«Безопасность — это победа», — справедливо заметил один из героев фильма «Сноуден». Под этим высказыванием наверняка готов подписаться каждый — и в личной жизни, и в бизнесе. Но когда дело доходит до внедрения программы управления рисками, даже в самых продвинутых компаниях обычно получается, как в русских народных поговорках: «Гром не грянет — мужик не перекрестится» или даже «Пока жареный петух не клюнет».
Почему чрезвычайно важными вопросами личной безопасности сотрудника в командировке и защиты компьютерной сети от хакерских атак в компании занимаются, как правило, в последнюю очередь, обсудили участники первого совместного круглого стола компаний Carlson Wagonlit Travel и «Випсервис» «Предупрежден, значит Защищен», который прошел в московском отеле Radisson Blu Belorusskaya 14 июня.
«Сегодня мы поделимся с вами лучшими практиками по обеспечению безопасности, которые собрали наши коллеги и партнеры по безумно интересному бизнесу под названием бизнес-тревел! Мы предлагаем обменяться знаниями — ведь глупо наступать на грабли, которые уже попадались на чьем-то пути», — открыл встречу генеральный директор CWT Russia Алексей Кушкин.
По данным глобального исследования CWT за 2015 год, российские и зарубежные тревел-менеджеры ставят вопросы safety&security на первое место среди своих приоритетов. «Как только путешественник выходит из собственного дома, он попадает в необычные условия и часто пребывает в состоянии так называемого тревел-стресса. Вне родных стен с ним может случиться все, что угодно!» — отметила Мила Сидорина, директор по маркетингу и коммуникациям Carlson Wagonlit Travel, Russia. По ее словам, любая потенциально опасная ситуация: нападение на сотрудника, природный катаклизм, гражданские протесты, потеря информации вследствие ослабления внимания сотрудника или кражи, — может привести к отрицательным репутационным, финансовым и юридическим последствиям для компании. Тем не менее, далеко не в каждой организации есть программа по управлению рисками — а в некоторых еще даже не задумывались об ее разработке и внедрении! И, по мнению экспертов, это объясняется разными причинами. Например, в глобальных корпорациях системы управления рисками, как правило, есть, но попытки внедрить их на локальном уровне часто дают сбой. И даже если это удается, механизм получается «с ручным приводом» — он не автоматизирован, очень зависит от человеческого фактора, и им неудобно пользоваться. Кроме того, создать комплексную универсальную программу, которая бы срабатывала всегда, невозможно. Как правило, считают одни эксперты, у TMCs нет полной картины происходящего с путешественником — каждый этап командировки способен отследить и проконтролировать только тревел-менеджер, работающий in-house.
По мнению других, еще одна причина кроется в том, что на российском рынке цена ошибки пока очень низкая, как и стоимость человеческой жизни. А руководству не удается правильно расставить приоритеты, оно не обращает внимания на «незначительные» моменты, которые могут впоследствии стоить корпорации денег и репутации.
«Приведу в качестве примера одну нефтесервисную компанию на Сахалине. Одному ее сотруднику, экспату, нужно было попасть в город на севере острова, куда отправляется всего один поезд. Ему приобрели билет в купе. Однако руководство компании не учло, что в месте назначения живет много бывших заключенных. Именно такие соседи и подсели к командированному экспату, который опрометчиво согласился сыграть с ними в карты. Добрался до места он благополучно, но проиграл им большую сумму денег. С тех пор в компании существует правило — в случае командировки в этот город купе выкупается полностью. Возможно, тем, кто занимается в компаниях вопросами организации командировок, стоит больше путешествовать, используя разные виды транспорта, чтобы понимать, с чем может столкнуться сотрудник в дороге?» — обратился к аудитории Алексей Кушкин.
Начинать заботиться о безопасности сотрудника следует еще до того, как он отправился в путь — выбрать надежную авиакомпанию и отель, просчитать, какие экстренные ситуации могут возникнуть в пункте назначения, провести с бизнес-туристом тренинг. Все эти пункты включены в программу управления рисками корпорации British Petroleum (BP).
«Прежде чем отправиться в поездку по делам компании, наш бизнес-турист должен пройти онлайн-тренинг продолжительностью 60 минут, в котором обыграны сценарии разнообразных чрезвычайных ситуаций. Обучение необходимо и в том случае, если специалист в командировке собирается водить автомобиль. Кроме того, он получает всю важнейшую информацию о необходимых прививках, медицинской страховке, контакты консульства. Наша программа управления рисками включает 12 пунктов, в том числе рекомендации для женщин, путешествующих в одиночку. И, разумеется, у нас есть список приоритетных авиакомпаний и отелей», — рассказала Анна Адырбаева, тревел-менеджер BP.
Итак, бизнес-турист прошел все необходимые тренинги и выяснил все о том месте, куда он направляется. Наступил день отъезда. Путешественник вызвал такси и поехал в аэропорт. Кто в это время должен заботиться о его безопасности — помимо него самого? «Зона ответственности авиакомпании начинается с момента покупки билета и заканчивается моментом получения пассажиром багажа в аэропорту, — говорит Марина Забавина, руководитель отдела продаж Etihad. — Перевозчик обеспечивает и сохранность личных данных пассажира. Вся платежная информация шифруется, она недоступна как для сотрудников авиакомпании, так и для сторонних организаций. К слову, номер карты зашифрован даже во всех отчетах ТКП и BSP». Тайной являются и списки пассажиров — кто летел, куда, на каком месте и с кем. Эти сведения можно получить только по судебному предписанию либо по официальному запросу органов власти.
Часть ответственности за собственную безопасность несет, разумеется, и сам пассажир. «Пожалуйста, выбирайте надежный трансфер, не экономьте на доступе в лаунжи и внимательно слушайте, что говорят вам стюарды и стюардессы на борту — они там отнюдь не для красоты. Недавно одна европейская авиакомпания провела любопытное исследование. Собрав часто летающих пассажиров, им предложили надеть спасательный жилет, уложившись при этом в 30 секунд. Одна половина путешественников не смогла этого сделать, вторая — сделала неправильно. А ведь этот нехитрый процесс демонстрируется перед каждым вылетом!» — рассказала Марина.
И, находясь в общем зале аэропорта, не стесняйтесь оглядываться вокруг. «Понаблюдайте за теми, кто находится рядом с вами. И, если вдруг покажется — что-то не так, смело вставайте и уходите, ищите место, где вы будете чувствовать себя спокойно и комфортно. Ваша безопасность, как и счастье, только в ваших руках», — добавила она.
Прилетев в пункт назначения, деловой путешественник, как правило, отправляется в отель — а это тоже потенциально опасная зона и в плане сохранности его здоровья, и в плане безопасности личных вещей, личной и корпоративной информации! Мила Сидорина напомнила, что защита может потребоваться также участникам любой деловой встречи, собравшимся даже в гостинице высокого класса в центре российской столицы. «Любая гостиница — это всегда повышенная зона риска, — продолжил тему старший менеджер по продажам отеля Radisson Blu Belorusskaya Дмитрий Коротченко. — Именно поэтому служба безопасности отеля, как правило, начинает проверять данные гостя, не дожидаясь его прибытия — прямо с момента бронирования. Непосредственно на месте у входа всегда работает металлодетектор, рядом с ним находится сотрудник охраны. Если случится нечто экстренное, мы все немедленно услышим звуковое оповещение на нескольких языках. На каждом этаже есть несколько выходов и висят схемы их расположения. И весь персонал точно знает, где находятся аварийные выходы и как оказать медицинскую помощь», — рассказал он участникам.
Через отель удобно поддерживать связь с бизнес-туристом в случае возникновения чрезвычайной ситуации — например, если он остался без смартфона. Кроме того, во многих компаниях есть своя круглосуточная горячая линия, и это очень важно. Ведь бизнес-турист, попавший в сложную ситуацию в командировке, зачастую может решить все проблемы сам — но ему нужна психологическая поддержка. «Неважно, потеряли вы паспорт или забыли дома смокинг для неформального вечера — главное, чтобы на другом конце провода кто-то был и мог успокоить», — уверена представитель компании Luxoft Екатерина Седельникова.
Кстати, несмотря на популярность мессенджеров, обычный телефонный звонок по-прежнему остается одним из самых популярных и эффективных средств связи. Так, обращения в ассистанскую компанию International SOS, предлагающую медицинскую помощь и эвакуацию по всему миру, регистрируются именно по телефону. И в 2016 году звонков в ISOS с просьбой о помощи было около 4,6 млн.
«Многие компании пока не осознают, что, инвестируя средства в страховки и программы оценки рисков, они фактически выходят в плюс. С каждого вложенного доллара они получают от $1,6 до $2,5 прибыли, которую приносит здоровый сотрудник, о безопасности которого позаботились», — обратила внимание Надежда Агеева, менеджер по развитию бизнеса из International SOS. Согласно исследованиям, основанным на фактических данных, болезнь или другая чрезвычайная ситуация, в которую попадает экспат, может стоить его работодателю около $970 тыс. Это расходы на его лечение, эвакуацию, а также замену другим сотрудником. «Покажите эти цифры своему руководству — тогда они задумаются о управлении рисками!» — посоветовала Надежда.
Эксперт также подчеркнула, что ISOS не дублирует услуги страховых компаний. «Наша задача — оказывать помощь в ситуациях, с которыми не в состоянии справиться ни работодатель, ни TMCs, ни страховщики. Мы не конкуренты — напротив, мы работаем вместе», — отметила она.
«Страхование в тревеле, между прочим, недооценено. Наверняка многие здесь не знают, что в полис выезжающего за рубеж можно включить такие случаи, как кража документов, экстренное возвращение, помощь в случае стихийного бедствия или теракта, даже юридическую защиту», — рассказал Роман Чекулаев, генеральный директор «Страховой сервис «Гарант».
По его словам, главная проблема заключается в менталитете путешественников — они уверены, что ДМС и бонусного полиса вполне достаточно для выезда за рубеж. «Увы, это не так — они не включают в себя практически ничего, — сказал спикер. — Даже хорошая страховка покрывает около 20-30% случаев, которые могут произойти в поездке. С остальным может помочь ISOS, TMC или сам работодатель, не пренебрегающий следованию принципам duty of care.
«Для меня как человека, работающего с персоналом, философия duty of care заключается в следующем: мы в ответе за тех, кого нанимаем и отправляем в командировки», — подключилась к дискуссии HR-директор Sandoz Ольга Молина. По ее словам, понятие duty of care не совсем вписывается в рамки российского законодательства. Согласно 212-й статье Трудового кодекса, работодатель обязан обеспечивать охрану и безопасность труда, но как именно — нигде не уточняется. «А ведь duty of care напрямую связана с репутацией и брендом корпорации. Каждая компания тратит огромное количество времени и средств на то, чтобы привлечь высококвалифицированных специалистов, которые оценивают не только размер заработной платы и систему нематериальных бонусов. Для них важно, как работодатель заботится о своих сотрудниках и особенно в вопросах организации деловых поездок . Представьте себе, вы заплатили специалисту по подбору персонала миллионы, чтобы найти топ-менеджера. А потом начальник просит его отправиться в какую-нибудь отдаленную точку страны — например, на Сахалин, где сомнительные граждане обирают его в поезде до нитки. Это совершенно не тот имидж компании, которым бы хотелось похвастаться перед сотрудником», — пояснила г-жа Молина.
Она обратила внимание участников Круглого стола и на тот факт, что в обсуждение и внедрение программы управления рисками обязательно должны быть вовлечены первые лица компании — генеральный директор, руководители подразделений. Это не только важный этап коммуникации, но и возможность привлечения финансирования. С этим согласилась и Мила Сидорина — по ее словам, это один из семи блоков идеальной программы Travel Risk Management . «Чтобы что-то сдвинуть, нужно подтолкнуть процесс — здесь не обойтись без активного вовлечения и заинтересованности лиц, принимающих решения — генерального или управляющего директора», — отметила Мила. «Знаете, директор Johnson & Johnson однажды сказал: Lack of safety is nothing more than lack of leadership — Отсутствие безопасности есть не что иное как отсутствие руководства. Поэтому, как только директор компании осознает необходимость обеспечения безопасности сотрудников, он одобрит внедрение лучших мировых практик», — убежден Сергей Прутяной, специалист по безопасности Boehringer Ingelheim.
Идеальная программа компании по управлению тревел-рисками должна также включать в себя сбор и формирование базы данных сотрудников с помощью ISOS и TMCs, анализ рисков в конкретно взятой организации, планирование (разработку процессов и процедур взаимодействия по каждому возможному риску до, во время и после поездки), запуск программы, правильную коммуникацию с сотрудниками и всеми остальными участниками процесса и постоянный контроль и аудит качественной работы программы.
Половина этих процессов уже переведена в цифровую сферу — где тоже таится немало угроз. В последнее время многие ТМС, работающие с международными корпорациями, почувствовали на себе высокий уровень ложных запросов на оформление авиабилетов со стороны мошенников. Екатерина Ревякина, начальник отдела по работе с клиентами СWT отметила, что эта встреча — хорошая возможность рассказать об этом и в очередной раз предупредить клиентов, чтобы они не попадались на уловки мошенников и не наступали на очередные «грабли». А сделать это достаточно легко. Участники встречи убедились в этом на собственном опыте, выполнив задание, предложенное Екатериной. Задачка казалась обманчиво простой: необходимо было всего лишь отличить переписку с участием мошенника от обычного обмена информацией между сотрудниками. Увы, правильного ответа не дал никто. Дело в том, что большинство делегатов сочли подозрительными письма с личного почтового ящика на gmail, в то время как преступники зачастую действуют хитрее — слегка изменяют домен корпоративного электронного адреса компании (@uk-company.com вместо @company.com). «Кроме того, вас должен насторожить запрос от якобы руководителя на командировку сотрудника, у которого нет профайла в системе, или просьба организовать срочный вылет или немедленную выписку из отеля в связи с тем, что в пункте назначения не работает Help Desk», — добавила г-жа Ревякина.
Она рассказала, что злоумышленники также часто запрашивают вылет из стран Западной Африки и просят оформить билеты по высокому тарифу с изменяемыми условиями выписки (бизнес- и первый класс), не заботясь о цене. «Приготовьтесь к тому, что они могут использовать психологический прессинг — например, жестко требовать от вас купить им билет. Или будут задавать вам массу бессодержательных вопросов, чтобы отвлечь вас от вопроса авторизации выписки», — предостерегла эксперт.
Специалисты «Випсерис» и CWT разработали рекомендации для сотрудников тревел-отделов компаний, как не попасться на удочку мошенников. Они рекомендуют проверять наличие профайла пассажира вместе с агентством, не стесняться запрашивать глобальный офис о статусе сотрудника, оформляющего командировку, внимательно контролировать соблюдение правил по приему и передаче данных кредитных карт (условия PCI Compliance), обращать внимание на оформление авторизаций на снятие денег с карты- SOF (подпись должна быть оригинальная, варианты подписи-факсимиле исключены), а также вместе с консультантом по бронированию задавать бизнес-туристу вопросы, которые можно проверить в профайле пассажира или компании.
«Только работая вместе, тревел-агентство и заказчик могут предотвратить все возможные случаи мошенничества и исключить огромные финансовые риски для обеих сторон», — подчеркнула г-жа Ревякина.
Уязвимы как сотрудники по отдельности, так и целые корпорации, добавил Павел Луцик, руководитель проектов по информационной безопасности компании КРОК. По его словам, исторически сложилось, что сначала хакеры в основном атаковали банковские системы, но в последнее время переключились на тревел. Дело в том, что большинство банков установило надежные системы защиты. В индустрии путешествий по большей части таких пока нет — зато есть множество интересных мошенникам людей и незащищенных информационных систем. На них время от времени совершаются целевые атаки. Эксперт рассказал, как можно защититься от самых простых нападений киберпреступников.
«Самая защищенная информация — та, которой у нас с вами нет. Поэтому все файлы, которые вам не нужны, лучше сгрузить с мобильных девайсов и ноутбука на внешние жесткие диски и оставить дома. В идеале выезжать в командировку необходимо с „чистыми“ смартфонами и ноутбуками, но это практически невозможно. Поэтому все свои устройства необходимо зашифровать. Установите максимально длинный пароль. Отключите все возможные каналы связи, когда они вам не нужны», — рассказал он.
Павел также порекомендовал не вестись на бесплатный Wi-Fi — ведь мошенники часто создают открытые точки доступа, и каждый подключившийся к ней фактически передает в их распоряжение все данные, которые хранятся в его мобильном устройстве. «Как можно реже оставляйте свою геолокацию в соцсетях, не фотографируйте билеты и посадочные талоны — этой информацией могут воспользоваться даже воры-домушники», — указал Павел. По его мнению, также очень опасно пользоваться компьютерами в общественных интернет-центрах — с них ни в коем случае нельзя заходить в почту, соцсети и интернет-банк.
Бизнес-турист может стать жертвой и нецелевой атаки. В начале 2017 года в одном из австрийских отелей хакеры заблокировали двери во всех комнатах. Около 180 путешественников оказались заперты в номерах. Администрация была вынуждена заплатить злоумышленникам €1,5 тыс., чтобы они открыли двери. Через месяц «нападение» повторилось, но руководство гостиницы учло предыдущий опыт и сменило систему защиты, в итоге мошенники остались ни с чем.
«Ежедневно жертвами хакеров становится множество людей. Поэтому очень важно организовать обучение сотрудников. Благодаря современным технологиям этот процесс можно сделать веселым и необременительным. Например, запустить видеоролики в столовой, установить на компьютеры скрин-сейверы с напоминаниями, отправлять специалистов на специальные IT-игры и хакатоны, где моделируются разные потенциально опасные ситуации. Кроме того, есть видео- и онлайн-курсы. Киберугрозы стали частью нашей жизни», — сказал Павел.
Такой же точки зрения придерживается и директор по развитию инструментов взаимодействия Ассоциации участников MasterCard в сфере безопасности электронных платежей Николай Дош. «К сожалению, мошенничество теперь совершенно обычное явление. Сейчас любой специалист — носитель очень важной информации о работодателе и представляет большой интерес для мошенников. Такого рода информация может быть использована для того, чтобы проникнуть внутрь компании. В этом случае у них появляются практически безграничные возможности. Причем попасться на уловки мошенников может каждый. Важно понять, что за безопасность компании должен отвечать каждый работающий в ней сотрудник, а не только одно или два профильных подразделения», - отметил эксперт.
По мнению Николая, в тревел-индустрии особенно уязвимы отели. Именно там преступники помимо номеров карт могут получить и паспортные данные путешественника — например, от невнимательного или нечистого на руку сотрудника ресепшн. «К сожалению, серебряную пулю от мошенничества до сих пор не изобрели. Поэтому запомните одно простое правило: за безопасность приходится платить, а за ее отсутствие — расплачиваться», — добавил он.
Полностью защититься от мошенников можно, если путешествовать исключительно за город с палаткой и отключенными мобильными устройствами — и даже это не гарантирует 100%-ной безопасности, уверен Денис Макрушин, менеджер по технологическому позиционированию АО «Лаборатория Касперского». «Никакие стандарты не помогут избежать атак со стороны хакеров — ведь злоумышленник мыслит совершенно иными категориями. Его задача — получить финансовую выгоду и влияние, поэтому он находит разные обходные пути. Обезопасить себя можно только выяснив, с кем мы имеем дело, зачем нас атакуют и как они это делают», — пояснил эксперт.
По его словам, наиболее интересный вопрос «как они это делают?». Самый простой способ — «заразить» часто посещаемые сайты. На них размещается вредоносное программное обеспечение, которое переходит на компьютер пользователя. Еще один популярный способ — сообщения со ссылками в соцсетях и письма с вложениями, которые приходят на корпоративный ящик. «Перейдя по такой ссылке и открыв приложение, вы устанавливаете на свой компьютер „троян“», — сказал Денис.
Как правило, вирусы «подсматривают» пароли от интернет-банка и номера карт, но есть и более «экзотические» их разновидности. Например, WannaCry — вымогатель, шифрует данные и требует деньги за возврат информации. «Для обычных пользователей он не критично опасен — вряд ли вы захотите платить €1,5 тыс. за свои фотографии из отпуска и коллекцию музыки. Другое дело, когда речь идет о рабочем компьютере. Атака была нацелена на организации. И в половине случаев люди платили, причем каждый пятый не получал свои данные обратно. Кстати, если вы сомневаетесь, что преступники вернут вам данные — не платите им, не спонсируйте киберпреступность», — предупредил эксперт.
«С каждым годом появляются все новые угрозы для безопасности компании. Сотрудники устанавливают корпоративную почту на личных девайсах — а затем пользуются незащищенным Wi-Fi в общественном месте. Или интернет вещей — удивительная новая технология! Вы можете подключить к интернету видеокамеру — а ее легко заразить вирусом, и через некоторое время она начнет следить за вами. Вредоносным устройством может стать даже кофеварка! Поэтому крайне важно обучать сотрудников, регулярно обновлять программное обеспечение и имплементировать новые технологии», — указал Денис.
«Каждый бизнес уникален, поэтому подобрать универсальную защиту, которая бы работала для любой компании, невозможно. Компьютеры с каждым днем умнеют. Но до тех пор, пока за умной техникой стоит человек, система всегда будет уязвима», — добавил он.
«Слабое звено» можно найти и среди платежных решений, но риски в этой сфере можно минимизировать. Например, в деловых поездках пользоваться одноразовыми виртуальными картами (single use virtual card) и кредитными платежными инструментами. «Помните, если деньги были украдены с кредитной карты — банк должен доказать вам, что их потратили именно вы. А если с дебетовой — вы должны доказать банку, что это мошенничество. При этом личные средства вы уже потеряли», — отметил Александр Сафонов, директор департамента обслуживания корпоративных клиентов банка American Express.
«Существует две крайности: имплементировать максимальное количество новых платежных решений и технологий, работать с ними, обучать сотрудников и подвергать себя высокому риску. Либо выдернуть все компьютеры из розетки и уйти в лес. Но существуют эффективные способы взять лучшее из этих двух миров — и нам совместными усилиями предстоит найти их!» — подчеркнул эксперт.
«Подводя итоги первого совместного мероприятия „Випсервиса“ и CWT, отмечу, что личная и финансовая безопасность сотрудников и компании при организации командировок и мероприятий — тема важная и актуальная для всех участников рынка бизнес-тревел. Многие вопросы требуют дополнительной проработки и ответов, но важно уже то, что мы их озвучили и вынесли на повестку дня. Мы благодарим всех спикеров и участников Круглого стола, что поделились своей профессиональной экспертизой и колоссальным опытом», — отметила Мила Сидорина.
Екатерина Ларина
