Расширенный поиск

В последнее время тема информационной безопасности становится для России все более актуальной. Об этом свидетельствуют значимые изменения в законодательстве страны и амбициозные стратегические планы на будущее. Не исключено, что в 2016 году, информационная безопасность станет для России ключевой темой серьезными инвестициями и участием, как государства, так и частного бизнеса. О том, почему России нужно вкладывать деньги в информационные проекты Digital Report рассказал генеральный директор ООО «Серчинформ» Сергей Ожегов.

Можно ли говорить, что тема информационной безопасности стала в России сегодня ключевой? Ведь несколько лет назад, безопасность данных рассматривалась многими странами только в ключе защиты от вирусов.

Информационная безопасность – это не только вирусы, но и защита от внешних угроз, от несанкционированного доступа, от утечек информации и т.д.

Российские компании всегда уделяли вопросам ИБ большое внимание, разница в том, что чем крупнее компания, тем больше риски и, тем больше этим вопросам уделяется внимания. Ещё лет 5 назад ИБ, в широком смысле этого слова, качественно реализовывалась именно крупными компаниями. Сейчас, в свете кризиса, всё больше компаний любого размера уделяют внимание вопросам ИБ. Стала ли тема ИБ в рамках всей РФ ключевой? Не думаю, хватает других не менее важных тем. Стали ли по-другому относиться к ИБ — однозначно ДА.

Из нашего опыта можно привести любопытные наблюдения: 3 стадии становления ИБ в компании.

Стадия первая: врежем крутой замок. Бизнес понимает, что, играя в «голого короля», можно и доиграться. Поэтому обзаводится минимальной защитой (как правило, антивирусной), полагая, что-теперь-то он защищён по максимуму.

Вторая стадия: строим защиту от внешних атак. Бизнес понимает, что кроме вирусов, есть ещё множество различных реальных угроз. В итоге, компания обзаводится доменом, устанавливаются фаерволы, строится демилитаризованная зона и т.д.

Наконец, третья стадия наступает вместе с осознанием бизнеса, что кроме внешних угроз, существуют угрозы внутренние – сотрудники компании. При этом, ущерб от них может быть куда масштабнее.

Кризис 2008 года многим руководителям показал, насколько важно уметь защищать свои секреты не только снаружи, но и изнутри. Люди увольнялись и прихватывали с собой всё, что только можно. Тащили клиентские базы, аналитику, исследования рынка…Увидев такое положение дел, руководители, как только появились более-менее свободные деньги, поспешили вложить их в защиту. Показательно, что сейчас всё больше компаний стремятся соответствовать стандартам и сертификатам не только на бумажке. Все хотят работать на результат. Сейчас красивые отчёты с графиками не важны, важны реально предотвращённые попытки вынести информацию. У нас, например, есть собственный коэффициент успешности внедрения продукта: спустя 3 месяца после установки системы должны быть уволены (или просто должны «попасться на горячем») от 0,2% до 1% сотрудников компании. Потому что у нас идеальных коллективов не бывает.

Ещё интересная тенденция существует. Есть клиенты, у которых большие компании. Соответственно и парк машин тоже большой. Они у нас покупали небольшое количество лицензий, чтобы поставить их в головном офисе. Так вот спустя несколько месяцев, увидев, что творится там, они приходят и покупают лицензии на все машины.

Очень часто информационную безопасность связывают с национальной безопасностью государств. Верите ли вы, что информационные войны по разрушительности и ущербу могут соперничать с классическими формами противостояния?

Безусловно. Я не берусь оценивать размер ущерба, наносимый классическими формами противостояния и информационной войной. Но обе эти войны тесно связаны, в конце-то концов существует разведка, задача которой узнать «секреты» противника, и существует контрразведка, которая должна сохранить их в тайне. Вот мы и получаем, что защита информации является важной в работе контрразведки, поэтому отделять ИБ от национальной безопасности неверно в корне.

К примеру, возьмём электронный документооборот, переход на который идёт повсеместно. Пока информации в электронном виде было не очень много, её защита строилась относительно просто: до начала XXI века самая критическая информация в организациях хранилась на бумаге. Документы описывали специальными грифами и запирали в сейфе, доступ к ним был ограничен – со временем из этого родилось понятие защищенного документооборота. Все приёмы сохранения «бумажной» тайны были хорошо отработаны и, в целом, эффективны. Ситуация изменилась с появлением электронной информации, объем которой стал расти лавинообразно. Тут-то и выяснилось, что старыми средствами контроль над ней удержать не удаётся

Почему тема информационной безопасности набирает актуальность сейчас?

Это распространённое заблуждение. Об ИБ стало «модно» писать. Больше утечек придаются огласке. Этому способствуют не только законы, которые, к примеру, обязывают уведомлять соответствующие органы о произошедших инцидентах, но и желание журналистов «урвать скандал». Повысилась осведомлённость общества. Именно это вводит большинство в заблуждение. Если раньше в газетах можно было прочитать только про действительно серьёзные и масштабные утечки, например, кражу баз данных операторов «большой тройки», то сейчас благодаря развитию электронных СМИ и поисковых систем, можно отследить даже самый незначительный инцидент. Главное, чтобы о нём хоть кто-нибудь написал в Сети.

Но есть другая вещь, которую я никогда не воспринимал всерьёз – подсчёт ущерба от утечки информации. Более-менее точному подсчёту поддаются только прямые убытки. Например, если украли аналитическую информацию, то можно подсчитать, сколько людей и сколько времени она потратили, чтобы собрать и проанализировать какие-то данные. Затем умножить на стоимость часа сотрудника и получим реальную цифру. А вот недополученная прибыль – сплошная аппроксимация. Невозможно точно сказать, сколько клиентов после утечки откажется от услуг компании, сколько потенциальных клиентов не дойдёт, и какую прибыль все они могли бы принести. Точно также невозможно сказать, какие убытки понесёт фирма при увольнении топ-менеджера. Кто знает наверняка, какие он сделки и на какие суммы мог заключить, если бы всё сложилось по-другому? Гадание на кофейной гуще. В общем, эксперты правы в суждениях, но преувеличивают масштабы?

Почему этого не происходило на заре интернета, когда у киберпреступников, казалось бы, были неограниченные возможности?

Всё было. Просто «разбойники» учились и совершенствовались вместе с «казаками». В информационной безопасности никогда не было, да и вряд ли могло быть, значительного отрыва одной из сторон. Игра в «кошки-мышки» продолжается и будет продолжаться в будущем.

Насколько, на ваш взгляд, российское государство готово охотно инвестировать средства в информационную безопасность? Действительно ли нужно тратить деньги на защиту или можно всего добиться ограничениями и запретами?

То, что мы видим сейчас говорит нам что охотно. Все прекрасно понимают, что ограничения и запреты – это шаг назад. Безусловно, какие-то ограничения и запреты должны быть, но в разумных пределах. На мой взгляд, пока, всё что делается в плане запретов, носит как раз конструктивный, а не деструктивный характер.

Сейчас активно обсуждается тема разработки собственного программного обеспечения. Якобы, это должно решить проблему с безопасностью и импортозамещением. Но остается вопрос с железом, импортным оборудованием, которое на уровне аппаратных прошивок может быть не безопасным?

Конечно было бы идеально если бы в РФ производилось свое «железо» и ПО, которое конкурентоспособно, но пока мы видим, что с железом всё не очень. В свою очередь, для производства ПО требуются мозги и компьютер, на котором это ПО будут писать. Согласитесь, затраты не соизмеримые с созданием «железа». Как показали события последнего года, импортозамещение в ИТ-сфере – вещь полезная, но к этой проблеме тоже надо подходить с умом. Представим, что завтра вдруг появляется своя «национальная» ОС. Её поставят во все государственные органы и … Все просто встанет!!! Почему? Потому что мало создать один продукт или один процессор. Для работы организации или предприятия требуется целая инфраструктура, которую невозможно создать в стиле «раз и готово». Что касается аппаратных прошивок, коль мы не можем отказаться от импортных серверов, всё это, при желании, можно проверять. В конце концов, ФСТЭК и другие профильные ведомства никто не отменял.

Недавно российским чиновникам запретили пользоваться почтой Google и отдельными мессенджерами. Не кажется ли вам логичным запретить государственным деятелям использовать импортные мобильные телефоны и планшеты?

Давайте разделать две вещи. Чиновник – это, в первую очередь, человек, который часть времени проводит на работе, а часть дома. Так вот, запрет на использование gmail вполне логичен, когда он касается рабочих моментов. И не только потому что их серверы находятся не в РФ, но и потому что для работы надо пользоваться корпоративной почтой. Что касается его личного мобильного телефона или планшета, тут ничего страшного нет, пока он не использует их как рабочий инструмент.

Готов ли российский бизнес инвестировать средства в информационную безопасность? Или многие компании за счет покупки сертификатов и решений стараются обеспечить защиту от возможных претензий клиентов?

ДА готов и инвестирует, мы это видим по своей компании, продукты которой каждый год все более востребованы на рынке. Все прекрасно понимают, что никакой сертификат не спасет, если «талантливый сотрудник» сольет конкурентам данные по клиентам или разработкам…

Какие законодательные или практические сдвиги в части информбезопасности вы бы отметили в России, как важные?

Принятие ФЗ 152, обновление стандартов ИБ от Центробанка. В школах вводятся специализированные программы по основы информационной безопасности в Интернете. Многие вузы вводят профильные специальности. Идут навстречу и компании, но это скорее исключение, нежели правило. Мы – пример исключения, как раз. С вузами мы плотно сотрудничаем уже шестой год. У нас разработан собственный лабораторный практикум, проводится обучение преподавателей «на местах», создан с нуля целый учебно-методический комплекс. Прямо сейчас мы ввели в эксплуатацию собственную систему дистанционного обучения, над которой профильный отдел работал этим летом. К системе сейчас подключены более 50 вузов, которые работают с нами по всей России.

Нужно ли России вырабатывать свою позицию по информационной безопасности или проще согласиться с западной, которая уже существует и доминирует в мире?

Ни в коем случае нельзя брать и копировать всё «как есть». У нас свои особенности в культуре, истории, менталитете. Поэтому брать лучший опыт – хорошо, но надо обязательно его переосмысливать с учетом наших реалий. Если у нас задача создать велосипед для российских дорог, то не нужно заново изобретать колесо, а вот поработать над другими конструктивными особенностями, связанными именно с российским дорогами, придётся.

Известно, что информационная безопасность — это не только законы и решения, а еще и работа с рядовыми пользователями. Почему этой работе, на ваш взгляд, уделяется так мало внимания в любых проектах по безопасности? Нет у вас впечатления, что информационная безопасность рассматривается, как часть мировой политики, а не потребительского взаимодействия?

Тут я с вами не соглашусь. Вопрос очень широкий и состоит из нескольких частей.

  1. Работа с сотрудниками на предмет разъяснения, что такое хорошо и что такое плохо. Насколько я вижу, у наших заказчиков с этой частью все хорошо, служба ИБ проводит инструктаж, обучает, периодически проверяет знания и т.д.
  1. Чтобы противостоять внешним атакам, не требуется привлечение широких масс. Тут все зависит от бюджета и грамотности ИБ-специалистов.
  1. Противодействие утечкам. В этом аспекте, по крайней мере наши клиенты, очень много внимания уделяют работе с коллективом. Стоит понимать, что тот же «слив» не происходит за секунду: для преступления надо «созреть», затем информацию нужно получить, обработать и попытаться вынести. Эти процессы, при наличии определённых инструментов и навыков, легко выявляются службой ИБ и инцидент предотвращается еще на стадии формирования. Именно этому направлению ИБ уделяет большое внимание.
Генеральный директор «Серчинформ»: Нельзя допустить чтобы интернет был абсолютно везде, но и отказаться от него не получится

Генеральный директор ООО «Серчинформ» Сергей Ожегов

Какие проблемы в области информационной безопасности в России нужно решить в первую очередь?

Хочется ответить «все». Женщина не может быть немножко беременной. Она либо беременна, либо нет. Поставить дверь, но не поставить в нее замок – так себе защита, скорее от дурака или от честных людей. А вот недооценивать соперника – заведомо проигрышный вариант.

Но хватит пространных ответов. Если брать бизнес\коммерцию, то всё просто – бизнес решает те проблемы, которые могут причинить ему наибольший финансовый ущерб.

Связываете ли вы недостаточную информационную безопасность банков с их пассивной позицией по популяризации безналичных платежей? Почему в России нет масштабных проектов по внедрению бесконтактных платежей, нет желания присоединится к западным программам, типа Apple Pay?

Я не эксперт в безналичных платежах и том какие меры должны быть приняты банком, чтобы их осуществлять. Исторически, банки как раз всегда одни из первых внедряют новшества по ИБ. Так что, думаю, вопросы глобального перехода к бесконтактным платежам лежат не столько в технической, сколько политической, психологической или ещё какой-нибудь плоскости.

Растет ли уровень подготовки киберпреступников? Почему постоянная гонка за обеспечение безопасности не привела к полному исчезновению киберпреступности?

Да, растет. Ответ про «кошки-мышки» был выше. Гонка эта никогда не прекратится, так как спрос на информацию есть, а её объемы растут каждый день. В медицинских учреждениях заводятся электронные карточки больных. В детские сады и оздоровительные летние лагеря можно записаться через форму на веб-сайте. Перечислять можно долго. Ясно одно – постепенно «бумажки» уходят в прошлое. При этом все эти темы, как говорится, на слуху у граждан. Естественно возникает и не совсем здоровый интерес. Другими словами, если раньше злоумышленнику для взлома надо было физически получить доступ к бумагам, а затем скопировать либо украсть их, то сегодня подобное преступление можно совершить сидя дома перед компьютером. Возможностей стало больше. Это и даёт некоторым людям «стимул» к действию.

Я уверен, что искоренить киберпреступность не удастся. В конце концов, наличие тюрем и реальных сроков на кражи тоже ведь их не искореняет…

Можно ли ожидать, что страх перед кибератаками заставит многие страны отгородится от Интернет в локальной сети?

Сомневаюсь, мы видим полную информационную изоляцию Северной Кореи и видим, что там развития ноль.  Понятно, что нельзя допустить чтобы интернет был абсолютно везде, но и отказаться от него полностью уже точно не получится.

 Может ли интернет стать в принципе полностью безопасным, а информационные войны — невозможным. Что для этого должно произойти.

Нет, абсолютной безопасности не бывает. Гарантия безопасности в Сети – её отсутствие. Нет интернета – нет проблем.

Share via

Об авторе

Александр Николайчук

IT-журналист. Руководил отделом журналистских расследований в агентстве "Минск-Новости", работал журналистом в "БДГ: Деловая газета", "БДГ: Для служебного пользования", редактором интернет-издания "Белорусские новости" и TUT.BY. Автор проекта "Ежедневник", создатель PR-агентства ЕТС и PDF-журнала ET CETERA, систем Bonus.tut.by и Taxi.tut.by, рекламных и PR-проектов. Руководил Radio.tut.by и TB-TUT.BY. Награжден ассоциацией "Белинфоком" за вклад в освещение развития телекоммуникационной отрасли Беларуси. Главный редактор международного аналитического ресурса Digital-Report.ru, редактор "Слово делу".

Написать ответ

Send this to a friend
Перейти к верхней панели