Современный рынок стимулирует предприятия к тому, чтобы в кратчайшие сроки реагировать на изменения спроса и предлагать новую продукцию. Научно-исследовательские и опытно-конструкторские работы в этом процессе занимают далеко не последнее место.

НИОКР можно условно разделить на две принципиально разные категории: в первом случае ставится задача создать готовый коммерческий продукт; во втором речь идет о создании ноу-хау — перспективных наработок, технологий, которые позволят предприятию получить конкурентные преимущества и дадут возможность в дальнейшем разрабатывать новые продукты или оказывать услуги, однако к появлению конкретного коммерческого продукта эта форма НИОКР может и не привести.

Если результатом исследовательских работ является создание конечного коммерческого продукта, то реальной угрозой становится кража его прототипа. Дальнейший вполне возможный сценарий — это передача прототипа одному или нескольким безымянным азиатским производителям, которые сделают копию, близкую по своим свойствам к тому, что было придумано авторами прототипа, и наводнят рынок подделками.

Довольно часто технические специалисты, подчеркивая свой вклад в разработку того или иного изделия, упускают из виду, что, помимо научной, конструкторской и технологической составляющей, в продукте все большую долю занимает еще и маркетинговая. При хищении результатов НИОКР пропадают и маркетинговые затраты.

Если речь идет о технологическом НИОКР, то ценностью для похитителей является описание самой технологии. С точки зрения ИБ это критически важная информация, и ее надо защищать наиболее тщательно. Украсть технологический НИОКР не так просто, а выгодно «пристроить» — еще сложнее. Подобную документацию крайне затруднительно продать конкурентам, если только это не целенаправленная акция экономического шпионажа по заказу одного из игроков рынка. Дело в том, что время от времени в различных рыночных сегментах появляются шарлатаны и проходимцы, которые предлагают купить у них документацию или технологию, якобы полученную ими у прямых конкурентов. Очень многие высокопоставленные менеджеры достаточно резко осуждали подобных торговцев ворованными разработками и отказывались от их сомнительных предложений. В кризис эта ситуация несколько изменилась, так как в ход пошли не самые чистоплотные методы и средства конкурентной борьбы, но все равно при покупке конкурентной информации требуется подтверждение актуальности предлагаемой документации. Обычно переговоры со злоумышленниками или их сообщниками на этом и заканчиваются.

Если атака на данные НИОКР все-таки была целенаправленной, то ее последствия для бизнеса могут оказаться серьезными, возможно даже катастрофическими. Скверно в этой ситуации то, что предприятию все равно придется внедрять эту технологию, пусть уже и неэксклюзивную, потому что, как только технология станет доступна еще одному или нескольким игрокам, ее придется осваивать всем, в том числе и ее создателям, чтобы не отставать от рынка и поддерживать свое производство на определенном уровне. Это раньше украсть технологию без человека, способного выстроить, наладить и какое-то время поддерживать критически важные технологические процессы, было невозможно. Сейчас, в эпоху стандартов и унифицированных требований по сертификации производств, возможностей для этого гораздо больше, особенно если речь идет о 3D-моделях САПР и управлении станками с ЧПУ.

Модель бизнеса и его уязвимость

Модель классической производственной компании можно представить в виде логического треугольника, в основании которого лежат основные средства, над ними технологии и другие производственные возможности, а на самом верху — бренд. Если речь идет о декапитализированной компании, то треугольник производственных ценностей будет перевернут: на основные средства будет приходиться не так много капитала, как на поддержку и продвижение основного бренда. В этом случае компания сама ничего не производит, но сохраняет за собой уникальные компетенции и знания по ключевым направлениям своего бизнеса. Эта модель позволяет ей реализовывать продукцию, выпускаемую под своим брендом, по всему миру.

В случае кражи ключевой технологии в компании, работающей по классической схеме, потрясения будут не так катастрофичны, как для компании, построенной на основе постиндустриальной модели, — для нее потеря ключевых компетенций влечет за собой серьезные проблемы вплоть до обрушения курса акций на бирже и негативной реакции на инцидент со стороны партнеров и клиентов.

В любом случае и та и другая компания должны поддерживать НИОКР. Уникальность НИОКР в том, что самое дорогое в процессах — это люди, но именно они наиболее уязвимы в вопросах ИБ. Если в других областях за счет делегирования и перераспределения полномочий удается предотвращать концентрацию в руках одного человека всей важной информации, то в случае с НИОКР это невозможно — вокруг разработчиков консолидируются все необходимые данные по изделиям, без этого нельзя выдать ожидаемый результат. Кроме того, даже если кому-то удалось получить результат в условиях разрозненной информационной среды, то на его интеграцию в конечный продукт, скорее всего, придется потратить больше средств, чем на разработку самого продукта.

Как правило, конструктор редко что-то придумывает с нуля, обычно он обращается к накопленным за предыдущие годы решениям и наработкам. Теоретически закрыть доступ к подобной библиотеке прежних наработок нетрудно, а за теми, кто придумывает что-то уникальное, проще установить контроль (например, контроль за доступом к тем или иным файлам, обеспечить разграничение доступа по проектам и пр.). В системе электронной почты не представляет труда заблокировать передачу определенных типов файлов. Доступные средства позволяют анализировать их по структуре. Даже если переименовать файл сборки изделия, то все равно он будет отслежен в рамках электронного документооборота.

Обычно, готовясь к переходу на новое место работы, конструктор пытается забрать с собой и библиотеку своих наработок (правда, точно такое же право на эти интеллектуальные наработки имеет и работодатель). Подобная документация занимает немало места: например, файл сборки изделия требует 300 Мбайт. Если закрыть все порты для внешних носителей (например, флешки), то незаметно передать такой объем информации окажется сложно, а опытный конструктор без наработок уже не будет представлять большого интереса для конкурентов, ведь их цель — не только переманить к себе специалиста, но и заполучить готовую библиотеку наработок конкурента.

Все эти абсолютно доступные процедуры из области ИБ являются лишь малой частью решений, способных защитить компанию от утечки сокровенных знаний, ставших результатом затрат в процессе НИОКР. К сожалению, в большинстве компаний не выполняется даже этот минимум.

 

Где специалисты по ИБ?

Традиционно основное вниманиепри проектировании информационных систем уделяется их функциональным требованиям. Задачи, которые решает ИБ, к таковым не относятся, в результате ни одного специалиста по ИБ на проектах автоматизации процессов, связанных с НИОКР, в России замечено не было. Во-первых, потому что инициатива автоматизации НИОКР обычно исходит от ИТ-специалистов, которые к задачам ИБ относятся по остаточному принципу. Во-вторых, потому что специалисты по ИБ могут сильно ограничить инициативы ИТ-специалистов. В-третьих, потому что компетенции самих специалистов по ИБ бывает недостаточно, чтобы оценить на авторитетном уровне, какую конструкторско-технологическую информацию следует отнести к критически важным объектам, как правильно спрогнозировать риски и пр. Со стороны же самих специалистов требование к ИБ сводится к одной простой задаче: «сделайте так, чтобы нам было безопасно», что, мягко говоря, непрофессионально, так как требования к ИБ должны быть расшифрованы и детерминированы.

Последствия от подобного пренебрежительного отношения к вопросам ИБ в НИОКР могут не только очень дорого обойтись, но и породить дополнительные риски. Дело в том, что предприятия уделяют все больше внимания оптимальному распределению опыта, знаний, творческих усилий и идей своих сотрудников, а также совместному применению этой информации на всех этапах жизненного цикла изделий. По данным исследования, проведенного журналом Harvard Business Review, 55% опрошенных сообщили, что партнеры являются важным источником идей и поддерживают инновации. При этом 43% респондентов заявили, что защита интеллектуальной собственности при работе со сторонними организациями является для них актуальной проблемой. Около 86% предприятий, принявших участие в исследовании, до 2013 года собираются реализовать по крайней мере один проект, основанный на идеях партнеров. Следовательно, во-первых, стоит ожидать новых рисков для результатов НИОКР со стороны партнеров, и, во-вторых, компании, не способные подтвердить уровень своей защищенности на стадии НИОКР, окажутся менее привлекательными для совместных партнерских программ, а в одиночку даже крупные компании уже не в состоянии выдерживать конкурентную борьбу.