Трещины в корпоративной стене

Защита собственных баз данных пока не особо волнует украинские компании. Хотя перспективы развития рынка информационной безопасности (ИБ) в стране выглядят не столь уж безнадежно.

Проблемы защиты информации в современном мире выходят едва ли не на первый план в работе многих компаний из различных сфер деятельности. И неудивительно – ведь потеря каких-либо конфиденциальных данных практически всегда оборачивается для компании серьезными убытками, вплоть до полного закрытия бизнеса, а желающих эту самую информацию заполучить - превеликое множество.

Как украинские компании относятся к защите информации? Если судить по недавнему опросу, проведенному компанией SearchInform среди более сотни представителей государственных и коммерческих организаций Киева, в абсолютном большинстве случаев отношение весьма халатное и безразличное.

Более 70% опрошенных вообще не используют в своих компаниях комплексные системы защиты. Хотя при этом существенная часть респондентов (37%) уже столкнулась со случаями утечки информации.

"На мой взгляд, большинство руководителей считают структуры ИБ скоплением "дармоедов", которые лишь тратят их деньги. Это относится как к государственному сектору (где руководство вынуждают создавать такие подразделения), так и к частным предприятиям. Несколько лучше ситуация в финансовом секторе, в частности - в банковском, поскольку НБУ принял в качестве отраслевого стандарта ISO 27001/ISO 27002. Теперь многие организации всерьез задумались о работе в этом направлении, да и сам стандарт внес некоторую ясность в понимание существующих проблем", - считает Алексей Гребенюк, Senior Information Security Consultant.

По его мнению, ситуация с ИБ в Киеве пока далека от желаемой, что объясняется отсутствием единой нормативной базой в области информационной безопасности. "Наличие достаточно противоречивого набора НД ТЗИ не закрывает ту зону, которую в мире закрывают стандарты группы ISO 27001. Более того, большое количество организаций, предлагающих услуги в области ИБ, просто не обладают достаточной квалификацией в данном вопросе", - подчеркнул А. Гребенюк.

При этом известны случаи утечек, которые происходили по вине самих топ-менеджеров, которые просто не осознавали последствий своих действий. Реакция компаний была проста и предсказуема: инцидент замалчивался, а виновных увольняли.

Какие документы обычно уходят на сторону? Инсайдеров, то есть сотрудников, которые «выносят» из компании конфиденциальные данные, интересует обычно то, что можно с выгодой использовать - например, продать конкурентам. Это и финансовая отчетность, и списки клиентов, и новые разработки, и годовые бизнес-планы. Сразу стоит уточнить, что мы будем говорить только об инсайдерских рисках утечки информации. Все-таки с внешними угрозами практически все уже научились действенно бороться, да и наличие качественного антивируса – это уже стандарт ведения бизнеса.

А вот борьба с внутренней угрозой – это пока совсем не модно. Доходит до абсурда - представитель одной из киевских компаний как-то в открытую заявил, мол, «мы знаем, что каждый уходящий от нас к конкурентам работник уносит с собой базу данных, но ведь и каждый приходящий от них к нам делает то же самое». Вот такой вот бизнес.

Каналов утечки информации множество. Как говорится, только выбирай. Причем передача файлов может идти и через Интернет, и через обыкновенный принтер, на котором будет распечатана, например, база данных клиентов.

Возвращаясь к опросу SearchInform, заметим, что самым популярным способом «контроля» каналов связи в киевских компаниях является блокировка доступа к каким-либо сервисам (применяется в 78,8% случаев). Социальные сети запрещены в компаниях 38,6% респондентов, ICQ - у 18,2%, Skype - у 20,5%. Хотя внешняя электронная почта не одобряется лишь в 11,4% случаев.

Меньшая доля столичных компаний предпочитают не запрещать, а контролировать определенные каналы возможной передачи конфиденциальной информации. Программы для быстрой передачи сообщений (ICQ, Jabber и др.) проверяет лишь каждый пятый (19,4 %). HTTP-протокол контролируется лишь у 18 % опрошенных, передача данных на внешние носители информации – у 12,5 %, Skype и вовсе у 8,3%; документы, отправляемые на печать – у 5,5%.

Какими бы высокими ни были показатели контроля, совершенно ясно, что если они не будут равны 100%, лучше вообще не заниматься таким «контролем». Согласитесь, глупо закрывать калитку на три замка, если вокруг калитки нет забора. Так и с информационной безопасностью: контролируя лишь часть из возможных каналов утечек, компании просто теряют время и средства.

Решением в данном случае являются комплексные системы защиты информации – так называемые DLP-системы (от англ. Data Leak Prevention – «предотвращение утечек данных»). Принцип их работы заключается в фильтрации абсолютно всего трафика, который есть в компании – как сетевого, так и тех документов, что отправляются на печать. Важное преимущество подобных систем – полная автоматизация, то есть не нужно содержать целый отдел, отвечающий за информационную безопасность – достаточно всего нескольких грамотных специалистов по ИБ.

Различные DLP-системы уже успели зарекомендовать себя на мировом рынке, однако их распространение в Украине проходит весьма медленно. Как полагают эксперты, главная причина даже не в относительной дороговизне программ, а, скорее, в наплевательском отношении руководителей компаний, работающих по принципу «авось пронесет!».

"В нашей стране еще не все владельцы бизнеса осознают риски, связанные с информационными активами их структур, - считает Георгий Кузнецов, ведущий специалист Департамента по защите информации одной из крупных киевских компаний. - Давайте не будем забывать, что бизнес в Украине давно сегментирован и имеет вполне конкретных владельцев. На местах принимают решения нанятые менеджеры, и там стоят совсем другие задачи. В рамках принятых стратегий, как правило, ИБ не получает достойной поддержки и, как следствие, - отсутствие бюджетов и квалифицированных специалистов на местах".

Хотя определенные сдвиги все же наблюдаются. Не в последнюю очередь из-за того, что число организаций, уже неоднократно столкнувшихся с утечкой данных, растет. Как отметил эксперт, украинский рынок информационной безопасности находится на весьма невысоком уровне развития, однако обладает неплохими перспективами и должен в скором времени начать выходить «из тени».

Важную роль в развитии информационной безопасности в стране играет сообщество Ukrainian Information Security Group (UISG), работающее совместно с киевским отделением ISACA. Эти компании регулярно проводят в Украине конференции по актуальным для отрасли ИБ проблемам. Также в Киеве регулярно проходят обучающие семинары по информационной безопасности уже упомянутой выше компании SearchInform, где эксперты компании делятся с руководителями украинских организаций и специалистами по ИБ своим опытом (практическими методами) предотвращения утечек информации и противодействия инсайдерской деятельности.

Важными шагами в движении к цивилизованным мировым стандартам защиты информации является появление в прошлом году закона о защите персональных данных, а также активность Национального банка Украины в вопросе создания систем управления информационной безопасностью.

Тем не менее, любая инициатива сверху должна, в первую очередь, быть поддержана теми, кто заинтересован в ее реализации. А там пока существуют определенные «трудности перевода». Результаты ранее упомянутого опроса показали, что даже банальный инструктаж по вопросам информационной безопасности пока не проводят более 30% руководителей организаций Киева.