Информационная безопасность в руках бизнеса

В кризис многие компании занимаются переосмыслением своих бизнес-процессов, их корректировкой с точки зрения эффективности. Жизнеспособность практически каждого бизнеса во многом зависит от грамотного управления рисками. Как современные технологии в области информационной безопасности помогают решить вопросы оптимизации, какие риски сегодня наиболее актуальны, в каком направлении в последние годы эволюционировали системы электронной защиты, «КС» рассказал руководитель по развитию направления «Информационная безопасность» ГК Axxtel, руководитель Сибирской академии информационной безопасности, старший преподаватель НГУЭУ МАКСИМ ПРОКОПОВ.

— Сейчас многие компании активно работают над сокращением издержек и управлением рисками. Какую роль здесь играет информационная безопасность?

— Любой кризис несет с собой повышенные риски для бизнеса. Так было в 2008 году, наверняка так будет и сейчас. Мы наблюдаем переделы рынков, борьбу за доли в том или ином сегменте экономики. Некоторые компании не стесняются применять методы борьбы, выходящие за пределы правового поля. С другой стороны, кризис — это подходящее время для компании, чтобы осмотреться, оценить ситуацию. В этом плане информационная безопасность позволяет оптимизировать процессы внутри компании, защититься от самых актуальных рисков. Это тот фундамент, который, возможно, поможет выстоять и дальше развиваться более активно.

— С какими ключевыми рисками в сфере информационной безопасности сегодня сталкивается бизнес?

— На данный момент у бизнеса нет четко сформированной картины рисков информационной безопасности и процессов их нивелирования. Есть набор внешних и внутренних угроз, с которыми может столкнуться практически любая компания. Например, конкуренты могут перетянуть к себе ваши сильные кадры. Если забирают ключевого сотрудника, забирают и базу клиентов, забирают его наработки. Есть примеры прямых рейдерских захватов. Могут происходить перебои в работе ИТ-инфраструктуры, утечка конфиденциальной информации. С клиент-банков компаний уводят деньги, и это не редкость. Не только у юридических лиц, но и со счетов физлиц. В кризис все подобные моменты только актуализируются.

— Если мы говорим о внешних угрозах, какие изменения здесь произошли в последнее время? Увеличилось ли количество хакерских атак на бизнес, как поменялась их специфика?

— В целом количество атак уменьшилось. Эта тенденция наблюдается с 2010 года. Все чаще мы видим целевые сетевые атаки. Грубо говоря, они производятся уже под конкретные задачи. Это даже не обязательно специальная программа, это могут быть целые сценарии. Например, в компании есть главный бухгалтер. Ему приходит письмо с пометкой «срочно» от налоговой службы. Причем указан и адрес налоговой, и все необходимые реквизиты. Разумеется, сотрудник, если он не обучен, это письмо откроет и прочитает. Это может быть вирус, который работает с большим перечнем клиент-банков, нацеленный на финансовый отдел. Почтовый адрес бухгалтера в любой компании узнать не составляет труда.

Еще одна схема, которая часто практикуется: люди заходят в офис и оставляют на видном месте флэшку. Всегда найдется сотрудник, который не упустит шанс воспользоваться бесхозным оборудованием. В итоге компьютер сотрудника заражен, есть выход в сеть компании. Значит, с этого компьютера можно изучать информационную инфраструктуру. Дальше решают, какие ресурсы представляют экономическую ценность, и используют эти сведения, в том числе для шантажа.

— В этих примерах определенная доля успеха взломщиков зависит от действий сотрудников. Означает ли это, что внутренние риски, связанные с персоналом, также становятся актуальны?

— На мой взгляд, в кризис стоит более внимательно относиться как раз к угрозам, которые имеют место внутри самой компании. В информационной безопасности есть термин «зона риска». Это те сотрудники, которые могут представлять определенную угрозу эффективной работе организации. Например, это человек, который в данный момент ищет работу. Уходя, сотрудник обычно забирает с собой данные, с которыми долгое время имел дело. Самое банальное — такой сотрудник просто не настроен трудиться, он игнорирует свои долгосрочные обязательства. Компания в это время несет убытки. В зону риска попадают, к примеру, сотрудники, ответственные за напряженную обстановку в коллективе, занимающиеся саботажем и критикой руководства. Все это полезно знать руководителю, который в кризис решил провести сокращения и хочет сделать это насколько возможно безболезненно, без финансовых потерь.

— Тем не менее многие компании понимают информационную безопасность исключительно как защиту от внешних угроз и пытаются решить ее установкой качественного антивируса. Какие риски при этом выпадают?

— Антивирус и firewall — это то, что понятно и близко для ИТ отдела. Поэтому он считает своей задачей обосновать необходимость бизнесу в таких продуктах. На рынке присутствуют разные категории заказчиков. В компаниях общение, как правило, происходит и с ИТ-директорами, и с начальниками служб безопасности, и непосредственно с топ-менеджментом. Обычно руководство понимает информационную безопасность исключительно как защиту от внешних угроз. Когда они слышат о возможностях работы с внутренними угрозами, они высказывают заинтересованность в этих технологиях. Со стороны ИТ-отделов, наоборот, идет определенное отторжение. С их точки зрения, им навязывают какую-то дополнительную систему, которая будет стоять на балансе, которую надо обслуживать. На уровне здравого смысла руководство компаний всегда осознавало, что внутренние риски так же актуальны, как и внешние атаки. Сегодня бизнес в большинстве своем просто не знает, что есть технологии, позволяющие в автоматическом режиме отслеживать инсайдерские риски и минимизировать потери от них.

— Но про DLP-системы (системы предотвращения утечек информации) слышали, наверное, многие?

— Я бы сказал, что этот термин порядком устарел. Сейчас применяются три вида систем, зачастую объединенные в одну: системы учета рабочего времени, системы контроля действий сотрудников и системы предотвращения внутренних утечек. DLP, как они понимались изначально, уже ушли с рынка, эволюционировали в системы других типов. Здесь можно привести аналогию с раскрытием обычных преступлений. Идея DLP-систем в том, что возможно предотвратить утечку до ее появления или в момент, когда она происходит. На практике такого не бывает. Обычно получается, что преступление уже совершено, остались какие-то следы, по которым его можно отследить. Сейчас системы контроля внутренних утечек и контроля сотрудников этим и занимаются. Сделать универсальную чудодейственную систему, которая позволяет все заблокировать в момент самого инцидента, нереально. Я не видел ни одного подобного эффективного проекта. Так же в системах с блокировками информации часто обнаруживается эффект блокирование легитимной информации, что может нанести больше вреда, чем пользы.

— Компании каких секторов экономики, по вашему опыту, наиболее уязвимы в плане информационной безопасности? Есть ли какая-то специфика в зависимости от рода деятельности, месторасположения?

— Географических особенностей нет. Нельзя представить, что в Москве кража денег системы клиент-банка актуальна, а в Сибири нет. В любой компании возникает проблема организации работы сотрудников и оптимизации временных процессов. Для каждой компании имеются свои риски. Есть компании, у которых финансовые операции проводятся через веб-сайты. Им нужно защитить эти финансовые потоки и персональные данные. Поэтому даже об отраслевой привязке я бы говорить не стал. Все зависит от конкретных бизнес-процессов.

— Выявление уязвимых мест в системе безопасности подразумевает аудит. В чем он состоит?

— Первый этап аудита — интервьюирование сотрудников. Здесь целесообразно классифицировать информационные ресурсы, нарисовать карту информационных потоков, понять, что из этого имеет значимость. Аналитики также опрашивают руководство компании.

Второй этап — технический анализ. Инженеры ставят системы безопасности, которые работают в автоматическом режиме. Это те же DLP-системы, системы контроля сотрудников. В течение месяца получается технический срез. Таким образом, имеются два пласта: как себе представляет работу организации руководство и как информационные потоки копании устроены на самом деле.

На третьем этапе проверяется внешняя информационная защищенность компании. Есть сотрудники, которых можно назвать антихакерами. По сути, они производят те же действия, что и злоумышленники — пытаются взломать систему. Если говорить про наш опыт, то ни одна компания, с которой был заключен договор, не прошла проверку. Мы их взламывали, рассказывали, как взламывали, объясняли, почему так произошло.

— Что компании ожидаюст на выходе при осуществлении такого аудита?

— Как правило, специалисты в области информационной защиты действуют следующим образом: формулируют порядка 20 рисков, которые имеются у компании, поясняют, к чему эти риски могут привести. Только руководство может их монетизировать по потерям. Когда берутся эти расчеты, то оценивается, сколько будет стоить риск минимизировать. На выходе получается экономическое обоснование: есть риск, есть решение, есть возможные потери, есть стоимость технологии. Это план, который наиболее понятен руководителю. Правильно, когда весь процесс обработки данных специалистами занимает около 40–60 рабочих дней.

— Кто занимается подобной деятельностью? Есть ли сейчас на региональном рынке возможности проводить такой аудит?

— В регионах рынок информационной безопасности практически не сформирован. У нас есть требования законодательства о защите персональных данных, конфиденциальной информации, гостайны. Все о них знают. На этом рынке есть интеграторы, лицензиаты ФСТЭК и ФСБ, которые работают годами, являясь чаще всего бывшими сотрудниками упомянутых организаций со сложившимся менталитетом и методами работы. Естественно, они не готовы общаться на языке экономических рисков и бизнес-процессов. В результате мы обезопасились от правовых рисков, но проигнорировали все те дополнительные возможности, которые можно получить, используя технологии информационной безопасности. В Сибири есть ряд профессионалов, проводящих подобную работу. До формирования специализированных компаний у нас рынок в СФО не дозрел.

— При установке дорогостоящих систем безопасности возникает вопрос целесообразности таких инвестиций и их окупаемости. Из вашего опыта, когда вы просчитывали экономику проектов в разных случаях, где и сколько можно выиграть?

— Оценить экономику со стороны, наверное, невозможно. Сделать это может только руководство конкретной компании. Они самостоятельно подсчитывают, какие затраты при каком риске, организация понесет. Задача специалиста по информационной безопасности — помочь выявить эти риски. Есть, конечно, специфические случаи, когда возможно посчитать экономику рисков. Например, нецелевого использования рабочего времени. Здесь все очень просто. Берем человека, который занимается механической работой. Когда он не занят своими прямыми обязанностями, компания теряет деньги. По нашей статистике, примерно 5–7% сотрудников меньше 30% рабочего времени тратят на решение своих непосредственных задач. У таких сотрудников есть оклад, с него отчисляются налоги, есть рабочее место. Обычно потери компании в этом вопросе в десятки раз превышают стоимость установки систем защиты.

— О каких цифрах идет речь?

— К примеру, в одной из компаний была рассчитана система на 250 пользователей. Подсчитав годовую зарплату нерадивых сотрудников, получили цифру в районе 3 млн рублей. На повышение трудовой эффективности компания тратила еще 8 млн. Здесь же, когда подобного сотрудника увольняют, трудовая эффективность коллектива растет автоматически. В итоге получается общая экономия в 11 млн при средней стоимости системы защиты в районе 800 тыс. рублей.

ОСТАВЬТЕ ОТВЕТ