Корпоративная телефонная связь занимает одно из важнейших мест в работе любой компании и, как любой важный узел корпоративной системы, подвержена серьезным угрозам безопасности. А между тем, часто этим угрозам не уделяется должного внимания.
Современные условия не позволяют быть равнодушным в этом вопросе, так как архитектура современного телекоммуникационного оборудования включает в себя стандартные компьютерные средства и элементы информационных технологий, а значит, обладает тем же набором уязвимостей. Проблема утечки информации весьма значима для обеспечения безопасности. Тема обеспечения информационной безопасности в телекоммуникационных сетях очень обширна. В настоящей статье мы остановимся на вопросах организации работ службы экономической безопасности предприятия, далее СЭБ, с персоналом своей компании.
Сложившаяся практика показывает, что основным источником утечки информации являются не преднамеренные действия третьих лиц, использующих технические средства, а сам персонал компании.
Попробуем провести простой эксперимент: позвоним в любую компанию и попытаемся получить номер мобильного телефона генерального директора. Скорее всего, вас постигнет неудача. А теперь повторим попытку, представившись директором или завучем школы, в которой учится ребенок нужного нам абонента. Уверяю Вас, в большинстве случаев Вы получите номер мобильного телефона! При условии, что Вы еще владеете информацией о номере школы, возрасте, поле, имени ребенка, Ваши шансы получить нужную информацию значительно повышаются.
А сейчас представьте, что номер телефона получили не Вы, а злоумышленники. Генеральный директор не спит по ночам из-за постоянных звонков, в том числе, звонков с угрозами, номер мобильного размещен в интернете в рамках непристойных объявлений, Вашим партнерам по бизнесу поступают SMS - якобы с мобильного номера Генерального директора. И это только малая толика из того, что может представить Ваше воображение. Дальнейшие действия предполагают смену номера телефона, поиск источника атак, дополнительные коммуникации с партнерами, клиентами, близкими, что приводит к массе неудобств и серьезном привлечении ресурсов, как материальных, так и человеческих.
Служба экономической безопасности компании в рамках своей деятельности может снизить риски от неправомерных действий персонала, использующих корпоративную телефонную связь, такие как:
• Выполнение (под влиянием эффекта звонка) персоналом неправомерных действий.
• Утечку конфиденциальной информации из компании.
• Распространение в компании дезинформации (рождение слухов).
СЭБ обязательно должна проводить мероприятия, направленные на минимизацию рисков:
• Инструктажи персонала. Цель - повышение трудовой дисциплины и четкое выполнение регламентов. Инструктажи должны проводиться периодически, особое внимание необходимо уделять сотрудникам, принимающим звонки (секретариат, колл-центр).
• Автоматическое информирование сделавшего звонок на номера Вашего предприятия о том, что в Вашей компании ведется запись всех телефонных разговоров. Пример: «Внимание в целях повышения качества работы нашей компании Ваш разговор будет записан».
• Мониторинг информационных ресурсов. Протоколирование и запись телефонных переговоров в компании. Особые возможности в этом направлении предоставляет IР-телефония, а также современные мини-АТС.
• Осуществление проверочных мероприятий, таких как собственные звонки своим сотрудникам.
СЭБ необходимо позаботиться о том, чтобы в рамках общей политики информационной безопасности компании в документы были внесены пункты, с которыми работник должен быть ознакомлен под роспись.
Пример:
• Уведомляем, что на всех объектах компании ведется круглосуточное видеонаблюдение и мониторинг всех информационных ресурсов.
• В компании установлен режим запрета на ведение персоналом личных разговоров по служебным телефонам.
Еще одна из зон внимания СЭБ - это сотовая связь. Рекомендации по этому направлению - обязательное предоставление корпоративных сим-карт сотрудникам при поступлении их в компанию. Данные мероприятия позволяют сотрудникам СЭБ получить информацию о времени и номерах входящих и исходящих звонков. Упрощает аналитическую работу программа для анализа телефонных номеров, которую можно простейшим образом создать в MS Excel, имея первичные данные по известным Вам телефонным номерам. Полученные распечатки переговоров сохраняются в MS Excel и после обработки телефонные номера автоматически замещаются на введенные ранее данные абонента. «Неопознанные» телефонные номера идут в работу специалистам СЭБ для определения данных абонента.
Если компания кроме номеров сможет предоставлять сотрудникам мобильные телефоны или КПК, то у СЭБ появится возможность установить необходимые программы, которые позволяют не только прослушивать переговоры сотрудника в реальном режиме времени, но и вести архив их разговоров, SMS, ICQ-переписки, почты, а также знать место нахождения сотрудника в конкретный момент времени.
Следует отметить, что все мероприятия СЭБ должны проводиться в рамках законов РФ и распространяться только на собственность (информационные ресурсы) Вашей компании.
МОМЕНТЫ, НА КОТОРЫЕ НЕОБХОДИМО ОБРАТИТЬ ВНИМАНИЕ ПЕРСОНАЛА ПРИ ИНСТРУКТАЖЕ
От кого может поступить звонок в компанию:
• конкуренты
• кредиторы
• правоохранительные, контролирующие органы
• криминальные структуры
• поставщики, партнеры
• обиженный персонал
• люди с нездоровой психикой
Злоумышленники могут использовать различные легенды для достижения своих целей: от фантастических до правдоподобных. Это зависит от творческого подхода и этических норм звонящего. Например, звонит:
• Сосед с нижнего этажа, которого топят.
• Человек, чтобы срочно передать деньги.
• Жена или другой родственник.
• Сотрудник правоохранительных органов.
• Журналист
• Клиент, у которого срывается сделка.
• Участник аварии, в которой задействован руководитель Вашей-компании.
• Человек, который ошибся номером.
• Абонент с просьбой перевести на нужного сотрудника.
• Якобы сам директор, один из руководителей Вашей компании.
На практике встречаются случаи, когда звонки поступают из морга, больницы, правоохранительных органов (сотрудник задержан милицией) и т.п.
Злоумышленники преследуют цели:
• Выполнение персоналом неправомерных действий под воздействием легенды.
• Выведывание конфиденциальной информации.
• Распространение дезинформации (рождение слухов.)
В основу легенды также закладывается срочность выполнения требования, решения вопроса - «срочно, прямо сейчас, немедленно». Во время разговора на сотрудника Вашей компании может оказываться психологическое давление, содержащее угрозы в случае не предоставления им информации или не выполнения каких-либо действий.
Акцентируйте внимание на том, что сотрудник, общаясь по телефону, не видит звонящего человека, а тем более его удостоверяющих документов, поэтому всю получаемую информацию необходимо ставить под сомнение и не поддаваться манипуляциям злоумышленника.
РЕКОМЕНДАЦИИ ПРИ ПОСТУПЛЕНИИ ЗВОНКОВ В КОМПАНИЮ
• Требуйте от сотрудников при входящих звонках записывать ФИО, должности, номера телефонов звонящих. Обращайте внимание на то, что стеснение неуместно. (В компании желательно разработать регламент по обработке входящих звонков)
• Уделяйте внимание психологической подготовке персонала. Сотрудники должны оставаться спокойными, приветливыми, не поддаваться провокациям. При оскорблениях могут повесить трубку и обязательно проинформировать об инциденте СЭБ.
• Необходимо обеспечить сохранность информации. Проинструктируйте персонал не передавать по телефону никакой информации! (телефоны руководителей, сотрудников, адреса, номера автотранспорта, исключение - официальные данные, находящиеся в открытом доступе, например, на сайте компании, в рекламных материалах).
• Закрепить в инструкциях обязанность не выполнять полученные по телефону требования (например, выдать деньги, отгрузить ТМЦ, передать информацию и т.п.), не удостоверившись в правильности полученной информации (контрольный звонок и информирование руководства, сверка с корпоративной информационной системой). Обратите внимание персонала на то, что для перепроверки полученной информации с новых телефонных номеров необходимо использовать только официально размещенную и известную персоналу информацию, в том числе телефонные номера. При этом персонал обязан поставить СЭБ в известность о событии.
• Обратить внимание на возможную утечку информации при косвенных обстоятельствах (например, оставленная временно на столе трубка с ожидающим на связи абонентом).
ПОСТУПЛЕНИЕ УГРОЗЫ ПО ТЕЛЕФОНУ
Телефон является основным каналом поступления сообщений, содержащих информацию о заложенных взрывных устройствах, о захвате людей в заложники, вымогательстве и шантаже.
Как правило, фактор внезапности, возникающее паническое, а порой и шоковое состояние, сама полученная информация приводит к тому, что человек оказывается не в состоянии правильно отреагировать на звонок, оценить реальность угроз и получить максимум сведений из разговора.
В рамках проведения инструктажа и психологической подготовки особо обратите внимание на действия персонала при поступлении угроз по телефону:
- постараться дословно запомнить разговор и зафиксировать его на бумаге;
- обязательно зафиксировать точное время начала разговора и его продолжительность.
Во время разговора желательно получить ответы на следующие вопросы:
• Куда, кому, по какому телефону звонит этот человек?
• Какие конкретные он (она) требования выдвигает?
• На каких условиях он (она) или они согласны отказаться от задуманного?
• Как и когда с ним (с ней) можно связаться?
• Кому Вы можете или должны сообщить об этом звонке?
Персонал в силу своих возможностей должен сохранять спокойствие и не поддаваться на запугивание преступников, по окончании разговора немедленно сообщить о нем в СЭБ.
Я уверен, что разработка регламентов информационной безопасности при использовании простейших телекоммуникаций, соблюдение персоналом регламентов, внутренних нормативных актов, а также активная работа с сотрудниками Вашей компании по данному направлению поможет избежать многих неприятностей в Вашей и так нелегкой работе.
Журнал «Директор по безопасности», 2010