех пор как в 1986 году были выявлены случаи коммерческого шпионажа. Секретная документация, а также помещения для ее хранения маркируются специальными предупреждающими знаками. Помимо этого хранилища оснащаются дополнительными системами контроля. Доступ к ним ограничивается, вводятся часы посещений. Показателен пример компании Coca-Cola, тщательно оберегающей рецепт изготовления одноименного напитка. Формула рецепта не является тайной только для двух сотрудников компании, но для кого конкретно их сослуживцы не знают. Сама формула хранится в депозитарии одного из банков и может быть извлечена только по решению совета директоров. С работниками, имеющими доступ к секретной документации, заключается письменное соглашение, в котором они обязуются не разглашать конфиденциальные данные и уведомляются о возможной ответственности (вплоть до уголовной). Подобного рода соглашения подписываются и со стратегическими бизнес-партнерами. Так, в 1994 году небольшая техасская компания Voice Control Systems переманила у своего конкурента Texas Instruments несколько специалистов, располагавших информацией о секретных разработках, которую они открыли новым хозяевам. В результате последующих судебных разбирательств эти сотрудники были приговорены к различным срокам тюремного заключения, а Voice Control Systems, опорочив свою деловую репутацию, разорилась. В начале 2003 года компания из штата Юта SCO Group выдвинула против IBM иск на $1 млрд, требуя возмещения ущерба за несанкционированное использование коммерчески важной информации. SCO Group, которой принадлежит интеллектуальная собственность на большую часть операционной системы Unix, обвиняет IBM в незаконном получении кодов этой системы и последующем их использовании для усовершенствования ОС Linux. Слушания в суде длятся до сих пор. Стоит отметить, что в западных компаниях сотрудники получают доступ к документам, содержащим коммерческую тайну, только если это действительно необходимо. Доступ носит строго персонифицированный характер. Копирование документов допускается в крайнем случае с условием последующего уничтожения копий. Внутренняя компьютерная сеть компании обеспечивается защитой от незаконного проникновения как извне, так и изнутри. Вводится система персонифицированного доступа в сеть. Функционирование отделов компании, обрабатывающих секретную документацию, строится по принципу «часть головоломки», т. е. максимальной информационной изолированности друг от друга. Кроме этого, служба информационной безопасности в крупных компаниях, как правило, устанавливает слежение за менеджерами и выносит им предупреждение в случае раскрытия коммерческих секретов по невнимательности в письменных публикациях, в ходе различных выставок и пресс-конференций.
В западных странах используется широкий спектр мер по защите коммерческой тайны. Условно процесс создания структуры информационной безопасности компании можно разделить на два этапа. В ходе первого определяется уровень секретности информации, которой располагает весь персонал компании, от топ-менеджеров до уборщиц. Выявляются потенциальные «группы риска», за которыми служба безопасности устанавливает более пристальное наблюдение.
В законодательстве развитых стран вопросы коммерческой тайны проработаны достаточно подробно, что обеспечивает ее защиту в судебном порядке. Российские законы исчерпывающего определения коммерческой тайны не дают. Каждый хозяйствующий субъект понимает ее по-своему; в пределах одного и того же рынка разные компании могут считать секретными совершенно разные сведения.
Представления большинства отечественных бизнесменов о коммерческой тайне своих компаний построены на опыте и интуиции. Во избежание утечки многие из них стремятся засекретить все по максимуму – от греха подальше. При этом очевидно: далеко не все данные представляют ценность для конкурентов. Поэтому в отношении любых сведений логичным выглядит вопрос: действительно ли их утечка может привести к усилению позиций других участников рынка, какие именно преимущества они получат (маркетинговые, финансовые, политические)? Еще один немаловажный вопрос: а в состоянии ли вообще конкурент воспользоваться полученной информацией, и если да, то каким образом?
Политика компании в сфере информационной безопасности должна иметь ясную аргументацию. В частности, это поможет точнее определить необходимый объем финансирования на охранные цели. Решения о выделении той или иной суммы часто принимаются случайно. Скажем, Иван Иванович, начальник охраны, составил смету. В нее он включил 20 видеокамер, которые должны быть установлены по периметру завода. Но возможно, что основные информационные риски сосредоточены в отделах маркетинга, сбыта и закупок, а все силы будут брошены на охрану никому не интересного производственного объекта.
В засекреченных данных компаний всегда есть информация, утечка которой представляет для данного бизнеса наибольшую угрозу. В современных условиях единственная по-настоящему критически важная информация – это ноу-хау, их и нужно охранять в первую очередь, уверен Олег Бабинов, директор московского офиса английской консалтинговой компании The Risk Advisory Group Ltd.: «Любые другие сведения рано или поздно становятся достоянием рынка. И как правило, рано. Ту же финансовую информацию сегодня утаить сложно, хотя бы потому, что к ней имеет неограниченный доступ множество регулирующих структур – МНС, Госкомстат, другие ведомства. И хотя чиновники не имеют права ее разглашать, но так или иначе контроль над информацией уже нельзя считать полным».
Президент компании «Хэппилэнд» (производитель слабоалкогольных напитков) Ольга Курбатова секретом номер один считает сведения о технологических и маркетинговых инновациях. В первую очередь это рецептура напитков и идеи продвижения продукции. Если такая информация попадет в чужие руки, это может иметь самые серьезные последствия, ведь «Хеппилэнду» приходится работать в агрессивном конкурентном окружении. По мнению госпожи Курбатовой, не меньше десяти участников данного рынка готовы хорошо заплатить за информацию о технологиях производства напитков «Хэппилэнд». Тогда они перехватят инициативу и первыми предложат потребителю аналогичную новинку.
Ольга Курбатова:
Где течет
Проблема утечки информации так или иначе связана с человеческим фактором. Технически безупречная система безопасности и самая бдительная охрана бессильны, когда кому-нибудь из сотрудников вздумается сболтнуть лишнее. Можно выделить три основных канала утечки.
Первый – сотрудники, которые нарушают внутренний порядок или просто не задумываются о последствиях своих действий. Как показывает практика, конфиденциальную информацию люди часто выдают без всякой корысти.
Один из собеседников СФ, попросивший не называть его имени, рассказал, как однажды участвовал в переговорах с представителями компании-конкурента. Речь шла о возможном альянсе с целью нейтрализовать влияние крупного игрока на рынке. По чистой случайности во время совещания в приемную гендиректора позвонил кто-то из менеджеров той самой компании, противодействию которой было посвящено обсуждение. У секретарши не было инструкций, что отвечать звонящим. Она честно сказала, что шеф освободится нескоро, и объяснила почему, попутно перечислив фамилии гостей. Судя по всему, человеку на другом конце провода это дало пищу для размышлений, поскольку позже на рынке появился другой союз конкурентов. Попытка изменить соотношение сил с треском провалилась.
Второй канал утечки – сторонние лица, по разным причинам получающие доступ к конфиденциальной информации компании. Это могут быть недобросовестные или просто непрофессиональные консультанты и аудиторы, а порой даже соискатели вакансии. Андрей Стась, председатель совета директоров маркетингового агентства a2z marketing, в связи с этим вспоминает случай, произошедший в компании пару лет назад: «Один специалист проходил у нас собеседование. Он задавал много вопросов и вообще проявлял большой интерес к нашей работе. Однако его кандидатура нам не подошла,и позже он устроился в другую крупную исследовательскую компанию. Там этот человек стал использовать одну из наших авторских методик, о которой узнал на собеседовании, причем стал выдавать ее за свою собственную».
И наконец, третий источник утечки – штатные сотрудники, продающие коммерческую тайну конкурентам. Действия инсайдера особенно опасны и могут нанести компании непоправимый ущерб, если руководство излишне доверяет персоналу. Чаще всего трудно сказать, какая доля конфиденциальной информации хранится в бумажном и электронном виде, а какая – в памяти человека. Поэтому неизвестно, чего ожидать от уволившегося сотрудника, имевшего неограниченный доступ к секретам своей фирмы.
Алексей Журбенко, аналитик по зарплатам и компенсациям российского офиса табачной корпорации JT International, был финансовым аналитиком на прежнем месте работы – в санкт-петербургской компании «Росан» (авторизованный дистрибутор канадского производителя Bombardier). Он напрямую подчинялся финансовому директору и имел доступ ко всей стратегически важной информации. В частности, к подробнейшей клиентской базе, содержащей много статистики и ценных маркетинговых данных. «Обеспечив мне такой допуск, руководство "Росана" поступило очень легкомысленно,– считает господин Журбенко.– Рядового сотрудника, а именно такой пост был у меня в компании, легко перекупить. У него нет бонусов и высокой должности, за которые стоит держаться. На моем месте вполне мог оказаться человек, который не упустил бы возможности подзаработать на продаже секретов компании». По словам Алексея Журбенко, в JT International совершенно иная структура доступа к информации – никто из рядовых сотрудников и менеджеров среднего звена не является носителем полного объема закрытых сведений. Например, в том же финансовом отделе один человек не может знать одновременно цифры дебиторской и кредиторской задолженности компании. Поэтому если кто-то из сотрудников окажется неблагонадежным или болтуном, потери для бизнеса будут невелики.
Где-то служба безопасности не прекращает работу с носителями секретной информации даже после их ухода из компании. Бывший сотрудник крупного металлургического холдинга на условиях анонимности рассказал, что перед увольнением подписал бумагу, где обязался в течение нескольких лет не работать в той же отрасли. Кроме того, там был пункт, смысл которого сводился к запрету на общение с бывшими коллегами, в разное время покинувшими компанию. Разумеется, юридической силы этот документ не имел, и тем не менее был полезен для фирмы. Когда в нарушение правил несколько бывших сотрудников компании решили собраться вместе и об этом узнала служба безопасности, людям по телефону напомнили о подписанных обязательствах и настоятельно попросили отменить встречу, что в конце концов и было сделано.
Почему столько внимания было уделено такой, казалось бы, невинной затее? Служба безопасности резонно исходила из того, что экс-сослуживцы (а это были представители разных отделов) являются носителями конфиденциальной информации, причем разных ее «кусочков». Их соединение (скажем, свежих финансовых данных с информацией о торгово-закупочной деятельности) делало людей еще более информированными. Именно этого старалась не допустить металлургическая компания.
Неподсудное дело
Теоретически российское законодательство предусматривает уголовную ответственность за разглашение коммерческой тайны. Наказание для уличенных в этом граждан ужесточил и новый Трудовой кодекс. Отныне ущерб компании возмещается независимо от размеров зарплаты неблагонадежного сотрудника (ранее сумма компенсации была ограничена заработком). К тому же теперь утечка является достаточным основанием для увольнения.
Но юристы не советуют работодателям возлагать слишком большие надежды на правовую защиту. В российской практике пока что не было прецедента возмещения ущерба от утечки конфиденциальной информации через суд. И в этом смысле мы не одиноки. Так, в соседней Украине пивоваренная компания «Оболонь» пыталась преследовать через суд бывшего технического директора и члена наблюдательного совета предприятия Григория Лифанова. Сумма ущерба, компенсации которого добивался истец, оценивалась в 17,5 млн гривен (около $5,5 млн). Топ-менеджера подозревали в том, что он продавал коммерческие секреты «Оболони» донецкой компании «Сармат», которая как раз тогда готовилась к недружественному поглощению своего прямого конкурента. Дело дошло до суда, однако за недостатком доказательств было прекращено.
Все основания привлечь бывшего сотрудника имелись и у компании «Хэппилэнд». После его увольнения обнаружилась утечка важной маркетинговой информации. Однако корпоративные юристы тогда оценили дело как бесперспективное. Андрей Городисский, эксперт в области коммерческого права и руководитель адвокатского бюро «Андрей Городисский и Партнеры»: «Шансы среднестатистической российской компании, желающей через суд наказать такого сотрудника, сегодня весьма призрачны. Допустим, у вас нет сомнений, что конкретный сотрудник организовал утечку закрытых сведений. Но как это доказать в суде? Доказательная база здесь самое узкое место. Не говоря о других сложностях, которые возникают на пути судебного преследования – например, оценке причиненного компании ущерба и реальной платежеспособности подсудимого».
Из всего этого следует простой вывод: превентивные меры – самое разумное, что может сделать российская компания для защиты своих интересов.
Ничего не слышу, ничего не вижу
В банке «Авангард», по словам вице-президента Леонарда Гапоненко, при приеме на работу до каждого сотрудника доводят правила корпоративного поведения и работы с категорированной информацией: «Подписываются два документа-обязательства, где детально прописаны нормы обращения со служебной тайной и правила работы АКБ "Авангард" с информационными системами. При необходимости службой экономической безопасности банка может проводиться дополнительный инструктаж с отдельными сотрудниками в индивидуальном порядке. Все это в совокупности достаточно надежно защищает нас от несанкционированной утечки информации». Господин Гапоненко считает, что массив закрытой информации должен быть ранжирован. Это сузит круг осведомленных лиц и повысит эффективность контроля за информационными потоками. Деление на блоки, по мнению господина Гапоненко, может выглядеть примерно так:
* служебная информация внутрикорпоративного назначения: вопросы собственности, протоколы внутренних заседаний, сведения о руководстве, вознаграждениях сотрудников;
* конфиденциальная информация, затрагивающая интересы клиентов;
* сведения о стратегии и тактике работы компании на рынке, а также ее маркетинговых и инвестиционных планах;
* сверхсекретные данные, к которым может относиться нижний (то есть наиболее закрытый) слой информации из предыдущих трех блоков.
В «Хэппилэнде» коммерческая тайна имеет несколько контуров защиты. Во-первых, всех сотрудников фирмы на этапе найма тестирует служба персонала с применением методов психодиагностики. Среди прочего результаты таких тестов должны определить потенциальный уровень лояльности человека к работодателю, его благонадежность. Во-вторых, с каждым работником заключается подробный контракт, где оговорена персональная ответственность за разглашение сведений, составляющих коммерческую тайну. В-третьих, действует система допуска сотрудников к информации определенной категории (некоторые данные используются в работе с письменного разрешения первого лица компании, но где-то достаточно и согласия руководителя подразделения). В-четвертых, мероприятия, проводимые службой безопасности в «профилактических» целях,–например, в «Хэппилэнде» периодически устраиваются так называемые рейды чистого стола. За секретный документ, оставленный без присмотра, хозяина рабочего места штрафуют.При систематическом нарушении правил сотрудник может быть уволен.
Нередко утечкапроисходит из-за элементарной безалаберности: не забрали из принтера распечатанный документ, забыли закрыть дверь, в результате кто-то что-то увидел или услышал. Поэтому никогда не стоит пренебрегать элементарными мерами предосторожности. «Что в голове у сотрудников, проконтролировать невозможно, но всегда можно предотвратить вынос данных на материальных носителях – бумаге, дискетах, пленке»,– считает Дмитрий Ладашин, директор по ИТ компании «Ренна» (управляет ТД «Союзконсервмолоко», Алексеевским и Кореновским молочно-консервным комбинатами).
По мнению господина Ладашина, в рамках комплекса превентивных мер можно ограничить доступ в некоторые помещения, установить контроль за исходящими электронными письмами, следить за тем, как используют принтеры и компьютеры, оборудованные дисководами. «Помимо прочего, такие действия позволят минимизировать угрозы, связанные с хищением и уничтожением информации. Ведь это может делать купленный конкурентами сотрудник либо "засланный казачок"»,– считает Дмитрий Ладашин.
Арсенал технических средств защиты информации огромен – ИТ-системы, различные охранные приспособления (по этому вопросу существует обширная специализированная литература). При необходимости на вооружение можно взять методы секретного делопроизводства, используемые госструктурами, например маркировать документы в зависимости от категории, хранить их в специальных папках и т. д. Для особо ценной информации можно использовать бумагу, которую невозможно ксерокопировать.
В технологиях информационной безопасности российским компаниям есть чему поучиться у Запада – там корпоративные секреты берегут как зеницу ока. Широко практикуется системный подход к защите конфиденциальной информации (концепция Operation Security / OPSEC). Отдельным направлением бизнеса становится деятельность фирм, оказывающих услуги по санкционированному взлому корпоративных ИТ-систем и проникновению на охраняемую территорию предприятия или офиса. Смысл тестовой операции – выявить изъяны в системах защиты в условиях, когда охрана ни о чем не догадывается. Если профессионалам удалось провести службу безопасности, значит, это по силам и кому-нибудь из конкурентов.
«Западный бизнес давно и охотно заказывает такие услуги, но в России спроса на них пока нет»,– говорит Олег Бабинов. Например, Janusian (дочерняя фирма The Risk Advisory Group Ltd.) «пробует» системы безопасности клиентов на прочность. Впрочем, как считает господин Бабинов, озабоченность компаний вопросами информационной защиты будет расти параллельно с ростом рыночной конкуренции.
Информационный баланс
В работе по защите информации очень важно знать меру. Необоснованно открытые, так же как и необоснованно закрытые, сведения о бизнесе наносят ему вред. В первом случае негативные последствия очевидны. Непрофессиональный PR-менеджер – легкая добыча для конкурента, который может почерпнуть из слишком откровенных комментариев или информационного отчета много такого, о чем ему не следует знать. Впрочем, причиной утечки информации, скажем в прессу, может стать и словоохотливость отдельных сотрудников. В одной столичной компании чрезмерная словоохотливость персонала при общении с журналистами едва не привела к раскрытию маркетинговых планов, которые руководство хранило в тайне. Леонард Гапоненко: «Внедрение «своих» людей в систему, взламывание компьютерных баз данных – все это по-прежнему используется. Но есть и другой путь. Ни для кого не секрет, что даже сотрудники спецслужб в качестве каналов информации зачастую используют открытые источники: отчеты фирм, публикации в газетах и журналах, презентационные и рекламные материалы. Анализируя их и находя противоречия, можно сделать весьма ценные выводы».
Но и у информационной закрытости бизнеса тоже должны быть разумные пределы. По словам господина Гапоненко, ему известны компании, в которых для того, чтобы получить совет у коллеги из соседнего отдела, приходится затевать грандиозную переписку со всеми согласующими инстанциями, включая службу безопасности. Возможно, при особых обстоятельствах это необходимо, но в большинстве случаев препятствует нормальной работе, снижает ее эффективность. Для подобных «режимных» компаний характерна низкая мотивация сотрудников, тяжелый психологический климат и большая текучка кадров. Люди уходят, не желая работать в условиях тотального надзора.