Скрытые и явные угрозы
Количество угроз информационной безопасности бизнеса постоянно растет. Но, как правило, о методах защиты вспоминают после того, как важная корпоративная информация уже стала достоянием третьих лиц. Учитывая, что общий уровень экономической безопасности предприятия напрямую зависит от степени информационной защиты, вынужденное сокращение в условиях кризиса данной статьи расходов в корпоративном бюджете может привести к потерям, сумма которых значительно превысит размер сэкономленных средств.
Информационная безопасность — это не только антивирусы, "файерволы", IDS, IPS, DLP-системы и т. д., а обеспечение безопасности — задача не одних лишь сотрудников IT-отдела и службы информационной безопасности. Наибольшую угрозу сохранности корпоративной информации представляет человеческий фактор, то есть низкий уровень IT-грамотности персонала (на данную категория угроз приходится около 4/5 общего ущерба, в том числе вследствие недостаточного уровня подготовки IT-специалистов). Этому благоприятствует отсутствие на предприятиях политики безопасности, в частности градации информации по степени конфиденциальности и доступности. Очевидно, назрела необходимость введения тестов в сфере информационных технологий для определения знаний и навыков персонала. Говоря о проблеме в целом, нельзя не отметить еще одну важную причину, заключающуюся в неосведомленности руководителей компаний в области IT и информационной безопасности. Сегодня эти технологии часто воспринимаются ими как затратные и не влияющие на бизнес, что, в принципе, неверно.
Впрочем, обученные IT-специалисты и грамотные пользователи — еще не гарантия защиты, так как взлом корпоративных баз данных уже стал подпольной индустрией. Это видно по резко изменившемуся характеру вредоносных программ. Еще недавно атаки вредоносного программного обеспечения (ПО) наносились по методу коврового бомбометания — в кого-то да попадет. Но этот метод позволял антивирусным лабораториям сравнительно быстро получать образцы вредоносного ПО. Сегодня выгоднее наносить точечные удары, используя методы социальной инженерии. Все чаще вредоносное ПО пишется под крупную фирму, точнее под конкретных сотрудников, с учетом их интересов. Это гораздо сложнее, требует больших усилий и средств, но и результат близок к 100%, поскольку такое ПО почти невозможно обнаружить с помощью антивирусных программ. Подобным угрозам можно противопоставить только обучение персонала методам противодействия, а также максимальное ограничение прав пользователей и внедрение мер проактивной защиты. То есть, следует создавать условия, при которых злоумышленникам становится экономически невыгодно атаковать предприятие.
Отдельно стоит остановиться на угрозах корпоративной информационной безопасности, исходящих от сотрудников, которым объявлено об увольнении. Во время экономического кризиса эта проблема является очень актуальной и усугубляется тем, что на предприятиях принципы и положения о коммерческой тайне часто выполняются лишь формально. Немногие из руководителей отдают себе отчет, что если сотрудник при приеме на работу не подписывал соглашение о неразглашении информации, то, унося с собой после увольнения базу клиентов, он, по сути, ничего не нарушает. А отсутствие подписанного сотрудником положения о коммерческой тайне фактически не позволяет взыскать с него материальный ущерб в судебном порядке.
К отдельной категории угроз специалисты в области информационной защиты относят так называемую "инициативную вербовку", когда сотрудник по собственной инициативе собирает те или иные сведения для продажи конкурентам. По статистике в европейских компаниях около 60% уволенных сотрудников уносят корпоративную информацию. В украинских же реалиях менеджеры при переходе на другое место работы считают чуть ли не своим долгом скопировать базу клиентов, которых они поддерживали.
Еще одна категория угроз — отсутствие политики регламентации использования сотрудниками технических устройств (ноутбуки, мобильные телефоны, флеш-носители), на которых может содержаться корпоративная информация. А ведь по статистике только в США командированные сотрудники еженедельно теряют в аэропортах более 10 000 ноутбуков, на жестких дисках которых содержится важная, как правило, незашифрованная информация.
Следовательно, учитывая современные вызовы и угрозы сохранности корпоративной информации, на каждом крупном предприятии должно быть если не подразделение, то хотя бы определенный специалист в сфере IT-безопасности. Этот человек (отдел) должен напрямую подчиняться первому лицу в компании и иметь рычаги для внедрения решений в области комплексной информационной защиты. Как вариант, за аудит и обеспечение IT-безопасности может взяться специализирующаяся в этой области сторонняя компания, что, впрочем, не всегда избавляет от необходимости создавать собственную службу по информационной безопасности. Сегодня же не редкость, когда всю работу по обеспечению IT-безопасности осуществляет системный администратор IT-подразделения, а внедрение технологий безопасности проводится методом латания дыр.