Мовчання як корпоративна культура
В аутсорсі чи продуктових компаніях айтівець може вільно розповісти друзям, де працює, яким стеком користується, над яким продуктом. В оборонці цього немає/ «Ти не можеш розповісти про проєкт навіть у загальних рисах, — каже наш співрозмовник. — Люди питають „а чим займаєшся?“ — і ти кажеш щось абстрактне — створюю сайти чи просто пише код».
Читайте также: Українська Harmix залучила $1 млн від канадських інвесторів. На що підуть кошти
Причина проста: ворог активно збирає розвідувальну інформацію про оборонні підприємства. Тому мовчання — не корпоративна примха, а питання фізичної безпеки.
Цікаво, що ця культура мовчання поширюється і на соцмережі. Один із базових запитів при найманні в оборонних компаніях — перегляд публічних профілів кандидата: що ти постиш, з ким взаємодієш, чи є в тебе підписники з потенційно небезпечних акаунтів. Після прийому на роботу — мінімізація публічної активності, обмеження доступу до профілю стає негласним очікуванням.
NDA — обов’язковий мінімум
Якщо в стандартному IT NDA — це часто формальність, яку підписують між іншим і забувають, то в DefTech це перша і дуже серйозна розмова з юристом.
Bluebird Tech, WIY Advanced Aerial Systems, The Fourth Law та Odd Systems — компанії, з якими вдалося на тему сек’юрності поспілкувався dev.ua, підтвердили: NDA підписується кожним співробітником без винятків.
«З усіма працівниками підписуємо NDA, з акцентом на нерозкриття конфіденційної інформації — дані про клієнтів та контрагентів, код, технічні специфікації, бізнес-плани, стратегії, внутрішні політики», — кажуть у The Fourth Law та Odd Systems. — «Важливими для нас також є умови щодо неконкуренції та активного переманювання».
«У нашій компанії діє комплексна система безпеки, яка охоплює як інформаційний захист, так і внутрішні регламенти роботи з даними та технікою. Для всіх співробітників обов’язковим є підписання NDA, що передбачає нерозголошення конфіденційної інформації, технічних рішень та внутрішніх процесів компанії. Порушення цих зобов’язань тягне за собою передбачені договором юридичні наслідки», — кажуть у BlueBird.
У WIY Advanced Aerial Systems пішли далі і сформулювали окремий перелік того, що заборонено розголошувати: комерційна інформація (фінансові показники, контракти, партнери, постачальники), технічні дані (креслення, 3D-моделі, код, архітектура продукту, R&D напрацювання, прототипи), внутрішні процеси та дані про клієнтів і співробітників. Будь-яка інформація, позначена як «Confidential» — автоматично під NDA.
Принципово важливий момент: заборона діє не лише під час роботи, а й після звільнення — протягом певного визначеного договором терміну. За порушення — дисциплінарна, цивільно-правова або кримінальна відповідальність відповідно до статей 231-232 Кримінального Кодексу України.
«Простіше кажучи: пішов з компанії — NDA нікуди не пішов.», — каже співрозмовник dev.ua. І це нерідко створює складнощі при зміні роботи — адже кандидат не може пояснити потенційному роботодавцеві, чим займався попередні кілька місяців або років.
Телефон у кишені — вже security-ризик
Якщо у звичайному офісі телефон — це просто телефон, то у виробника зброї він може бути точкою витоку. І ставлення до нього відповідне.
У WIY Advanced Aerial Systems діє пряма заборона на фото- і відеозйомку на виробництві або в R&D-зонах. Запис екранів та робочих процесів — також заборонений. Логіка проста: знімок «просто цікавого стенду» може містити інформацію, яку не варто показувати нікому за межами компанії.
На комп’ютерах — аналогічний підхід. «Окремо регламентується використання робочої техніки та доступ до інформаційних систем», — зазначають в BlueBird, не вдаючись у деталі.
Як розповідає айтівець, що працює у DefTech, в роботі довзовлені тільки робочі пристрої, жодного стороннього ПЗ без дозволу, жодних зовнішніх носіїв — USB, HDD — без погодження керівника, жодної передачі файлів через особисті пошти чи месенджери. Працівники мають обов’язкові корпоративні акаунти, складні паролі, проходять двофакторну автентифікацію. А якщо фахівця немає на місці, комп’ютер автоматично блокується, щоб ніхто нічого не підгледів.
Окремий рядок у регламенті The Fourth Law та Odd Systems — «пряма заборона на використання деяких несекюрних месенджерів та ПЗ, особливо якщо власники мають зв’язок з недружніми країнами».
Принцип «need-to-know»: знаєш лише те, що потрібно
Один із базових принципів інформаційної безпеки в серйозних організаціях — мінімізація доступу. Ти маєш доступ лише до того, що потрібно для твоєї роботи.
WIY Advanced Aerial Systems описує це як розмежування доступів за принципом need-to-know: кожен співробітник бачить лише свій проєкт і свою функціональну зону. При цьому ведеться логування дій — хто, що відкривав і змінював, — а також контроль копіювання та передачі даних.
Для розробника це означає, що він може не знати, над чим працює його колега в сусідньому відділі. І це не недовіра, а стандарт: чим менше людей знає про конкретний продукт, тим менше потенційних точок витоку.
Фізична безпека: вхід за карткою, гості під супроводом
Цифрова безпека — це одна сторона. Але deftech-компанії, особливо ті, що мають виробничі потужності, серйозно ставляться і до фізичного доступу.
У WIY Advanced Aerial Systems — доступ за ключ-картками з чітким зонуванням: офіс, виробництво, R&D — окремі зони з окремими рівнями доступу. Відеоспостереження. Обмежений доступ для сторонніх осіб. Гості — тільки у супроводі.
Тобто якщо ти прийшов на співбесіду або як підрядник — ти фізично не потрапиш туди, куди не маєш потрапляти.
Background check: перевірка до найму
Окремий елемент, який прямо прописаний у регламенті WIY Advanced Aerial Systems — перевірка кандидатів ще до прийому на роботу. Background check — стандарт. Що саме перевіряють — деталей не розкривають. Але очевидно, що мова йде про перевірку можливих зв’язків з ворожими структурами, публічної активності, можливих ризиків.
Про те, як оборонні компанії інтерв’юють кандидатів, — з поліграфом, OSINT-перевіркою та 5 етапами співбесід, ми писали тут.
Інший пласт обмежень — все, що стосується публічних комунікацій. У WIY Advanced Aerial Systems працівникам заборонено давати коментарі від імені компанії без погодження, публікувати фото з виробництва, розкривати участь у закритих проєктах.
Власне, цим і пояснюється те, що так мало компаній погодилося поговорити з dev.ua для цього матеріалу. Більшість або взагалі не відповіли, або відмовилися від коментарів.
Офер обмежень і заборон
Якщо ти айтівець, який розглядає роботу в оборонній компанії, варто розуміти: це інший психологічний контракт із роботодавцем. Ти не зможеш постити в LinkedIn горду нотатку «я приєднався до команди Х». Не зможеш розповісти на конференції, над чим працюєш. Не зможеш написати в резюме конкретну назву проєкту або навіть компанії. Твій GitHub не поповниться публічними репозиторіями з того, що ти робиш на роботі.
Натомість — ти точно знатимеш, навіщо це все. Це, мабуть, єдина галузь, де зв’язок між рядком коду і реальним результатом на фронті — не метафора. «Я знаю, що те, що я роблю, реально комусь допомагає, — каже наш анонімний співрозмовник. — Не можу розповісти як. Але знаю».
Читайте также: У москві та петербурзі щонайменше чотири дні не буде мобільного інтернету. Все через страхи путіна перед українськими дронами