эксперты Павел Лучников начальник отдела анализа и реализации систем защиты информации компании «Орбита» Владимир Макаров исполнительный директор ЧОП «Каскад» Андрей Орехов директор ростовского фи
Павел Лучников
начальник отдела анализа и реализации систем защиты информации компании «Орбита»
Владимир Макаров
исполнительный директор ЧОП «Каскад»
Андрей Орехов
директор ростовского филиала компании «Атон»
Евгений Рыбасов
директор компании «IT-центр Рыбасова»
Ирина Степанова
специалист по информационной безопасности компании «Южная Софтверная Компания»
Дмитрий Солощенко
директор компании «Р-техно»
Сергей Спиченков
заместитель гендиректора компании «Формула безопасности — Южный»
Как защититься от «крота» в организации?
Зачем компании отдельное подразделение по информационной безопасности?
В одной из инвестиционных компаний Ростова корреспонденту «ДК» сообщили, что проблем с защитой информации у них «вроде бы» нет, поскольку к ним «периодически приходит IT-специалист, что-то там проверяет в компьютерах и уходит». Как отмечают эксперты, подобное отношение к информационной безопасности (ИБ) пока характерно для большинства малых и средних ростовских компаний. И все же в последние несколько лет игроки IT-рынка, а также компании, обеспечивающие услуги по экономической безопасности, отмечают рост спроса на организацию мер по защите информации среди донских фирм. Эксперты считают, что это общепринятая тенденция: с ростом количества, сложности и объема информации угроза для бизнеса в случае ее потери возрастает. Поэтому компании будут стремиться повышать свою информационную защиту, чтобы предотвратить возможные внутренние и внешние хищения информации.
По данным экспертов, в Ростове на сегодняшний день нет компаний, специализирующихся исключительно на информационной безопасности. Директор компании «IT-центр Рыбасова» ЕВГЕНИЙ РЫБАСОВ объясняет это тем, что на юге еще нет четко сформулированного спроса на подобные услуги: «Именно поэтому в IT-фирмах, как правило, работа по обеспечению информационной безопасности совмещается с другой деятельностью, от которой компания получает основной доход». На ростовском рынке вопросами ИБ занимаются преимущественно системные интеграторы. «Это связано, прежде всего, с тем, что информационная безопасность изначально была востребована заказчиками при построении информационных систем, систем связи и телекоммуникаций», — считает начальник отдела анализа и реализации систем защиты информации компании «Орбита» ПАВЕЛ ЛУЧНИКОВ.
Среди лидеров участники ростовского рынка услуг по ИБ называют московские филиалы крупных компаний: «Крок-Юг», «R-style Юг», «АйТи», а также местные компании, такие, как «БИС», «Южная Софтверная Компания», «ЮБиТек», а также краснодарскую фирму «Орбита». Эксперты отмечают, что состав лидеров не случаен, и объясняют его тем, что в большинстве своем это крупнейшие игроки IT-рынка, у которых есть финансовая возможность выделить информационную безопасность в отдельное направление бизнеса.
Одной из особенностей местного рынка ИБ, по наблюдениям игроков, является тот факт, что в Ростове охранные предприятия пока не спешат расширять спектр своих предложений за счет ИБ: «Эта услуга практически не востребована на юге, — объясняет исполнительный директор ЧОП «Каскад» ВЛАДИМИР МАКАРОВ. — Кроме того, по закону мы не имеем права заниматься информационной безопасностью. Можно создавать отдельные подразделения, но для этого нужно получить специальную лицензию». Участники рынка признают, что получение специальной лицензии — процедура непростая и требует финансовых затрат, поэтому без достаточно стабильного роста спроса на услуги ИБ, ростовские ЧОПы вряд ли начнут осваивать эту нишу.
Эксперты отмечают, что для выхода на рынок ИБ компании необходимо получить комплекс лицензий от уполномоченного органа исполнительной власти: Федеральной службы безопасности (ФСБ) или Федеральной службы по техническому и экспортному контролю России (ФСТЭК). Однако это касается только деятельности по распространению шифровальных средств и по технической защите конфиденциальной информации. Программное обеспечение, ТО, консалтинг, — лицензий не требуют. Поэтому охранные и IT-компании не стремятся проходить процедуру получения лицензии, а предпочитают заниматься отдельным направлением ИБ, не требующим специальной документации, или совмещать информационную защиту с другими видами безопасности, технической или экономической.
Специалист по ИБ «Южной Софтверной Компании» ИРИНА СТЕПАНОВА сообщает, что наиболее востребованные услуги на сегодняшний день — это обеспечение формальных требований к безопасности информации: «Это, в первую очередь, связано с тем, что государство играет важную роль в регулировании рынка безопасности». Российское законодательство предприсывает компаниям защищать свою конфиденциальную информацию, а она есть практически у всех. Каждая компания может подвергнуться проверке ФСТЭК, которая имеет право потребовать наличие лицензии на техническую защиту.
По мнению Павла Лучникова, в основном, формальные требования законов по защите конфиденциальной информации стремятся выполнять правительственные и силовые ведомства, банки, крупные коммерческие компании. Компании, обладающие лицензией, защищают себя сами. Те, у кого лицензий нет, обращаются в специализированные фирмы. «Чаще компании создают собственные подразделения по ИБ, поскольку это наиболее эффективный путь сохранения базы данных, финансовой информации, которую чаще всего и стремятся защитить ростовские бизнесмены», — считает ДМИТРИЙ СОЛОЩЕНКО, директор компании «Р-техно». Стремление формировать свой отдел безопасности Ирина Степанова объясняет недоверием местных компаний к потенциальным аутсорсерам и опасениями, что именно они могут «увести» конфиденциальные сведения: «И это не беспочвенно, ведь брешь в безопасности может привести к полной остановке бизнеса». В такой ситуации, по словам собеседников «ДК», целесообразно отдавать на аутсорсинг лишь часть процессов — например, защиту от внешних угроз.
Малый и средний бизнес пока предпочитает защищаться от «простейших» внешних компьютерных угроз, которые щедро «дарит» мировая сеть — вирусов, «троянов», «руткитов» . «Пока наиболее востребованной услугой для бизнеса остается защита речевой информации, конфиденциальных переговоров от подслушивания; антивирусная защита; защита информации при передаче ее по каналам связи, например, сдаче налоговой отчетности через интернет; защита доступа в сеть Internet», — констатирует г-н Лучников.
Эксперты разошлись во оценке того, насколько в донской столице развита киберпреступность и востребованы ли услуги по защите от нее. Дмитрий Солощенко считает, что местный бизнес еще не дорос до использования хакеров в качестве инструмента нечестной конкурентной борьбы: «Дело в том, что сейчас более эффективным способом получения информации является так называемый «крот» в самой компании, — говорит директор компании «Р-техно». — Гораздо дешевле «завербовать» бухгалтера, получающего 12 тыс. руб. в месяц, чем искать профессионального хакера. Так что компании в первую очередь необходима защита от инсайдеров , а не от хакеров». С ним согласна и Ирина Степанова, которая отмечает достаточно слабую web-поддержку у ростовских фирм: «Компании, владеющие собственными сайтами, не размещают на них конфиденциальной информации, что делает нецелесообразными атаки на данные ресурсы». Однако в компании «Орбита» сообщили, что в последнее время на юге России формируется тенденция к использованию киберпреступников в качестве орудия борьбы с конкурентами: «Причем, вторжениям подвергались довольно крупные структуры, — отмечает Павел Лучников. — Но разглашать такие факты компании не стремятся, поскольку это может нарушить их престиж в глазах клиентов и партнеров».
Стоимость услуг и проектов по защите от внешних угроз зависит от сложности информационной системы, объема и важности защищаемой информации. Эксперты затрудняются назвать точную цифру, поскольку для каждого предприятия она индивидуальна. «Все зависит от объема работы. Если это большой проект, то цена будет складываться из стоимости оборудования, ПО, работ специалистов. Другое дело, когда речь идет о небольших работах, тут все зависит от стоимости часа работы специалиста. Для Ростова средняя цена — 300-600 руб. в час», — говорит Евгений Рыбасов. Если речь идет о предварительных рекомендациях по ИБ, то аудит, по данным собеседников «ДК», обойдется средней компании из 20 системных машин от 50 до 100 тыс. руб.
Большинство экспертов, опрошенных «ДК», уверены, что на данный момент наибольшую опасность для коммерческой информации в компании представляют внутренние угрозы, исходящие от так называемых «кротов» и инсайдеров. «Я считаю, что именно инсайд — основная головная боль специалистов в области защиты информации в ближайшие годы. Именно внутренние шпионы — главный источник распространения конфиденциальных баз на рынке», — утверждает Ирина Степанова.
Эксперты не пришли к единому мнению, какой оптимальный способ борьбы с «кротом» более действенный: с помощью организационных или технических средств. Некоторые собеседники «ДК» полагают, что технические средства, такие, как, к примеру, контроль доступа к информации, провоцируют недобросовестного сотрудника, заставляя предположить, что у компании есть данные, которые можно украсть и продать. «Каждое действие рождает противодействие. Я не рекомендую увлекаться техническими средствами защиты, поскольку сотрудник всегда найдет лазейку, чтобы перехитрить машину. Выход — в умелом сочетании технических и организационных мер». Эксперты советуют руководителям компаний большое внимание уделять тщательному подбору кадров. Основное количество ошибок совершается именно при приеме на работу. Будет правильно, если принимать сотрудника и беседовать с ним станет лично директор компании. Только интуиция, сформированная на протяжении многих лет работы, может подсказать, подходит ли человек для его компании или нет. СЕРГЕЙ СПИЧЕНКОВ, заместитель гендиректора компании «Формула безопасности — Южный», также считает, что никакие технические средства не защитят от «инсайдера» в организации: «Главное — лояльность персонала. Нужно ценить свои кадры, платить достойную зарплату и не допускать текучки».
Дмитрий Солощенко считает, что нормальная оплата труда тех сотрудников, которые имеют доступ к важной информации — это лишь один аспект защиты: «Мы предлагаем и другие способы: это могут быть инсценировка — мнимые предложения купить информацию, чтобы заранее выявить появление ненадежных сотрудников». Существуют различные методы проверки персонала, например, провокация: видимая продажа информации, когда приходит неизвестный человек и просит за 30 тыс. руб. продать базу данных. Некоторые компании, в том числе «Евросеть», практикуют проверку на полиграфе (детекторе лжи) при приеме на работу, чтобы заранее определить, может ли человек украсть. Стоимость одной такой проверки — 6 тыс. руб., но и спрос среди местных работодателей, как утверждают собеседники «ДК», довольно стабильный.
Ирина Степанова, напротив, отмечает, что организационные меры и кадровая политика могут предотвратить утечку ценной информации только на начальной стадии: «Мы подберем хорошего сотрудника, который два месяца будет успешно работать, а потом его что-то обидит, и лояльность пропадет. На этой стадии ни одна кадровая служба уже не отследит этой перемены в отношении работника к его компании». Г-жа Степанова уверена в том, что любая компания должна позаботиться о таких мерах, как, например, разграничение доступа: «Зачастую компании не задумываются, что секретарь, имея доступ ко всей информации, представляет серьезную угрозу для бизнеса». Эксперты отмечают, что разграничение доступа к информации — трудоемкий процесс: нужно для каждого пользователя прописать бизнес-процессы, чтобы он работал только с той информацией, которая ему нужна для выполнения своих служебных обязанностей.
Если же в компании уже произошла кража информации или денег, то эксперты рекомендуют прибегнуть к другой услуге — административное расследование. «Его назначает руководитель предприятия, если ценность украденного превышает 50 тыс. руб. Проводится оно при помощи того же полиграфа, но для этого требуется согласие сотрудников, которое зачастую прописывается в контракте. В 50% случаев человек сознается до начала проверки», — сообщает г-н Солощенко. Однако не все эксперты соглашаются с этим подходом. «Я бы не советовал прибегать к расследованию, так как информация о краже выйдет за рамки компании, что может изменить в худшую сторону отношение к ней», — отмечает г-н Рыбасов. Эксперты считают, что зачастую достаточно использовать психологические методы защиты: можно открыто заявить, что в компании внедряется система наблюдения за сотрудниками. Но устанавливать необходимо макеты приборов для видеонаблюдения или камеры, которые не будут подключены, а сам факт их наличия уже остановит большую часть нарушителей.
По мнению собеседников «ДК», чем изощреннее становятся системы защиты, тем более продуманно будут действовать инсайдеры. Решение проблем в этой области должно быть комплексным: «При использовании чисто технических решений построить эффективную систему вряд ли удастся, — заявляет Павел Лучников. — Нужен комплекс технических и организационных мер и средств защиты». В любом случае, говорят игроки рынка, информационная безопасность не должна мешать сотруднику исполнять свои служебные обязанности. Он не должен каждую секунду думать, о том, чтобы кто-то не подсмотрел его пароль или не проник в систему.
Эксперты отмечают, что в Ростове с каждым годом на защиту информации бизнесмены тратят все больше. В компании «АТОН» уже давно оценили все возможные риски и сегодня прикладывают серьезные усилия, чтобы гарантировать своим клиентам стопроцентную защиту персональных данных: «Мы используем самые современные технологии, например, собственную криптографическую систему защиты данных — у нас есть лицензия на разработку подобных продуктов. Кроме этого, мы используем ЭЦП (Электронно-Цифровая подпись), которая позволяет идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе. При правильном хранении секретного ключа его владельцем взломать ЭЦП невозможно», — сообщает директор ростовского филиала компании «Атон» АНДРЕЙ ОРЕХОВ. Однако, если крупные компании способны содержать собственные подразделения по защите, боясь отдавать важные данные на аутсорсинг, то малый и средний бизнес пока не может себе этого позволить.
Собственное подразделение по ИБ, обойдется предприятию, как минимум, 50 тыс. руб. в месяц, а бюджет малого бизнеса может не потянуть такие ежемесячные затраты. «Но как только у компании появятся первые проблемы с хищением информации, деньги для защиты найдутся быстро», — считает Дмитрий Солощенко. Пока же обеспечением информационной безопасности в компаниях зачастую занимаются системные администраторы, в лучшем случае, отдел автоматизации.
Эксперты считают, что в средних и крупных организациях должно быть выделенное подразделение по ИБ, которое может быть в составе службы безопасности. «Неправильно, когда происходит совмещение обязанностей администратора системы и специалиста по ИБ. Связано это с тем, что для администраторов информационной системы всегда основная задача — это обеспечение работоспособности системы, защита же, например, конфиденциальности информации будет второстепенной», — поясняет Павел Лучников. С ним соглашается Ирина Степанова: «Если системный администратор работает с информационной безопасностью, то у него может случиться «раздвоение личности»: на одних весах у него всегда будет безопасность, а на других — работоспособная машина».
По мнению собеседников «ДК», малый бизнес может позволить себе лишь одного человека, занимающегося проблемами безопасности в компании. Он будет наводить порядок в юридических документах, следить за кадрами, договариваться с системным администратором о внедрении определенных бизнес-процессов.
Человек, обеспечивающий безопасность в компании, по утверждениям экспертов, должен подчиняться исключительно владельцу бизнеса. «Обычно специалисты, отвечающие за безопасность компании, подбирают сотрудников, обеспечивающих информационную безопасность среди выпускников вузов, выпускающих специалистов в этой области. Это люди, лояльные компании и получающие за это приличное денежное вознаграждение. Использовать их в неблаговидных целях очень сложно», — считает Сергей Спиченков.
И все-таки, считают эксперты, местный рынок ИБ будет развиваться. Ирина Степанова ожидает появления в ближайшие годы специализирующихся на ИБ ростовских компаний, которые будут брать эти услуги информационной защиты на аутсорсинг. Другие эксперты предполагают, что, вероятнее всего, в скором времени в Ростов могут прийти такие специализированные компании, как московский «ЛАНИТ» или «Информзащита».