Недооценка рисков может привести к потере бизнеса

Недооценка рисков может привести к потере бизнеса 06.10.2011

«Киевские компании мало заботятся о собственной информационной безопасности. А это грозит серьезными последствиями для бизнеса» - такой вывод делают эксперты компании Searchinform и отечественные специалисты после изучения реального состояния информационной безопасности. При этом они скептически оценивают и перспективы украинского рынка систем информационной безопасности.

Зачастую цена той либо иной информации определяется договорным путем. А вот потеря важных данных всегда оборачивается вполне конкретными величинами убытков. В наше время, в связи со значительно возросшей важностью цифровых носителей информации, цена нескольких потерянных или украденных файлов оборачивается иногда прекращением деятельности всей организации.

Беззаботность или халатность?
В том, что вопросы информационной безопасности весьма актуальны для Украины, сомневаться не приходится. Еще раз убедиться в этом можно, изучив итоги опроса, который провела недавно среди более сотни представителей государственных и коммерческих организаций Киева компания Searchinform.

Результаты говорят сами за себя. Так, анкетирование показало, что значительная часть руководителей не уделяют вопросу защиты конфиденциальной информации должного внимания. Более 70% опрошенных вообще не используют в своих компаниях комплексные системы защиты, при этом существенная часть (37%) уже сталкивалась со случаями утечки информации. Еще большее количество компаний (40%) прочувствовали на себе, что такое, когда уволенный сотрудник уносит корпоративные базы данных.
 
Много это или мало - 40%? Например, в Британии, согласно данным аналитической компании Ponemon Institute, средняя стоимость одной утечки информации для фирм составляет примерно 1,7 млн. фунтов. У нас подобных исследований не проводилось, да и пострадавшие компании не спешат открыто заявлять о своих потерях. Однако можно предположить, что даже если каждая утечка стоила существенно меньше, почти половине организаций, участвовавших в опросе Searchlnform, все же пришлось столкнуться с незапланированными расходами.

Какие каналы передачи информации запрещены.jpgКакие каналы передачи информации контролируются.jpg
* Компания Searchlnform (ранее - «Softlnform») - ведущий российский разработчик средств информационной безопасности. Компания образовалась в 1995 году и сначала специализировалась на технологиях поиска, хранения и обработки информации. Сегодня Searchlnform - признанный лидер и эксперт на рынках информационной безопасности России и других стран СНГ. Продукция компании сертифицирована и отмечена рядом специализированных наград. В СНГ интересы Searchlnform представляет группа компаний «Новые поисковые технологии» (НПТ).

Еще один тревожный факт - в Киеве лишь 14,3% руководителей доверяют обеспечение информационной безопасности своей организации специальному отделу, состоящему из профессионально подготовленных сотрудников. А ведь в данном случае профессионализм - далеко не пустое слово и может сыграть решающую роль при обеспечении информационной безопасности. Примечательно, что такое же количество респондентов, 14,3%, рассказали, что в их организациях за обеспечение информационной безопасности отвечает непосредственно высшее руководство.

Среди тех, кто уже каким-либо образом обеспечивает защиту корпоративных данных в собственной компании, самым популярным способом является блокировка доступа к каким-либо сервисам (это применяется в 78,8% случаев). Социальные сети запрещены в компаниях 38,6% респондентов, ICQ - у 18,2%, Skype - у 20,5%. Хотя внешняя электронная почта не одобряется лишь в 11,4% случаев.

Не лучше показатели и у тех, кто контролирует определенные каналы возможной передачи конфиденциальной информации. Программы для быстрой передачи сообщений (ICQ, Jabber и др.) проверяет лишь каждый пятый (19,4 %). HTTP-протокол контролируется лишь у 18 % опрошенных, передача данных на внешние носители информации - у 12,5 %, Skype и вовсе - у 8,3%, документы, отправляемые на печать, - у 5,5%.

Все эти цифры ярко свидетельствуют о том, что лишь малая доля компаний столицы (в регионах ситуация еще плачевнее) со всей серьезностью подходят к вопросам обеспечения собственной безопасности. Времена, когда за всю охрану мог отвечать вахтер на проходной, давно прошли. Сейчас для полной уверенности в завтрашнем дне своей организации необходимо комплексно подходить к решению насущных вопросов, ведь нельзя пронести воду в решете, закрыв лишь две-три дырки.

Случались ли в организации утечки данных.jpgФильтр на защите бизнеса
Действительно, информация может уходить из организации многими способами. И это в одинаковой степени будет вредоносно - будь то случайно набранный неверный адрес электронной почты при отправке важного отчета, либо целенаправленно распечатанная на принтере база данных клиентов.

Мировой опыт показывает, что инсайдеров (сотрудников, ворующих информацию) могут заинтересовать практически любые данные. Главное, чтобы это приносило какое- то материальное или моральное удовлетворение. Как правило, самой высокой опасности подвергаются финансовые отчеты, различные планы по расширению рынков сбыта, документация к новым образцам продукции, списки клиентов и др. Украдено и передано третьим лицам может быть даже совещание, записанное при помощи ноутбука или диктофона.

А практика, когда уволенный или просто ушедший из компании работник уносит к конкурентам много полезных данных - и вовсе «классика жанра». При этом инсайдеры, зачастую пользующиеся большим доверием среди сослуживцев, легко получают даже ту информацию, к которой они по своим служебным обязанностям не имеют прямого доступа.

Каким же образом можно защититься от действий недобросовестных сотрудников? За все то время, что бизнес и государственные структуры мирового сообщества сталкиваются с деятельностью инсайдеров, уже выработаны достаточно эффективные приемы. При этом они позволяют бороться как с целенаправленными, так и со случайными утечками данных.

Безусловно, самым эффективным методом является контроль над тем, чтобы каждый из сотрудников имел доступ только к тем документам, к которым ему положено иметь доступ по служебному статусу. Однако, как уже говорилось выше, это не панацея, так как в коллективе всегда есть связи между отдельными работниками, и получить, например, нужную для «выноса» информацию у друга из соседнего отдела не трудно.

Более надежным способом защитить компанию является фильтрация всего трафика, выходящего за пределы офиса. Тем более, что ее можно осуществлять в автоматическом режиме с использованием специальных систем предотвращения утечек данных, или DLP-систем (англ. Data Leak Prevention).

Суть работы подобных систем - не столько в блокировке различных способов передачи информации, сколько в тщательной фильтрации всего трафика. Наиболее качественные DLP- системы, например, могут следить не только за интернет-трафиком, но также и за информацией, записываемой с компьютеров на внешние носители (флешки, оптические диски и т.п.), за отправляемыми на печать документами и т.д. При этом в автоматическом режиме система определяет, есть ли в потоке данных документы, помеченные как конфиденциальные, или хотя бы такие, которые похожи на них по смыслу. Обнаруживая что-то подобное, DLP-система сразу же посылает предупреждение сотруднику, ответственному за обеспечение информационной безопасности, и тот уже решает, какие следует принимать меры.

В некоторой степени вся информационная безопасность началась именно с появления таких систем. Ведь до этого все продукты, которые занимались информационной безопасностью, на самом деле защищали не информацию, а места ее хранения. И именно с появлением DLP-систем средства защиты научились отличать конфиденциальную информацию от неконфиденциальной. Это позволяет даже экономить на защите данных - например, использовать шифрование только в тех случаях, когда хранится или передается конфиденциальная информация, и не шифровать в других случаях.

В то же время в любой компании, даже при наличии самой современной системы информационной безопасности, необходимо проводить профилактическую работу непосредственно с сотрудниками. Разъяснение политики безопасности организации должно являться одним из основных условий приема на работу. В то же время в Киеве, как показывает все тот же опрос Searchlnform, более 30% руководителей и вовсе не проводят с сотрудниками инструктаж по информационной безопасности.

Планируете ли внедрение DLP-системы.jpgСталкивались ли с попытками бывших сотрудников вынести информацию.jpg

Украинский рынок ИБ: эксперты сдержаны в оценках перспектив
Украинский рынок информационной безопасности находится в зачаточном состоянии. Многие компании халатно относятся к этому вопросу. Если же утечки происходят, данные об этом тщательно скрываются и не выносятся на суд общественности. Таково общее мнение специалистов, работающих на рынке информационной безопасности нашей страны.

Как считает Александр Ерощев, аналитик компании Searchlnform и специалист по информационной безопасности, сейчас под «информационной безопасностью» в Киеве, как правило, принято подразумевать наличие антивируса и отключенные «Одноклассники».

«К сожалению, в плане защиты информации теоретически ответственные за это люди зачастую принимают позицию беременной школьницы. Да, живот растет, да, примерно понятно, почему, но остается надежда, что оно само рассосется», - иронизирует специалист.

Некоторые полностью игнорируют факты утечек: «У нас утечка клиентской базы к конкурентам - вещь обычная. Каждый уходящий менеджер прихватывает ее с собой. Зато каждый приходящий - приносит от конкурентов» (реальная цитата руководителя службы безопасности одной из средних фармацевтических компаний). Другие ничего не предпринимают потому, что просто не видят в этом смысла - был случай, когда компания из-за утечки за считанные дни потеряла 80-100% своей стоимости.

По мнению А. Ерощева, DLP- системы применяются в Украине не очень активно. И связано это как с недостаточной информированностью вообще, так и с тем, что известные западные DLP-системы нацелены в первую очередь на «отлов» структурированной шаблонной информации, персональных данных, которые, в силу культурных нюансов, анализируются в Украине куда реже, чем в России и на Западе, а потому здесь эти системы показывают свою низкую эффективность. Системы же с защитой неструктурированных данных - малоизвестны.

В то же время специалист предполагает, что в связи с постоянными усилиями руководства страны, направленными на гармонизацию законодательства с европейскими нормами, количество угроз, связанных с утечками данных, будет расти, равно как фактический и прогнозируемый ущерб от них. Соответственно, будет развиваться и рынок информационной безопасности.

А вот Владимир Безмалый, обладатель сертификатов Microsoft Most Valuable Professional и Microsoft Security Trusted Advisor, более скептически относится к перспективам развития украинского рынка. Он считает, что говорить всерьез о развитии ИБ в Украине безосновательно. «На сегодня большинство предприятий страны не то, что не имеют планов развития хотя бы на 5 лет вперед, нет планов даже на год», - считает В. Безмалый. К тому же распространению DLP-систем мешает и то, что в большинстве организаций до сих пор отсутствует элементарное категорирование информации. А без четких описанных и внедренных правил обращения с информацией, покупка DLP - просто дань моде.

По мнению другого эксперта, ведущего специалиста Департамента по защите информации, независимого эксперта СБУ в вопросах утечек данных одной из крупных украинских компаний Георгия Кузнецова, в Украине еще не все владельцы бизнеса осознают или понимают риски, связанные с информационными активами их структур. «При этом нельзя забывать, что бизнес в Украине давно сегментирован и имеет вполне конкретных владельцев. На местах решения принимают нанятые менеджеры, и там стоят совсем другие задачи. В рамках же принятых стратегий, как правило, ИБ не получает достойной поддержки. Как следствие - отсутствие бюджетов и квалифицированных специалистов на местах», - считает Г. Кузнецов.

Подход к обеспечению информационной безопасности бизнеса, по мнению специалиста, всегда ориентирован на определенные риски. Есть вполне конкретный перечень угроз ИБ, которые присущи, допустим, отрасли добычи и обогащения угля, электроэнергетики и ее дистрибуции. Исходя из рассчитанных величин рисков, создаются и внедряются те или иные элементы системы информационной безопасности. Например, на сегодня в Киевэнерго, на заводах и в киевском офисе корпоративного центра, входящих в холдинг ДТЭК, основная часть рисков минимизирована или успешно компенсирована, что дает возможность оценки эффективности принятых мер.

В то же время Г. Кузнецов не ожидает особого всплеска на украинском рынке информационной безопасности, так как основная масса компаний реализует свою продукцию на внутреннем рынке, а каких-либо требований регулятор не предъявляет. Хотя те компании, у которых основной актив исследование рынка - информация, будут, как и прежде, обеспечивать минимизацию рисков в рамках уже выбранных стратегий. В целом, наблюдается тенденция сокращения бюджетов на обеспечение информационной безопасности и отдача ее в аутсорсинг.

Автор:  Евгений Варакса

Возврат к списку


Материалы по теме: