Человеческий фактор
В текущем году государство ужесточило правила игры в вопросах обеспечения информационной безопасности. В первую очередь это касается защиты персональных данных. Но, как считают участники рынка, на фоне экономического кризиса защита коммерческой информации приобретает новое значение и для бизнеса.
Угрозы информационной безопасности принято подразделять по основным источникам на внешние, связанные с несанкционированным проникновением в корпоративную информационную систему, и внутренние, вызванные небрежностью или намеренными действиями сотрудников. «Если разделить угрозы на внутренние и внешние, то среди первых наиболее актуальны утечки информации, а среди внешних — целенаправленные атаки на предприятия, — говорит региональный представитель компании InfoWatch в СФО Владимир Ермолаев. — Эти угрозы представляют серьезную опасность, в том числе потому, что компании принимают недостаточные меры для защиты. Кроме того, следствием роста внимания власти к информационной безопасности и защите персональных данных становятся соответствующие проверки и штрафы».
В 2002 году Microsoft дала старт разработкам ПО с учетом требований IT-безопасности. С выходом Windows Vista эта идея воплотилась в жизнь и количество уязвимостей в ОС Microsoft заметно сократилось. Впрочем, с распространением широкополосного доступа (ШПД) в интернет значительно возросло и количество DDoS-атак. Взлом компьютерных систем стал процветающим бизнесом.
Проблемы безопасного хранения данных усугубляются масштабным проникновением средств обработки и передачи данных. В этих условиях постановка на предприятии современной системы информационной безопасности становится многоплановой и комплексной задачей. IT-подразделения должны обеспечивать целостность данных, защиту от сбоев, ведущих к потере информации, а также от неавторизованного создания или уничтожения данных, конфиденциальность информации и ее доступность для авторизованных пользователей.
По мнению председателя совета директоров Softline Игоря Боровикова, в сфере информационной безопасности сегодня сохраняется неопределенность, обусловленная экономической ситуацией. «Последние годы наблюдается процесс активизации деятельности правительства и регуляторов в сфере информационной безопасности, — констатирует заместитель директора новосибирского филиала ФГУП НТЦ „Атлас“ Игорь Раскинд. — Правительством утверждены новые постановления, внесены правки в действующие законодательные акты. ФСТЭК и ФСБ России выпущен ряд новых документов в части обеспечения безопасности персональных данных, информационной безопасности промышленных систем. Актуализированы банковские стандарты. Помимо необходимости выполнения законодательных „новаций“ компаниям могут быть присущи специфические информационные угрозы».
По мнению Игоря Боровикова, существенная часть руководителей и собственников бизнеса еще не осознали необходимость защиты информации и выполнения требований законодательства. «Речь идет не только о малом и среднем бизнесе. Некоторые крупные организации не выполняют требования законодательства в области защиты информации или реализуют их в неполном объеме. Однако даже законопослушные компании не до конца понимают, что обеспечение информационной безопасности является непрерывным процессом», — поясняет господин Боровиков.
«Распространен стереотип, что для обеспечения полноценной защиты достаточно применения антивирусного средства, — подтверждает Игорь Раскинд. — Зачастую руководство начинает уделять внимание вопросам информационной безопасности тогда, когда инцидент уже произошел или компания попала в список плановых проверок регулятора».
Пренебрежение вопросами информационной безопасности господин Ермолаев объясняет неудачным опытом работы с тем или иным продуктом. «Обычно после неудачного пилотного испытания одного продукта возникает заблуждение, что нет инструментов, способных своевременно выявить и предотвратить утечки. Для того чтобы адекватно оценить риски, необходимо составить модели угроз и портрет нарушителя. То есть иметь определенную экспертизу в области IT-консалтинга. Не думаю, что в каждой компании есть такой штатный специалист», — заключает Владимир Ермолаев. С точки зрения предпринимателей ситуация в сфере обеспечения безопасности бизнеса складывается неоднозначно.
«Существует миф, что достаточно купить систему, внедрить ее, аттестовать рабочие места, и все заработало, и риски минимизированы. Как правило, эти вопросы начинают беспокоить руководителя или собственника в двух случаях. Первый — когда для минимизации правовых рисков следует выполнить требования по приведению инфраструктуры в соответствие нормативным требованиям регулирующих и надзорных органов. Второй — когда приходит реальное понимание, что есть угроза бизнесу, и оценка рисков от потери или порчи информации говорит о возможности нанесения существенного ущерба. В зависимости от случая и выбирается путь решения проблемы», — рассуждает исполнительный директор компании 2B Group Михаил Шевченко.
Обеспечение информационной безопасности, по его мнению, невозможно без изменения бизнес-процессов. «Установка только средств защиты мало что даст. Если не рассматривать этот процесс исключительно как освоение выделенных бюджетных средств на приведение инфраструктуры в соответствие нормативным требованиям (и бюджет освоен, и акты внедрения подписаны, и подрядчик денег заработал, а по факту внедренное решение не дает ожидаемого результата). Целесообразнее работать над уровнем доступности информации в компании, думать об объеме данных, необходимом и достаточном для решения должностных задач каждого конкретного специалиста, о дисциплине в документообороте. То есть работать над совершенствованием бизнес-процессов. Никто, кроме руководства, это не сделает, единого рецепта нет. Можно привлекать консультантов, экспертов, но надеяться на то, что получится, не участвуя в процессе, заплатить деньги и проблема будет решена, как минимум глупо. Это касается и собственного специалиста по IT. Если же процессы выстроены правильно, для установки технических средств защиты бывает достаточно привлечь системного администратора», — резюмирует господин Шевченко.
Эксперты настаивают, что информационная безопасность бизнеса начинается с подбора кадров. Необходимо предусмотреть систему допуска персонала к конфиденциальной информации, установление персональной ответственности, организацию конфиденциального делопроизводства, оснащение организации техническими средствами и многое другое. Чтобы оценить корпоративную систему безопасности, определить ее пробелы и проблемы, IT-консалтеры проводят так называемый аудит безопасности. Он позволяет выявить каналы утечки, оценить их критичность. Анализ полученных данных дает возможность выбрать средства контроля каналов исходя из бизнес-модели предприятия и типов каналов.
Как отмечает Игорь Раскинд, только по результатам анализа информационных потоков и активов, оценки информационной инфраструктуры компании, ее сферы деятельности и специфики работы, учитывая уже применяемые решения, имеющиеся риски информационной безопасности и существующие угрозы, можно переходить к выбору оптимальных решений и построению комплексной системы информационной безопасности.
Создание защищенной информационной системы, по мнению господина Боровикова, следует начинать с консалтинга. «Задачу обеспечения безопасности в первую очередь помогают реализовать экспертные решения, такие как аудит, разработка стратегии информационной безопасности, создание системы мониторинга и расследования инцидентов. Например, наши специалисты по информационной безопасности были привлечены для экспресс-аудита одного из интернет-ресурсов Philips с целью выявления критичных для бизнеса уязвимостей. Обнаружив их, эксперты компании предоставили рекомендации по нейтрализации угроз. Одна из таких „дыр“ позволяла злоумышленнику выполнять любые действия с сайтом от лица легитимного пользователя», — пояснил Игорь Боровиков.
Владимир Ермолаев, в свою очередь, призывает не пренебрегать организационными мерами: «Это важная часть создания системы защиты от внутренних угроз. При правильной реализации они могут быть эффективным средством борьбы с утечками. Ведь часто такие инциденты происходят случайно, по незнанию правил работы с конфиденциальной информацией. Однако планомерное и системное противодействие утечкам и выявление внутренних злоумышленников возможно только с применением технических средств. При выборе необходимо ориентироваться на то, контролирует ли система все необходимые каналы передачи данных, достаточно ли развиты используемые в решении технологии анализа перехваченной информации. Важно, чтобы система выявляла помимо утечек такие внутренние угрозы, как саботаж, попытки мошенничества сотрудников и т. п.».
По мнению участников рынка, основные изменения в области информационной безопасности будут связаны с кризисом. «Поскольку конкуренция обостряется, уволенные сотрудники склонны мстить работодателям, а информация приобретает все большую ценность, это провоцирует рост числа злонамеренных утечек», — считает господин Ермолаев. В связи с этим затраты на обеспечение безопасности данных вряд ли будут существенно сокращены даже в период экономического кризиса.
Нельзя сказать, что компании, не специализирующиеся на информационной безопасности, недооценивают ее значимость, но они заняты своим основным бизнесом, а сил и средств на «апдейт» второстепенных процессов, как правило, не хватает. «Меня беспокоит прежде всего сохранность конфиденциальной информации (переход ее от ограниченного круга лиц внутри фирмы к неограниченному в результате взлома компьютеров извне, умышленных или неумышленных действий сотрудников); сохранность баз данных от порчи или утери в результате технических и программных проблем, в том числе проблем с поставщиками „облачных“ технологий. Второстепенного в этой области нет. Но вкладываемся мы в информационную безопасность пока непростительно мало. В малом бизнесе достаточно понимание этой проблемы руководителями и собственниками. В средних и крупных компаниях решением задач безопасности должны заниматься отдельные специалисты или даже отделы. Например, я эпизодически нанимаю соответствующих специалистов», — делится опытом директор ЦДО «Сфера» Михаил Гольдберг.