Павел Захаров , консультант по вопросам обеспечения безопасности медицинских клиник (Санкт-Петербург)
Как уже было отмечено в статье «Обеспечение безопасности – один из важных элементов в работе медицинского учреждения», рисков, сопутствующих деятельности компании (в данном случае – для медицинского учреждения), можно насчитать большое количество. Вот лишь некоторые, которые сразу приходят в голову (без детализации): риски технико-технологические, риски, источником которых является персонал или пациенты, политические, экономические…
Если тщательно проанализировать все бизнес-процессы, протекающие в медицинском учреждении и нарисовать «карту» опасностей, соответствующих тому или иному «шагу», то можно будет убедиться, насколько велико количество вредных факторов, которые могут негативно повлиять на работу компании и стать причиной головной боли руководства.
Нет такого руководителя, который бы не обращал внимание на опасности, подстерегающие его компанию. Желая избавить компанию от проблем, первое лицо компании принимает решение о создании собственной службы безопасности. Вполне логичное решение, с учетом реалий сегодняшнего дня – полностью оправданное.
Приветствуя и поддерживая инициативу такого руководителя, я, тем не менее, выскажу мысль крамольную. Служба безопасности, как подразделение компании, как неотъемлемая часть всей системы точно так же является источником угроз. Причем (и на это следует обратить особое внимание!), в силу специфики выполняемых задач, угроз весьма значительных. Почему мы ждем пакости от кого угодно из числа персонала – начиная с уборщицы и заканчивая коммерческим директором, но отказываемся высказать предположение о том, что начальник службы безопасности может быть вором, предателем или попросту – безалаберным лентяем, который, если сам активно не пакостит, то дает пакостить другим? Предполагаю, что если такая мысль и приходила в голову руководителям, то задерживалась там ненадолго.
Давайте порассуждаем на тему, вынесенную в заголовок статьи – служба безопасности может быть источником угрозы для вашего предприятия. Как я уже упомянул – деятельность СБ весьма специфична и в связи с этим угрозы так же приобретают определенный масштаб и конфигурацию. Об этом ни в коем случае забывать нельзя.
Сотрудники, трудящиеся в СБ, по праву являются объектом повышенного внимания со стороны других членов коллектива. Это легко объяснимо – в большинстве своем они – выходцы из спецслужб, к коим мы относим милицию, ФСБ, ГРУ, СВР и прочие ведомства, решающие особые задачи. Много «безопасников» носили в прошлом армейскую форму. Чем же вызвано особое внимание и отношение? Ответ прост – существующей мифологией, которая, не скрою, в некоторой степени, может играть на руку «безопасникам» и которую они, вольно или невольно, стараются поддерживать. Тут и флер секретности, ощущение загадки, романтика причастности к тайнам, риску и опасностям, обладание невероятной смелостью и отвагой, готовностью к самопожертвованию… Существует представление (имеющее под собой определенную почву) об обладании неким «сакральным» знанием, «всезнанием» о всех и вся в компании и вне ее. Начальник СБ все видит и все слышит, даже если он целыми днями безвылазно сидит в своем кабинете. Он вездесущ и всеведущ. Он справедлив, умен, честен и неподкупен. Он непогрешим. Рыцарь без страха и упрека… Обычное дело, не правда ли?
А теперь опустимся с небес на землю и обратимся к статистике. Статистика – вещь упрямая и мы, ознакомившись с результатами какого-нибудь опроса населения, увидим, с каким негативом воспринимает население России представителей правоохранительных органов. Львиная доля негатива (будем откровенны – вполне объективного, имеющего под собой определенную основу) достается милиции, но если копнуть глубже, достанется и чекистам и армейским… Могут найтись те, кто скажет, что статистика – это вранье, фантазия, сказки… Сказка, может быть. Ложь. Но, как говорит русская поговорка – «…в ней намек», который игнорировать нельзя. Так почему же мы, видя милиционера на улице, готовы сразу же повесить на него ярлык «оборотня в погонах», но стоит ему сменить китель на костюм и обозваться «начальником службы безопасности», «руководителем отдела по предотвращению потерь» или «директором по общим вопросам, режиму и правовому сопровождению», мы моментально цепляем на него нимб? Ведь он – плоть от плоти дитя порочной системы, будем называть вещи своими именами. Неужели он моментально усовестился, поумнел? Кто-то мне обязательно возразит – как же так, всех да под одну гребенку! Нет, конечно, я никогда бы и не смог утверждать, что поголовно все выходцы из спецслужб – исчадия ада, а «хорошие милиционеры» остались лишь в сериалах… Я знаю, что в системе работали, работают и очень надеюсь – всегда будут работать умные, честные и порядочные люди. Точно так же – и в отношении руководителей и сотрудников СБ частных фирм и компаний. Но наша непростая действительность, которую мы ежедневно наблюдаем вокруг, не дает повода для безоглядного оптимизма. Наличие ложки дегтя в бочке меда, к сожалению, является печальным правилом, а не досадным исключением…
Итак, какие условия влияют на повышение уровня угрозы со стороны СБ? В первую очередь, на мой взгляд, такой причиной является излишне упрощенный подход к поиску фигуры руководителя СБ: многие руководители идут по пути наименьшего сопротивления и на эту должность приглашают выходца из правоохранительных органов, своего знакомого или знакомого знакомых, причем желательно – «с большими звездами». В некоторой степени это себя оправдывает, потому как должность – это компетенция, уровень связей, но… Так уж необходимо иметь в качестве начальника СБ убеленного сединами полковника или даже – генерала? Не спорю, уровень «безопасника» должен быть адекватен как уровню компании, так и количеству/качеству тех задач, которые будут на него возложены. Но такой подход имеет и ряд неоспоримых минусов – человек, прослуживший в органах долгие годы, имеет за плечами определенный багаж знаний и умений, которые, как это ни удивительно, могут оказаться лишними в бизнес-процессах. И хорошо, если этот багаж будет лежать мертвым грузом, никому не мешая. Но может статься, что неприятие реалий бизнеса и непонимание своего места в структуре компании, отсутствие навыков динамичной работы в бизнес-структуре, невозможность и нежелание (чисто психологическая) учиться работать в новых, незнакомых условиях, приведет к тому, что очень точно может быть описано поговоркой о слоне в посудной лавке.
Руководитель, целиком и полностью доверяя такому специалисту, отдает на откуп выстраивание системы безопасности предприятия – вот тут и начинается самое интересное… Такой специалист, вольно или невольно, но начинает создавать корпоративную СБ по хорошо известной ему модели – и получается, что в компании со временем появляется мини-МВД, мини-ФСБ, мини-пораничный или, например, таможенный пост, что влечет неминуемый перекос в направлении работы, отсутствие должного внимания к проблемам, которые объективно существуют, но лежат вне привычного круга деятельности сотрудника. Убежден, что до тех пор, пока основным критерием для отбора на должность начальника СБ будет наличие определенного статуса у соискателя (звание – не ниже полковника, должность – не ниже начальника РУВД или замначальника ГУВД и т. д.), определяющий наличие связей по прошлому месту работы, контактов с проверяющими и контролирующими организациями, система корпоративной безопасности будет ущербна и не будет отвечать возложенным на нее требованиям.
Существуют примеры, когда излишнее доверие к «безопаснику» приводило к тому, что начальник СБ начинал манипулировать директором, ставя во главу угла не вопросы дела, а личные или узкокорпоративные интересы. Это становится возможным тогда, когда первое лицо на первых порах не хочет контролировать деятельность корпоративной СБ (в том числе и по причине уже упоминавшейся мифологии), а потом уже не может, целиком и полностью став заложником ситуации. Сначала ему по-дружески посоветуют «не сильно углубляться в проблему» – у директора и так много задач, потом успешно ее «решат» (а была ли проблема реальной, директор попросту не знает). Известны случаи, когда для повышения уровня уважения в глазах первого лица и всего коллектива, руководитель СБ идет на откровенный обман – самостоятельно создает проблему, которую затем, в силу понятных причин, ее успешно решает. Естественно, что для решения «проблемы» необходимо дополнительное финансирование. Догадайтесь, куда на самом деле идут выделяемые руководителем средства? В дальнейшем все просто – схема отработана, можно действовать по упрощенному варианту: создается уже не проблема, а только ее видимость, затем – видимость решения… Как итог – полное незнание реальной ситуации и невозможность объективно понять, чем занимается СБ…
Отчасти в развитии подобной ситуации повинны сами первые лица. Поясню: оценкой качественной работы производственного отдела является количество произведенной продукции, показатель работы отдела продаж – увеличение объемов реализуемой продукции, отдела рекламы и PR – узнаваемость бренда, повышение интереса к торговой марке… Тут все просто – их работа оценивается в штуках, тоннах, цифрах и суммах, в конце концов. Чем и как оценить работу СБ? На мой взгляд, оценка должна быть обратно-пропорциональной. Что имеется в виду – поясню на примере. В давние времена, богатый падишах, глава государства, часто и тяжело болел. Стоило ему ненадолго поправиться, как тут же его валил новый недуг. Придворный лекарь вился мелким бесом, стараясь облегчить страдания своего хозяина, за что падишах щедро расплачивался с ним звонкой монетой из казны. Но однажды падишах задумался – а почему так? – лекарь его лечит, что ни день – новые микстуры и снадобья, а он, падишах, все болеет и болеет… Падишах был мудр и понял причину происходящего – лекарь получал плату за свои труды только тогда, когда падишах болел. Здоровому человеку врач не нужен, правильно? Лекарю были выгодны болячки падишаха до такой степени, что он даже выдумывал их! Хотел, было, падишах голову лекарю придворному отрубить за такую хитрость, да решил поступить по-другому. Он действительно был мудр, этот падишах. Голова лекаря осталась на месте, но с этого момента лекарь получал деньги за здоровье падишаха. Но стоило главе государства занеможить – выплаты тут же прекращались. И лекарь был просто вынужден утроить свои усилия, дабы поставить больного на ноги… Чем быстрее падишах выздоравливал и чем дольше он оставался здоровым и полным сил, тем больше получал лекарь…
Тут надо обратить внимание на принципиальное отличие работы сотрудника правоохранительных органов от задач сотрудника СБ. Принцип работы сотрудника спецслужб – «реактивный», т. е. заключается в реакции на произошедшее событие (совершение преступления или правонарушения), а основная задача сотрудника СБ – профилактика. Перед ним стоит та же задача, что и перед тем лекарем – обеспечение такого уровня безопасности бизнес-процедур, при котором сопутствующие риски минимальны и остаются таковыми в течение максимально возможного времени. И чем дольше «ничего не происходит», тем лучше. Позвольте, – услышим мы чье-нибудь возражение, – а может быть, ничего не происходит не потому, что это – заслуга СБ, а просто не происходит и все? Само по себе, так сказать. Возражение парадоксальное, но мне самому лично приходилось его слышать: «Павел Алексеевич, как-то слишком все спокойно!»… Почему-то руководителю, сидящему за рулем дорого автомобиля, не приходит в голову спросить «Почему-то мой «Порш-Кайен» давно не ломался!». А все просто – он качественно сделан, питается хорошим топливом и обслуживается на фирменной станции. Риски сведены к нулю, а все «заусенцы» своевременно выявляются и устраняются. Дальнейшие комментарии, думаю, не нужны. В противном случае – вспомним хитрого лекаря – СБ будет постоянно напоминать разбуженный улей, будет перманентный аврал и неприкрытое желание показать, как активно все трудятся, решая проблемы (а настоящие ли?).
Итак, предлагаю назвать причины, которые могут привести к тому, что СБ будет источником бед и проблем:
– Нежелание и невозможность, в силу возраста или иных причин, учиться и получать знания о принципах и правилах функционирования предприятия («я двадцать лет руководил РУВД! Что я, с клиникой не справлюсь?»)
– Узость мышления и стереотипность действий (создание аналога предыдущей системы – «У всех проверять документы и обыскивать!»)
– «Реактивная» направленность работы, отсутствие упора на профилактику («Вот как только украдут – так тут же начнем работать!»)
– Переизбыток доверия со стороны руководства предприятия (отсутствие контроля «сверху» и самоконтроля – «Не переживайте, мы все сделаем в лучшем виде!») Следует отметить, что доверие в отношении руководителя компании и начальника СБ – характеристика не только морально-этическая, но и вполне экономическая. Безраздельно доверяя «безопаснику», руководитель может и не понять, что затраты на безопасность обходятся дороже, чем возможный ущерб от реализации угроз. Простым языком говоря – сигнализация на машине не может стоить дороже самой машины. Расчет затрат на охранные мероприятия показывает, что расходы в 5-10% от годовой выручки – наиболее здравы и объективны.
– Недостаток финансирования – это уже камень в огород руководства (невозможность использования необходимых рабочих инструментов, оборудования и технологий обеспечения безопасности – «Вот вам бумага и шариковая ручка, идите и боритесь с хакерами!»)
– Неадекватность СБ системе сопутствующих рисков («лоскутность» системы безопасности, политика «затыкания дыр», несистемность)
Список, конечно, не идеален, но некоторые рецепты борьбы с умышленным или неумышленным превращением СБ в собственного антипода, можно предложить уже сейчас:
1. Необходимо создать многоуровневую «матрицу» рисков, сопутствующих деятельности предприятия, с указанием:
а) предпосылок негативного действия,
б) описания негативного действия,
в) предполагаемых вредных последствий
и сценариев обратного воздействия на угрозу:
а-1) описания профилактических мер для исключения предпосылок,
б-1) мер обнаружения вредного действия,
в-1) мер снижения и возмещения ущерба, причиненного действием.
Как пример:
Предпосылка действия: изношенность водопроводной системы
Описание негативного действия: прорыв трубы с горячей водой, проходящей над помещением серверной.
Вредные последствия: выход из строя серверов, остановка работы локальной сети, потеря информации и пр.
Сценарий обратного воздействия:
Профилактика: замена, ремонт и укрепление труб, перенос труб в другое место, перенос серверов в другое место, более качественная защита серверов от воздействия горячей воды, дублирование информации, дублирование серверов, постоянное присутствие водопроводчика, страхование оборудования от затопления и пр.
Меры обнаружения: датчики давления в трубах, датчики воды в помещениях серверной, видеонаблюдение, сторож, следящий за серверной.
Меры по возмещению и снижению ущерба: быстрая установка новых серверов во избежание простоя информационной системы, ремонт в помещении и пр.
Создание «матрицы» рисков по предложенной схеме – дело долгое и кропотливое, необходимо буквально разбираться во всех процессах, происходящих в компании. Если нет данных о том, что может нарушить функционирование того или иного «блока» в системе предприятия, рекомендую воспользоваться приемом, который называется «диверсионный анализ». Он заключается в обратной задаче – необходимо придумать, как сломать «блок». Зная, как его сломать, мы сможем понять, как следует его защищать.
Следует заметить, что описание профилактических мер для различного типа угроз в матрице будет повторяться – например, организация управления доступом в здании. Таким образом, установка и эксплуатация СКД во всем здании снизит риск появления торговых представителей (отвлекают от работы врачей), воров (ценности будут в сохранности) и лишат доступа к информации (хранящейся в компьютере) лиц, которые решат ею незаконно воспользоваться.
2. Исходя из содержания систематизированной матрицы рисков, выделить риски, не относящиеся на прямую к компетенции СБ и распределить ответственность между другими службами и департаментами во избежание двойного руководства и двойной ответственности.
3. Осуществлять адекватный контроль за работой корпоративной СБ вне зависимости от личных качеств и отношений руководителя предприятия и начальника СБ, приглашать сторонних экспертов для получения независимой оценки состояния системы безопасности и правильности конфигурации СБ предприятия.
Понятно, что в данной статье нашел свое отражение далеко не полный перечень угроз, причиной которых может быть, как неотъемлемая часть предприятия, Служба безопасности. Тем не менее, я считаю, что такой «неудобный вопрос» должен быть поднят и принят к обсуждению и анализу, так как внимание к описанной проблеме позволит снизить значение опасности и повысит уровень доверия организма (предприятия) к собственной иммунной системе (СБ). В противном случае – мы все знаем, чем чреват отказ или неправильная работа иммунной системы.
Захаров Павел март 2008 г.
При подготовке материала использована статья «СЛУЖБЫ БЕЗОПАСНОСТИ КАК ФАКТОР ВНУТРЕННЕЙ УГРОЗЫ» (И. Бородин Информост №3, 2007)