Сделай мне безопасно или почему безопасники в бизнесе не всегда оправдывают ожидания

Написать статью по безопасности бизнеса меня сподвигли клиенты, у которых раз за разом выявляются схожие «болезни» в этой сфере. Начну наверно с наиболее неявного вопроса в данной теме, а именно «как выбирают безопасников». Здесь хочу заметить, что написанное ниже идет исходя из личного опыта работы консультантом по безопасности с некоторой экстраполяцией. Безусловно, есть службы безопасности (далее - СБ), которые отлично справляются со всеми своими задачами, оперативно и адекватно реагируют на возникающие угрозы безопасности защищаемой компании, выявляют и предотвращают недружественные действия как со стороны сотрудников своей организации, так и со стороны третьих лиц, но в данной статье я хотел бы остановиться больше на проблемных моментах. Ни в коем случае не хочу принизить заслуг тех служб безопасности, которые честно и ответственно выполняют свою работу. К сожалению, в силу описанных ниже особенностей, далеко не всегда СБ компании могут наиболее эффективно выполнять свои задачи, что все же поддается коррекции, но и бизнес часто не понимает, какие задачи ставить перед безопасниками и как оценивать их результативность.

Плохо работающую систему безопасности компании можно сравнить с неисправным огнетушителем в машине, который дает ложное чувство защищенности. Вроде он есть и все хорошо, а вот случится пожар, а огнетушитель не работает, и тогда стресс, паника,…, а машина уже сгорела, ущерб уже нанесен. Так и с плохой СБ – она есть, сотрудники что-то делают, чем-то отчитываются, а как происходит какой-либо инцидент – сами теряются. Или когда сотрудники СБ компании (а они входят в круг доверенных лиц) сами наносят ущерб: крадут ресурсы компании, продают информацию, как и неисправный огнетушитель – вот лежит в салоне спокойно, а в следующий момент БАХ, и вся машина в пене, салон испорчен. Иногда доходит и до парадоксальных ситуаций: у одного моего клиента ООО «Сириус» был серьезный корпоративный конфликт с прямым конкурентом ООО «Вега», который, используя административный ресурс и связи в среде правоохранительных органов инициировал проведение обыска на предприятии «Сириуса» (дело уголовное существовало в отношении «Сириуса» , но было вялым и бесперспективным). Безопасник «Сириуса» (человек с большим опытом работы в одной из силовых структур, имевший множество наград и благодарностей, высокое звание), узнав о готовящемся мероприятии, сообщил руководству: «Через 2 часа с обыском приедут, а я по делам убегаю. Не переживайте, ничего страшного. Такое часто бывает». И действительно, вскоре прибыл ОМОН и благополучно изъял базу данных клиентов, поставщиков и всю бухгалтерию предприятия. В результате, базы попали «Веге». Безопасник «Сириуса» так и не был наказан за оставление объекта охраны в опасный момент, не смотря на то, что не мог не знать о последствиях для себя и для предприятия. На вопросы руководству, как они такое допустили и почему не наказали своего нерадивого сотрудника, до сих пор ответа вразумительного дать не могут. Руководство «Сириуса» не знало, как организовать работу службы безопасности, как контролировать и что требовать от своего безопасника, не говоря о том, что для него был свойственен такой тип контрпродуктивного поведения, как использование рабочего времени в личных целях, чем часто грешат бывшие силовики.

Практически любой руководитель хочет, чтобы его компания была защищена от посягательств злоумышленников, чтобы в кризисной ситуации под рукой находился специалист, который оперативно и эффективно сможет решить возникшую проблему, на которого можно положиться и знать, что бизнес защищен. С другой стороны, далеко не каждая компания может позволить содержать подобного сотрудника, а руководство реагирует на угрозы «по факту», то есть после того, как ущерб уже нанесен или попытка атаки произошла, беря задачу защиты бизнеса на себя, откладывая вопрос комплексного решения на потом. Вопросом создания собственной системы безопасности фирмы, как правило, озадачиваются либо после серьезных инцидентов, приведших к существенным потерям бизнеса; по мере роста, когда нужен дополнительный вектор контроля за персоналам; если деятельность ведется в высококонкурентной среде, особенно если работа балансирует на грани закона; а иногда просто потому, что «ну так другие делают». Часто бизнесу и не требуется отдельное направление по безопасности, особенно если фирма небольшая. Этот функционал может исполнять руководство компании и в этом нет ничего сложно, если достаточно времени. Требуется только правильно оценить угрозы бизнесу и добрать ряд компетенций.

Если задать вопрос практически любому руководителю/собственнику бизнеса, кого он будет рассматривать в качестве кандидата на роль сотрудников службы безопасности, то с огромным отрывом будут лидировать представители «силового блока»: ФСБ, МВД, ФСИН,… Ну тут вроде бы все понятно. Люди много времени проработали в специальных службах, правоохранительных структурах, и кто, как не они, должны разбираться в вопросах безопасности и защиты бизнеса. Так действительно думают наверно большинство людей. По крайней мере, все опрошенные мной, без единого исключения, отвечали так. То есть, с группой, откуда выбирать всем ясно, а далее рассматривают уже иные характеристики, как то: послужной список, сферы деятельности, связи в среде силовиков, награды, отзывы,… Вроде бы все отлично и правильно, но есть один нюанс: большинство сотрудников силовых структур особо безопасностью то в своей жизни и не занимались. Они занимались оперативно-разыскной деятельностью (далее - ОРД), ловили преступников, совершивших противоправные деяния, написанием справок, отчетов, статистикой, совещаниями,…, это не считая обеспечивающие подразделения, такие как: секретариат, кадры, финансово-экономического обеспечения и многие другие. Безопасностью здесь особо и не пахнет, по крайней мере, той ее частью, которая связана с предотвращением нанесения вреда, чему в настоящее время, к сожалению внимания уделяется мало. Конечно, агентурно-оперативная работа поставлена хорошо, и информацию получать многие оперативные сотрудники умеют отлично, проводить ее оценку, работать над раскрытием преступлений, но вот работа на упреждение часто поставлена хуже. А такие аспекты, как постоянный анализ угроз безопасности, определение потенциальных векторов «атак» на предприятие, определение собственных уязвимостей бизнеса (здесь все достаточно плохо, так как анализ такой, если и проводится, то крайне редко и делается формально, к тому же и «глаз сильно замылен», а признаваться в своих просчетах мало кто захочет ), анализ положения конкурентов, оценка их возможностей по нанесению ущерба защищаемому бизнесу, и т.д., как правило, упускаются из вида. Это не значит, что те, кто работают безопасниками глупые или неумелые, а всего лишь то, что во время службы на подобного рода или схожие аспекты рабочего времени практически не оставалось и люди привыкали работать с тем, что было, а потом подобные модели просто переносятся на бизнес.

Кроме того, не стоит забывать и про то, что больше ценятся не предотвращенные преступления, а раскрытые. А именно по итогам раскрытий, арестов, громких посадок, сотрудники получают благодарности и награды, продвижения по карьерной лестнице. Это, безусловно, очень нужная работа и без нее жить было бы наверно страшно, но в таком случае ущерб то уже был нанесен. Человек понесет наказание, но после совершения противоправного деяния. Для бизнеса это означает возможное (именно возможное, так как еще найти и доказать надо) наказание злодея, но после нанесения вреда компании, а это, как правило, потерянные деньги. Кроме того, надо еще уметь переложить свои умения и навыки с охраны интересов личности, общества и государства с позиции сотрудника силовой структуры на почти «бесправного» безопасника в бизнесе.

Любая работа накладывает определенный отпечаток на психику человека, его поведение, общение, акцентирует определенные черты личности и навыки. Как правило, безопасником/начальником службы безопасности берут силовика, вышедшего на пенсию. И тому есть серьезные причины. Ведь обычно это человек с огромным опытом ОРД (здесь и далее рассматриваем только людей с опытом оперативной работы), умеет проводить допросы и опросы, психологически давить на подозреваемого, знает схемы взяток и откатов (если работал по линии экономической безопасности), имеет обширные связи среди своих коллег и смежников, знает и умеет применять практику УК и КОАП, имеет опыт руководящей работы (если был руководителем конечно) и многое другое. НО, если посмотреть с другой стороны, то часто можно увидеть следующее:

• Чем дольше человек занимал руководящую должность, тем меньше он занимался непосредственно оперативной работой, и тем больше совещаниями, отчетами,… то есть бумажной работой. Кроме того, палочно-галочную систему во всех органах никто не отменял еще, и часто встречается такое явление, как "небольшое" приукрашивание своей работы и результатов, ведь всем хочется в рейтинге подразделений быть повыше, иначе можно и «по шапке получить». Иногда, правда, это переходит в форму сказко-написания, но это не так часто, к счастью. Таким образом, некоторые привыкают постоянно приукрашивать результаты своей деятельности, и так свыкаются с подобной жизнью, что потом это становится обыденным явлением и переносится на гражданскую работу в бизнесе. Так у ООО «Волга» службой безопасности руководил бывший высокопоставленный сотрудник одной из силовых структур, в возрасте. На каждом совещании он докладывал о том, какую работу провел, как обеспечивает охрану территории, ведет «оперативную работу» в компании, контролирует каждый процесс, работает на предотвращение и т.п. Никто не контролировал его работу потому что считали, что он в надзоре не нуждается, полковник в отставке ведь, а что и как проверять, руководители не знали, считая, что их безопасник, как самостоятельный механизм – запусти его в компанию, а он сам найдет проблему и займется ее устранением. По факту выяснилось, что вся работа по обеспечению безопасности была пущена на самотек, над ним сотрудники откровенно посмеивались, в компании были существенные недоимки, но так как работники друг друга покрывали, то на общем фоне это было малозаметно. В итоге, безопасник выполнял роль своего рода умиротворителя для руководства. Он говорил, что все хорошо, а ему верили.
• У большинство людей с возрастом существенно ослабляется способность к адаптации и обучению, таким образом, они медленнее осваивают новый материал и обучаются новым навыкам и умениям. Появляется ригидность мышления, да и пропадает желание учиться чему-то новому. Зачем? Ведь и так все умею и знаю. Мало кто хочет и может набирать недостающие компетенции, особенно в области психологии, менеджмента, IT. Да и руководители часто не видят необходимости обучать безопасника, ведь он этим всю жизни занимался, все умеет (это при том, что занимался он немножко другими вещами, но об этом мало кто задумывается). В том же примере с «Волгой», безопасник искренне считал, что видит всех буквально «насквозь», прекрасно понимает все бизнес-процессы, бухучет, «а что непонятного то? Не сложнее, чем в уголовном деле разобраться», и, само собой, прекрасно разбирался в людях, а главное, был уверен, что любого лжеца сразу раскусит, чем особенно гордился, приводя в пример свою огромную практику. В итоге, его «источники» на предприятии откровенно водили за нос, сливали ему мелких нарушителей, а серьезные схемы прятали.
• Связи среди силовиков со временем ослабевают и если безопасника нанимают, как «решалу», то со временем ему все труднее и труднее становится выполнять данную функцию, особенно если нет в компании фонда «представительских расходов».
• Опять же, многие «зрелые» безопасники с трудом осваивают современные информационные технологии. Если от угроз мошенничества, краж в реальной жизни они могут защитить, предусмотреть подобные варианты, то от негативных действий в киберсфере – далеко не всегда, так как не полностью понимают данную проблематику. Кроме того, одно из самых уязвимых мест бизнеса – связь, в том числе голосовая, остается практически неприкрытой, так как из-за незнания безопасник не может дать рекомендаций, как сохранить в тайне существо переговоров. К этому еще накладывается и то, что вопросы IT-безопасности переносятся на айтишников компании, что, как правило, является для них непрофильной деятельностью, требует отдельного специалиста или хотя бы стороннего консультанта. Это одна из наиболее болезненных тем: то некоторые ходят с десятком простых кнопочных сотовых, считая, что «левый» телефон – лучшая защита тайны переговоров, не понимая, что все сторонние аппараты легко устанавливаются при анализе биллинга операторов, то «кошмарят» сотрудников и системных администраторов требованиями закрыть всем выход Интернет (неплохая мера, но в совокупностью с рядом других – отключение USB-портов,…, а не сама по себе), то выступают против свободного программного обеспечения, ведь «бесплатно – значит плохо» или против иностранного оборудования, «неизвестно, что туда напихали», не говоря уже про то, что мало кто задумывается о комплексной стратегии информационной безопасности компании. Все это приводит к существенному ослаблению IT-защиты бизнеса, недовольству IT-персонала, что также не добавляет безопасности.
• Сотрудники силовых структур привыкли к жесткой командной вертикали власти. Они привыкли получать приказы и отдавать приказы. (Опять же здесь стоит оговориться, что это верно для большинства, но отнюдь не для всех. И чем дольше человек прослужил в силовых структурах, тем больше характерен для него подобный тип поведения). В результате, адекватное общение с коллегами и сотрудниками компании может быть затруднено. Особенно тяжело найти хорошего безопасника для IT-компании или же другой, предоставляющей услуги и работающей по проектному принципу. Ведь там крайне важны коммуникативные навыки, умения сглаживать конфликты, работать в среде высококвалифицированных специалистов, обладающих определенными «личностными нюансами», как то шизойдная акцентуация характера, и прочее, это если не говорить еще и про понимание специфики работы и особенностей применяемых технологий. В результате, безопасник может вносить больше негатива в работу, чем способствовать повышению защищенности компании. А случайно обиженный сотрудник – крайне уязвим для «злодея», желающего перетащить его на свою сторону.
• Особенности ведения ОРД накладывают и другие отпечатки на сотрудников. Требования быстрых результатов, которые можно учесть в статистике, жесткая иерархическая структура управления приводят к ослаблению творческой составляющей сотрудников. Это может не быть критичным при каждодневной работе, но дает сильный негативный эффект при работе с новым, ранее неизвестным типом мошенничества, особенно связанного с IT-технологиями. Снижение креативности частое явление и в других госорганах, но для безопасности это достаточно критично в связи с тем, что приходя на работу в частный сектор, безопасник должен не только адаптироваться к совершенно другим условиям среды, но и зачастую создавать саму систему безопасности компании или модернизировать ее. А в связи с часто низким уровнем творческого потенциала, мышление идет по шаблонам, ранее известным моделям поведения или работы, что дает лакомую пищу для мошенников/конкурентов, которые используют неординарный подход к решению задачи. Так, у ИП «Котов» также был корпоративный конфликт с ООО «Бульдог», не гнушавшимся использовать нечестные методы борьбы. К участию в торгах на одной из электронных площадок (условия участия следующие: чтобы торги были признаны состоявшимися, в них должно принимать участие минимум 2 игрока и каждый должен сделать хотя бы по одному шагу. Обязательно вход в личный кабинет осуществлялся с постоянного IP-адреса, чтобы избежать возможных махинаций) были допущены обе компании. После начала торгов по интересующему заказа «Бульдог» сделал первый ход, после чего ход сделал «Котов», потом «Бульдог». На этом торги завершились, так как «Котов» ставок больше не делал. В результате «Бульдог» был признан победившим и получил заказ. Чистая прибыль этой компании, по итогам выполнения работ, составила порядка 10 млн. рублей, не считая того, что это дало гарантию занятости ее сотрудникам, повысило репутацию и активы компании, усилило ее позицию на рынке по отношению к «Котову». На следующий день после торгов, «Котов» заявил руководству площадки, что у них неожиданно пропало соединение с Интернетом и запросили отменить результаты торгов, на что им было отказано. После проведения расследования данного инцидента выяснилось, что действительно в тот день и время на Интернет-канал «Котова» была проведении атака типа «отказ в обслуживании» (весь канал был забит паразитическим трафиком, что подтвердили лог-файлы оператора связи, который предоставлял им услуги). По оценкам, стоимость подобной атака на черном рынке на тот момент времени составляла порядка 100$. Таким образом, за 100$ «Бульдог» заработал 10 млн. рублей чистой прибыли, не считая других бонусов (был и ряд других доказательств их причастности). Служба безопасности «Котова» до инцидента даже не рассматривала возможность подобных действий в свой адрес, не смотря на то, что достоверно знала о намерении «Бульдога» сжульничать на торгах. При этом с рядом других функций, как то: охрана здания и территории «Котова», расследования случаев воровства на предприятии, безопасники справлялись отлично.
• Часто сотрудники силовых структур, склонны к проявлению 2 производственных девиаций, правда по разным причинам: использование рабочего времени в личных целях, ведь оперативник часто находится в «городе» и презентеизм (бестолковое присутствие на рабочем месте: во время болезни из-за показной ответственности или привычки; сидит, пока начальник на месте,…), что существенно снижает эффективность работы. И проконтролировать безопасника сложно, так как мало кто из руководителей разбирается в его работе.
• Достаточно спорный момент в лояльности бывшего сотрудника силовых структур. В случае возникновения конфликта между компанией и контролирующим/надзирающим/правоохранительным органом, где ранее служил безопасник, чью сторону он выберет? К сожалению, были (хотя крайне редко) случаи, когда по той или иной причине безопасник передавал своих нанимателей.

Это лишь часть общих «особенностей», характерных для служб безопасности компаний в России. Еще раз повторюсь, что есть службы безопасности/безопасники, практически не подверженные данным проблемам. Каждый случай, каждая компания – уникальна. Часто можно скорректировать работы СБ компании, чтобы существенно повысить ее эффективность. Главное, чтобы сотрудники службы безопасности готовы были учиться и меняться, а бизнес имел понимание необходимости таких изменений.

Вместе с тем, не все так плохо. Многие аспекты работы СБ компании поддаются корректировке для максимизации ее эффективности. Так, при создании/корректировке работы системы безопасности фирмы, руководству желательно иметь максимально возможно полное представление об основных угрозах и их источниках для бизнеса, необходимо понять, «откуда может прилететь», ОБЯЗАТЕЛЬНО знать какие именно задачи хотят решить силами СБ и какими качествами должен обладать сотрудник, чтобы органично вписаться в коллектив, и выполнять свой функционал, то есть составить профиль службы безопасности компании (это поможет существенно сэкономить время в будущем и снизить потенциальные издержки от инцидентов безопасности). При подборе сотрудников, отвечающих за безопасность в компании обращать внимание на профильный опыт и достижения на этом поприще (Для IT-компании бывший сотрудник уголовного розыска, к примеру, скорее всего, будет менее полезен, чем тот, который занимался вопросами информационной безопасности). Проверить коммуникативные и оперативные навыки в части: как сходится с людьми и входит в доверие, как умеет получать и анализировать информацию, какие выводы и решения предлагает по итогам анализа, как умеет работать со техникой, насколько полно знаком с профильными вопросами безопасности (для оценки возможно привлекать IT-персонал, бухгалтеров, юристов,… ), как понимает свои задачи и как планирует строить свою работу. Разработать систему отчетности и контроля для СБ. Важно понимать, как оценивать и что считать результатом работы сотрудника.

Помните: подбирая безопасника в компанию, вы берете человека, который будет знать все грязное белье в организации, владеть многими ее тайнами. Ошибка здесь может дорого стоить.