В большинстве средних компаний существует служба экономической или собственной безопасности: определены зоны ответственности, выстроены регламенты, выделены средства и силы для контроля. На практике часто отсутствует базовый элемент в виде безопасного и понятного канала обращения к этим подразделениям. Данное упущение является системной уязвимостью, способной нанести ущерб бизнесу. Эта проблема стала очевидной для меня в ходе работы с корпоративным сегментом.

Внутренние угрозы как часть повседневной деятельности

Внутренний периметр организации включает в себя сотрудников, подрядчиков и иных лиц которые имеют легитимный доступ к корпоративной информации, которые своими действиями или бездействиями могут нанести финансовый и репутационный ущерб.

Инциденты внутри компании редко проявляются мгновенно. Чаще всего это постепенные процессы, например злоупотребление полномочиями, конфликт интересов, мошеннические действия и т.д.

Раннее выявление таких ситуаций в большинстве случаев возможна через человеческий сигнал. Сейчас не будем рассуждать о DLP и иных технических средствах, вводная на данный момент – сотрудник или контрагент, которому известно о неких обстоятельствах которые он готов сообщит. Если такой канал отсутствует, компания лишается источника информации.

Почему это является системным риском

При попытке связаться с ответственными за экономическую безопасность типовой сценарий выглядит так:

• звонок по общему номеру компании;

• подтверждение, что подразделение существует;

• предложение секретаря направить информацию на общий корпоративный адрес электронной почты;

• отказ соединять с профильным сотрудником.

Иногда сообщают, что соединяют только с конкретным специалистом, с которым уже было взаимодействие ранее. В большинстве случаев ссылаются на установленные регламенты компании.

Возникает логичный вопрос: как связаться с компетентным лицом, если речь идет о передаче чувствительной информации, и отправка ее на общий почтовый адрес объективно небезопасна и не логична?

Для человека, который хочет сообщить о риске или нарушении, это фактически блокирует передачу информации, а компания теряет возможность реагирования.

Практический пример

В одной из компаний среднего масштаба сотрудник попытался сообщить о возможной схеме откатов при закупках. Прямого контакта с сотрудниками службы экономической безопасности не существовало. Используя меры конспирации (звонок вне организации, с телефона другого человека) были осуществлены попытки связаться через приемную. После нескольких попыток сотрудник отказался от идеи формального обращения. Информация стала известна руководству значительно позже, после смены части управленческого состава и получения финансового ущерба. Проверка информации подтвердила факты нарушения, но доказательная база была частично утрачена, а часть участников схемы покинула компанию. И мы говорим не о сложной коррупционной конструкции. Сигнал был доступен на ранней стадии. Проблема заключалась только в отсутствии безопасного механизма передачи информации.

Контроль «не равно» управление риском

Многие компании строят систему безопасности вокруг контроля. Регламенты, проверки, аудит, технические средства мониторинга, оперативная работа. Важно отметить, что контроль — это реактивный инструмент который фиксирует уже совершенное действие. Управление рисками — это работа с вероятностью ущерба до его масштабирования. Если в компании нет безопасного канала для передачи информации о рисках, она лишается самого дешевого и быстрого механизма выявления проблем на ранней стадии.

Канал обращений как элемент архитектуры безопасности

Безопасный канал информирования должен решать ключевые задачи:

1. создание точки входа для информации, которую сложно формализовать;

2. снижение вероятности публичной эскалации проблемы;

3. возможность реагирования до наступления масштабного ущерба.

В зрелых моделях безопасности такой канал отделен от общего корпоративного потока, технически изолирован, доступен ограниченному кругу лиц и имеет регламент обработки. Наличие почтового ящика или автоответчика без прямой связи является не достаточной мерой, так как отсутствует управляемый процесс.

Почему сотрудники СБ избегают прямых каналов

Иногда отсутствие каналов прямой связи является объясняется желанием снизить поток нерелевантных обращений или избежать внешних контактов. Однако в реальности обращения по вопросам безопасности носят точечный характер и не является массовым потоком. Более того, в практике крупных компаний службы безопасности, наоборот, поощряют прямую передачу информации, а в ряде случаев подразделения физически отделены от основной инфраструктуры именно для защиты конфиденциальности информаторов. То есть зрелая модель предполагает управляемую доступность, а не изоляцию.

Техническая реализация безопасного канала

Создание безопасного канала обращения не требует сложной инфраструктуры. Достаточно базовых организационных и технических мер: телефонный номер по которому можно напрямую связаться с компетентными лицами, выделенный адрес электронной почты с ограниченным доступом, регламент обработки обращений, ограничение круга лиц, имеющих доступ к сообщениям, контроль сроков рассмотрения. Ключевым моментом является доверие к каналу и предсказуемость реакции на сигнал.

Слепая зона

Если сотрудник, контрагент или иное лицо не понимает, как безопасно донести информацию, компания теряет возможность предотвратить ущерб на ранней стадии. Система внутренней безопасности без управляемого входящего сигнала остается частично слепой.

Жесткий финал: вопрос зрелости

Компания может инвестировать в средства контроля, внедрять DLP системы (об этом мы поговорим в следующей статье) и разрабатывать регламенты, но если отсутствует безопасный канал передачи информации о рисках, система остается односторонней.

Закрытость может казаться элементом защиты. На практике она превращается в слепую зону, стоимость которой становится очевидной только после инцидента. Вопрос не в доверии к сотрудникам и не в «культуре доносов». Вопрос в зрелости системы. Если служба безопасности не готова слышать сигнал – кто будет реагировать на риск вовремя?

P.s. Вы можете поддержать меня, подписавшись на мой телеграмм-канал, в котором я пишу о кибербезопасности и цифровой повестке, а также о том, как информационная безопасность влияет на людей и общество.