Обеспечение безопасности обмена знаниями внутри логистической цепочки

Texas Instruments (TI) вкладывает значительные средства в свою экстрасеть, предоставляющую некоторым клиентов TI доступ через Интернет к информации, хранящейся в установленной в компании системе SAP. Архитектура экстрасети TI позволяет обеспечивать безопасность данных - на обоих концах соединения используются цифровые сертификаты. Так как клиенты получают через экстрасеть TI информацию, которую они не могут получить от других компаний, конкурентные позиции TI только усиливаются.

Использование управления знаниями, в том числе для поддержания связей внутри логистической цепочки, постоянно растет. По данным Gartner Group из Стамфорда, штат Коннектикут, треть компаний из списка Fortune 1000 включили в свои планы на 1999 год те или иные инициативы в области управлением знаниями. Среди применяемых технологий можно назвать средства интеллектуального анализа данных (data mining), экспертные системы, системы управления документооборотом, средства групповой работы, системы управления рабочим потоком (work flow), электронный обмен сообщениями, дистанционное обучение и другие совсем новые продукты.

"Кроме того, по мере распространения систем электронного бизнеса компании начинают передавать больше информации своим партнерами по логистической цепочке", - заключает Стейси Кэпшоу (Stacy Capshaw) из бостонской компании Delphi Group. Она считает, что управление знаниями играет важную роль для поддержки стратегий компаний в области электронного бизнеса.

Гордон Андерсон является вице-президентом центра передачи опыта (Competency Center) компании SAP America по использованию программного продукта SAP Advanced Planner and Optimizer (APO). APO помогает интегрировать и синхронизировать бизнес-процессы в рамках глобальных логистических цепочек. Андерсон указывает на огромной рост числа случаев совместного использования информации как внутри, так и за пределами отдельной компании. По его словам, "доступ через Интернет позволяет вам преодолеть ограничения закрытой частной сети. Вы можете предоставить вашим поставщикам заранее заданную часть информации. Существует тенденция к большей открытости на протяжении всей логистической цепочки. Компании вынуждены передавать больше информации внешним партнерам".

Следуя новым тенденциям, разработчики программного обеспечения выходят на рынок с новыми продуктами, помогающим компаниям наладить совместное с поставщиками использование информации для ведения электронного бизнеса и обмена знаниями и опытом. Следующая версия APO будет поддерживать "совместное планирование" (collaborative planning), позволяющее производителям, вендорам и покупателям обмениваться данными через Интернет. "Мы создаем новые программы и услуги, чтобы полностью поддержать бизнес-процессы совместной деятельности предприятий в Интернете", - говорит Андерсон.

Поскольку знания покидают пределы компании и поступают к партнерам и поставщикам, возникают вопросы, связанные с защитой этих знаний. Компании хотят сделать так, чтобы их поставщики могли видеть только то, что им положено видеть. Поэтому компаниям нужно решить, какая информация может и какая не может выходить за их сетевые брандмауэры. И это отнюдь не простая задача.

Но проблема защиты информации также волнует и самих поставщиков программного обеспечения. Поэтому они очень хорошо представляют себе те проблемы, с которыми сталкиваются в этой области производственные компании. Компания-поставщик ПО J.D. Edwards из Денвера потратила почти год на обсуждение и создание карты, описывающей около 3000 ее партнеров. Компания разбила их на семь категорий, определив на этой основе тип информации, которую она может передавать партнерам. Специалисты по использованию накопленных знаний из J.D. Edwards создают различные хранилища с тем или иным видом информации. "В зависимости от условий контракта с нами, покупатель или партнер получает доступ только к строго определенным хранилищам", - говорит Элден Глоуб (Alden Globe) из J.D. Edwards.

Насколько безопасным является процесс передачи знаний за пределы вашей компании? В основном можно выделить две точки зрения. Одна группа считает, что современные технологические решения - брандмауэры, шифрование, цифровые подписи, цифровые сертификаты, аутентификация и закрытые экстрасети для поставщиков - вполне адекватны. Другие полагают, что безопасность необходимо поднять на более высокий уровень.

Андерсон из SAP использует "все стандарты, имеющиеся в наличии на рынке Интернет-технологий, например, шифрование и цифровые сертификаты". По его словам, SAP доверяет существующим технологиям защиты информации и считает, что они будут продолжать совершенствоваться.

"Первоначально покупатели неохотно раскрывали номера своих кредитных карточек при покупках через Интернет. Но сейчас они довольны нынешним уровнем безопасности. Точно также компании поначалу неохотно делились информацией, опасаясь, что она может попасть в не те руки, - говорит Андерсон. - Сегодня компании чувствуют себя увереннее в отношении безопасности внутри логистической цепочки, так как лучше узнали технологии, применяемые для защиты данных".

С другой стороны, Майкл Ротман (Michael Rothman), исполнительный вице-президент компании SHYM Technology (Нидхем, штат Массачусетс), полагает, что технология защиты информации находится в стадии становления. По его словам, иногда возникает путаница в отношении требуемого уровня защиты и обеспечивающей этот уровень технологии, а также в отношении того, как задействовать защиту.

Инфраструктура открытых ключей (public key infrastructure - PKI), по словам Ротмана, является наивысшим уровнем развития технологии, применяемой для защиты транзакций и совместного использования данных. При помощи PKI пользователи реализуют и поддерживают цифровые сертификаты, аутентификацию, шифрование, а также выявляют фальсифицированную информацию. Однако проблема, по словам Ротмана, состоит в том, что многие с трудом могут реализовать эту технологию.

"Передача знаний за пределы компании получит гораздо большее распространение, когда PKI и цифровые сертификаты будут усовершенствованы и лучше поняты", - говорит Ротман.

Цифровой сертификат напоминает электронный паспорт, который вы предъявляете при совершении транзакции с компанией. Он позволяет компании установить, что именно вы совершаете эту транзакцию. SHYM Technology, по словам Ротмана, усовершенствовала применение PKI, "спрятав всю сложность так, что стало возможным простое использование PKI, требующее минимальных затрат".

Как бы то ни было, компания META Group из Стамфорда, штат Коннектикут, прогнозирует, что по мере увеличения доступа третьих сторон расходы на обеспечение безопасности быстро превысят нынешний средний уровень в 2.8 млн. долл.

При выборе стратегии обеспечения безопасности, кроме вопросов, связанных с технологией защиты информации, компании сталкиваются также с культурными и организационными проблемами. Дэвид Йокельсон (David Yockelson), вице-президент и директор службы выработке стратегий электронного бизнеса META Group, считает, что "защита информации является скорее проблемой культурной среды, чем технологической проблемой. Технологические проблемы решаются. Для этого есть соответствующий инструментарий". Рассматривая обеспечение безопасности обмена знаниями с точки зрения культурной среды, одни пользователи говорят, что слишком ревностная охрана данных может оказать контрпродуктивной. Другие же полагают, что передача информации внешним партнерам потенциально способна причинить серьезный ущерб компании.

Кэпшоу из Delphi Group говорит, что она не "слышала о том, чтобы безопасность вызывала слишком большие опасения. В большинстве организаций есть хорошо настроенные сетевые брандмауэры". Поставщикам разрешен доступ внутрь брандмауэра, однако в отношении них действует разный уровень контроля доступа и им предоставляется меньше прав, чем представителям родительской компании.

По словам Кэпшоу, многие организации проводят или должны провести необходимые культурные изменения, поэтому они будут предоставлять своим поставщикам и партнерам такую информацию, которую они ни за что не опубликовали бы еще 12 месяцев назад.

Проблемы безопасности также приходится принимать во внимание при попытке оценить, к какой информации следует ограничить доступ. Миган Скафф (Meagan Skaff), консультант IBM по управлению знаниями и стратегиям электронного бизнеса, говорит: "Очень трудно установить, какие знания должны быть конфиденциальными и какие не нужно защищать. Вам не следует ставить штамп "конфиденциально" на слишком большое количество документов и скрывать слишком многое. Тем самым вы можете закрыть доступ к той части информации, без которой поставщик не сможет качественно выполнить свою работу. Отсутствие доверия к поставщику может стать барьером на пути выполнения работы, которая вам нужна".

Более подробное обсуждение поддержания отношений и доверия, а также вопроса о том, каким количеством информации можно поделиться с внешними заинтересованными группами, содержится в книге Working Knowledge, написанной Ларри Прусаком (Larry Prusak) из IBM и Томасом Дейвенпортом (Thomas H. Davenport) из Университета Техаса.

Руди Рагглз (Rudy Ruggles), директор Центра инноваций Ernst & Young в Кембридже, штат Массачусетс, вторит Скафф: "Если вы кодифицируете знания и тщательно их охраняете, то вполне можете навредить сами себе. Вы скорее выиграете, если будете делиться большей информацией, нежели чем стараться ее охранять".

Рагглз замечает, что компания 3M сознательно делится со своими поставщиками и другими вовлеченными сторонами методами, используемыми ею для поиска новых идей в процессе разработки продукции. "Обычно это помогает 3M", - говорит он.

Другие профессионалы в области управления знаниями озабочены разглашением слишком большого количества информации поставщикам и партнерам.

Скафф предостерегает относительно передачи информации поставщику, имеющему высокую текучку кадров. Что произойдет со знаниями, которыми вы поделились, когда служащий уйдет из компании поставщика? Скафф предлагает создать архив знаний, в который можно было бы поместить наиболее важную информацию, переданную ключевым сотрудникам компании-поставщика.

Эд Сванстром (Ed Swanstrom), директор консорциума Knowledge Management из Гейзерсбурга, штат Мериленд, предупреждает: "Совместное использование информации может быть опасным. Нам нужно учитывать значение данных, которые мы открываем для других". По мнению Сванстрома, знания могут оказаться самым ценным активом компании. Он ссылается на исследование, проведенное компанией Pillsbury, обнаружившей, что ее внутренние знания стоят 1 млрд. долл. По словам Сванстрома, некоторые знания не должны разглашаться, потому что это может нанести серьезный ущерб компании.

Сванстром часто находит внешнюю защиту слишком слабой и предупреждает об "опасности того, что консультационные фирмы могут открыть важную информацию вашим конкурентам". В качестве примера он приводит компании, не подписавшие с консультационными фирмами соглашения о защите информации.

META Group добавляет, что "защита информации все еще находится в стадии становления, и предлагаемые решения носят предварительный характер. Большинство компаний в своем подходе к обеспечению безопасности не пытается предугадывать развитие событий". В результате, по прогнозу META Group на конец 2000 года, половина всех брешей в системах безопасности будут внешними.

В ответ на озабоченность по поводу деятельности консультантов Ernst & Young применяет системы, защищающие информацию и данные о клиентах. Эта компания подписывает договора с клиентами о том, какие знания должны или не должны быть открытыми. Ernst & Young также ведет электронный архив документов по проектам. В этом архиве хранятся результаты проектов и копии всех соответствующих бумажных документов. Настройки архива определяют, кто может просмотреть результаты и как их можно использовать, однако конкретные имена и данные клиентов стерты.

Подбирая решение для клиента и адаптируя это решение для другой области, Ernst & Young предпринимает и некоторые другие меры. Рагглз говорит: "Мы превращаем информацию в "объект знаний" (knowledge object), из которого удалена вся конкретная информация о клиентах. Однако мы оставляем достаточно сведений о том, где работает этот процесс и как его использовать".

"Это дилемма, - признается Рагглз. - Клиенты нанимают нас потому, что мы работали в похожей области. Но они не хотят, чтобы мы распространяли опыт, который приобрели. Для нас исключительно важно применить то, чему мы научились, в других ситуациях. При этом мы стараемся сделать так, чтобы клиент не испытывал неудобств, а мы не открывали бы лишней информации".

По мнению Рагллза, большую часть знаний, которыми компания хочет обмениваться, например, "ноу-хау" и опыт отдельных людей, очень трудно воспроизвести, даже если вы передаете эти знания в совместное использование. Самые важные знания все равно остаются глубоко в голове человека, какими бы не были методы их извлечения и кодификации. "Знания двух человек никогда не бывают одинаковыми. Вы никогда не сможете полностью воспроизвести то, что знаете о выполнении определенного задания. И это очень трудно учесть на практике", - говорит Рагглз.