Кто владеет информацией — тот владеет миром.
Натан Ротшильд
Как защитить информацию управленческого учета
Сергей КОНОВАЛОВ,
частный предприниматель
Вы полагаете, что ваши конкуренты глупее вас? Тогда пропустите настоящую статью, потому как она написана для тех, кто хочет быть дальновиднее своего окружения. Автор постарался выжать «воду» при обсуждении темы информационной безопасности, оставив на обозрение только костяк проблемы и принципы ее решения. В некоторых случаях показал пути решения на примерах. Несмотря на то, что вопросы, которые мы будем рассматривать в данном материале, часто обсуждаются на страницах разных изданий, все же проблема защиты информации становится все острее (подробнее о коммерческой тайне предприятия см. статью на стр. . — Ред.).
Сколько стоит защита?
На сегодняшний день тот факт, что что информацию необходимо собирать и перерабатывать, ни для кого не является секретом, в том числе и для налоговых органов. Если ведется двойной учет, стоимость утечки информации вполне может быть определена налоговым инспектором в представленном акте проверки или обещанием криминальной группы «за полцены» не сообщать «куда следует». Однако мы ведем честный учет, поэтому не будем говорить о нарушениях. Рассмотрим виды последствий утечки информации, ведь они могут быть очень разные.
Последствия, которые случаются вследствие «просачивания» информации наружу, могут нанести бизнесу непоправимый вред. Срыв ключевых сделок, демпинговые удары после приобретения большой партии товаров или материалов, проверки с арестом счетов налоговыми органами после получения больших кредитов — это только несколько вариантов из возможного арсенала конкурентов.
Следующий вид последствий — болезненные удары, которые можно пережить. К примеру, конкуренты узнали ваши цены и объемы закупки товаров. Там, где они имеют более благоприятные условия приобретения, взяли и снизили цены так, что вам стало невыгодно продавать их.
Последствия могут быть и в виде дестабилизации настроений сотрудников. Такой вид пережить легче всего. Однако он приводит к большой нервотрепке, зачастую в виде «итальянской забастовки». То есть, вам демонстрируют суету, задают море вопросов, при этом мало что делается. В основном это происходит при утечке информации о прибыльности деятельности сотрудников, привязанную к их зарплате. Утечка чаще всего «внутренняя», информация не уходит наружу, но иногда используется конкурентами для переманивания ценных работников.
Существуют скрытые последствия. В данном случае ваши конкуренты, собравшись открыть бизнес, получают следующую информацию: у кого и почем нужно заказывать товары, примерный объем продаж, покупатели, система скидок. Иными словами — «школа готового бизнеса».
Зададитесь вопросом, для чего нам такая классификация? Прикинув цену потерь, вы легко сможете определить, какое количество денег готовы потратить на защиту информации. Следует отметить, что иногда утечка даже очень важной информации не влечет за собой плохих последствий, ведь информацию мало получить — ее нужно успеть обработать и использовать! Если же утечку информации предотвратить нельзя, позаботьтесь о том, чтобы «затянуть» время получения несанкционированной информации.
Однако защита информации заключается не только в том, чтобы ее не видели посторонние, но и в том, чтобы они не могли ее изменить! Не будем обсуждать тему информационного терроризма, хотя и такое случается. Все же зачастую сами сотрудники, не ведая о наносимом вреде, меняют данные. Впрочем, есть и те, кто сознательно манипулирует информацией. Особенно там, где идет прием наличности. К примеру, выписываем документ на одну сумму, принимаем денежки, а потом правим документ, но на меньшую сумму, поставив скидку клиенту, который ее не получал, или убираем пеню из оплаты. Существуют более сложные манипуляции. Менеджер сообщает клиенту, что тот получает скидку 3%, однако добавляет, что имеет право дать максимальную скидку 10%, и предлагает поделиться «по-братски». То есть, 6% клиенту и 4% ему, “сообразительному”. При этом документ выписывается на другого клиента, имеющего действительно скидку 10%. Выгодно всем…кроме вас!
Откуда происходит утечка
Итак, обозначив цену вопроса, перейдем к механизмам утечки информации. Когда речь идет о защите информации, перед глазами всплывает образ злого хакера, с блуждающим взглядом, всклокоченными волосами и невнятной речью, ломающим защиту банков, или шпиона, который ночью с фонариком обыскивает сейф шефа. Только жизнь наполнена довольно тривиальными случаями. Зачем хакеру внедрять в вашу сеть «троянский вирус», если можно просто прийти, воткнуть флешку в доступный компьютер и скопировать базу данных?
В случае когда вышеописанные действия являются затруднительными, следует попросить о помощи у кого-либо из ваших сотрудников, скажем увольняющегося. Он это сделает с удовольствием, особенно если его обидели или конкуренты прилично заплатили. Другой вариант — склонить бухгалтера посмотреть и передать информацию. Очень часто на бухгалтерах экономят, в то время, когда они являются носителями бесценной информации. Природная скромность и совестливость наших бухгалтеров не позволяет им жить роскошнее, чем сейчас, но времена меняются... Переход сотрудника на работу к конкурентам также несет в себе опасность утечки ценной информации. Иногда не требуется никаких усилий — нужно просто прийти и заглянуть в экран монитора пока сотрудник отошел (конечно, если знаешь куда заглянуть). Программы учета часто не закрывают и не включают заставки, — смотри, что хочешь!
Самый экзотичный способ — это подключиться к вашей сети через Интернет. Многие небольшие предприятия имеют сеть с прорехами в безопасности, и даже юноши, почитав материалы из сайтов, где описаны технологии взлома, могут проникнуть к ним в сеть. Хорошо, если ради любопытства…
Простые способы защиты
Теперь, когда вы уже достаточно прониклись проблемой охраны информации, пора обсудить меры по ее сбережению. В первую очередь, необходимо сотрудничать с хорошим программистом (желательно проверенным человеком), способным администрировать вашу сеть и каждый компьютер в отдельности, особенно сервер. Далее следует позаботиться о том, чтобы информацию нельзя было просто так скопировать на съемный носитель вроде флешки, а также предусмотреть обратный процесс — когда вам дарят вирус. Теперь о сотрудниках. Хороших специалистов немного, и удержать их бывает довольно сложно. Поэтому можно разбить сотрудников по уровням доступа к информации, чем выше уровень, тем больше информации доступно.
Если уровни существуют, пора подумать о том, что одно дело видеть информацию, а другое — ее менять. Получается, что хоть видеть какую-то информацию можно с определенного уровня, но менять можно с другого. Касается это записей в справочнике, полей записи справочника, полей в документах, а уж отчетов тем более. Очень важно также строго придерживаться правила: «За внесение информации и ее содержание должны отвечать там, где она появляется». Часто случается, что сотрудники среднего звена пытаются свалить работу на нижестоящих. Последние, в свою очередь, уже ни за что не отвечают, а информацией, не нужной для работы, владеют. Также следует предусмотреть, чтобы сотрудники отвечали за тот участок информации, который вносят в программу учета. Недопустимо, чтобы сотрудники одного уровня правили информацию друг у друга, если это специально не оговорено. Иногда на одном уровне не надо видеть информацию, созданную другими сотрудниками с такими же правами. Очевидно, что без специально разработанной программы управленческого учета достигнуть этого очень сложно. Однако если вы хотите действительно управлять бизнесом, а не констатировать факты, необходимо позаботиться о том, чтобы в программе вашего управленческого учета фиксировалось следующее: кто, когда, как правил справочники и документы, а также просматривал те или иные отчеты.
Вы думаете, что у меня маниакально-депрессивный синдром? Нет! Смею утверждать, что мало кто знает своих сотрудников до конца. Пожалейте их, чем меньше они будут знать, тем спокойнее будут спать. Кроме того, сотрудники должны быть уверены, что их деятельность вполне подконтрольна, тогда у них меньше «фантазий» и «левых» мыслей. Хватит ли столь простого набора для 100% защиты вашего бизнеса? Конечно нет, но могу гарантировать, что искать источники утечки скорее надо там, где перечислено, а не в перехвате трафика Интернета. Дело в том, что никто не станет платить за информацию больше той прибыли, которую получит от этого. Перехватывать трафик или «ломать» сеть дело дорогое, особенно если поработал профессиональный администратор и прописал политики безопасности и доступ к каталогам и файлам. Сотрудники, с их слабостями, страстями и эмоциями, являются самым слабым звеном информационной защиты. Поэтому строго дозированная подача информации — это задача номер один. Не верите? Я докажу.
В 1С и не только
Для примера возьмем такие «раскрученные» продукты как конфигурация «1С-торговля и склад» или «1С-Предприятие». Фирма 1С утверждает, что количество пользователей данными программами исчисляется десятками тысяч. Так что не удивительно, если вы один из ее пользователей.
Для начала видим, что всем пользователям назначаются права на использование или просмотр справочников, документов и отчетов. Однако, если справочник пользователю доступен, он может пользоваться в справочнике любой информацией, такой как поля справочника, записи. Возникает вопрос, зачем продавцу или отделу сбыта знать почем пришел товар и кто поставщик? Но тут или все, или ничего, ведь в документы выбирать товары надо, так что хочешь не хочешь, а доступ дашь и продавцам, и кладовщикам, и бухгалтерам. Что же касается справочника контрагентов, отметим, что тот, кто работает с поставщиками и клиентами должен его использовать. Заодно появляется возможность выбирать любого контрагента в отчетах, даже если ты с ними не работаешь. Далее обсудим документы. Продавцу необходимо иметь доступ к расходной накладной. В результате теперь он может посмотреть или поправить все расходки, не являясь автором документа. Вы даже представления не будете иметь, кто, когда и что правил! Также вы не будете знать, кто и когда заглядывал в отчеты, документы и справочники. Более того, известно, что при входе в 1С требуется указать пользователя и пароль. Однако удалите каталог «Users» из папки базы 1С и попробуйте зайти в программу — без проблем! Даже ничего не спрашивает. Так что копируйте базу, «убивайте» файлы пользователей и вперед — изучайте!
Не нужно удивляться тому факту, что подавляющее большинство пользователей 1С обращаются к сторонним специалистам, и, что парадоксально, большинство сопровождающих 1С не очень квалифицированные программисты. Они допускают промахи, в результате которых «слить» информацию не составляет труда. Серьезные фирмы стараются приобрести другой софт, хотя он зачастую слишком дорог. Как бороться с указанными недостатками 1С, об этом написано в сотнях сайтов Интернета, но «воз и ныне там». Я привел примеры для стандартной 1С. Если же у вас другая программа, посмотрите на нее еще раз — уже иными глазами.
«Дешево и сердито»
Можно вдаваться в теорию, но лучше приведу пример, как можно защитить информацию управленческого учета на базе 1С. Идея такова: щелкаем правой клавишей мыши при нажатой кнопке «Ctrl» на нужном поле информации справочника, документа или отчета. Появляется меню настройки доступа. Устанавливаем уровень пользователя, с которого можно поле видеть, а потом отдельно ставим уровень, при котором данное поле можно редактировать. Можно установить доступ и к кнопкам, что позволяет регулировать доступ к действиям. Для записей и групп справочников задается уровень доступа. Пользователи, у которых уровень такой, как указан для записи, могут ее видеть, у кого уровень выше — могут ее еще и редактировать. Представьте, сотрудник открывает справочник и видит только те записи, которые ему позволено видеть с его уровнем. Когда смотрит запись справочника, видит только поля, которые ему позволено видеть, а изменять может только то, что позволено. Так же и с документами и отчетами. Далее каждому пользователю отдельно прописываются записи справочников, к которым он имеет доступ в виде исключения. Можно в результате сделать так — группу записей «закрыть», назначив высокий уровень доступа, а каждому сотруднику прописать исключения в виде прав доступа к отдельным записям или подгруппам. Так что, при необходимости, каждому — свое!
Что же с документами? При открытии документа проверяется, кто автор. Если тот, кто открывает документ, имеет уровень такой же, как у автора документа или ниже, программа его в документ «не пускает». Однако люди ходят в отпуск или болеют, поэтому каждому пользователю можно прописать партнера по работе, причем постоянно либо временно. Партнер может только смотреть или работать с документами автора, причем тогда, когда ему это позволено. Чтобы не создавались коллизии, ведется справочник изменений документов: кто, когда и что менял. Получилось очень удобно! Например, в расходной накладной устанавливаем уровень доступа к полю «скидка», простые продавцы не могут ее изменить — программа сама устанавливает ее в зависимости от политики скидок. Менеджеры имеют уровень повыше и могут установить скидку самостоятельно. При этом, конечно, программа проверит, имеет ли право этот менеджер устанавливать такой процент скидки.
Вот вам схема, проверенная временем и разнообразной практикой. Почти готовое техзадание для вашего программиста.
Успехов вам и спокойной работы!