вимкнути дудлвключити дудл

Непрогнозована діяльність державних органів в бізнесі. Віктор Шульга. Олександр Горобець

B98R2141«У мене є своя служба безпеки (СБ). Чим ви мене можете здивувати?». Це питання часто задають топ-менеджери або власники бізнесів при першому знайомстві на громадських заходах, а також на презентаціях послуг компанії.

А ось ще кілька цікавих питань, які задають собі бізнесмени на певному етапі свого розвитку:

– обов’язкова компетенція начальника СБ з антивірусної безпеки чи це справа аутсорсингу?

– як оцінювати роботу СБ, якщо на підприємстві вже кілька років не фіксується жодної крадіжки ТМЦ (товарно-матеріальних цінностей)?

– Чи повинна СБ компанії забезпечувати фізичну охорону топ-менеджера в неробочий час?

Насправді цих питань набагато більше. Але для безпеки бізнесу, як окремого напрямку теж підприємницької діяльності, залишається такий постулат: сьогодні клієнта потрібно дивувати.

Загрози для бізнесу сьогодні

В першу чергу – зовнішні загрози. Конкуренція в вітчизняних умовах дуже специфічна і багато в чому відрізняється від західних методів завоювання ринку. Інститут права власності сьогодні дуже хиткий, що змушує власників бізнесу тримати себе в режимі «бойової готовності». Відносини між бізнесом і правоохоронною системою залишаються складними і в поточному році. Потрібно віддати належне силовикам – Національна поліція, Національне антикорупційне бюро України, Служба безпеки України, Державна фіскальна служба України, незважаючи на колосальне навантаження і відсутність достатньої кількості кадрів, протидіють злочинності. Однак тиск на бізнес не припиняється. Дуже багато скарг від представників різних сегментів бізнесу на упереджене ставлення перевіряючих. Наприклад, набирає популярність фінансовий моніторинг, який покликаний реалізовувати державну політику в сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, а також фінансуванню тероризму, періодично використовується деякими правоохоронцями лише як джерело одержання інсайдерської інформації.

У зв’язку з цим досить згадати серію з двох законів «Маски-шоу стоп» кінця 2017 – початку 2018 року. Хоча вже є законодавчі ініціативи для прийняття третього пакета змін до Кримінального процесуального та Кримінального кодексів України, що свідчить про наростаюче і відчутному тиску на бізнес-середовище з боку окремих представників державних силових структур. Проте результати змін є: проводиться відеофіксація обшуків, адвокатів стали легше допускати до проведення обшуку, з’явилися підстави не вилучати комп’ютерну техніку, всерйоз почали звертати увагу на терміни розслідування кримінальних проваджень. На черзі – норми, що закріплюють відповідальність за незаконне вилучення майна.

На нашу думку, до зовнішніх загроз бізнесу слід віднести активну діяльність Національного агентства України з питань виявлення, розшуку та управління активами, отриманими від корупційних та інших злочинів (АРМА). Ця державна структура володіє ексклюзивними повноваженнями для «силового входу» в бізнес, в якому є значна частка ТМЦ (наприклад, цілісні майнові комплекси, автотранспорт, виробниче обладнання і т. д.), для здійснення управління майном. За нашими спостереженнями, не зафіксовано жодного випадку управління АРМА компаніями з IT-бізнесу!

Актуальними продовжують залишатися проблеми лояльності персоналу до компанії і зберігання інформації, що відноситься до комерційної таємниці. Персонал схильний до шахрайства, а проблемні звільнення не тільки деструктують колектив, а й приносять фінансовий збиток згодом. «Злив» клієнтських баз конкурентам, розголошення даних про програмне забезпечення третім особам – найбільш проблемні місця в інформаційній безпеці. Тут потрібно відзначити, що останнім часом намітилася нова цікава практика для звернення з цього приводу до Антимонопольного комітету України з метою проведення розслідування та встановлення ознак недобросовісної конкуренції.

42397029_2107126079504915_5302583584467451904_nХто повинен захищати бізнес?

У нашій країні існують структури по захисту бізнесу: антирейдерські комісії і комітети на різних рівнях, працює офіс бізнес-омбудсмена, а також різні громадські організації. Логічною відповіддю стане фраза з роману Ільфа і Петрова «Порятунок потопаючих – справа рук самих потопаючих». І в більшості компаній таким захисником буде власна або аутсорсингова служба безпеки.

Бізнес стикається з викликами трансформацій, змін внутрішніх процесів і переналаштувань. Керівник служби безпеки повинен не тільки йти в ногу з компанією, а й випереджати, прогнозувати ризики. Для цього необхідне розуміння цілісного підходу до вибудовування системи корпоративної безпеки. Якщо ми говоримо про сучасну службі безпеки, то функція контролю – це лише один із напрямів. Керівник служби безпеки повинен розуміти місію і політику компанії, знати, куди рухається компанія, її пріоритети, принципи формування прибутку і витратної частини. Сучасній службі безпеки, в першу чергу, слід бути бізнес-орієнтованою. А керівник служби безпеки повинен займати посаду в топ-менеджменті компанії, на управлінському рівні.

Альтернативні методи захисту

Ефективний захист бізнесу, крім класичних навичок, компетенцій і інструментів, все активніше доповнюється альтернативними технологіями.

Проведення внутрішніх розслідувань (форензик), будь то працівник власної служби безпеки або незалежний експерт, і здійснення заходів щодо відшкодування матеріальних збитків повинні застосовуватися як крайній захід, адже по суті це вже боротьба з наслідками. Акцент поступово зміщується до побудови системи внутрішнього контролю з метою запобігання економічних правопорушень. Для цього вже необхідно розуміння фінансової звітності компанії, базових елементів внутрішнього аудиту та фінансового контролю. Саме такі навички дадуть можливість відрізнити реальні ризики шахрайства від уявних. Отже і витрачений ресурс буде використовуватися на порядок ефективніше.

А якщо інцидент все ж стався: гроші вкрадені співробітником, конкурентом відібрані активи або майно пошкоджено? Для допомоги в формуванні доказової бази можна сміливо задіяти експертні дослідження, але з розумінням специфіки їх проведення. В іншому випадку можуть виникнути сумніви в експертизі. Застосування арбітражу або експертних досліджень все частіше стає практичним елементом захисту бізнесу при вирішенні конфліктів.

Технічні знання про принципи роботи сучасних спеціальних технічних засобів для прихованого зняття інформації з каналів зв’язку та інших технічних засобів негласного отримання інформації мінімізують витік інформації або як мінімум допоможуть вибрати надійного підрядника по виявленню «прослушки». Якщо ж компанія в основний або суміжній діяльності збирається використовувати квадрокоптера, технічні характеристики знати мало – потрібно бути підкованим і в юридичних питаннях використання дронів. Розуміти, де польоти заборонені законодавством, а де безпілотник законно можуть погасити «глушилкою».

У сучасному цифровому і технологічному світі ігнорувати вплив інформації на діяльність компанії – це злочин. Інформаційна безпека – важливий компонент безпеки бізнесу. Іноді вихід в публічну площину стає єдиним інструментом відбити атаку і зберегти активи. Проаналізувати можливі ризики – завдання служби безпеки, а реалізація реагування залишається за PR-службою. Без базових знань про технології поширення і впливу інформації захистити бізнес буде складно. При виході в піар обов’язково враховується розрахунок власного ресурсу, часу і можливості зворотного ефекту. Алгоритми зовнішніх комунікацій і заготовки публічної позиції компанії для інформаційного поля повинні бути за замовчуванням.

Тренди і прогнози

В пам’яті залишається глобальне дослідження експертів Всесвітнього економічного форуму в Давосі 2017 роки (Global Risks Report 2017), згідно з яким на третьому місці серед глобальних ризиків людства знаходяться технологічні ризики: шахрайство з особистими або службовими даними, а також їх крадіжки, що досягло «безпрецедентних масштабів ». Тільки в 2017 році жертвами кіберзлочинців у всьому світі стали 978 млн осіб. Всі вони втратили 172 млрд доларів, а час, що був витрачений на усунення наслідків злому кожним з них, склало більше 23 годин.

Фахівці відзначають, що людський фактор є найслабшою ланкою в системі захисту від зараження комп’ютерним вірусом або злому баз даних. Через це все більше компаній приймають рішення повністю переходити на хмарне зберігання даних в зарубіжних дата-центрах. Головні переваги такого рішення – захист від DDoS-атак, резервне копіювання даних, а також план аварійного відновлення втраченої інформації.

Сьогодні попереду ринку в цьому сегменті знаходяться вузькоспеціалізовані компанії, які пропонують клієнтові «реаліті-шоу» з подолання його системи безпеки, щоб виявити слабкі місця в ній і отримати контракт на обслуговування.

І ще. Поки готувалася стаття, прес-служба Національної поліції повідомила про те, що затримана група осіб, яка здійснювала несанкціонований доступ до службової інформації, використовуваної колекторськими організаціями, банківськими установами та приватними підприємствами.

Отже, на 2018 рік ми бачимо такі основні тренди в системах захисту бізнесу:

1) бізнесу цікаві пропозиції з готовими рішеннями, пакети послуг і системні продукти, що дозволяють ефективно закривати реальні і потенційні ризики. Сьогодні великим досвідом роботи в правоохоронних органах, системою відеоспостереження і сигналізацією нікого не здивуєш. Потрібні специфічні навички, показники ефективності, оригінальні і нові рішення;

2) юридична складова присутня у всіх сегментах безпеки бізнесу, і її роль залишається значною, незважаючи на збільшення кількості всіляких ботів і повсюдну діджиталізацію. Процесуальних кодексів ніхто не відміняв, і в судових засіданнях в доступному для огляду майбутньому ще довго будуть задіяні саме люди;

3) ефективними залишаються системи стрес-тестів для систем безпеки, а також для персоналу компаній в формі інтерактивних ігор, максимально наближених до реальних умов;

4) непрогнозована діяльність державних органів – один з тих чинників, яким бізнесу дуже складно протистояти на рівних. У зв’язку з цим жодна з систем безпеки не може бути ефективною.

Шульга Віктор – Compliance Officer, юрист Практики безпеки бізнесу АТ Juscutum.

Горобець Олександр – адвокат, керівник проектів Практики безпеки бізнесу АТ Juscutum.

Юридична практика № 10, 2019