Информация - самый ценный ресурс современного общества. У каждого предприятия (любой формы собственности) есть свои корпоративные секреты. В связи с этим информационная безопасность является одним из важнейших факторов успешной работы.
А между тем…
Итоги исследования российской компании SearchInform, проведенного в апреле 2011 года, свидетельствуют о том, что подавляющему большинству государственных и коммерческих организаций Санкт-Петербурга (62,9 %) угрожают несанкционированные утечки конфиденциальной информации и инсайдерские риски. В исследовании участвовали около ста представителей банков, госпредприятий и коммерческих организаций северной столицы.
Информация и люди
Информационная безопасность (ИБ) - сравнительно молодая для стран СНГ, но быстро развивающаяся область информационных технологий. ИБ - это защищённость информационной среды, деятельность по предотвращению утечек данных.
Для России проблема защиты конфиденциальной информации весьма актуальна, хотя на рынке средств обеспечения ИБ широко предлагаются не только западные решения, но и продукты отечественных разработчиков, которые постоянно совершенствуются.
На сегодняшний день самой распространенной угрозой для успешной работы компании являются инсайдеры: халатные либо обиженные на руководство сотрудники, или те из них, кто сознательно работает на компанию-конкурента. По данным информационного агентства Cnews, наиболее интересны инсайдерам персональные данные сотрудников (57 %), детали различных сделок (47 %), финансовые отчеты (38 %) и интеллектуальная собственность компании (25 %). Отдельное место среди инсайдеров занимают сотрудники, которые планируют сменить место работы: как же не прихватить свои наработки и не поделиться ими с новым работодателем?!
По данным уже упомянутой ранее компании SearchInform, лидера рынка средств ИБ в СНГ, c попытками уволенных/уволившихся сотрудников унести с собой конфиденциальную информацию столкнулись 37,5 % из опрошенных государственных и коммерческих организаций Санкт-Петербурга!
В таких условиях грамотное управление персоналом и инструктаж сотрудников по вопросам ИБ – очень важная составляющая комплекса мер по защите данных. Обеспечение безопасности информации напрямую связано c сохранением коммерческой тайны организации, т.к. сотрудники любой компании являются одним из основных источников и носителей информации. По мнению западных специалистов, вероятность утечки сведений через подкуп, переманивание сотрудников составляет 43 %. Поэтому примечательно, что 68,6 % из опрошенных организаций Санкт-Петербурга проводят инструктаж своих сотрудников для разъяснения политик ИБ. Это очень важный момент, так как утечки информации часто происходят и по причине неосведомленности работников о последствиях таких деяний. «Использование средств защиты информации является следствием наличия в организации политики ИБ, - отмечает специалист по ИБ одной из крупнейших проектных организаций Санкт-Петербурга. - В этом документе подробно описаны риски и методы их минимизации. Политика ИБ является открытым документом, и любой сотрудник имеет к ней доступ. Кроме того, при приеме сотрудника на работу ему предлагается ознакомиться с правилами обеспечения ИБ в организации. Поэтому нет никакой необходимости афишировать наличие таких систем каким-то особым образом».
При реализации политики ИБ есть еще один важный момент – доверять защиту профессионалам. Согласно результатам анкетирования, проведенного SearchInform в Санкт-Петербурге, лишь 25,6 % руководителей доверяют ИБ своей организации специальному отделу, состоящему из профессионально подготовленных офицеров безопасности. Необходимость серьезного подхода к этому вопросу подтверждает и существование в РФ шести образовательных стандартов, а также целого ряда законов, регламентирующих деятельность организаций по защите конфиденциальной информации. Вот почему важно поручить эту работу специалисту, имеющему соответствующий диплом или хотя бы прошедшему курсы повышения квалификации. Однако и это не панацея. Политика ИБ - это совокупность организационно-административных и правовых мер, к реализации которых необходимо привлекать юридическую, финансовую, кадровую службы организации. Организационные и управленческие полномочия, как правило, не под силу одному человеку. К тому же, никто не гарантирует, что уполномоченный администратор на все 100 % лоялен к компании, ведь он тоже человек, со своими эмоциями и интересами. Поэтому эксперты придерживаются мнения, что дешевле, безопаснее и эффективнее сразу привлекать к обеспечению ИБ организации специалистов в данной области.
Как «утекает» информация
С наступлением тотальной компьютеризации «слить» информацию стало довольно просто, и любой способ ее передачи – это потенциальный канал утечки данных. Самые распространенные – электронная почта, ICQ и другие интернет-мессенджеры, голосовые и текстовые сообщения Skype, посты на форумах или комментарии в блогах, внешние устройства (USB/CD/DVD), документы, отправляемые на печать и др.
Согласно опросу SearchInform, чаще других каналов передачи информации в организациях Санкт-Петербурга контролируют электронную почту и внешние носители информации - 30,5 % и 22,2 % соответственно. А столь популярный сейчас Skype – лишь 2,8 %, ICQ и Jabber – 5,6 %. Следует заметить, что контроль нескольких, а не всех каналов передачи информации не гарантирует полную, комплексную защиту организации. 78,1 % опрошенных сообщили, что использование многих средств общения в их компании вообще под запретом (социальные сети – 43,2 %, Skype – 10,8 %, ICQ – 21,6 %). Однако эти меры также не являются гарантией защиты конфиденциальной информации – при необходимости сотрудник найдет другие способы ее передачи за пределы компании. «На мой взгляд, в каждой организации должны быть защищены все каналы передачи информации: скайп, аська, e-мэйл, принтер и так далее. Ключевое слово здесь «все», а не какой-то один канал, - замечает Лев Матвеев, генеральный директор компании SearchInform. - Ведь если мы будем контролировать, к примеру, лишь электронную почту, то информация легко может покинуть стены организации через usb-носитель или посредством скайпа. Иначе получается следующее: построили мы защищенное хранилище для ценных бумаг, сделали бронированные стены, а дверь оставили без замка – и все насмарку».
Есть решение
Если против зловредного программного обеспечения можно бороться с помощью антивирусов и брандмауэров, то справиться с утечкой информации, организованной инсайдерами, гораздо сложнее. Тем не менее, сегодня существует решение и этой проблемы - DLP-системы (от англ. Data Leak Prevention – предотвращение утечек). Большинство из них позволяет обеспечить контроль над всеми каналами возможной утечки информации: электронная почта, социальные сети, форумы, блоги, службы мгновенного обмена сообщениями, внешние носители информации, принтеры, и, что сейчас особенно актуально, Skype. DLP-cистемы, как правило, полностью интегрируются с доменной структурой Windows, позволяя определить, под учетной записью какого пользователя и с какого компьютера отправляется информация по любому из каналов. Можно разграничить права доступа к информации, чтобы каждый из сотрудников имел доступ только к тем данным, которые касаются непосредственно его работы.
Эффективность деятельности подобных систем комментирует специалист по ИБ одной из организаций Санкт-Петербурга: «Несмотря на то, что мы внедрили систему защиты информации одного из ведущих российских производителей недавно, и используем ее возможности не более чем на 20%, мы уже выявили достаточно большое число сотрудников, нарушающих политику информационной безопасности и занимающихся инсайдерской деятельностью. За 2010 год нами было выявлено более ста инцидентов, причем многие из них стали известны только благодаря таким возможностям системы, как контроль Skype и идентификация пользователя по доменному имени. Очень актуален перехват Web-почты: многие сотрудники полагают, что работодатель контролирует только корпоративную почту, и используют Web-почту (бесплатные почтовые сервисы типа mail.ru) для передачи закрытых данных».
ИБ организаций Санкт-Петербурга: прогнозы на будущее
Сегодня все еще трудно говорить о каких-то кардинальных переменах в сознании руководства большинства компаний Санкт-Петербурга в отношении защиты корпоративной информации.
Собственным мнением на это счет делится Вячеслав Правдин, специалист по ИБ крупнейшего производителя приборов для учета электроэнергии в Санкт-Петербурге: «Актуальность проблемы осознают специалисты по ИБ, но не руководство. Из опыта общения с коллегами могу сказать, что в большинстве случаев, как только директора компаний узнают о цене DLP-системы, то предпочитают на эти деньги купить себе, например, новую машину. Согласен, что это достаточно дорогое удовольствие, но последствия могут стоить гораздо дороже. При этом руководители много требуют от своих специалистов по ИБ, однако делать конкретные шаги в направлении системной защиты информации предприятия не хотят. Конечно, не все компании могут позволить себе установить DLP-систему, скажем, более чем на 600 рабочих компьютеров. Мы решились на покупку системы после того, как столкнулись с несколькими утечками информации. Попытки «слить» информацию продолжаются и сейчас, когда система уже установлена. Но теперь мы можем без труда их пресечь».
Очевидно, что сегодня в ряде организаций ни рядовые сотрудники, ни топ-менеджмент не видят явной выгоды в принятии специальных мер по внутреннему контролю и опасаются, что «новинки» могут навредить им лично или просто изменить привычный уклад работы. Однако хочется верить, что данные, приведенные в этом материале, убедили читателей в том, что защита информации очень важна – не только в частной жизни, но и в сфере бизнеса. К слову, и специалисты по ИБ оптимистично прогнозируют улучшение обстановки с защитой информации в организациях Санкт-Петербурга.
P.S. Аналитический центр SECURIT Analytics представил результаты отчета об утечках конфиденциальной информации, обнародованных в 2010 году. Так, в 2009 году только в результате обнародованных инцидентов во всем мире пострадало более 300 млн граждан, а убытки допустивших утечки организаций составили более 1,5 млрд долларов США. Большая часть из обнародованных утечек по-прежнему относится к США, в то время как в России ставшие достоянием гласности инциденты можно пересчитать по пальцам
В исследовании, проведенном в форме опроса, приняли участие представители 100 государственных и коммерческих организаций Санкт-Петербурга. В числе опрошенных, в основном, были: топ-менеджмент, руководители и специалисты служб, обеспечивающих информационную безопасность организаций. Задачей данного исследования было выяснить, какова ситуация с обеспечением информационной безопасности (ИБ) в организациях Санкт-Петербурга.
Во второй части материала вашему вниманию предлагается детальная информация о проведенном нами исследовании.
(Продолжение следует)