Постоянный клиент НИЦКБ, большая производственная компания, обратились за помощью в проведении аудита своей деловой репутации. Нашей задачей было выявить возможные уязвимости и спрогнозировать риски, которые могли стать основой для организации информационной атаки на Заказчика.
Учитывая, что компания крупная, ведущая свою деятельность в том числе и на международном рынке, скованная различными нормативами, стандартами и регламентами, находящаяся под постоянным прицелом контролирующих органов и регулярно подвергающаяся различного рода проверкам и аудитам. Мы понимали, что все процессы внутри отлажены и то, к чему можно было бы придраться на первый взгляд уже давно сделано и исправлено (подробнее можно почитать об этом в нашем исследовании по информационным войнам). Поэтому решили подробнее изучить контрагентов/партнеров из числа представителей малого бизнеса, которые предоставляют нашему клиенту услуги, связанные с деликатными задачами сферы безопасности, бухгалтерии, подбора кадров, юриспруденции (обычно этот список не исчерпывающий и проверять необходимо всех).
Небольшие компании более уязвимы с точки зрения подрыва их репутации. Обычно перед заключением контракта их тщательно проверяют на способность выполнять обязательства, на аффилированность и т.д., но почему-то меньше внимания уделяют рискам, связанным с их репутацией, которая кстати сказать, может напрямую повлиять на репутацию крупного бренда, сотрудничающего с ними. Небольшая компания поставщик услуг иногда своим болезненным желанием похвалиться наличием крупного бренда в заказчиках не учитывает количество уязвимостей, которые открывает по отношению к клиенту через себя.
Найти данных контрагентов не сложно. Зачастую небольшие компании для популяризации и завоевания доверия указывают на своих сайтах и различных информационных ресурсах с какими крупными брендами они сотрудничают. Поэтому можно проанализировать ресурсы, коммерческие предложения конкретных компаний из указанных сфер, заглянуть на пару форумов, пролистать несколько телеграм-каналов или посидеть на какой-нибудь конференции по безопасности, HR, IT и т.д.
В данном кейсе получив список подобных поставщиков услуг от нашего клиента, с которым у него были или есть действующее сотрудничество, сделать это получилось в разы быстрее. Мы нашли в открытом доступе коммерческое предложение о предоставлении информационно-аналитических услуг от одной из компании-провайдера. Уже на титульном листе присутствовали логотипы компаний-клиентов, среди которых был и наш Заказчик.
Изучаем коммерческое предложение дальше. Для наилучшей демонстрации уникальности своего продукта данный провайдер включил фрагменты своих отчетов в презентацию. Но в силу возможной недобросовестности или невнимательности он не потрудился сохранить в тайне установочные данные лиц и компаний, фигурирующих в справках. В предоставленных примерах находились номера телефонов реальных лиц, а также адреса, среди которых нами без труда был обнаружен и адрес компании нашего Заказчика.
Путем нехитрых манипуляций с поисковыми системами Яндекс и Google, мы нашли ссылки на социальные сети, различные сообщения из Avito, резюме, таким образом выясняя значительное количество подробностей личной жизни людей, данные которых были «подсвечены» в презентации, в том числе где они проживают, где работают, какие у них притязания на заработную плату, где они учились, кто их родственники. Разумеется, человек, данные которого вот так разместили в коммерческом предложении, вряд ли давал свое согласие на выставление своих персональных сведений в коммерческих целях, как пример отчета. И компания-заказчик, конечно же, на такую демонстрацию не давала права.
Изучив коммерческое предложение, мы увидели, что описание некоторых предоставляемых данным провайдером услуг явно вступает в противоречие с действующим законодательством Российской Федерации, а предлагаемые рекомендации по решению деликатных проблем носят противоправный характер.
Какие риски в данном случае можно прогнозировать:
1. Злоумышленник может связаться с теми людьми, чьи контакты указаны в презентации, и сказать им, что компания не позаботилась о сохранении их персональных данных: «А вы знаете, что компания, в которой вы работаете, либо проходили собеседование, поступает с Вашими персональными данными таким образом, пробивает Вас незаконными способами и выкладывает Вашу личную информацию в Интернет?». Такое сообщение-кляуза может стать «отличным поводом» не только для написания отрицательного отзыва, но и для предъявления исковых требований к компании.
2. Компания, которую мы аудировали, не пользовалась и не знала о не совсем законных услугах данного провайдера, но, как известно, незнание не освобождает от опасности атаки на репутацию. Для организации информационной атаки достаточно указать на наличие деловых отношений нашего Заказчика и недобросовестного подрядчика и ненавязчиво намекнуть, что компания, вероятно, заказывала и «неоднозначные» услуги. Этих «доказательств» вполне достаточно для среднестатистического журналистского расследования. Кричащие заголовки и звонкие обвинения в тайной слежке за сотрудниками и незаконными методами устранения конкурентов. А аудитория и конкурентная среда доделают все остальное.
Таким образом, из-за ошибки, неудачных формулировок и банальной халатности горе-провайдера злоумышленники могут сформировать несколько векторов информационной атаки на крупный бренд.
Сеть Интернет – прекрасная площадка для корпоративных информационных войн, а пользователи не требуют веских доказательств. В данном случае, кто громче и раньше сделает заявление, тот и прав. Такой, казалось бы, «притянутый за уши» вброс в СМИ о противоправных действиях со стороны компании, дает возможность правоохранительным органам инициировать проверку.
С учетом нашего опыта по подобного рода делам и всего выше изложенного мы рекомендуем нашим клиентам заранее проверять репутацию провайдеров/партнеров/поставщиков, внимательно изучать какой деятельностью он еще занимается и какие услуги оказывает, а не только аффилированность и чистоту финансовой деятельности. Также оценить партнёра с точки зрения личностной благонадежности, чтобы понять, насколько он любит «похвастаться», способен ли соблюдать конфиденциальность, быть внимательным к информации, которую передает третьим лицам и другие риски.
Одновременно с этим желательно в процессе сотрудничества мониторить информационные ресурсы провайдеров на предмет того, какую информацию о Вас публикуют, указывают ли логотипы компаний, каким образом описывают примеры кейсов, которые решали в рамках сотрудничества.
При необходимости добавьте в соглашение о неразглашении соответствующее расширение о том, что «Запрещается анонсировать сам факт сотрудничества» и обязательно указывайте санкции на случай нарушения данного пункта.
Прочитать о том, что необходимо учитывать при подписании соглашения о конфиденциальности, можно в статье «Соглашение о конфиденциальности и карта “слухов” как методы безопасности»
Заполните заявку и получите консультацию по вашему вопросу бесплатно.
