ПОЧЕМУ «КРОТЫ» ВРЕДНЕЕ ХАКЕРОВ
Вопросами информационной безопасности сегодня интересуются не только акулы бизнеса, но даже индивидуальные предприниматели. Кого надо больше опасаться: собственных сотрудников или хакеров? Как защитить свое дело в «цифровом» поле? Ответы – в материале корреспондента «БД».
Слабым звеном в системе информационной безопасности (ИБ) отечественного предпринимательства остается внутренний сотрудник. Но ухо надо держать востро и снаружи: эксперты полагают, что уровень внешней опасности растет, так как желающих стащить из компаний хоть что-нибудь информационно ценное становится все больше.
Статистика Аналитического центра компании InfoWatch свидетельствует: в прошлом году в России было зарегистрировано 270 случаев утечки конфиденциальной информации из компаний и организаций (на 6% больше, чем в 2017-м). Но это только вершина айсберга: авторы исследования признают, что «из-за высокого уровня латентности инцидентов оно охватывает не более 1% случаев предполагаемого совокупного количества утечек». При этом не так страшен внешний «черт», как наличие проблем внутри предприятия, поскольку 90% утечек – результат внутренних нарушений системы ИБ.
Однако самое неприятное состоит в том, что, вопреки мировой тенденции, в России число случаев утечки конфиденциальных данных по вине сотрудников не сокращается, а растет: за два последних года оно увеличилось на 13% до уровня в 78% от всех инцидентов, повлекших за собой компрометацию информации ограниченного доступа. И главной проблемой в этом направлении остается соблюдение правильного баланса между открытостью современного цифрового бизнеса и сохранением его секретов.
Закрыть нельзя открыть
Специалисты уверены: от того, где в этой фразе ставится запятая, во многом зависит ситуация с ИБ. Причем баланс в системе «открыть-закрыть» бывает настолько хрупким, что лишнее движение как в ту, так и в другую сторону ведет к неминуемым потерям.
«Нужно понимать, что сама функция ИБ, в зависимости от модели и направления бизнеса, может выступать как в качестве драйвера его развития, так и как некий “налог”, который он в любом случае обязан заплатить», – считает директор по кибербезопасности OBI Дмитрий Мананников.
Тот факт, что все понимают суть действия системы ИБ по-разному, на практике постоянно находит подтверждение. Например, один из участников панельной дискуссии в рамках II Петербургского цифрового форума рассказал случай, когда в крупной компании, попавшей в сложную ситуацию, служба безопасности потребовала от специалистов, готовых помочь, пройти проверку на полиграфе. «Это вполне можно расценивать как попытку “торможения” бизнеса», – считает Дмитрий Босиков, заместитель генерального директора «ИнфоТеКС». Он констатирует, что специалист, занимающийся разработкой ПО на современном мировом инновационном уровне, «должен иметь возможность делать это 24 часа в сутки в любой точке мира». Правда, у этой открытости есть и оборотная сторона: когда удаленный специалист работает под своим кодом в общей системе, полной уверенности в том, что это именно он, а не кто-то другой, нет.
В этой связи эксперты приходят к однозначному выводу: единых для всех рецептов создания и развития системы ИБ нет. Для каждого конкретного бизнеса нужно создавать индивидуальную систему защиты конфиденциальной информации, способную не мешать ему развиваться и одновременно предупреждать всевозможные утечки данных. И здесь принципиально важными становятся вопросы подготовки нужных кадров (и получения ими необходимых современных компетенций), а также законодательного нормирования «можно» и «нельзя».
Сколько стоит ваша тайна?
Оценивая эту проблематику, профессионалы сразу говорят о дефиците персонала: если толкового программиста-разработчика найти сложно, но можно, квалифицированные «безопасники» – вообще «товар» штучный. Отчасти это объясняется тем, что выпускники приходят в компании «сырыми», считает директор по информационной безопасности Ассоциации ФинТех Лев Шумский. Чтобы качество их подготовки соответствовало требованиям работодателей, разрабатывается профессиональный стандарт, который с 1 января 2020 года станет обязательным для госкорпораций. По мнению эксперта, «обкатка» стандарта и подготовленных с учетом его норм программ обучения через 5–6 лет позволит получать специалистов ИБ того уровня, который действительно необходим.
Но многие профессионалы-практики уверены: на деле наличие разрешительных документов и сотрудника ИБ вовсе не означает сохранность секретов. Аналитика InfoWatch показывает, что наибольший процент умышленных утечек в России приходится на такие отрасли, как банки и финансы (70%), высокие технологии (65,2%), а также промышленность и транспорт (60%). А ведь именно в них системы ИБ традиционно считаются наиболее сильными и компетентными.
Эксперты отмечают, что зачастую «порядок на бумаге» оказывается лишь «ширмой для контролеров». Многие из них уверены: пока уровень штрафов и других наказаний за утечку конфиденциальных данных слишком лоялен и не превышает нескольких десятков тысяч руб., «бумажная» безопасность будет жить.
«Нам не удалось найти ни одного случая, когда база данных была бы оценена компанией и принята на баланс как нематериальный актив, – говорится в отчете InfoWatch за 2018 год. – Это означает, что за разговорами о ценности данных не стоит реальной оценки актива. А если нет оценки, нет и потенциального ущерба». Увы, ни одна громкая история об утечке данных в России не закончилась отставкой руководства, выплатой многомиллионных компенсаций и существенным падением бумаг публичных обществ. Но как только штрафовать станут по-крупному, на сотни тысяч или миллионы, компании сами начнут принимать жесткие меры по соблюдению ИБ.
По мнению Льва Шумского, чтобы решить этот вопрос не формально, а на принципиальном уровне, нужно объединить усилия государства и бизнеса – как в деле подготовки кадров, так и разработки условий деятельности систем ИБ.
При этом каждый бизнес будет решать проблему качества систем ИБ в зависимости от его масштаба и перспектив, считает Дмитрий Мананников. В пример он привел Сбербанк, который процессу цифровой трансформации (и функционированию системы ИБ в том числе) уделяет первостепенное внимание, особенно кадрам в этой системе. Ощутив нехватку компетентных специалистов, банк начал самостоятельно их готовить. «Возможно, так станут поступать и другие крупные компании», – заметил эксперт.
Тот факт, что не формальному, а реальному соблюдению мировых стандартов ИБ надо уделять много внимания, подтвердил и глава службы ИБ «Байер СНГ» Артем Воробьев. «Их полное соответствие принятым в мире нормам является необходимым требованием ведения бизнеса и самым непосредственным образом сказывается даже на котировке акций предприятия», – отметил он, имея в виду крупные компании международного масштаба.
А вот малый бизнес, скорее всего, в развитии систем ИБ пойдет по несколько другому пути.
Чужие здесь ходят?
Очевидно, что в малом бизнесе «заводить» не только службу, но даже собственного сотрудника по ИБ порой откровенно невыгодно: стоят его услуги дорого, а функционал слишком узок для работы в компании из десятка человек. Означает ли это, что думать об ИБ в такой фирме вообще не надо? А если есть что охранять, каким образом надо решать проблему?
Большая часть специалистов считает, что в этом случае надо идти по пути аутсорсинга. Ведь если бухгалтерию «малыша» ведет сторонняя организация, профессионально оказывающая такие услуги, то почему бы и сервис в рамках системы ИБ не оказывать другой компании? «Если предприятие готово допустить специалистов со стороны к необходимым им данным и ресурсам, это, скорее всего, будет правильным шагом», – считает Сергей Булович, региональный представитель по СЗФО «Лаборатории Касперского».
Вместе с тем эксперты констатируют, что целостная система оказания услуг в сфере ИБ в формате аутсорсинга в России пока не сформирована. Да, на частном уровне какой-то сторонний «компьютерщик» большую часть малых предприятий всегда курирует. Однако в этом, самом распространенном случае о построении какой-либо эффективной системы ИБ речь не идет: все ограничивается стандартным набором встроенных услуг, который любой мало-мальски грамотный хакер «ломает» на спор.
И здесь снова возникает вопрос доверия к стороннему специалисту и компании: с учетом того, что часть малого бизнеса у нас работает в «серой» (и даже «черной») зоне, далеко не всегда такие предприятия хотят делиться с кем-то информацией, утечка которой может привести к негативным последствиям. А вдруг «сдадут»?
Кто в зоне риска
Очевидно, что, как и в случае с гражданами, интерес потенциальных покупателей конфиденциальной информации возникает не ко всем компаниям и организациям. И если данные о «малыше», систематически выигрывающем тендеры на сотни миллионов руб., наверняка будут востребованы, деятельность приюта для бездомных собак, живущего на пожертвования, мало кому интересна.
На самом деле исследователи выяснили, что чаще всего как в России, так и в мире «утекают» персональные данные, вслед за которыми злоумышленников интересуют коммерческая тайна и ноу-хау, платежная информация и гостайна. И если по первому пункту РФ и мир почти на равных, по третьему у нас троекратная разница. Что касается наиболее интересных для злоумышленников отраслей экономики, в 2018 году, по сведениям InfoWatch, самыми привлекательными для них оказались банковские и страховые компании, а также предприятия сферы высоких технологий и промышленности наряду с государственными организациями. Если во многих других секторах экономики утечки носили случайный или непреднамеренный характер, в этом случае более половины были умышленными.
При этом, что бы там ни говорили злоумышленники, цель у них всегда одна: скопировать данные из системы и продать их первому, кто купит.
Наталья Касперская, президент ГК InfoWatch:
«Во многих странах мы наблюдаем крен в сторону технически более простого административного регулирования безопасности данных через повышение штрафов и ужесточение требований. На фоне этого общемирового тренда регуляторная политика в России по-прежнему выглядит довольно мягкой. На мой взгляд, эти данные должны быть защищены не хуже, чем гостайна».
Дмитрий Мананников, директор по кибербезопасности OBI:
«Несмотря на увеличение числа всяческих систем безопасности в автомобиле, средняя скорость его движения постоянно растет. Так и здесь: не факт, что внедрение систем ИБ означает “торможение” бизнеса: рост числа внутренних ограничений зачастую ведет к увеличению его внешней свободы».
Дмитрий Босиков, заместитель генерального директора ОАО «ИнфоТеКС»:
«В сфере разработки ПО баланс между закрытостью и открытостью подчас приходится сильно сдвигать в сторону расслабления. И малейшая попытка заставить сотрудников работать только в офисе под пристальным вниманием службы безопасности ведет к тому, что ты становишься неконкурентоспособен».
