Миллиардный утекай

07:00 — 28.08.2012

Александр Шальнов

Миллиардный утекай

Автор фото: Юрий Правдин и Станислав Редошкин

Миллиардный утекай

07:00 — 28.08.2012

Александр Шальнов

Половине российских предприятий среднего и малого бизнеса не хватает денег для борьбы с киберугрозами — к таким выводам пришли эксперты «Лаборатории Касперского». Большие же компании хоть и вкладываются в информационную безопасность, но пока не могут обеспечить стабильно надежной защиты своих коммерческих тайн. По оценкам компании Zecurion, разрабатывающей в том числе и средства защиты данных, по итогам 2011 года суммарный ущерб российских компаний от утечки информации составил 1 миллиард долларов.

Дешевле предохраняться

Среди самых громких инцидентов прошлого года можно вспомнить утечку сведений о более чем полутора миллионах абонентов МТС, публикацию персональных данных на сайте Пенсионного фонда РФ и обнародование клиентской базы нескольких интернет-магазинов. При этом, отмечают IT-специалисты, о подавляющем большинстве фактов (до 99 процентов!) потери конфиденциальной информации так и не станет известно ни общественности, а в некоторых случаях даже самим компаниям. С учетом этого общий ущерб российского бизнеса по итогам 2011 года достигает примерно 3 миллиардов долларов.

В целом, по мнению все тех же специалистов из Zecurion, вместе с ценной информацией из компаний во всем мире утекло около 20 миллиардов. В среднем каждый инцидент обошелся фирмам в 25 с лишним миллионов «зеленых», при этом скомпрометированными оказались данные более чем 350 миллионов человек.

Если так все плачевно, то где же нужно искать дыры, через которые уходят и данные, и деньги?

Аудит окупится с лихвой

— На самом деле основная угроза безопасности любой компании — это люди, — предупреждает победитель всероссийских межвузовских соревнований в сфере информационной безопасности VolgaCTF-2012 в составе команды «M-RF» (ННГУ) Сергей Кочанов. — Сколько обучающих семинаров ни проводи, результат всегда один: люди хранят свои шестисимвольные пароли в файлике на рабочем столе и всегда готовы пройти по незнакомой ссылке. Это прискорбно, но факт.

Действительно, листочек с паролем, наклеенный на системный блок компьютера, — не лучший способ сохранить информацию, и, несмотря на это, такой странный метод шифрования данных встречается повсеместно. Но относительная тщетность попыток IT-специалистов совсем не означает того, что компании не должны заниматься пропагандой здорового информационного образа жизни среди своих сотрудников. Это похоже на борьбу с курением.

— Нужно, чтобы каждый понимал свою персональную ответственность в деле обеспечения безопасности компании и выполнял обязательные правила. Кроме того, стоит обратиться в организации, которые проведут аудит безопасности. Уверяю: расходы на его проведение с лихвой окупаются сохраненными средствами и репутацией, — дает совет Сергей Кочанов.

Личный комп требует капитальных инвестиций

Немалую угрозу таят в себе личные компьютеры сотрудников, которые они используют для работы. Явление стало настолько распространенным, что даже получило свое название «консьюмеризация». Это сложно выговариваемое понятие возвело проблемы IT-безопасности на совершенно новый уровень, о чем пока в российских компаниях практических не догадываются.

Риск утечки данных в таких ситуациях очевиден. Руководители некоторых фирм отвечают запретами на использование принадлежащих сотрудникам устройств в рабочих целях, но, отмечают эксперты, это приводит к совершенно обратным результатам, ведь консьюмеризация IT неминуема.

Большие западные компании решили пойти от противного в борьбе с этой проблемой, то есть, наоборот, стали всячески поощрять использование личных технических средств сотрудниками в работе и были крайне удивлены результатами. Как оказалось, консьюмеризация IT повышает производительность труда работников и их лояльность к предприятию. Ведь постоянно имея под рукой компьютер или планшет, сотрудник работает там, где ему удобно, и не чувствует жесткой привязанности к рабочему месту. Это позволяет ему ощущать себя более свободным и менее скованным корпоративными рамками.

Понятно, что такую роскошь могут себе позволить только действительно большие и состоятельные компании, потому что средства защиты корпоративных данных на персональных устройствах стоят недешево и требуют капитальных инвестиций. С учетом того, что 30 процентов представителей малого и среднего бизнеса в России не используют даже антивирус, у нас об этом пока не может быть и речи…

Мнения

Айгуль Сенченко, региональный менеджер по связям с общественностью компании HEINEKEN в России:

— Помимо технических методов обеспечения информационной безопасности и защиты от утечек конфиденциальных данных, таких как система DLP (data loss prevention), или антивирусных программ и спам-фильтров, в нашей компании внедрены системы административной защиты. Все сотрудники, пользующиеся компьютерами, проходят обязательный вводный инструктаж в IT-отделе. Организовано периодическое обучение правилам информационной безопасности.

Доступ к большинству развлекательных ресурсов и ко всем ресурсам, представляющим угрозу, закрыт для всех пользователей. Также мы не поддерживаем пока практику использования личных устройств для доступа к корпоративным данным. При этом отдельные категории пользователей все же обеспечены мобильными устройствами и ноутбуками для работы с корпоративной почтой и серверными данными, но эти устройства проходят специальную подготовку.

Андрей Цветков, юрист-консультант дирекции по управлению дивизионом «Волга» ОАО «ЕВРАЗ Металл Инпром»:

— Под неправомерным доступом к охраняемой законом компьютерной информации следует понимать самовольное получение информации без разрешения ее собственника или владельца. Формы неправомерного доступа могут быть разнообразными: это и вторжение в компьютерную информацию, и ее неконтролируемое распространение, и копирование с носителей.

Успех расследования таких дел зависит от многих факторов: своевременного обнаружения преступного деяния, подготовки компьютерной системы собственника (наличие определенных программ защиты), профессионализма сотрудников внутренних дел, от наличия и характера следов, которые остались на компьютере потерпевшего, и так далее.

Но раскрывать преступления в сфере компьютерной информации очень сложно. Зачастую даже сами потерпевшие организации не всегда обращаются в правоохранительные органы: боятся лишних проверок, потери доверия со стороны своих клиентов (что очень актуально в деятельности банков) и так далее, тем самым помогая преступнику избежать ответственности.

1778

Комментирование данного материала запрещено администрацией.