«Для Росії в цілому типова ситуація, коли керівники компаній, приходячи до необхідності вирішення питань інформаційної безпеки, мають про неї досить загальне уявлення. У сприйнятті керівника це або царство «хакерів», з сюжетів новинних стрічок, або космічні, відірвані від звичної реальності, суми збитків в звітах аудиторів, також почерпнуті з новинних стрічок. Тобто, дуже туманне розуміння. Тому, перше, що ми робимо при знайомстві з замовником - говоримо про реальні завдання бізнесу, про роль і цінності інформаційних активів для бізнесу ».
- З чого ж тоді починається інформаційна безпека?
- Очевидно, з визначення, яка інформація має цінність для бізнесу, що саме необхідно захищати. Скільки коштує ця інформація, чим загрожує її втрата, знищення або просто обмеження доступу на будь-який час. Вартість, безумовно, визначається в рублях. На цьому етапі обговорюються такі види фінансових втрат як ціна відновлення інформації, втрачений прибуток, втрата продуктивності, репутаційні втрати і т.п. І тільки після цього йде розгляд хто (власний співробітник, той же хакер) або що (віруси, зношене обладнання) представляє для організації актуальну загрозу порушення безпеки, які заходи протидії необхідно робити.
- Чого найчастіше побоюються підприємці?
- Провокацій з боку конкурентів. Шантажу минає співробітника (або керівника) вимагає «відступні» за відмову від використання важливою інформацією. Але найбільшу загрозу бізнес бачить в недобросовісних представників влади. І це зрозуміло, коли у людей вільних від моральних принципів є повноваження, що дозволяють впливати на діяльність організації, або просто відповідний досвід (повноваження - не необхідне для шантажу). Це дійсно не може не викликати тривогу.
- Судячи з усього, Вам доводиться обговорювати досить приватну інформацію, наскільки охоче на це йдуть замовники? Не бачать чи потенційну загрозу в Вас?
- Це завжди мене дивувало, але практика показує, що в компаніях, до захисту інформаційних активів відносяться недостатньо уважно. Я б навіть сказав, несерйозно. Я регулярно спілкуюся з власниками, керівниками підприємств, що не володіють елементарною обережністю. Незважаючи на те, що вони бачать мене вперше, вже через 10 хвилин розмови вони готові детально розповідати про місцезнаходження даних, сильних сторонах і недоліки заходів щодо захисту інформації, пристрої своєї ІТ-інфраструктури. У таких випадках, ми закликаємо до підписання договору про конфіденційність, щоб дати можливість усвідомити важливість переданих відомостей і врегулювати відповідальність.
Природно, довіра - це не обов'язково плід наївності. Більшість керівників все ж довіряють нам завдяки нашій високої компетенції, тривалості присутності на ринку, рекомендаціями знайомих і партнерів.
- Чи можна виділити, хто з власних співробітників може становити загрозу?
- З точки зору своїх можливостей - системний адміністратор. Цей фахівець зазвичай має повний доступ до всієї інформації в компанії, але, традиційно, практично не несе відповідальності за її втрату або компрометацію. Якщо ноутбук керівника підключений до корпоративної мережі, системний адміністратор може скопіювати з нього всю інформацію. Ще приклад - фахівці фінансових служб компанії підрозділів. Співробітники бухгалтерії, при деякій вправності, можуть переказувати грошові кошти зовсім не на ті рахунки, які наказують їм посадові обов'язки. Такі можливості також повинні враховуватися при побудові заходів щодо забезпечення захисту інформації. Але іноді широкі можливості щодо порушення безпеки мають і лінійні співробітники.
- А топ-менеджери вимагають особливого догляду?
- Безумовно. Дуже часто порушниками безпеки стають конфліктуючі керівники або власники. Протиріччя між ними призводять до того, що хтось залишає компанію, забираючи з собою цінну інформацію, до якої мав доступ. При захисті від цієї загрози ефективні організаційні. зокрема, юридичні заходи. Підписання топ-менеджерами спеціальним чином підготовлених документів, в яких вказується, яка інформація є конфіденційною, зробить її крадіжку кримінальним злочином. З технічної точки зору важливо оперативно виявити всі можливості неправомірного доступу до ресурсів і нейтралізувати їх.
- Які ще організаційні заходи використовують, щоб убезпечити дані?
- Чи є специфіка при захисті інформації малих підприємств?
- Можна сказати і так. Для малого бізнесу дійсно є специфічна проблема - випадкова втрата або знищення даних. Проблеми виникають, коли бухгалтер копіює дані на флеш-карту, щоб працювати вдома, або співробітник, просячи про допомогу по роботі, передає третій особі логін і пароль від хмарного сховища компанії. Саме малим бізнесом затребувана послуга збереження конфіденційності інформації при догляді топ-менеджера.
- Все більше даних підприємств виявляється «в хмарах». Які особливості їх захисту при віддаленій роботі?
- Так, це економічно обгрунтовано, і малий, і середній бізнес нерідко обзаводиться «віртуальними офісами». Такий тип організації роботи має свої переваги. Для «віртуального офісу» не актуальні загрози втрати інформації, пов'язані з фізичним доступом - ніхто не заволодіє вашими даними, проникнувши в приміщення компанії.
Головним питанням безпеки для користувачів хмарних технологій є управління доступом. Якщо спеціальні заходи не прийняті, маючи логін і пароль, дістатися до даних може хто завгодно з будь-якої точки світу.
Один з варіантів посилення захисту доступу - модель його надання, заснована на двох факторах. Допуск до інформації можливий тільки при наявності usb-ключа і знання пін-коду. Немає ключа - пін-код марний (якщо він вкрадений вірусом або лічений сканером клавіатури). Є ключ, але немає пін-коду - доступ також заборонений - підібрати пін-код неможливо.
- Які заходи безпеки є зараз «обов'язковим мінімумом»?
- Для кожного виду конфіденційних даних «мінімум» буде свій.
Захист відомостей управлінського обліку вимагає систем шифрування і резервного копіювання, а також систему посиленого захисту доступу (за допомогою відбитків, спеціальних ключів і т.п.).
Для бухгалтерського обліку компаніям зазвичай вистачає системи резервного копіювання даних, тому що ці відомості передаються контролюючим органам в обов'язковому порядку.
Для тих, хто використовує «Клієнт-Банк», «мінімум» - система шифрування і електронні ключі.
І у всіх випадках, звичайно, необхідна антивірусний захист.
- Чи є специфіка при роботі саме з продуктами системи 1С: Підприємство?
- Дійсно, дуже часто конфіденційна інформація міститься в інформаційних базах 1С: Підприємство, але з технічної точки зору для нас не важливо, яким чином обробляються дані. Ми забезпечуємо безпеку в системах, побудованих на будь-яких платформах. Якщо ж безпосередньо відповідати на питання, то так. Є специфіка. Ми її добре знаємо і завжди враховуємо при розробці систем захисту інформаційних активів.