Предупрежден, значит вооружен

О безопасности информации, защите персональных данных мы будем говорить с Евгением МАКАРОВЫМ (Е. М.), директором по развитию бизнеса ГК «Акцент», и Игорем ИВАНТЕЕМ (И. И.), начальником отдела технической защиты и систем информационной безопасности ГК «Акцент».

Е. М.: - Наша компания изначально занимается проектированием и построением правильной ИТ-инфраструктуры для компаний разных отраслей и разного размера, без которой уже немыслим современный бизнес. У нас большой опыт реализации проектов по построению современных центров обработки данных, внедрению кластерных серверных систем, систем хранения данных, развертыванию промышленных Wi-Fi-сетей (например, для складских комплексов или контейнерных терминалов) и многим другим инфраструктурным направлениям, которые требуют высокой квалификации от наших инженеров и комплексного подхода. Помимо прочего, во всех проектах мы всегда учитывали требования по обеспечению информационной безопасности. Современные же реалии таковы, что технологии все больше движутся в сторону «облаков», которые несут очевидные экономические выгоды. Поэтому мы также начали предлагать рынку построение так называемой «гибридной» инфраструктуры, когда заказчик наряду с традиционными решениями может совместно использовать «облачные» продукты. Это предъявляет еще большие требования к обеспечению информационной безопасности. Да и изменения, происходящие в мире, требуют к этому повышенного внимания.

Досье «Дальневосточного капитала»: Компания «Акцент» - лидер на рынке комплексных проектов в области построения инженерной инфраструктуры и внедрения информационных систем для крупнейших государственных и коммерческих структур Приморского края. Компания является партнером многих ИТ-компаний с мировым именем, таких как Microsoft, IBM, Xerox, Panasonic, Schneider Electric, Cisco Systems, Hewlett Packard, Huawei и многие другие.

- Давайте обсудим информационную безопасность. Насколько это актуальный вопрос для бизнеса и государственных структур?

И. И.: - Еще несколько веков назад Н. Ротшильд сказал, что «кто владеет информацией, тот владеет миром». И если ее важность уже не является предметом споров и обсуждений, то вопросы по защите есть, и их очень много.

Современный бизнес неразрывно связан с ростом автоматизации бизнес-процессов, обработкой и обменом информацией - как внутри компаний, так и с клиентами, поставщиками, подрядчиками. И часто эта информация, как и информационная система в целом, нуждается в защите, поскольку большая часть компьютерных атак проводится с целью доступа к конфиденциальной информации. До 46% в 2016 году, согласно исследованиям Positive Technologies.

Изначально задачи в области защиты информации мы решали для коммерческих организаций в рамках инфраструктурных проектов. Здесь не существует строгого регламента. Многие производители, как иностранные, так и российские, предлагают большой спектр решений, потребителю надо только определиться с выбором. В государственном секторе все обстоит иначе. Теперь наш портфель предложений дополняется решениями для государственных органов власти и компаний с государственным участием, работа которых с информацией попадает под госрегулирование. Даже если в информационных системах этих организаций отсутствует информация конфиденциального характера, к ней могут быть установлены требования по обеспечению целостности и доступности.

Кстати, в соответствии с законодательством работа в области информационной безопасности является лицензируемым видом деятельности. Лицензия ФСБ России на работу с шифровальными (криптографическими) средствами у нас была давно, практически с момента основания компании. В настоящий момент мы также являемся соискателями лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации.

- Одна из острых тем - защита персональных данных. С персональными данными сегодня работают не только госструктуры, практически все коммерческие организации ведут их обработку и, вместе с этим, получают сопутствующие обязательства по их хранению и защите.

Е. М.: - Защита персональных данных - это лишь небольшая часть проблемы защиты информации. Ее особенность в том, что государство выступает регулятором. Коммерческие организации владеют другими информационными ресурсами, которые необходимо защищать, - базы данных клиентов, данные управленческого и бухгалтерского учета, системы управления предприятием. Практика показывает, что часто в компаниях не реализован грамотный процесс резервного копирования. А потеря данных иногда может привести даже к прекращению бизнеса. Поэтому, когда мы ведем диалог с заказчиками, стараемся учитывать и обсуждать вопросы комплексной защиты информации. На сегодняшний день мы работаем с ведущими производителями решений в области информационной безопасности, как российскими - Positive Technologies, «Инфотекс», «Код безопасности», «Лаборатория Касперского», так и зарубежными, например с одним из лидеров мирового рынка ИБ компанией Cisco Systems. Это позволяет нам закрыть практически весь спектр задач по информационной безопасности в сфере как аппаратных решений, так и программного обеспечения. Мы не только понимаем и актуализируем существующие проблемы, но и рекомендуем пути решения. Одно из преимуществ диалога с профессионалами в сфере информационной безопасности в том, что мы непрерывно учимся и следим за изменением законодательной базы, стремимся предоставить своим заказчикам исчерпывающую информацию о тенденциях в области ИТ-безопасности, возможность заглянуть в будущее.

Как пример, в марте 2017 года наша компания совместно с Cisco организует семинар по вопросам информационной безопасности. Спикером выступает бизнес-консультант по безопасности Cisco Systems Алексей ЛУКАЦКИЙ, один из ведущих экспертов страны, участвующий в разработке нормативно-правовых актов в области информационной безопасности и защиты персональных данных. В 2013-м и 2014-м годах порталом DLP-Expert был назван лучшим спикером по информационной безопасности.

- Какие угрозы для компаний стали встречаться чаще?

И. И.: - На этот вопрос нельзя ответить коротко, спектр угроз многообразен. Но есть, конечно, современные особенности. Прежде всего, это угрозы для веб-ресурсов компаний. Сейчас для большинства компаний интернет - основное или одно из важнейших мест для ведения бизнеса. Организации взаимодействуют с клиентами онлайн, ведут продажи, оказывают услуги через интернет. Во всех этих случаях они получают, хранят и обрабатывают информацию, подлежащую защите (например, данные пластиковых карт, детали платежей, персональные данные клиентов и контрагентов). И коммерческий бизнес, и государственные организации должны обеспечить охрану и защиту персональных данных.

- Недавно один из банков Приморского края объявил о кибератаке на свои счета с существенным ущербом…

И. И.: - Важно понимать, что это не только финансовые потери, но и репутационные. Хочется отметить, что банки по-прежнему остаются популярной целью для киберпреступников, а системы дистанционного банковского обслуживания, банкоматы и POS-терминалы сильно усложняют процессы, связанные с обеспечением и контролем безопасности банковских систем. По данным Центра мониторинга и реагирования на компьютерные атаки, в кредитно-финансовой сфере с декабря 2015 года по июль 2016 года в России только через эти устройства было похищено более 100 млн рублей.

- С массовым выходом бизнеса в интернет внешние угрозы становятся более разнообразны, это логично. Но в то же время эксперты по информационной безопасности утверждают, что и внутренние угрозы, от самих сотрудников компании, не теряют своей актуальности. Какие угрозы, на ваш взгляд, для компаний сегодня более значимы - внешние или внутренние - и предотвращению каких вы уделяете больше внимания в предлагаемых вами решениях?

И. И.: - И тех и других. Любой проект по ИТ-безопасности в первую очередь включает в себя проведение аудита и моделирование угроз. Мы проводим оценку потенциала внутренних и внешних нарушителей: какие опаснее для данной организации, какие векторы атак более вероятны и нейтрализация каких приведет к снижению уровня рисков к приемлемому.

Кроме того, в любой сфере деятельности есть нюансы. Когда мы сталкиваемся с госсектором, то базовые меры защиты информации определяются государством. Организация обязана обеспечить определенный уровень безопасности, закрепленный в соответствующих нормативных актах, как, например, в случае работы с персональными данными. В финансовой сфере требования по соблюдению ИТ-безопасности определяет Центробанк. Часть из них рекомендуемые, часть - обязательные.

В свою очередь, мы советуем заказчикам на регулярной основе проводить аудит безопасности информационных систем на проникновение со стороны внешнего и внутреннего нарушителя.

- Как меняется отношение к информационной безопасности в бизнесе за последнее время?

И. И.: - Есть все большее понимание важности данного направления, на это выделяются бюджеты. Кибератак становится все больше, растет и возможность потенциального финансового и репутационного ущерба в случае успешного проникновения злоумышленников в сеть организации. Как следствие - рынок информационной безопасности является наиболее быстрорастущим как во всем мире, так и в нашей стране. 

Евгений ПЕТРОВ.

Журнал "Дальневосточный капитал", март, 2017 год.