Архив журнала «Капиталист»
Безопасность
Виртуальный периметр компании
И его охрана
Динамичное развитие цифровых технологий в последние годы не только открывает перед компа-ниями новые возможности, но и создает дополнительные угрозы. Утечки информации, несанкцио-нированный доступ к коммерческой тайне, промышленный шпионаж – теперь это составные части охоты на конкурентов и их бизнес-секреты. Необходимо защищаться.
Согласно исследованию компании Zecurion, количество значимых внутренних инцидентов в сфере информационной безопасности в России в прошлом году заметно сократилось по сравнению с предыдущими годами – зафиксирован всего 41 случай. По количеству публичных инцидентов наша страна занимает второе место после США. Но их львиная доля остается скрытой не только от прессы, но нередко и от самих владельцев информации.
Выяснилось, что большинство компаний фиксирует от 11 до 20 серьезных инцидентов в год. Среди самых популярных каналов утечки — электронная почта, USB-флешки и интернет-сервисы. А наиболее часто атакуются предприятия розничной торговли, госсектор и медучреждения. Утечки из трех этих отраслей составляют уже свыше половины всех инцидентов, сообщает «Российская газета».
Но на таком фоне растет и сегмент рынка, занимающийся информационной безопасностью. Эксперты отмечают, что он сегодня в российской ИТ-сфере — наиболее динамичный и устойчивый к кризису. Даже по итогам непростого 2014 года, по оценкам J’son & Partners Consulting, он смог вырасти в рублевом выражении на 13%, до 51 млрд рублей.
Действительно, есть предприниматели, которые продолжают тратить деньги на обеспечение информационной безопасности компаний даже в самые трудные времена, поскольку экономия в этом вопросе может в конечном итоге дорого обойтись.
В интервью нашему журналу это подтвердили и в ИрГУПСе — преподаватель по специальности «Информационная безопасность», а в прошлом сотрудник спецслужб Николай Глухов:
— Востребованность наших специалистов сегодня стопроцентная. У нас нет ни одного выпускника, который не трудоустроен. В них нуждаются вооруженные силы, спецслужбы, банки и другие компании. И с каждым годом необходимость в них только растет.
После вирусной атаки
Для начала стоит разобраться, что же такое информационная безопасность. Согласно профессиональной терминологии, это состояние защищенности информационных ресурсов от внутренних и внешних угроз.
Николай Глухов, преподаватель по специальности «Информационная безопасность» ИрГУПС: — Сегодня необходимо защищать свою информацию не столько от конкурентов, сколько от собственных работников. Поскольку конкуренты чаще всего используют именно представителей той фирмы, против которой пытаются работать, подкупают или даже шантажируют их. |
|
— На сегодняшний день информация из средства общения превратилась в продукт, без которого не может существовать экономический процесс, — поясняет Николай Глухов. — Если раньше цепочка выглядела так: «товар-деньги-товар», то сегодня — «товар-деньги-информация-товар». И от того, как предприниматель будет использовать информацию, зависит его благосостояние.
По словам эксперта нашего журнала, информация обладает очень большим количеством свойств – конфиденциальность, целостность и доступность. А в бизнесе каждый хочет иметь информацию как можно быстрее – желательно здесь и сейчас. Ведь кто быстрее до нее доберется, тот и будет на коне. Но если уже полученную информацию никак не защищать, то ею могут воспользоваться конкуренты.
А происходит такое довольно часто. Это в интервью «Капиталисту» подтвердил директор ЗАО «Контур-Иркутск» Михаил Трескин.
— Просто у нас, видимо, менталитет такой— пока что-то серьезное не случилось, мы ни о чем не думаем. Вот и об информационной безопасности люди зачастую вспоминают в самый последний момент, когда клиентскую базу уже украли или организовали вирусную атаку. Часто злоумышленники используют криптографию – зашифровывают все данные на компьютерах какой-либо организации и потом требуют деньги за ключ к этому шифру. Причем был случай, когда такая ситуация случилась в одной иркутской компании. Ее руководство обвинило системного администратора в том, что он не смог защитить организацию. А тот, опасаясь потерять работу, отправил злоумышленникам требуемую сумму, но ключ от шифра так и не получил.
Шпионы тормозят развитие
Николай Глухов вспоминает, что в 1990-е годы было еще сложнее: никто никоим образом информацию не защищал, и даже банки не гарантировали тайны вкладов. Положит предприниматель деньги на свой счет, а вскоре к нему приходят некие представители криминального мира с точными данными о его сбережениях и предлагают поделиться.
В те же времена перед государством встал вопрос о поддержке и развитии предпринимательства. Но для этого необходимо обеспечить здоровую конкуренцию. А чтобы ее обеспечить, нужно обезопасить те информационные ресурсы, которыми располагает любое предприятие.
— Очень часто я становился свидетелем ситуаций, когда конкурирующее предприятие, не желая нести значительные затраты на конструкторов, технологов, на создание какого-то проекта, просто воровало технологии у других фирм, — вспоминает преподаватель ИрГУПСа. — В таких условиях поднимать производство, развивать бизнес просто невозможно. Вот тогда и встала жесткая необходимость в развитии технологий информационной безопасности.
Таким образом, в 1995 году появился закон о защите информации, который просуществовал до 2006 года, когда был переработан. В 1997-м за подписью президента появился указ №188 об утверждении перечня сведений конфиденциального характера. В 2004 году вышел закон о коммерческой тайне, согласно которому любой предприниматель имеет право хранить в тайне те данные, которые представляют важность для его компании. Также он вправе организовать режим защиты этой информации.
Магазин отвечает
— Хорошо, что сейчас на законодательном уровне этому вопросу уделяют все больше внимания. К примеру, дорабатывают федеральный закон №152, буквально год назад была проведена его последняя редакция, — рассказывает Михаил Трескин. — Теперь операторы персональных данных, ведя свою клиентскую базу, обязаны ее защищать. К примеру, вы пришли в магазин, сделали покупки, вам предложили завести дисконтную карту. Вы оставляете свои персональные данные – ФИО, номер телефона, адрес электронной почты, их вносят в компьютер. С этого момента магазин в ответе за их сохранность.
К слову, совсем недавно президент РФ подписал закон, увеличивающий штрафы за разглашение коммерческой, налоговой или банковской тайны. Минимальный размер штрафа за хищение таких сведений или получение их с помощью подкупа, угроз или другим незаконным способом возрастает с 80 до 500 тыс. рублей.
Михаил Трескин, директор ЗАО «Контур-Иркутск»: — Нет панацеи, которая на 100% гарантировала бы безопасность любой компании. Поэтому в каждом случае разрабатывается индивидуальный комплекс мер, препятствующих утечке информации. |
|
За незаконное разглашение или использование сведений без согласия их владельца лицом, которому они были доверены или стали известны по службе или работе, штраф составит не 120 тыс., а миллион рублей. Если причинен крупный ущерб или преступления совершены в корыстных целях, то нарушитель заплатит 1,5 млн рублей. Остаются в силе и другие виды наказания по статье 183 УК РФ вплоть до тюремного заключения.
Увеличение штрафов за разглашение, вероятно, является показателем того, что институт коммерческой тайны интересует законодателя и будет развиваться, уверяют эксперты. Однако они же предупреждают, что механизм доказывания разглашения, к примеру, коммерческой тайны довольно сложен. Необходимо подтвердить, что разглашаемая информация является коммерческой тайной. В то время как многие компании не заботятся о защите своей информации.
Кстати, и наказывают за такое преступление не так часто. В судебной статистике ст. 183 УК РФ даже не выделена в отдельную группу и фигурирует вместе с остальными статьями «экономического» блока. Эксперты отмечают, что разглашение становится поводом не более чем для 50 дел в год.
Незнание хуже воровства
Объяснить, как происходит обеспечение информационной безопасности, мы попросили Михаила Трескина. Фирма «Контур Иркутск» безопасностью занималась всегда, но только внутри своей компании. Однако недавно было решено сделать ее отдельным направлением, поскольку актуальность этой услуги растет, а «Контур» имеет необходимых специалистов.
— Нет панацеи, которая на 100% гарантировала бы безопасность любой компании. К каждому клиенту подход индивидуальный — разрабатывается целый комплекс мер, препятствующих утечке информации, — делится специалист. — Это и стандартные средства антивирусной защиты, и аудиты по информационной безопасности. Большая работа проводится и с документацией: разрабатываются регламенты по внутренней работе в компании, разграничивается право доступа к информации. То есть мы разбираемся, кто куда должен иметь доступ. К примеру, если сотрудник занимается курьерской доставкой, то доступ к той же самой клиентской базе надо ему ограничить. Незачем рисковать ценными данными.
Кстати, Николай Глухов в своей кандидатской диссертации доказал, что от 70% всех утечек информации происходит по вине персонала компании, причем в основном происходит умышленно. Хотя бывает и по незнанию, которое, как известно, хуже воровства.
— Сегодня необходимо защищать свою информацию не столько от конкурентов, сколько от собственных работников, — уверяет преподаватель ИрГУПСа. — Тем более что конкуренты чаще всего используют человеческий фактор – выходят на представителей той фирмы, против которой пытаются работать, подкупают или даже шантажируют их. Поэтому необходимо обеспечить охрану информации, исходя из тех угроз, которые могут быть реализованы.
Для обеспечения безопасности активно используются и современные технологии — различное программное обеспечение, всевозможные шифрованные каналы, позволяющие наладить удаленную связь между офисами или отдельными компаниями, чтобы эти данные нигде не потерялись, чтобы защитить их от утечки и сохранить целостность. Есть устройства, которые фильтруют интернет-трафик, ведь именно интернет является основной причиной утечек.
— В 2003 году в налоговую пошли первые отчеты через интернет, — вспоминает Михаил Трескин. — Мы, как спецоператор связи, несли и несем ответственность за транспорт этих отчетов, за их сохранность. Пришлось серьезно задуматься об информационной безопасности внутри компании. Именно в то же время многие узнали про электронные цифровые подписи (ЭЦП), которыми и подписываются отчеты и средства криптографии для шифрования этих отчетов. Конечно, первое время бухгалтеры относились с недоверием к новому способу отправки отчетов, были различные опасения. Но за 12 лет доля предприятий, сдающих отчеты через интернет, перевалила за 90%.
Электронный автограф
Электронная подпись, возможность использования которой появилась в 2003 году, становится все более популярной. И, как уверяют наши эксперты, каждый год сфера ее применения разрастается. Естественно, растет и необходимость ее защиты. На это направлен и вступивший в силу полтора года назад новый закон об электронной подписи, который регулирует сферу ее применения, устанавливает органы, которые вправе ее выдавать.
Сегодня электронная подпись имеет несколько видов, отличающихся уровнем защиты.
Простая подпись и усиленная, квалифицированная и неквалифицированная.
Простая электронная подпись – это то, к чему мы все давно привыкли и чем пользуемся каждый день – связка логин и пароль либо код подтверждения, который высылается на e-mail или телефон.
При работе же с усиленной электронной подписью, как и при отправке отчетов в налоговые органы, используется криптография. Для допуска к этой работе необходимо иметь лицензию ФСБ. Есть определенные требования к шифровке данных и у квалифицированной подписи.
— К примеру, две компании хотят обменяться юридически значимыми документами в электронном виде, — объясняет Михаил Трескин. — Квалифицированная подпись в этом случае полностью заменяет собственноручную с печатью на документе. Заверенный такой подписью договор и отправленный через оператора электронного документооборота является абсолютно действительным и законным, будет приниматься как налоговыми, так и любыми другими контролирующими органами.
Электронный документооборот, как уверяет наш эксперт, становится все более популярным, поскольку существенно экономит время, а главное – деньги. Специалисты подсчитали, что только в российском ритейле на содержание бумажного документооборота ежегодно тратится порядка 200 млрд рублей.
Еще одно удобство электронного документооборота в том, что по завершении сделки все документы остаются в компьютере. Но тут опять же встает вопрос информационной безопасности: чтобы документы не «засветились» в пути и были защищены от несанкционированного доступа, пока хранятся на жестком диске.
— Порой мы встречаем у клиентов пренебрежительное отношение к сертификату электронной подписи, — делится директор ЗАО «Контур Иркутск». — Некоторые предприниматели отдают их какому-нибудь сотруднику для подписания определенного документа. И недобросовестный сотрудник в этом случае может сделать копию сертификата и в дальнейшем подписывать любые документы и платежные поручения от лица своего работодателя.
Наука, работающаяна упреждение
Оба наших эксперта сходятся в утверждении, что посягательства на информационную безопасность компаний по-прежнему происходят довольно часто.
— В последнее время нередко сталкиваемся с мошенничествами. Причем очень серьезные вещи порой происходят — получаем запросы от полиции, от службы по борьбе с экономическими преступлениями, — рассказывает Михаил Трескин. — Возникают ситуации, когда компании совершают какие-либо неправомерные действия, связанные с негативными последствиями для другой организации. Заводятся уголовные дела, нас привлекают к расследованию, запрашивают определенную документацию. Доходило даже до того, что сотрудники полиции отсматривали записи с наших камер видеонаблюдения. Это все еще раз подтверждает, что к информационной безопасности сегодня надо относиться очень серьезно.
Николай Глухов, в свою очередь, заявляет, что те фирмы, в которых налажен режим обеспечения информационной безопасности, работают спокойно и успешно. Там же, где безопасности нет, предприниматели потом бегают и пытаются задним числом что-то решить. Естественно, это малоэффективно, поскольку надо работать на упреждение угрозы, а не на устранение последствий.
— Могу с уверенностью сказать, что на сегодняшний день у нас есть все технические возможности для защиты данных, — уверяет Николай Глухов. — И на законодательном уровне информационные ресурсы у нас защищены. Но этими законами, постановлениями, указами и технологиями надо пользоваться грамотно. Ведь любой угрозе предшествует риск ее реализации. И информационные ресурсы компании априори находятся в состоянии риска. Для того чтобы эти риски минимизировать, и существует наука «Информационная безопасность», которая работает именно на их упреждение — об этом важно помнить всем предпринимателям.
- Число просмотров: 1072