Состояние безопасности любой организации можно уподобить игре в шахматы. На одной части шахматной доски разыгрывается гамбит, отражающий положение дел в сфере информационной безопасности данного предприятия. Порой специалист по ИТ, глядя на шахматную доску в целом, не видит, что, помимо фигур, непосредственно участвующих в интересующем его гамбите, на доске присутствуют и другие фигуры, которые оказывают существенное влияние на весь комплекс безопасности организации.
Уязвимые места, свои и чужие
Как для шахматной фигуры главная цель – поставить мат, так для конкретного подразделения бизнес-структуры важно достичь выполнения операционного плана. Сегодня информационные технологии находятся на переднем крае борьбы за прибыль, поэтому необходимо четко определить, какие именно объекты нуждаются в защите. Именно это называется политикой безопасности, и она должна работать как в масштабах безопасности компании в целом, так и в масштабах безопасности отдельного ее организма. Политика безопасности компании должна отвечать на вопрос: «Что защищать?», а ее концепция – на вопрос: «Как защищать?» Прежде чем составить концепцию по информационной защите, необходимо выяснить, какие именно объекты подлежат охране. Это могут быть персонал, финансовые и материальные средства, информационные ресурсы.
В едином строю, на своем месте
Схема построения системы безопасности должна состоять из ряда последовательных шагов. И первый из них – налаживание прочного рабочего контакта между системным администратором и службой безопасности предприятия.
Службы безопасности современных компаний, как правило, возглавляют мои коллеги – бывшие офицеры спецслужб, армии, МВД. Я сам впервые включил компьютер немногим более 10 лет тому назад, а до этого, образно говоря, работал на счетной машинке «Феликс», и не факт, что ваш директор по безопасности будет продвинутым специалистом в информационных технологиях. Руководитель службы безопасности должен совместно со специалистами ИТ-подразделения и информационной безопасности определить политику безопасности и показать место информационной системы среди реальных и потенциальных рисков. Только исходя из этого разрабатывается план защиты.
Следует осознавать, что специалисты службы безопасности, как правило, менее информированы в новинках программного обеспечения и используемого «железа», зато более информированы в инновационных защитных решениях. Поэтому в прошлом году мы были вынуждены изменить сложившуюся структуру: внутри ИТ-подразделения была введена должность специалиста по информационной безопасности, который стал своеобразным мостиком между СБ и информационной службой.
Безопасность информационных сетей является его специальностью, он развивается в ИТ-направлении, но по выполняемым функциям смыкается со службой безопасности. Кроме того, организовано подразделение по безопасности ИТ-процессов, которое занимается непосредственно информационной защитой пользователей компьютеров, оргтехники, сети.
Оценивая риск
Главная задача состоит в том, чтобы предупредить возможные угрозы, но для этого их сначала нужно выявить. Когда вы определили для себя формы и методы их обнаружения (они у каждой компании свои), приходит время разрабатывать формы и методы локализации угроз. Но следует всегда помнить, что локализовать угрозу можно, но предотвратить ее практически нельзя. Однажды, когда на совете директоров акционеры поставили мне задачу ликвидировать воровство в нашей сети полностью, я ответил фразой из фильма «Кавказская пленница»: «Это волюнтаризм, вы ставите нереальные задачи». Скажем, Швейцария, одна из богатейших стран, занимает ведущее место в мире по так называемому шоплифтингу - воровству в магазинах самообслуживания, несмотря на весьма значительные средства, выделяемые на обеспечение безопасности. Кражи все равно будут иметь место, но в наших силах минимизировать эти потери и ликвидировать последствия.
Потенциальные угрозы не стоит придумывать самому, все они уже известны и систематизированы мировой и российской практикой. Угрозы внутренние и внешние одинаковы и для аптеки, и для магазина игрушек, и для нефтяной компании. Все угрозы делятся по четырем направлениям: угроза персоналу, угроза материальным ресурсам, угроза финансам и угроза информации.
Источники перечисленных угроз могут быть разнообразны
- Действие или бездействие персонала. Персонал сегодня является одним из наиболее уязвимых мест каждой компании. Например, при недостаточной лояльности сотрудник может «переметнуться» к конкуренту с интеллектуальной собственностью вашей компании в своих мозгах.
- Конкуренты. Сейчас, когда основные игроки в нашем, да и в других бизнесах в целом определились, на потребительском рынке начинается «стуканье плечами». Цель недобросовестной конкуренции – получить сведения о стратегических и тактических планах вашей компании на ближайшее будущее и дальнюю перспективу и успеть занять эту нишу быстрее вас или поставить препятствия на вашем продвижении. Чаще всего это происходит через информационные каналы и через финансовую отчетность.
Случается, что в Москве появляется новый игрок аптечной сети, а за его спиной стоят несколько банков и сеть магазинов. Эта сеть дает площадь под аптеку дешевле, чем на московском рынке недвижимости , а значит, налицо выигрыш в средствах, позволяющий платить работникам зарплаты больше средних по рынку. Как следствие такой тактики, у нас были случаи, когда целые аптеки во главе с директором - от уборщицы до провизора - переходили работать в аптеку через дорогу, соблазнившись высоким окладом. Однако за счет того, что масштаб нашей сети больше, это явление носило временный характер, конкурент не мог демпинговать и долго вести торговлю себе в убыток, а значит, и на нашей улице неизбежно наступал праздник. По моему убеждению, на недобросовестную конкуренцию нельзя отвечать теми же методами, иначе этот комок напряженности будет наращиваться, вредя всем. Мудрость утверждает: не рой яму другому…
- Криминальные структуры. Об этой угрозе можно не говорить подробно, о ней знает и помнит любой бизнесмен.
- Государство. По значимости я бы поставил угрозу противоправных действий отдельных сотрудников правоохранительных и контролирующих органов на первое место. Сейчас опасность получения информации о бухгалтерской отчетности и ее анализа отдельными недобросовестными сотрудниками РУБЭП или налоговой инспекции, на мой взгляд, может вести к последствиям, несопоставимым с магазинной кражей или персоналом, переманенным конкурентом.
В моей практике был случай, когда при покупке сравнительно небольшой сети продаж сотрудники ИТ-подразделения не успели поставить в ней лицензированное ПО. В офис этой сети пришли два сотрудника МВД с проверкой. Они не стали смотреть документацию и отчетность, а решили забрать сервер на 3 дня, что означало остановку продаж и неизбежные убытки. Так действия через упущения по ИТ-обеспечению стали серьезной угрозой для компании.
Сицилианская защита бизнеса
Средства защиты можно условно разделить на несколько видов.
1. Технические средства охраны и защиты.
2. Организационные средства, в том числе аутсорсинг.
3. Разработка важнейших вопросов информационной безопасности, которые я бы разделил на информационную безопасность компании в целом, с одной стороны, и мероприятия по защите коммерческой и служебной тайны, безопасность компьютеров пользователей и сетей – с другой.
4. Защита финансовых средств.
5. Правовые средства защиты.
В нашей компании стратегия и тактика защиты в первую очередь приобретают вид разработки различных положений об информационной безопасности, о коммерческой тайне, о физической охране торгово-фармацевтических предприятий.
Подход к любым системам безопасности должен быть прежде всего разумным. Можно охранять объект незаметной охраной, готовой к решительным действиям, что чревато прямыми столкновениями с нападающими. А можно поставить на вход широкоплечего охранника, открыто демонстрируя всем, что объект защищен, и тем самым отбивая у значительной части потенциальных агрессоров желание совершить нападение. Так же можно поступить и в информационной безопасности, продемонстрировав, что у нас выстроена логически стройная, продуманная система безопасности. Например, четыре года назад наша сеть заплатила значительную сумму специализированной компании, поставив перед ней задачу в течение двух недель пробиться в нашу защитную сеть и «украсть» определенную информацию. Так мы заплатили за то, чтобы выяснить, где у нас «дыры» в защите, и закрыть их на будущее. Сам факт такой проверки, который наша компания не скрывает, может удержать от атаки потенциального хакера. На мой взгляд, сегодня не надо бояться открытости своих намерений и действий, ведь сейчас не 1990-е годы. Государство все больше и больше становится правовым, так что имеет смысл действовать исключительно правовыми методами.
Упреждающая матрица
После того как стратегия и тактика для своего подразделения или компании в целом определены, вы составляете матрицу конкретных действий.
В нашей компании она составлена по шести основным направлениям, обеспечивая минимизацию утрат от рисков и угроз. Можно сделать подобную матрицу отдельно по ИТ-системе. Для ее составления требуется определить возможности несанкционированного получения конфиденциальной информации, основные направления ее защиты, а также кто и как будет их реализовывать.
Когда я разослал во все аптеки нашей сети матрицу, посвященную хищениям на кассах, отдельные руководители пытались упрекнуть меня в том, что я предоставляю кассирам пособие - как украсть деньги. Возможно, что кто-то им и воспользуется, но важно другое: когда кассир знает, что служба безопасности в курсе методов хищения, которые он считал своим ноу-хау, он поневоле задумается, применять ли их, если может быть легко схвачен за руку. На собеседовании по безопасности наши сотрудники разбирают вместе с кассиром все возможные схемы краж, и если кассир планировал хищение, то ему дают понять, что служба безопасности знает все его методы. Естественно со временем вместо устаревших способов воровства будут придуманы новые, но главное, что в результате возможное совершение хищений отодвигается.
Недавно мы столкнулись с тем, что кассиры-«умельцы» придумали новую операцию: выбивают чек, выдают его покупателю, а аппарат при этом не фиксирует покупку. Оказывается, если отключить электричество и тут же включить снова, попав секунда в секунду в момент пробития чека, то чек будет выбит и выдан покупателю, а заплаченная им сумма не будет зафиксирована в кассовом аппарате. Мы не сразу смогли понять, как именно это происходит, а продажи в группе торговых точек падали. Потом я решил эту проблему своим методом: начал выяснять, кто именно работает на кассе, когда продажи начинают падать. Интересно, что камеры видеонаблюдения в такой ситуации помогают слабо. Просматривать их круглые сутки в режиме он-лайн для предотвращения возможной угрозы нереально, как правило, мы их используем для восстановления уже произошедших событий. Здесь уместно проанализировать, в какие дни, часы падают продажи, определить конкретных лиц, кто работал в это время, и, конечно, провести индивидуальные профилактические беседы с этим кругом лиц. Да… Работа кропотливая, но, поверьте, она принесет ожидаемый эффект.
Сколько стоит безопасность
По моему опыту работы в четырех крупных частных коммерческих компаниях ни один бизнесмен, пока все в порядке, никогда не выделит запрашиваемых средств для обеспечения безопасности. До тех пор, пока прямые угрозы компании отсутствуют, расходы на безопасность сокращают, поскольку непосредственно на прибыль они влияют не сразу. Например, если говорить об ИТ-безопасности, средства, которые могут проанализировать каналы утечки информации и выявить их виртуальным путем в режиме он-лайн, очень дороги. Если собственнику просто озвучить требуемую сумму на безопасность, то результат будет однозначен – сомнительно, что вам предоставят ожидаемые инвестиции. Тем не менее возможно рассчитать и найти некий компромисс между желаемым и действительным.
Минимизировать издержки на безопасность, в том числе и на ИТ-безопасность надо грамотно. Не стоит увольнять охранников и водителей, ставить на прикол машины оперативной службы, снижать зарплату директору по безопасности до 100 долларов, продавать радиостанции и т.д. Это путь «по Ленину», «ни войны, ни мира, а армию - распустить», по которому ни один здравомыслящий бизнесмен не пойдет, но есть способы минимизации издержек, первый из которых – выбор пути оптимального функционирования системы безопасности.
Мы используем 3 режима функционирования системы безопасности, чтобы защитить аптечную сеть.
1. Повседневный режим функционирования. Система безопасности создана, протестирована, проверена на наличие брешей, серьезные угрозы в настоящий момент отсутствуют, при этом дается минимум средств. Образно говоря, на 3 аптеки, стоящие на одной улице, приходится один охранник, которого кассир может вызвать тревожной кнопкой. А если неподалеку расположено отделение милиции, то лучше применить аутсорсинг.
2. Режим повышенной готовности используется в том случае, когда появляется реальная угроза, например в сети произошла серия краж. В этом случае вводится режим повышенной готовности, создается кризисная группа.
3. Чрезвычайное положение вводится в том случае, когда возникает угроза самому существованию предприятия. В этом случае создается совет по безопасности во главе с первыми лицами предприятия, его собственниками. На то, чтобы сохранить бизнес, предотвратить угрозы, предоставляются все необходимые средства.
Кроме того, важно определить направление мероприятий по безопасности. Например, сегодня довольно распространена ошибка, когда все службы безопасности (и ИТ-безопасность, и физическая охрана объектов) нацелены на противодействие внешнему «врагу» - «заточены», так сказать, на борьбу с воришками, мошенниками и т.п.
Между тем, по нашей статистике, потери и утраты по причине действий и бездействия персонала превышают по масштабу все остальные.
Таково положение дел на шахматной доске безопасности современного предприятия. Но только от специалистов конкретной компании зависит, где и как будет разворачиваться ваш гамбит в партии по безопасности предприятия в целом и по ИТ-безопасности в частности, как будут расставлены фигуры и какие ходы станут залогом вашей победы как на этом локальном участке, так и во всей партии в целом.