Итак, как же
можно совместить несовместимое: в условиях тотальной экономии обеспечить
информационную безопасность своей фирмы? Чтобы ответить на этот вопрос, мы
попросили руководителей компаний различного профиля поделиться опытом в столь
деликатной сфере деятельности, как ИБ.
Владимир УЛЬЯНОВ,
руководитель аналитического центра компании Perimetrix:
– В последнее время особую актуальность приобрела так называемая проблема безопасности на полке. В качестве показательного примера того, как неэффективно может использоваться нужная программа, приведу опыт внедрения системы автоматизации финансового анализа в одном из российских банков. Систему купили, оплатили лицензии на несколько рабочих мест, оформили подписку на техническую поддержку и... забыли. Финансовым аналитикам, загруженным текущей работой, осваивать новую программу было некогда и неохота. Все необходимые показатели и оценки они по-прежнему выводили с помощью кем-то давно сделанных шаблонов в Excel, вычислений в столбик, на глазок. То есть в целом программа им не мешала. ИТ-персонал был доволен, так как рапортовал о внедрении новой системы. ИБ-персонал также сохранял спокойствие, поскольку новая система не могла спровоцировать утечку, в нее просто не были заложены данные. Руководство банка исправно получало отчеты аналитиков и тоже было довольно. На этом пример можно было бы закончить, если бы история не имела продолжения.
В какой-то момент руководство узнало, что не очень дешевый комплекс никем не используется: «Как?! Мы даже не знаем, как работают стандартные функции?!» Колесики административного механизма завертелись, и было принято решение запустить программу. Однако все попытки оказались тщетными. Аналитики наотрез отказывались разбираться с множеством форм. А ИТ-персонал в свою очередь не обладал должными знаниями в области финансов. Ведь программа – это всего лишь инструмент. Налицо типичный конфликт интересов. Одни не хотят, другие не могут. Пользователи бизнес-подразделений по-прежнему требуют программ с одной кнопкой. ИТ-персонал никак не может объяснить, что это нереально. Заканчивая историю, остается лишь сообщить, что совместные мучения подразделений ни к чему не привели. Подписка на продукт была продлена, но реально использовались считанные функции программы.
Итак, чаще всего ИТ- и ИБ-директора имеют достаточно резервов, которые можно пустить в дело даже со скудным бюджетом. Тем не менее ИБ – это область, исключительно требовательная к актуальности используемых инструментов, что определяется постоянно изменяющимся профилем угроз. Но покупать что-то новое все равно придется. Очевидно, что в нынешней ситуации приоритет будет отдаваться модульным продуктам, которые внедряются поэтапно, без единовременных многомиллионных вложений. Второе требование к системам ИБ – комплексность. Наиболее полно указанным условиям отвечают нынешние системы класса ИАС РСКД (информационно-аналитические системы режима секретности конфиденциальных данных), уже представленные на отечественном рынке ИБ.
Евгений ШОШИН,
управляющий партнер компании Pride Consulting Group:
– В нашей компании расходы на информационную безопасность остались без изменений, мы никого не сокращали и по-прежнему уделяем ей должное внимание. На безопасности нельзя экономить – это может привести к серьезным проблемам: к потере важной информации, клиентской базы, наших профессиональных наработок или к остановке работы над проектами, если вышли из строя какие-либо из серверов.
Попытки нарушения информационной безопасности происходят в любой компании всегда. У нас тоже бывают инциденты, но серьезных сбоев они пока не вызывали. Если вам говорят, что в компании нет попыток нарушения сети или Интернета, значит, скорее всего, системный администратор просто их не видит. А в это время идет пробой в информационной безопасности.
Мы предпочитаем комплексный подход к контролю за безопасностью, то есть не делаем упор на какие-либо отдельные направления: информационные технологии, программные продукты или так называемое железо. Помимо того, что мы используем информационные оборонительные средства, мы обучаем наших сотрудников, включая ИТ-специалистов, на различных тренингах – это наша корпоративная политика.
У нас периодически происходит смена паролей, мы объясняем людям, что нельзя писать пароли на бумажках и передавать третьим лицам, пусть даже коллегам по офису. Благодаря этому можно сократить количество нарушений и уменьшить штат отдела, отвечающего за безопасность.
Как оптимизировать работу службы безопасности и ИТ-департамента компании в условиях сокращений штатов и экономии? Можно ввести обязательные тренинги и обучать новых сотрудников, в том числе и информационной безопасности. Или уменьшить штат людей, которые занимаются проверкой, если их содержание сложно для компании.
Вопрос оптимизации расходов на информационную безопасность внутри компании может быть решен с привлечением сторонних профильных специалистов для построения эффективной комплексной системы безопасности. Система подразумевает целый комплекс мероприятий: разработку документа «Политика безопасности», настройку программных продуктов и железа, создание мероприятий по резервному копированию и т. п.
Довольно часто встречается ситуация, когда компания решает вопросы, связанные с безопасностью, силами собственных ИТ-специалистов с небольшим опытом в данном направлении. При этом у ее руководства создается иллюзия экономии. Но надо понимать, что если в результате этого произойдет остановка работы или утеря жизненно важной информации, то расходы на восстановление будут несоизмеримо выше экономии на безопасности. Систему можно поддерживать собственными силами, но в случае возникновения серьезных проблем все-таки лучше прибегать к помощи квалифицированных специалистов, призванных устранять именно сложные проблемы.
Нужно ли сокращать сотрудников, обеспечивающих информационную безопасность компании? Если сотрудник сидит без дела, то да. Как проверить занятость ИТ-специалистов? Могу поделиться опытом. Мы у себя в компании внедрили портал для ИТ-отдела, с помощью которого автоматизировали процесс движения заявок от сотрудников к техническим специалистам. При возникновении проблемы сотрудник компании оставляет заявку на портале, ИТ-администратор видит вопрос, решает его и отмечает как сделанный. Данный портал позволяет нам отслеживать не только загруженность ИТ-отдела, но и вести статистику о надежности различного оборудования, используемого в компании, и тем самым прогнозировать закупку нового. Ведь, если сотруднику не обеспечены нормальные условия для работы, это тоже может привести к нарушению информационной безопасности.
Елена ЕРМАКОВА,
генеральный директор компании «Аллент-Аудит»:
– Вопрос информационной безопасности в сегодняшней экономической ситуации крайне актуален, особенно это касается рынка аудиторских и бухгалтерских услуг, на котором работает наша компания. В соответствии с Законом об аудиторской деятельности конфиденциальность в сфере аудита является одним из основных принципов работы. В договорах на проведение аудиторской проверки этот пункт обязательно присутствует.
Основной риск утечки информации может возникнуть из-за недобросовестных действий персонала аудиторской компании. В связи с этим кадровым службам необходимо ввести тщательный отбор сотрудников при приеме на работу. Нами разработаны внутрифирменные стандарты аудиторской деятельности, гарантирующие конфиденциальность при работе с нашими клиентами. Благодаря кризису рынок пополнился огромным количеством специалистов, потерявших работу. Первая волна уволенных сотрудников в сфере аудиторского и бухгалтерского обслуживания в основной своей массе – это не очень квалифицированные работники, из-за которых и возникает риск утечки информации. Именно поэтому роль IT-отделов и кадровых служб нельзя недооценивать.
Андрей КОНУСОВ,
исполнительный директор LETA IT-company:
– В условиях кризиса проблема утечки данных серьезно обострилась. Когда в одном из банков недавно проходило сокращение персонала, под увольнение попал сотрудник по работе с клиентами – юридическими лицами. В отместку он скопировал всю клиентскую базу и передал ее в другой банк при устройстве на работу. Банк-жертва в итоге принял решение о внедрении DLP-системы, хотя считался хорошо защищенным от кражи конфиденциальной информации. Доступ к базе данных был закрыт для посторонних, но полностью открыт для всех сотрудников отдела.
В другом случае сотрудник крупной страховой компании, участвовавший в разработке новых услуг, захотел похвастаться успехами и отправил информацию о них знакомому. По цепочке письмо дошло до пары «друзей» в конкурирующей компании, которая в итоге вывела новый продукт на рынок быстрее и свела маркетинговые усилия компании-автора к нулю.
Нашу компанию регулярно привлекают к сотрудничеству заказчики из разных отраслей, у которых уже возникали прецеденты утечки информации. Чаще всего факт инсайдерства удается выявить, только когда ушедшая информация где-нибудь всплывает. Не имея спецсредств, оперативно отследить факт утечки и пресечь его практически невозможно – данные всегда уходят незаметно. Попытки решить эти вопросы административными методами – разграничением прав доступа, различными вариантами охраны важных информационных объектов и т. п. – безуспешны. При целенаправленном желании сотрудника увести информацию есть ряд современных технических возможностей, от которых административная защита не спасает. Тот же метод разграничения прав доступа не решает проблему утечки данных через людей, имеющих к секретным документам официальный доступ.
Кроме того, надо учитывать, что поддержание административной системы защиты информации в рабочем состоянии накладывает большие ограничения на развитие бизнеса. Когда в ситуации цейтнота и лимита человеческих ресурсов нужно провести рокировку сотрудников, чтобы оперативно решить возникшую задачу, бюрократия с перераспределением необходимых прав на те или иные материалы снижает мобильность бизнеса и скорее мешает ему, чем помогает.
Проблема утечек данных и борьбы с инсайдерами остается на сегодня одной из самых актуальных и опасных. Сейчас признанным действенным инструментом против нее, который не тормозит бизнес и минимизирует риски потерь, считаются современные системы класса DLP. Наиболее совершенные из них обеспечивают эффективный и незаметный для сотрудников контроль и запрет любых попыток перемещения или изменения конфиденциальной информации. Этот контроль гарантирует максимальное покрытие вероятных рисков.
DLP-системы появились на российском рынке в 2005–2008 годах и развиваются сегодня очень активно. В России наиболее заметны решения мировых вендоров: Symantec Vontu, Websense, McAfee. Современные DLP-системы умны и удобны. Достаточно один раз «научить» их, какие материалы и ресурсы контролировать, и дальше отслеживание и контроль распространения этих ресурсов они ведут в автоматическом режиме. Если сотрудник случайно вложит в письмо клиенту документ с конфиденциальными внутренними разработками, они не уйдут из компании, и система проинформирует сотрудника о несанкционированной операции. Если попытаться отправить клиентскую базу по электронной почте, распечатать на принтере или записать на внешний диск, все попытки будут заблокированы DLP-системой, пока директор по работе с клиентами не даст разрешение на эти операции.
В зависимости от настроек DLP-система способна разрешать или блокировать действия с документами, уведомлять службу безопасности или делопроизводителя, информировать пользователя о несанкционированных действиях или работать незаметно. Пул ее возможностей широк и охватывает и те новые каналы утечек, с управлением которыми уже не справляются защитные решения прошлого поколения. Суммарно DLP-системы закрывают все основные проблемные моменты в рисках потерь от инсайдеров и не влекут дополнительных издержек, характерных для неспециализированных решений.
О востребованности систем защиты от утечек информации сегодня красноречиво говорит статистика наших проектов. Более 80% заказчиков, впервые тестирующих возможности DLP в рамках пилотных запусков, уже в течение месяца накапливают в системах такой объем абсолютно «невидимых», но критичных для бизнеса действий пользователей, что ни один из начатых нами пробных проектов пока не был остановлен, все они продолжаются.
Валерий АНДРЕЕВ,
заместитель директора по науке и развитию компании «ИВК»:
– Конечно, инциденты случались, и не раз. Например, через неправильно настроенный межсетевой экран, работающий в опытном режиме, была осуществлена атака на важный правительственный сайт. В результате разбирательства ряд должностных лиц понесли наказание. Бывает, что утечка информации связана с безалаберностью сотрудника. Но в последние годы это все чаще связано или с целенаправленными действиями одиночки, который стремится заработать на продаже ликвидной коммерческой информации, или с работой агента-инсайдера, у которого есть постоянный заказчик, помогающий не только финансами, но и технической экспертизой и спецсредствами. Очевидный пример второй схемы – промышленный шпионаж и деятельность спецслужб.
Существует несколько основных принципов построения системы ИБ. На первое место я бы поставил принцип разумной достаточности – универсальный принцип, который одинаково хорошо работает как в мирное, так и кризисное время. Несколько могут изменяться его аспекты: если в мирное время под разумным подразумевается все-таки отражение реальных информационных угроз и сохранение privacy защищаемых ресурсов за адекватную цену, то в моменты кризисные слово «разумная» у большинства организаций автоматически превращается в «минимальная». А вот понятие достаточности имеет множество толкований и воспринимается тем лучше, чем выше квалификация эксперта по ИБ. Поэтому «безопасники» в сфере информационных технологий – это отдельная каста ИТ-специалистов.
На второе место я бы поместил выявление модели угроз. Именно она четко определяет, какие цели преследует «атакующая сторона», какими ресурсами она располагает, как далеко может пойти. Создавать систему ИБ без такой модели – значит запустить ключевой проект в жизненно важной сфере без четких целей и ресурсных ограничений.
Построение любой эффективной системы ИБ связано с созданием комплекса средств защиты (КСЗ), ведь универсальное единственное средство защиты, которое бы выполняло все необходимые функции защиты для различных моделей нарушителя (угроз), пока не создано. Основное требование к комплексу средств защиты очевидно: непротиворечивое и полное исполнение предписанных функций защиты информации, а также возможность централизованного управления КСЗ изнутри или извне самого объекта информатизации.
Механизмы защиты в КСЗ в целом известны: шифрование, фильтрация, трансляция, антивирусная защита, контроль целостности, управление доступом, идентификация и аутентификация, регистрация и сигнализация. Важным моментом здесь является правильная и непротиворечивая реализация части или всех этих механизмов.
Вообще, комплексный подход к построению КСЗ и в кризис остается ключевым фактором развития рынка ИБ.
Павел МАЛАНЬИН,
руководитель IT-департамента компании «СИТЕКС»:
– За последние полгода были угрозы нарушения информационной безопасности, связанные в основном с вирусной активностью, но благодаря слаженной работе сотрудников отдела ИБ инцидентов удалось избежать. Были и попытки взлома веб-ресурсов наших клиентов, которые также пресечены.
В нашей компании расходы на информационную безопасность по сравнению с прошлым годом немного возросли в связи с увеличившимся числом угроз. Большинство компаний малого и среднего бизнеса, к сожалению, недооценивают угрозы ИБ и потому становятся жертвами шпионских программ и вирусов.
Конечно, риск, исходящий изнутри, превосходит риск внешних хакерских атак. Работающий в компании сотрудник имеет мотив, знания и возможность причинить гораздо больший ущерб, чем злоумышленник извне. Хакер должен потратить много времени и сил на сбор предварительной информации о хорошо защищенной сети. Сотрудник, обладая знаниями, которые получил во время работы в компании, способен нанести существенный вред даже после того, как теряет доступ к защищаемой системе. Связано это прежде всего с нехваткой экспертов в области информационной безопасности и ограниченностью бюджетов. Что касается нашей компании, то сокращений не было – мы, наоборот активно искали профессионалов по ИБ для поддержки наших проектов.
Мы не предпринимали каких-то специальных мер по усилению контроля за информационной безопасностью, так как постоянно следим за этим очень тщательно. В условиях кризиса появилась отличная возможность найти более профессиональных и опытных специалистов, не увеличивая при этом расходы на ИБ.