Корпоративная телефонная связь занимает одно из важнейших мест в работе любой компании и, как любой важный узел корпоративной системы, подвержена серьезным угрозам безопасности. А между тем, часто этим угрозам не уделяется должного внимания.

Современные условия не позволяют быть равнодушным в этом вопросе, так как архитектура современного телекоммуникационного оборудования включает в себя стандартные компьютерные средства и элементы информационных технологий, а значит, обладает тем же набором уязвимостей. Проблема утечки информации весьма значима для обеспечения безопасности. Тема обеспечения информационной безопасности в телекоммуникационных сетях очень обширна. В настоящей статье мы остановимся на вопросах организации работ службы экономической безопасности предприятия, далее СЭБ, с персоналом своей компании.

Сложившаяся практика показывает, что основным источником утечки информации являются не преднамеренные действия третьих лиц, использующих технические средства, а сам персонал компании. 

Попробуем провести простой эксперимент: позвоним в любую компанию и попытаемся получить номер мобильного телефона генерального директора. Скорее всего, вас постигнет неудача. А теперь повторим попытку, представившись директором или завучем школы, в которой учится ребенок нужного нам абонента. Уверяю Вас, в большинстве случаев Вы получите номер мобильного телефона! При условии, что Вы еще владеете информацией о номере школы, возрасте, поле, имени ребенка, Ваши шансы получить нужную информацию значительно повышаются.

А сейчас представьте, что номер телефона получили не Вы, а злоумышленники. Генеральный директор не спит по ночам из-за постоянных звонков, в том числе, звонков с угрозами, номер мобильного размещен в интернете в рамках непристойных объявлений, Вашим партнерам по бизнесу поступают SMS - якобы с мобильного номера Генерального директора. И это только малая толика из того, что может представить Ваше воображение. Дальнейшие действия предполагают смену номера телефона, поиск источника атак, дополнительные коммуникации с партнерами, клиентами, близкими, что приводит к массе неудобств и серьезном привлечении ресурсов, как материальных, так и человеческих.

Служба экономической безопасности компании в рамках своей деятельности может снизить риски от неправомерных действий персонала, использующих корпоративную телефонную связь, такие как:

• Выполнение (под влиянием эффекта звонка) персоналом неправомерных действий.

• Утечку конфиденциальной информации из компании.

• Распространение в компании дезинформации (рождение слухов).

 

СЭБ обязательно должна проводить мероприятия, направленные на минимизацию рисков:

• Инструктажи персонала. Цель - повышение трудовой дисциплины и четкое выполнение регламентов. Инструктажи должны проводиться периодически, особое внимание необходимо уделять сотрудникам, принимающим звонки (секретариат, колл-центр).

• Автоматическое информирование сделавшего звонок на номера Вашего предприятия о том, что в Вашей компании ведется запись всех телефонных разговоров. Пример: «Внимание в целях повышения качества работы нашей компании Ваш разговор будет записан».

• Мониторинг информационных ресурсов. Протоколирование и запись телефонных переговоров в компании. Особые возможности в этом направлении предоставляет IР-телефония, а также современные мини-АТС.

• Осуществление проверочных мероприятий, таких как собственные звонки своим сотрудникам.

 

СЭБ необходимо позаботиться о том, чтобы в рамках общей политики информационной безопасности компании в документы были внесены пункты, с которыми работник должен быть ознакомлен под роспись.

Пример:

• Уведомляем, что на всех объектах компании ведется круглосуточное видеонаблюдение и мониторинг всех информационных ресурсов.

• В компании установлен режим запрета на ведение персоналом личных разговоров по служебным телефонам.

Еще одна из зон внимания СЭБ - это сотовая связь. Рекомендации по этому направлению - обязательное предоставление корпоративных сим-карт сотрудникам при поступлении их в компанию. Данные мероприятия позволяют сотрудникам СЭБ получить информацию о времени и номерах входящих и исходящих звонков. Упрощает аналитическую работу программа для анализа телефонных номеров, которую можно простейшим образом создать в MS Excel, имея первичные данные по известным Вам телефонным номерам. Полученные распечатки переговоров сохраняются в MS Excel и после обработки телефонные номера автоматически замещаются на введенные ранее данные абонента. «Неопознанные» телефонные номера идут в работу специалистам СЭБ для определения данных абонента.

Если компания кроме номеров сможет предоставлять сотрудникам мобильные телефоны или КПК, то у СЭБ появится возможность установить необходимые программы, которые позволяют не только прослушивать переговоры сотрудника в реальном режиме времени, но и вести архив их разговоров, SMS, ICQ-переписки, почты, а также знать место нахождения сотрудника в конкретный момент времени.

Следует отметить, что все мероприятия СЭБ должны проводиться в рамках законов РФ и распространяться только на собственность (информационные ресурсы) Вашей компании. 

 

МОМЕНТЫ, НА КОТОРЫЕ НЕОБХОДИМО ОБРАТИТЬ ВНИМАНИЕ ПЕРСОНАЛА ПРИ ИНСТРУКТАЖЕ 

От кого может поступить звонок в компанию:

• конкуренты

• кредиторы

• правоохранительные, контролирующие органы

• криминальные структуры

• поставщики, партнеры

• обиженный персонал

• люди с нездоровой психикой

Злоумышленники могут использовать различные легенды для достижения своих целей: от фантастических до правдоподобных. Это зависит от творческого подхода и этических норм звонящего. Например, звонит:

• Сосед с нижнего этажа, которого топят.

• Человек, чтобы срочно передать деньги.

• Жена или другой родственник.

• Сотрудник правоохранительных органов.

• Журналист

• Клиент, у которого срывается сделка.

• Участник аварии, в которой задействован руководитель Вашей-компании.

• Человек, который ошибся номером.

• Абонент с просьбой перевести на нужного сотрудника.

• Якобы сам директор, один из руководителей Вашей компании.

На практике встречаются случаи, когда звонки поступают из морга, больницы, правоохранительных органов (сотрудник задержан милицией) и т.п.

 

Злоумышленники преследуют цели:

• Выполнение персоналом неправомерных действий под воздействием легенды.

• Выведывание конфиденциальной информации.

• Распространение дезинформации (рождение слухов.)

В основу легенды также закладывается срочность выполнения требования, решения вопроса - «срочно, прямо сейчас, немедленно». Во время разговора на сотрудника Вашей компании может оказываться психологическое давление, содержащее угрозы в случае не предоставления им информации или не выполнения каких-либо действий. 

Акцентируйте внимание на том, что сотрудник, общаясь по телефону, не видит звонящего человека, а тем более его удостоверяющих документов, поэтому всю получаемую информацию необходимо ставить под сомнение и не поддаваться манипуляциям злоумышленника.

 

РЕКОМЕНДАЦИИ ПРИ ПОСТУПЛЕНИИ ЗВОНКОВ В КОМПАНИЮ 

• Требуйте от сотрудников при входящих звонках записывать ФИО, должности, номера телефонов звонящих. Обращайте внимание на то, что стеснение неуместно. (В компании желательно разработать регламент по обработке входящих звонков)

• Уделяйте внимание психологической подготовке персонала. Сотрудники должны оставаться спокойными, приветливыми, не поддаваться провокациям. При оскорблениях могут повесить трубку и обязательно проинформировать об инциденте СЭБ.

• Необходимо обеспечить сохранность информации. Проинструктируйте персонал не передавать по телефону никакой информации! (телефоны руководителей, сотрудников, адреса, номера автотранспорта, исключение - официальные данные, находящиеся в открытом доступе, например, на сайте компании, в рекламных материалах).

• Закрепить в инструкциях обязанность не выполнять полученные по телефону требования (например, выдать деньги, отгрузить ТМЦ, передать информацию и т.п.), не удостоверившись в правильности полученной информации (контрольный звонок и информирование руководства, сверка с корпоративной информационной системой). Обратите внимание персонала на то, что для перепроверки полученной информации с новых телефонных номеров необходимо использовать только официально размещенную и известную персоналу информацию, в том числе телефонные номера. При этом персонал обязан поставить СЭБ в известность о событии.

• Обратить внимание на возможную утечку информации при косвенных обстоятельствах (например, оставленная временно на столе трубка с ожидающим на связи абонентом).

 

ПОСТУПЛЕНИЕ УГРОЗЫ ПО ТЕЛЕФОНУ 

Телефон является основным каналом поступления сообщений, содержащих информацию о заложенных взрывных устройствах, о захвате людей в заложники, вымогательстве и шантаже.

Как правило, фактор внезапности, возникающее паническое, а порой и шоковое состояние, сама полученная информация приводит к тому, что человек оказывается не в состоянии правильно отреагировать на звонок, оценить реальность угроз и получить максимум сведений из разговора. 

В рамках проведения инструктажа и психологической подготовки особо обратите внимание на действия персонала при поступлении угроз по телефону:

- постараться дословно запомнить разговор и зафиксировать его на бумаге;

- обязательно зафиксировать точное время начала разговора и его продолжительность.

 

Во время разговора желательно получить ответы на следующие вопросы:

• Куда, кому, по какому телефону звонит этот человек?

• Какие конкретные он (она) требования выдвигает?

• На каких условиях он (она) или они согласны отказаться от задуманного?

• Как и когда с ним (с ней) можно связаться?

• Кому Вы можете или должны сообщить об этом звонке?

 

Персонал в силу своих возможностей должен сохранять спокойствие и не поддаваться на запугивание преступников, по окончании разговора немедленно сообщить о нем в СЭБ.

Я уверен, что разработка регламентов информационной безопасности при использовании простейших телекоммуникаций, соблюдение персоналом регламентов, внутренних нормативных актов, а также активная работа с сотрудниками Вашей компании по данному направлению поможет избежать многих неприятностей в Вашей и так нелегкой работе.

 

Журнал «Директор по безопасности», 2010