Все тайны бизнеса

Все тайны бизнеса — National Business, Нижний Новгород, Февраль (2012)

Как информация о компании может быть использована ей во вред конкурентами и рейдерами? Какую информацию нужно засекретить и как это лучше сделать? Эти и другие вопросы обсуждали нижегородские предприниматели на «Совете директоров», организованном журналом NationalBusiness.

Участники «Совета директоров»

Борис Воронцов, директор «Агентства конкурентной разведки «Информант»

Евгения Дмитриева, генеральный управляющий отеля «Дипломат»

 Денис Ефременко, директор Нижегородского филиала ОАО «Ростелеком»

Софья Исакова, директор Нижегородского филиала HeadHunter

Юлия Крузе, генеральный директор ЗАО «ТМ СЕРВИС»

Сергей Львов, управляющий партнер ГК «ИНТАЛЕВ»

Александр Пистонов, директор ООО «Агентство Владельческого Консалтинга»

Николай Русов управляющий филиалом «Нижегородский» банка «Глобэкс»

Павел Солодкий, директор Регионального Центра Международной торговли

Модераторы «Совета директоров»

Валерий Браун, главный редактор журнала National Business

Владимир Ванин, бизнес-тренер, основатель компании «ОптимИСТ»

Партнеры мероприятия: отель «Дипломат», информационная программа «Вести Приволжье», «Региональный банковский сайт www.banknn.ru».

Меньше знают – лучше спишь

Валерий Браун. Как журналиста, меня всегда возмущала информационная закрытость российских предпринимателей. Ведь, засекречивая многие сведения о своих компаниях, они теряют потенциальных партнеров и потребителей. Однако, как предпринимателя меня не может не волновать вопрос: какую информацию лучше скрыть от своих конкурентов. Существуют ли общепризнанные правила: какие данные о бизнесе лучше засекретить, а что сообщить потребителям и партнерам?

Павел Солодкий. Ответ на ваш вопрос не может быть однозначным, поскольку бизнес у всех разный, и многое зависит от того, кто является вашими конкурентами, кто «враги» компании. Если компания подпольно разливает водку, то скрывается одна информация. Если это официальный дилер западного автоконцерна – принципиально другая, у банка – третья. В любом случае нужно помнить, что в стране, где слабо действуют законы, развит правовой нигилизм, высокий уровень коррупции, против компании и ее руководителя может быть использована любая информация. Рейдерские захваты не кончились в девяностых годах, они и сейчас продолжаются и не исчезнут в ближайшем будущем. Поэтому я считаю, что, если есть возможность, то правильно всю информацию закрывать. Защита бизнеса – важнейшая обязанность собственника и главы компании. Чем меньше конкуренты и потенциальные рейдеры знают про твой бизнес, тем лучше.

Сергей Львов. Не так давно к нам обратилась довольно крупная производственная компания. Предприятие решило выйти на высоко конкурентный розничный рынок. По поручению компании в течение месяца была получена информация о всех крупных игроках в отрасли, причем, не только общеизвестная, но и внутренняя, финансовая. Были выявлены конкурентные преимущества каждой компании на рынке, выяснен вопрос, за счет чего они сформированы, обнаружены ноу-хау и схемы ухода от налогов… По каждой из компаний — конкурентов было разработано стратегическое решение, как с ними бороться. В результате компания-заказчик расширила свою долю на большом конкурентном рынке с 4% до 12%, … Заказчики остались очень довольными, но на вопрос: «А если такая же операция будет проведена против тебя?» руководитель компании ответил: «Давайте закрывать вообще всю информацию о нашем предприятии».

Николай Русов. Всю информацию о компании скрыть нельзя. Я знаю об этом как профессионал. Ведь перед тем, как выдать кредит компании, банк обязан узнать о ее бизнесе как можно больше. Если для юристов некой «информационной библией» являются системы «Консультант Плюс» или «Гарант», то для банков таким информационным ресурсом стала система «Спарк». Хотя есть и другие, менее популярные информресурсы. Если говорить о Нижегородской области, то в ней находятся примерно 150 предприятий с выручкой более 1 млрд руб. в год и примерно 250 средних предприятий с выручкой от 400 млн до 1 млрд, руб. в год. Практически актуальная информация об этих достаточно крупных предприятиях в «Спарке» есть. По их финансовому положению там не хватает некоторых деталей, но их не так уж и сложно выяснить. Я нередко сталкивался с ситуацией, когда руководитель компании во время переговоров напрягался, удивлялся, откуда мы про нее все знаем. Информация вроде бы предприятием засекречена, но в то же время она открыта государством. Поэтому крупные компании для нас достаточно открыты. Другое дело: десятки тысяч менее крупных компаний, о них информации нет, и если речь идет о кредитовании малого бизнеса, микробизнеса, то тут остается уповать на откровенность клиента.

Денис Ефременко. Я понимаю, что информация о нас есть в различных системах. И все же я считаю, что изначально нужно закрывать все сведения о компании. А дальше исходить из того, что требуют открыть государство и акционеры, которые хотят, чтобы компания была публичной или лояльной к своим акционерам, учитывать требования банков, которые требуют раскрыть финансовую информацию. Нужно учитывать и маркетинговые решения, когда коммерческий блок принимает решения раскрыть ту или иную информацию. Но нужно понимать, что существуют два подхода к проблеме. Либо все закрыто, и мы в виде исключения что-то открываем, либо все открыто, и мы, анализируя угрозы, что-то закрываем. Я считаю, что правильный подход: сначала все закрыто, а потом составляется некий «белый» список. Если же весь информационный поток вынести во внешний мир, он в 99% будет искажен и использован во вред компании.

Чего в мешке не утаишь

Владимир Ванин

Закрывать всю информацию очень опасно, поскольку теряется связь с рынком. Закрыв все, компания получает огромные имиджевые риски. Кроме того, нужно помнить, что невозможно вывести на рынок новые товары и услуги, предварительно не рекламируя их. И рекламировать их приходится до того как.

Сергей Львов. Предприятия оптовой торговли сегодня должны иметь свой сайт и еженедельно обновлять на нем информацию по номенклатуре и ценам. Я сталкивался с такими компаниями, которые давали доступ через сайт к своей базе в 1С. Это одна крайность. Другая – полная информационная закрытость. Но безопасность – это всегда компромисс. Мы должны понимать, чем можно поступиться. Всегда нужно оценивать вероятностью риска и степенью воздействия. Любое мероприятие по безопасности стоит денег. И нужно соизмерять уровень затрат и потенциальных потерь. Я видел систему безопасности на одном из нижегородских ликероводочных заводов, имевшем не очень прозрачный бизнес. Если бы его информация «всплыла», собственник потерял бы не только деньги, но и свободу. Для него информационная безопасность максимально приоритетна, и поэтому была ориентирована на безусловное изъятие в случае угрозы распространения. Серверная стойка находилась в закрытом пуленепробиваемом помещении. Там же сидел дедушка с берданкой и смотрел на лампочку. Если бы лампочка загорелась, он должен был расстрелять сервер.

Обычно же угрозы информационной безопасности нужно оценить с точки зрения потерь для бизнеса. Принцип очень простой. Нужно составить такую банальную табличку. Степень вероятности наступления определенного риска и степень его важности. И в соответствии с вероятностью и тяжестью последствий нужно принимать решения об уровне инвестиций в безопасность.

Евгения Дмитриева. Со своей стороны хочу заметить, что в целях развития рынка часть информации, например, статистической важно открывать, чтобы рынок был более цивилизованным, более прогнозируемым, чтобы информационная открытость шла во благо всем игрокам. В частности, мы сейчас создали Российскую гостиничную ассоциацию, внутри которой ряд гостиничных организаций обменивается информацией по загрузке. И собственникам гостиниц сложно было бы спрогнозировать ситуацию в разных городах, не обладая этой информацией. Да, нашей информацией пользуются конкуренты. Да, это идет им на пользу. Но ведь и мы пользуемся их информацией, и вместе развиваем не только свои компании, но и рынок в целом.

Язык длинней компьютера

Валерий Браун. В России развивается информационное общество. Большая часть информации хранится на электронных носителях. Насколько важно их защитить? Как правильно это сделать? Ведь стоит любому предпринимателю обратиться в компанию, занятую конкурентной разведкой, она наймет хакера, и про конкурента можно будет узнать практически все.

Борис Воронцов. Нет. Хакер не нужен и никогда не нанимается по той причине, что сейчас многие компании страдают, во-первых, вопиющей IT-безграмотностью и, во-вторых, удивительной безалаберностью. К огромным пластам информации о многих компаниях можно получить доступ, официально, законно, ничего не нарушая, а просто зная как это сделать. Чаще всего на сайтах компаний вообще не предусмотрено никаких мер безопасности. К ним можно получить доступ, ничего не нарушая и ничего не ломая, а просто зная, как это сделать. Наш опыт подсказывает, что на сайтах крупных компаний находится огромное количество документов, которые там просто не должны быть. И находит их там профессионал очень легко. По моим наблюдениям, собственники и руководители бизнеса подходят к вопросам защиты информации исходя из логики: «Да кому мы нужны»? Незачем тратить на защиту нашей коммерческой информации деньги, она никому не интересна. Очень многое упирается в эту позицию.

Денис Ефременко. Можно привести простую аналогию. Человек купил квартиру и установил на входе металлическую дверь с замком. Если там дорогое имущество, поставил квартиру на охрану. Если в ней есть золото — драгоценности — бриллианты,  купил сейф. Это разные степени защиты, которые в бытовой жизни привычны и понятны. Но когда мы говорим об информации, мы даже и дверь не ставим, оставляем открытый проем.. Человек берет современное информационное устройство и пользуется им, не задумываясь об опасности интеграции в общий информационный мир. А задумываться нужно. Даже элементарный бытовой компьютер требует защиты. Как минимум, защиты от вирусов. А часто беззащитными остаются сложные серверы. Наши потребители за исключением разве что банков, к сожалению, не понимают этой логики. То ли им не хватает компетенций, то ли в целях экономии, то ли жалко денег на хорошего грамотного IT-менеджера. Но часто не выполняются мероприятия, стоимостью и в тысячу рублей.

Валерий Браун. У нас зашел разговор о вопиющей IT-безграмотности. А на рынке есть специалисты? Сколько они стоят?

Софья Исакова. На самом деле специалисты по информационной безопасности есть и требуются они всегда, хотя на них нет ажиотажного спроса. Кто ищет специалистов по информационной безопасности? В первую очередь это банки, финансовые и страховые компании. У них очень большая ответственность перед клиентами, они защищают информацию, прежде всего, своих клиентов. Но есть еще пул корпораций и производственных компаний, где на первый план выходит защита технологий. И это не менее важно, поскольку ноу-хау стоят больших денег. В связи с этим возникает еще и внешний спрос на таких специалистов. Их нанимают компании, занимающиеся разработкой приложений, проектов по защите информации для клиентов.

Владимир Ванин. А IT-безопасность можно передать на аутсорсинг? Сейчас компании связи и IT рекламируют возможности работы на удаленных серверах. С одной стороны, это заманчиво, поскольку позволяет сэкономить на дорогом программном обеспечении. Но с другой стороны, вся моя информация лежит на этих серверах, а я ее не контролирую, и по тем же проводам ее может качать все, кто хочет.

Денис Ефременко. Та информация, которая является конфиденциальной, может храниться и на собственных серверах компании. Вопрос в том, на каком сервере она лучше защищена, у кого работают более квалифицированные специалисты. Если вы уверены, что лучше защищают информацию ваши штатные специалисты, имеет смысл конфиденциальную информацию хранить на собственных серверах. При сотрудники вашей компании, в лучшем случае, ответят за утечку информации в пределах оклада и не более того. Если же вы заключили договор с IT-компанией, уровень ответственности можно поднять на любой уровень.

Николай Русов. Важны корпоративная культура и система ответственности, которые существует в компании. В банках, к примеру, есть определенные регламенты. Там нельзя в компьютер вставить флешку. Там каждую неделю нужно менять свой пароль. Там разглашение пароля считается чрезвычайным происшествием. Каждый человек, который ходит в Интернет, прекрасно знает, что его трафик может лечь на стол ко мне или начальнику службы безопасности. Такое состояние прессинга есть и в информационных компаниях. А в других компаниях может и не быть.

Павел Солодкий. Еще в 2004 году в Женеве в здании Центра Международной Торговли мне показывали сервера, которые обслуживают десяток банков. Четыре года назад я был Калгари. Это канадский город с совершенно продвинутым бизнесом. Там на окраине города построено здание, в котором установлены очень мощные машины. Безопасность на высочайшем уровне, заключен договор с несколькими операторами связи, чтобы никогда не было бы перегрузки линий, никогда не возникало сбоев. Защита информации, поверьте, намного жестче, чем в большинстве компаний.

Александр Пистонов. Защита компьютерных сетей необходима. И все же для малого и среднего бизнеса основной источник утечек информации по стратегии, планам, маркетингу вне сферы информационных технологий. Это, прежде всего, персонал и особенно часто – собственники и директора компаний. Вольно или невольно, выступая на каких-то профильных конференциях, на выставках, они рассказывают очень много о своих планах и успехах, пытаясь возвеличить себя в глазах других. Крупные компании уже прошли этот этап, когда хочется кому-то доказывать свою успешность, и они понимают, что деньги любят тишину. А руководители малых и средних компаний часто хотят похвастаться. Но если компания раньше времени расскажет о своих стратегических планах, то конкуренты их с удовольствием опередят. Сейчас выживают те, кто лучше делает что-то уже придуманное. Что-то новое придумать сложно, но качественней сделать то, что придумали другие, относительно легко.

Сергей Львов. Не так давно в Ульяновске большая розничная сеть решила переформатировать свои магазины, чтобы уйти из сегмента дискаунтеров в среднеценовой уровень. На разработку стратегии ушло около полугода, для чего была проделана колоссальная работа. Но для внедрения разработок требовались год-полтора. Компания провела большую работу по сохранению коммерческой тайны, чтобы ее наработки не стали достоянием конкурентов. Но генеральный директор, выступая на общем совещании в Москве, рассказал о своих планах министру в присутствии конкурентов. Мало того, что компания потеряла десятки миллионов рублей – ведь конкуренты получили результаты проделанной ею работы. Самое главное, она проиграла в стратегической борьбе: компания умрет, поскольку конкуренты могут выработать систему противодействия в течение одного месяца.

Борис Воронцов. Это один из трех основных источников информации: болтливость руководителей, получение инсайдерской информации от персонала, и получение информации техническими средствами. Хочу обратить внимание, что болтливый руководитель – это самый дешевый и самый компетентный источник. Очень много конфиденциальной информации разглашают и сотрудники. Главное, на мой взгляд: руководители бизнеса должны понимать, какие методы разведки сейчас используются и как от них можно защищаться. Сейчас многие люди, к примеру, вообще не учитывают такие инструменты, как социальные сети. Не понимают, как, например, такой сайт, как «Одноклассники» можно использовать во вред конкретному бизнесу. А ведь социальные сети можно использовать и как канал воздействия на компанию, и как источник получения той информации, которую руководство хотело бы скрыть. Причем, психология людей такова, что они чаще всего не осознают, какой вред они наносят своей компании в этом общении на социальных сетях.

Бывшие и настоящие

Софья Исакова. Мы проводили опрос на нашем сайте и выяснили, что около трети людей готовы раскрывать информацию о своей компании, если считают, что это не приносит вреда предприятию. То есть, они готовы делиться информацией в кругу друзей и знакомых. Они не считают зазорным прийти домой и рассказывать о том, что происходит на работе. При таком всеобщем отношении к коммерческой тайне очень сложно найти ту щелочку, через которую утекает информация.

Дать рекомендации, как предотвратить эти утечки я не могу. Могу лишь рассказать, как поставлена работа у нас в компании. Причем у нас политика связанная с безопасностью тоже двоякая. Разработана многоэтапная система проверки и учета, паролей и регистрации на нашем сайте. Существует система борьбы с пиратством, отслеживания нежелательных заходов по техническим параметрам и т.д. Если же говорить о сотрудниках, которые могут распространить конфиденциальную информацию, то основным инструментом «сдерживания языков» у нас в компании является лояльное отношение персонала. С одной стороны, у нас семейные отношения в компании, с другой – четкий контроль, о котором все знают. На входе сотрудники подписывают соглашения о неразглашении коммерческой информации. Это законно.

Владимир Ванин. А если соглашение о неразглашении все же будет нарушено, то что ждет сотрудника: выговор, депремирование, увольнение, тюрьма, расстрел?

Юлия Крузе. В прошлом году вышло правительственное постановление о коммерческой тайне, которое было очень хорошо воспринято бизнесом. Хотя подобный порядок действует во многих коммерческих организациях. К примеру, я на протяжении двадцати лет выспрашиваю сотрудников банков об уровне их заработной платы. Ни один пока не прокололся. Отвечают: я дал подписку о неразглашении. Это элемент корпоративной культуры: я дал слово и буду последней тварью, если нарушу. Люди поддаются вполне нормальному воздействию. И знают, что если служба безопасности работает, то болтливость может ударить по его карману. В тюрьму не посадят, но можно подвергнуться дисциплинарному воздействию вплоть до увольнения.

Денис Ефременко. В нижегородском филиале ОАО «Ростелеком» работают 4,5 тыс. сотрудников. Поэтому заставить всех подписать соглашение достаточно бессмысленно. Утечку искать будет очень сложно. Поэтому у нас три уровня защиты информации. Первый – государственная тайна. Тут совсем иное отношение: и предусмотрена уголовная ответственность, и доступ к гостайне имеет очень ограниченный круг лиц. Чуть больше сотрудников имеют доступ к настоящей коммерческой тайне – около 50 человек. Они подписали соответствующее соглашение, проходят ежегодные инструктажи. Сотрудники всех остальных подразделений не имеют доступа ко всему массиву информации. У кого-то какой-то кусочек информации есть, но чтобы получить из этих кусочков полноценную картинку, интересную третьей стороне, нужно потратить очень много усилий, которые не могут остаться незамеченными нашей службой безопасности.

Валерий Браун. А какая информация в принципе может быть отнесена к коммерческой тайне?

Юлия Крузе. У нас законодатель декларирует перечень информации, которую нельзя секретить ни при каких случаях. Это, например, когда зарегистрирована организация, ее свидетельства, лицензии и т.д. Перечень открытого блока информации приведен в нормативном акте ???????НАЗВАНИЕ, РЕКВИЗИТЫ. А все остальное безбрежное море информации, которым обладает компания, можно засекретить в режиме коммерческой тайны. Это диспозитивная норма. Я знаю компании, в которых, например, секретна организационная структура предприятия.. Клиентские базы данных – это классика, особенно для торговых компаний. Планы по захвату рынка, структура ценообразования, система мотивации сотрудников, партнерские соглашения… Любая информация, которая в государственном перечне не определена, потенциально может составлять секрет. Но компания должна ввести режим особого доступа к этой информации, вводя гриф коммерческой тайны. Законодатель дал предпринимателям колоссальный инструмент, который мы можем использовать.

Владимир Ванин. Правильно разделить сотрудников на действующих и уходящих (ушедших). Ведь обиженный бывший сотрудник – это кладезь информации. Ко мне в компанию «Неолит» приходили устраиваться на работу бывшие коммерческие директора конкурирующих компаний. Во время собеседования они выкладывали всю информацию, которая меня интересовала. Какие механизмы можно предложить против болтовни уходящих сотрудников.

Денис Ефременко. Укрепившееся понятие в российской экономике: «Золотой парашют». Понятно, что язык увольняющемуся не отрежешь. Но при увольнении сотруднику можно компенсировать, в том числе, и молчание.

Юлия Крузе. Бонус за молчание в соответствии с законом тоже может быть выплачен не разово, а в течение трех лет. Прошел год, все тихо, у нас не случилось скандала, конкуренты резко не меняли своего поведения. Значит, приходи – получай годовую часть бонуса.

Николай Русов. Есть и еще один механизм. Стратегию, среднесрочные планы, другие не количественные, а качественные вещи из головы сотрудника, конечно, не вынешь. Но я знаю такие случаи, когда при скоропостижном увольнении еще более скоропостижно прекращается доступ к базам данных. Базу данных в голове не удержишь.

Софья Исакова. Хороший способ защиты информации от ушедших – это быстро развиваться. Если ваша компания быстро развивается, то любая информация, которую могут слить бывшие сотрудники, элементарно устаревает. Все то, что три месяца было актуально, сейчас уже ничего не стоит.