Акцент на безопасности

Настоящая статья - попытка обозначить слабые места в области создания, хранения и утилизации электронно-информационных ресурсов (документы, справочные базы, наработки, чертежи, etc.).

Диагностика

Первая и самая очевидная проблема: предприятия вообще не осознают проблему необходимости защиты информации, а потому степень их защищенности либо оставляет желать лучшего, либо речь об этом вообще не идет. В компаниях не проводится никаких превентивных мероприятий, и, как следствие, руководство задумывается о вопросе только после того, как столкнется с утечкой конфиденциальных данных непосредственно у себя.

Вторая, противоположная, позиция - болезненное зацикливание на безопасности, когда защищать нужно все и сразу. Используется так называемый реактивный подход к обеспечению своей безопасности. И в этом случае защита осуществляется без классификации информации, без определения сторон информационной деятельности сотрудников, которые необходимо подвергать контролю, без расчета эффективности мероприятий. При таком подходе очевидно, что руководитель, узнав суммы расходов на обеспечение безопасности компании, зачастую вынужден махнуть рукой и надеяться на авось.

Кроме того, имеет место полное или частичное несовпадение взглядов на данный процесс между людьми, принимающими решения (CEO), и сотрудниками, обеспечивающими или обязанными обеспечивать информационную безопасность организации. Как правило, СЕО считает, что компетенция и мотивация его ИТ-службы достаточна для того, чтобы в рамках повседневной, рутинной деятельности обеспечить должный уровень информационной защиты, и он просто перекладывает ответственность по данному вопросу на персонал, мыслящий категориями программных продуктов и «железа», а не информационной безопасности. Как следствие, направление не развивается, страдает от недофинансирования и начинает представлять из себя прекрасную мишень для конкурентов и просто «случайных стрелков».

Вопрос потери информации в любом из рассматриваемых случаев становится просто вопросом времени.

С чего начать лечение?

Поменять отношение к проблеме! Бытующее сегодня мнение, что этой «болезнью» страдают только банки, в корне неверно. И за последний год 9 из 10 российских компаний крупного и среднего бизнеса сталкивались с угрозами информационной безопасности (по результатам исследования компаний Hewlett Packard и Ponemon Institute за 2014 год).

Но для того, чтобы компания была способна предотвратить потенциальные утечки данных и защитить себя от действий злоумышленников, важно понять, откуда исходят угрозы и что они из себя представляют. При выборе средств защиты не нужно пытаться охватить все мыслимые и немыслимые угрозы: на это не хватит ни денег, ни сил. Необходимо простроить надежную модульную систему, закрытую от рисков вторжения извне и позволяющую осуществлять контроль и мониторинг за потоком информации внутри компании.

Сегодня для обеспечения безопасности компании кроме стандартного набора антивируса и брандмауэра на каждой рабочей станции в сети должна присутствовать система обнаружения/предотвращения вторжения (IDS/IPS). Такая система, при условии ее корректного внедрения, минимизирует риски, связанные с хакерскими атаками, и значительно усложняет процесс взлома. Использование системы предотвращения утечек (DLP) позволяет не только повысить уровень защищенности, структурировать информацию внутри компании и разграничить права доступа, но и увеличить эффективность работы сотрудников компании в целом. Для эффективного управления инцидентами информационной безопасности, как этого сегодня требует окружающая обстановка, правильно будет использовать систему анализа информации и управления событиями (SIEM). Только в случае построения комплексной системы защиты компании каждая отдельная система будет надежным кирпичиком в неприступной стене, опоясывающей организацию.

Но утечки корпоративной информации происходят не только по злому умыслу. Непредумышленное причинение вреда конфиденциальным данным в результате действий собственного персонала происходит гораздо чаще, чем ущерб от действий конкурентов и мошенников. Более чем в половине случаев причина лежит в неосведомленности или невнимательности сотрудников и связана с ежедневной ротацией документов внутри компании. Разъяснение политики информационной безопасности и повышение уровня технической грамотности сотрудников - необходимая и первоочередная мера по борьбе с данной проблемой. А простое осознание сотрудником того, что его действия могут контролироваться, сильно дисциплинирует и снижает вероятность не только непреднамеренных утечек, но и умышленных краж информации. Остается только знать и прописать эту политику.

Немного статистики

Можно бесконечно «звать на баррикады», но примеры говорят сами за себя. По данным исследований, ежегодно каждая российская компания, входящая в топ-400, теряет в среднем около $3,3 млн из-за преступлений в сфере высоких технологий. Наибольшие потери при этом несут промышленные компании - $7,8 млн - и компании из сферы энергетики - $7,3 млн.

А максимальный известный размер ущерба, который понесла российская компания от утечки конфиденциальных данных, составил $30 млн. 

КОММЕНТАРИЙ ЭКСПЕРТА

Сохранность информации - залог конкурентоспособности и стабильности

В Приморском крае количество игроков, способных качественно провести аудит и оценить все основные риски информационной безопасности на крупном предприятии или прописать политику безопасности для персонала, исчисляется единицами. Группа компаний «Акцент» - один из таких игроков.

О том, насколько тема информационной безопасности актуальна для компаний Приморского края, в интервью «Дальневосточному капиталу» рассказал начальник отдела систем информационной безопасности компании «Акцент» Александр ПАВЛОВ.

- Александр, скажите, часто ли к вам обращаются за таким продуктом, как «информационная безопасность»?

- Да, это происходит регулярно. Оснований для обращения, как правило, два: руководство, обоснованно или нет, считает, что в результате несанкционированного «выноса» информации собственными сотрудниками в компании началась утечка данных; второй случай - это когда компании уже был нанесен ущерб от инцидентов нарушения безопасности посредством вирусов или хакерских атак.

- Насколько актуальны для компаний Приморского края аспекты ИБ?

- В современном мире данные - большая ценность, и ущерб от их потери может исчисляться суммами, соизмеримыми с оборотом компании. Как пример, клиентская база - основа любого бизнеса. И утечка данных о клиентах, их платежах и покупках к конкурентам приведет к ощутимым финансовым потерям.

- Могут ли компании решить вопрос ИБ собственными силами?

- Основная задача ИТ-специалистов - работающая инфраструктура и соответствующие сервисы. Вопрос информ-безопасности находится на несколько ином уровне. Но, т. к. выделенных специалистов в данном направлении на предприятии, как правило, нет, этот вопрос отдается на откуп службе ИТ, что не позволяет закрыть данную проблему на должном уровне качества.

- Что вы порекомендуете тем, кто задумывается об обеспечении информационной безопасности?

- Выработать и прописать систему защиты информации на предприятии. Иногда для этого приходится практически заново проектировать и перестраивать всю инфраструктуру организации. Но чаще таких жертв не требуется, и все обходится «малой кровью». В любом случае начинать нужно с аудита систем и потоков информации на данном, конкретном предприятии!

- Ранее вы возглавляли отдел ИБ администрации Приморского края. В чем разница подходов в частном и государственном секторе?

- В госструктурах необходимость защиты диктуется законодательством. В коммерческих организациях ценность и сохранность информации - это залог ее конкурентоспособности и стабильности. И выражая свое собственное мнение, скажу, что неважно, каковы форма организации ее статус, - информация представляет ценность и должна быть защищена.

Журнал "Дальневосточный капитал", ноябрь,  2014 год.