Тема политики в сфере информационной безопасности в последние годы наращивает актуальность — допустить утечку конфиденциальных данных для многих компаний означает поставить под удар свой бизнес.
Информационная безопасность охватывает целый пласт вопросов— от специализированных для ИТ-рынка до ментальных. По словам экспертов, приглашенных на Дискуссионный клуб «ДК», в битве за информационную безопасность выиграет тот, кто решит три основные задачи: обеспечит целостность данных, их конфиденциальность и доступность. Участники
Алексей Бутаков директор по развитию бизнеса на Урале компании Softline
Сергей Васильев коммерческий директор компании «Риланс»
Лев Плинер менеджер разработки «СКБ Контур»
Игорь Стенин директор по информационным технологиям ИД «АБАК-ПРЕСС»
Станислав Шевченко ведущий инженер ЗАО «Машиностроительная корпорация «Уралмаш»
Тема внятной политики в сфере информационной безопасности в последние годы только наращивает актуальность — допустить утечку конфиденциальных данных для многих региональных компаний означает поставить под удар конкурентоспособность своего бизнеса. Пришли те времена, когда информация может стать весомым оружием при столкновении финансовых интересов предприятий, работающих в одной сфере. Катализатором процессов становится недобросовестная конкуренция, которая подогревает заинтересованность бизнеса в принятии мер для предотвращения утечки секретных данных.
Информационная безопасность требует отстройки бизнес-процессов
Эксперты выделяют несколько направлений, из которых складывается само понятие информационной безопасности. Среди них: управление правами доступа, обнаружение вторжений, обеспечение конфиденциальности данных и некоторые другие. Сложность заключается в том, что каждое из этих направлений требует непрерывной работы — не только аппаратных, но и организационных мер. Сергей Васильев, коммерческий директор компании «Риланс»: «Есть хорошие и плохие новости. Хорошие заключаются в том, что в России появились эффективные средства для обеспечения безопасности, их число постоянно растет. На отечественный рынок пришли новые решения ведущих вендоров, выросли компетенции компаний-интеграторов. Плохая новость в том, что сама по себе покупка аппаратных и программных средств проблемы не решает. В сфере информационной безопасности невозможно обойтись без грамотной отстройки бизнес-процессов. А это задача для малого и среднего бизнеса пока не является легкоразрешимой».
Еще одна проблема связана с тем, что руководители зачастую не считают нужным укреплять информационную безопасность своих предприятий, предпочитают спускать все на тормозах. Алексей Бутаков, директор по развитию бизнеса на Урале компании Softline: «У нас принято осуждать несовершенные законы. Но на мой взгляд, основная сложность состоит в том, что компании сами ничего не делают для того, чтобы предотвратить утечку информации. В очень большом количестве случаев, чтобы обеспечить минимальный уровень безопасности, компании нужно принять ряд простых мер. Но и эти простые меры зачастую не предпринимаются: менталитет российский таков, что если можно что-то не делать, то делаться ничего не будет».
Необходимо найти баланс между вложенными усилиями и полученным результатом
По словам участников Дискуссионного клуба, корпоративный рынок все еще недооценивает внутренние угрозы и вероятность утечки конфиденциальных данных по вине персонала. А это может обойтись весьма дорого: для увольняемого сотрудника соблазн забрать с собой ценную информацию может оказаться слишком велик. Поэтому экономия на средствах защиты способна сыграть на руку конкурентам и ослабить позиции компании. Однако, с другой стороны, важно не переусердствовать, соблюсти баланс между вложенными усилиями и полученным результатом, оценив целесообразность использования тех или иных решений по защите. Г-н Бутаков: «Первым делом нужно понять, насколько ценной для внешнего мира и самой компании является информация, имеющаяся у предприятия, затем нужно определить риски утечки данных и потенциальные для бизнеса убытки. Когда эти факторы соотнесены, следующим шагом должна стать выработка адекватного решения руководства предприятия совместно с ИT-директором. Люди зачастую не знают, чего бояться. Увы, понимание может прийти лишь тогда, когда у компании уведут, к примеру, базу клиентов — и защищать будет уже нечего». По мнению г-на Васильева, важно взвесить риски для бизнеса и выбрать адекватные меры обеспечения ИT-безопасности: только комплексный и последовательный подход будет способствовать успеху в этом направлении.
Дорогостоящие меры защиты не всегда оправданны
Однако увод базы данных, по словам Игоря Стенина, директора по информационным технологиям ИД «АБАК-ПРЕСС», вовсе не означает, что компанию неизбежно ждет крах. Все гораздо сложнее, так как, даже располагая клиентской базой, далеко не всякий бизнес можно скопировать. Г-н Стенин: «Зачастую информация является ценной только здесь и сейчас, поскольку быстро устаревает. Практика показывает, что существует несколько участков, которые надо защищать: бухгалтерская и налоговая отчетность, персональные данные сотрудников, стратегические планы. Однако к разряду секретной некоторые руководители компаний нередко относят информацию об объемах продаж, об основных клиентах и т. д. Отнюдь не всегда является оправданным предпринимать дорогостоящие меры для защиты такой информации. Дело в том, что до 90% подобных данных можно найти в открытых источниках, при этом не нарушая законодательство. Другое дело, если дешевле украсть. Тогда, скорее всего, информацию за определенное вознаграждение передадут заинтересованным в ней лицам».
Тем не менее, убежден Лев Плинер, менеджер разработки «СКБ Контур», управление рисками, внутренними угрозами — задача вполне решаемая. «Почему-то считается, что любую информационную систему можно взломать. Это очень серьезное заблуждение. Все дело в том, сколько денег компания готова выделить на защиту. Безусловно, малое предприятие не может потратить на предотвращение угроз большой бюджет, но у него и угроз, как правило, меньше», — объясняет он.
Защита информации сопряжена для бизнеса с определенными и часто довольно внушительными расходами, которые не все могут себе позволить. Так, по оценкам экспертов, на информационную безопасность требуется порядка 2,5% от прибыли компании или около 3% от стоимости ноу-хау, учитывая степень его устареваемости. Однако было бы ошибочно полагать, что проблема предотвращения утечки информации решается только вложением средств.
Главную роль играет человеческий фактор
По мнению участников Дискуссионного клуба, на первый план в этой сфере выходит человеческий фактор: подготовленность персонала, внимание сотрудников к выполнению своих функций. Если этого не обеспечить, информационную безопасность не смогут гарантировать и миллионы рублей, потраченных на аппаратные продукты. Иными словами, политика информационной безопасности самым тесным образом связана с персональной ответственностью сотрудников. Как отметил Станислав Шевченко, ведущий инженер ЗАО «Машиностроительная корпорация «Уралмаш», защита информации — это не просто технические средства, это прежде всего организационные меры. Не менее 80% утечек информации происходит из-за пресловутого человеческого фактора — ошибок или даже подкупа персонала. Бывает, что компания потратила огромные бюджеты, но при этом в трудовом договоре не зафиксировала, что сотрудник несет личную ответственность за разглашение конфиденциальной информации. А следовательно, деньги выбросила впустую. Но даже самая тщательная работа с персоналом, формализация существующих правил вовсе не гарантирует, что утечки не произойдет. Г-н Шевченко: «Казалось бы, самое элементарное, что нужно сделать для сохранения конфиденциальности на крупном предприятии, — просто выключить Интернет или ограничить доступ в Сеть. Сделать так, чтобы вести деловую переписку можно было, а передавать файл весом больше 10 килобайт — нет. Еще можно опечатывать системные блоки, блокировать разными способами USB-порты. Можно до бесконечности сужать канал утечки информации техническими средствами, но если у недобросовестного сотрудника появится необходимость увести базу данных — то он найдет способ это сделать». Другое дело — создать условия, при которых это становится для него невыгодным. Правильно расставив приоритеты, компания может добиться более ответственного отношения к своей секретной информации. Алексей Бутаков: «Если сотрудник подписал соглашение о неразглашении — кража данных для вора будет стоить дороже, если с сотрудником проводится разъяснительная работа — еще дороже, если он замотивирован на прибыль — то совсем дорого. В какой-то момент перекупать информацию становится невыгодно».
Персональные данные — под охраной закона
Участники дискуссии отметили, что важность информационной безопасности приобрела особое значение с принятием закона «О персональных данных». Банки, страховые компании, мобильные операторы, расчетные центры и другие организации, работающие с большими массивами персональных данных, уже поняли, что находятся под пристальным оком государства. Волей-неволей они вынуждены внедрять системы, отвечающие за эффективную работу средств информационной безопасности. При нарушении закона компания может лишиться лицензии, подвергнуться судебному преследованию со стороны граждан, чьи персональные данные были разглашены. Утечка такой информации может стать причиной целой череды исков, а это чревато крупными неприятностями: и юридическими издержками, и ударом по репутации. Бизнес встал на путь битвы за информационную безопасность и постепенно от теории переходит к практике.