Казалось бы, объяснять ценность той или иной информации бизнесменам не нужно — периодически приходится слышать о том, что предприниматель А заплатил господину Б за информацию о конкуренте кругленькую сумму денег. Однако в вопросах информационной безопасности все не так однозначно. Большая часть бизнесменов не спешат защищать данные о деятельности своих компаний, предпочитая верить, что у них все в порядке, рассказал «ВК» доцент кафедры прикладной математики и информационной безопасности в политехническом институте СФУ Владимир Булин.
Железный вопрос
Начнем с простого. Или, наоборот, со сложного. Что же такое информационная безопасность в бизнесе?
Здесь все довольно непонятно. В госструктурах и тех же силовых ведомствах все вроде бы обосновано и прозрачно в этом плане — институт государственной тайны прописан очень хорошо. А вот что касается коммерческой тайны, защиты информации, критичной для бизнеса, то здесь не все ясно. Первая причина этого состоит в том, что до сих пор не понятно, что же такое информация. Вот вы знаете?
Смею предположить, что это все, что нас окружает...
Согласен, мы познаем мир исключительно через получаемую о нем информацию. Рассуждения, конечно, весьма философские, но без них никак. Это непонимание, кстати, рождает и еще один вопрос, на который приходится с завидной частотой отвечать: сколько стоит информация? Ни бизнесмен, ни аудитор, ни кто-либо еще не может ответить на этот вопрос.
Я так понимаю, это отражается, с вашего позволения, на спросе на информационную безопасность?
Совершенно. Не каждый бизнесмен понимает ценность информации. Соответственно, предприниматели чаще всего не понимают, сколько денег нужно вложить в ее безопасность и почему именно столько. Вот и выходит, что ниша услуг по информационной безопасности сводится к установке антивирусов и межсетевых экранов. Ну и в некоторых более продвинутых случаях еще и криптосредств.
А на самом деле? Из чего складывается информационная безопасность?
Есть как минимум три части: законодательная база, установленные и принятые в компании правила игры и техническая часть. Ну и особняком стоит так называемый человеческий фактор.
К человеку вернемся позже. Сейчас давайте по первым трем.
Давайте. Законодательная база. Там все относительно ровно и спокойно. Есть закон, определяющий понятие коммерческой тайны и работу этого института. К тому же сейчас государство решило наконец-то навести порядок в сфере персональных данных. И тут уже возникают новые задачи — что закрывать, как и зачем. Пока внятных ответов на эти вопросы нет. Примерно то же происходит и с технической частью — есть масса различного оборудования, но нет понимания, как его использовать.
В каком смысле нет понимания, как использовать?
В прямом. Я уже говорил — не каждый бизнесмен понимает ценность информации о своем предприятии. Соответственно, не каждый готов платить за ее безопасность. А по техчасти суммы немалые.
Это сколько?
Понимаете, в вопросах информационной безопасности все идет не от «железа», а к «железу». Это надо понимать. Когда заходит речь об организации системы безопасности на предприятии, первое, что делается, — проводится аудит по классификации информации. Есть несколько классов секретности информации. И нужно понять, какие классы и в каком объеме присутствуют в компании. На основе этих данных вырабатывается оценка класса информационной системы. И только исходя из него формируется тот перечень «железа», который необходим. Если мы защищаем персональные данные — это один ценник. А вот если мы защищаем информацию высокого уровня секретности (обороты компании, ее стратегические планы, ее технологические процессы, ее бизнес-процессы) — то тут ценник уходит в миллионы рублей. Вообще расходная вилка при организации технической части системы информационной безопасности может варьироваться от 1,5 тысячи рублей (самый простой маршрутизатор с межсетевым экраном) до нескольких миллионов. Но надо понимать, что стоимость сохранности информации — это вопрос стоимости знаний, а не стоимости «железа». Любое оборудование требует постоянного обслуживания — без этого оно со временем станет бесполезно. Другое дело, что зачастую предприниматели покупают не реальную безопасность, а некое подтверждение надежности их системы, некий сертификат, по сути «фантик».
В смысле, он ничего не значит?
Да, чаще всего. Вот был у нас пример. В одной достаточно крупной компании купили дорогущий сертифицированный межсетевой экран. Стоил он 200 тысяч рублей. И тогда, и сейчас — это весьма дорого. Купили. Поставили. Все работает и работает, на первый взгляд хорошо. Когда спустя некоторое время начали проверять, что происходит с системой информационной безопасности, оказалось, что этот межсетевой экран некоторое время не функционирует. То ли «сломился» сам, то ли «сломили». Но факт — толку от него ноль. Тогда очень быстро нашли решение с помощью свободно распространяемого программного обеспечения, а эта дорогая игрушка ушла сначала на второй план, а потом про нее и вовсе забыли. Вот вам и сертификация — ценник велик, а проку без адекватного обслуживания практически нет.
Молчание начальства
А часто покупают сертификат, ну или «фантик», а не реальную безопасность?
Да чаще всего. Куда проще купить оборудование, поставить его и успокоиться, чем постоянно следить за происходящим и оперативно реагировать. По большому счету реальную безопасность вообще купить невозможно — ее можно только осознать и принять как правила игры.
Почему же тогда покупают именно «железо»?
Причин ровным счетом две. Первая — «фантик». Вторая — «железо» понятнее. Хотя порой даже это бизнесмены делают неохотно. Почему? Да потому, что очень сложно найти причину, когда затраты на обеспечение информационной безопасности будут окупаться.
Так, может, просто не воруют информацию?
Вы серьезно? (Смеется.) Воруют, и еще как. Посчитать, сколько, допустим, за год было случаев несанкционированного доступа к секретной бизнес-информации, сколько компании потеряли на этом, очень сложно. Понимаете, преступления в сфере информационной безопасности высоколатентны. Да и редко кто из самих бизнесменов признается, что у него что-то украли, — это поставит под удар репутацию. При этом даже после того, как это произошло, они не спешат закрывать дыры.
Был случай. Есть в городе одна компания, не буду говорить какая, но очень известная. Когда мы предложили им поработать над информационной безопасностью, руководитель компании сказал: «У меня все в порядке. Покажите обратное — и поговорим». Мы ушли и весьма нехитрым способом и с некритичными усилиями добыли определенную информацию, которая отчасти официально уходила с их предприятия. Начальство при этом даже не догадывалось о том, что это происходит. Меж тем на предприятии стояло современное оборудование, но оно не было должным образом настроено, и любой человек мог получить доступ к информации компании.
Так, может, информация была не критичной?
А что такое критичная информация? То, что у вас изжога, — это не критичная информация? Нет? А если вас накормить определенными продуктами и спровоцировать острый гастрит? А то, что руководитель падок на женщин или любит спиртное? Вообще, любая информация, которая может вывести руководителя из игры, отодвинуть на время от управления компанией, является критичной. Одной из самых критичных в этой ситуации является, например, его карточка в поликлинике. Вот уж где должен быть организован жесточайший контроль. А привычки — это не критическая информация? Знаете, как был украден секрет пороха? Человек просто сидел и считал вагоны, приходящие на завод с углем, серой и другими компонентами. Так и вычислили пропорции пороха.
И часто ли воруют информацию?
Трудно сказать. В законе хищение информации прописано довольно странно. Знаете, судьи на первых процессах не могли понять, что такое кражи информации. Для них кража — это когда что-то перенесли из точки А в точку Б и в точке А это пропало. А здесь все не так — вроде перенесли, а вроде и в точке А и не пропало вовсе. Многие, кстати, до сих пор не понимают, о чем идет речь. С другой стороны, я уже говорил, предприниматели склонны скрывать факты хищений всего, в том числе и информации. Еще один аргумент — «у нас ничего не было, поэтому мы считаем, что у нас все в порядке». Они реально верят в это. И аргументы, что до первого ядерного взрыва никто не знал о существовании проникающей радиации, но она же была, на них не действуют.
А куда смотрят специалисты по информационной безопасности?
Ну, во-первых, они не везде есть. А во-вторых, даже когда они появляются на предприятии, им просто не дают нормально работать. Их воспринимают как назойливых мух — они бегают и надоедают разговорами, что что-то не так, что-то надо менять. Чаще всего от этих их увещеваний отмахиваются — все ведь работает, значит, проблем нет. Вот когда случится, тогда и будем думать. А как ты узнаешь, что что-то случилось, если у тебя на предприятии нет учета информации? Может, это опять «железо» подвело — как и думают многие. Вот вам пример. В одной организации края произошел инцидент — один из сотрудников перевел 250 тысяч евро на счет в другом банке в Москве. Тогда успели заблокировать эту операцию, причем только в Москве, в банке, куда перевели деньги. После этого случая компания заказала полный информационный аудит. Когда его провели, обнаружили массу дыр, в том числе и недостаточное резервное копирование. Когда объявили об этом, нам сказали: «Ничего подобного, у нас с этим все в порядке». Аудиторы ответили, что дальше это уже их дело — мы аудиторы, мы нашли и показали. А через пару месяцев у этой компании «падает» (ломается. — «ВК») сервер с базой данных. А ее резервная копия хранилась на том же устройстве. Все, работа парализована.
То есть даже после случаев потерь из-за проблем с информационной безопасностью многие бизнесмены не понимают ценности этого ресурса?
Не понимают. Причем, даже заплатив несколько десятков тысяч долларов за аудит, не спешат использовать его результаты.
И много теряют на этом?
И снова тот же ответ — трудно сказать. Учета-то не ведется. Сколько денег потеряла организация из прошлого примера на невозможности обслуживать клиентов — неизвестно, но точно не один миллион. Вот вам еще пример. Два предприятия. Одно уже работает, другое только готовится к выходу на рынок. Тут у первой компании появляются соседи — небольшая фирма, которая и занимается-то не бог весть чем. Эти ребята как бы решают сэкономить на Интернете и просят руководителя предприятия подключиться через их сеть. Тот, недолго думая, выдает им порт в хабе своей компании. А это ровным счетом означает одно — что соседи получают доступ ко всей сети предприятия. Потом уже, когда стали проверять, что происходит, выяснилось, что эти ребята просто скопировали все автокадовские файлы компании и отправили их по электронной почте. А это вся технологическая информация о процессе производства. Ее украли. Когда сообщили об этом руководству, оно объявило, что секретов нет. Вопрос — сколько потеряло предприятие на том, что технологическая информация ушла к конкурентам. Кстати, в последующие годы на рынке появилось еще несколько предприятий из этой же сферы, да еще и работающих по похожим схемам. Какой это убыток нанесло хотя бы в части упущенной выгоды за несколько лет? Речь точно идет о десятках, если не сотнях миллионов рублей.
Бескультурная безопасность
Правильно ли я понял из всего вышесказанного, что главное звено в деле обеспечения информационной безопасности — это человек, в частности руководитель?
Не обязательно руководитель. Конечно, от него очень многое зависит. Вообще, что важнее в этом деле: современнейший софт и «железо» или нормальный, жесткий руководитель, понимающий ценность информации, — вопрос открытый. Я в своей практике встречал и те, и другие компании. Причем если судить по вложениям денег, то второй путь все же эффективней.
И как это работает?
А очень просто. Смотрите, когда руководитель понимает ценность информации и следит за ее сохранностью, то эта политика постепенно распространяется на всю компанию. И это реально работает. Если же информация и безопасность не ценятся, то это как дизентерия — болеть будут все. К примеру. На входе в офис сменяется охранник. Он еще не знает всех в лицо и в один прекрасный момент спрашивает пропуск у генерального директора. Нормальный директор покажет и пойдет дальше. А у нас же зачастую происходит что: «Ты разве меня не знаешь, да я такой-то» и пошел себе. Все. Первый барьер пройден. Дальше дело техники.
Вот вы сказали «не обязательно руководитель». А кто еще?
Да кто угодно. Понимаете, вообще информационная безопасность — это не всегда удобно. Например, пароль для входа в компьютер должен быть длиной минимум 8-10 символов и периодически сменяться. Ну кому это надо? Та же секретарша чаще всего не хочет запоминать его и менять, а через ее компьютер проходят все документы компании. Получи к нему доступ — и ты будешь знать обо всем, что происходит.
А системный администратор?
Ну, это самый мощный ресурс утечки, если таковая происходит. К сисадминам ведь зачастую относятся не лучшим образом — для руководителей это компьютерщики. В свое время бывали случаи порчи данных, но это отходит. Сейчас их чаще используют как инсайдеров — причем при попытке несанкционированного доступа к информации это первая цель, так как этот человек обладает полным доступом ко всей сети компании. И это не говоря еще об их ошибках в работе, которые вообще могут открывать мощный доступ к любым ресурсам. Да и сами администраторы производящих аудит чаще всего воспринимают как врагов и иногда пытаются чинить препятствия. Меж тем протоколы аудита — это для них своеобразная страховка — в них указаны слабые места и необходимый объем вложений, чтобы закрыть их. Если что-то произойдет, у системного администратора на руках будет заключение, которое оградит его от претензий руководства, ведь по сути это оно отказалось вкладывать средства в штопанье дыр.
Когда вы говорили о несанкционированном доступе к информации, имели в виду рейдерские захваты?
Не только — конкуренты, силовые структуры, да все, кому могут быть интересны данные о компании. Если же говорить о рейдерах, то здесь человеческий фактор выступает первой ступенью входа на предприятие. Сейчас без предварительной подготовки, без сбора информации, без ее анализа они не действуют. Да, сначала анализируется открытая информация, а потом уже начинается поиск инсайдеров, через которых получается доступ к информационным ресурсам компании. Вообще, любой обиженный сотрудник, будь то секретарша, менеджер, не говоря уж о бухгалтерах, является самой надежной точкой утечки информации. Тут еще раз стоит вспомнить о вложениях в «железо» и программное обеспечение. По сути, они вообще не играют роли — через человека можно попасть куда угодно. А бесплатный софт, которым сейчас набит Интернет, позволяет взламывать компьютеры после получения доступа к ним.
Железо и ПО особой роли не играют, человек — существо непредсказуемое, его, в конце концов, можно запугать. Так есть ли шансы обезопасить информацию, предотвратить ее возможную утечку?
Это сложно. Техническая часть обеспечить этого не может — в общем объеме эффективности системы информационной безопасности «железо» занимает лишь 10-15 %. Единственный способ избежать утечки информации — это культура, осознание, зачем люди это делают. Иначе все остальное бесполезно. Вот смотрите, в силовых структурах, в которых с вопросами безопасности все много лучше, чем в бизнесе, техничка убирается только в присутствии хозяина кабинета. В офисах же чаще просто уходят во время уборки. И это лишь один из элементов культуры информационной безопасности. Вообще, в ряду специалистов по безопасности существует такая поговорка: «Безопасность не продукт — это процесс». Это означает ровно одно — над ней надо все время работать. Программные продукты изменяются. Новые вирусы, «трояны» появляются с завидной регулярностью. Почему-то необходимость регулярного обновления антивирусов не вызывает сомнения. А постоянное совершенствование системы информационной безопасности — вызывает.
Досье «ВК»
Владимир Булин
Родился 20 января 1972 года в Красноярске.
В 1994 году окончил радиотехнический факультет Красноярского государственного технического университета по специальности «радиоинженер».
После окончания вуза до 2001 года работал в ГУВД по Красноярскому краю в управлении по борьбе с преступлениями в сфере высоких технологий.
С 2001 года работал в подразделении компании «Сибирьтелеком» заместителем директора по информационной безопасности.
2006-2008 годы — ЗАО «Камитек», руководитель центра инженерных решений.
С 2007 года — доцент кафедры прикладной математики и информационной безопасности в политехническом институте СФУ.
Евгений Волошинский, «Вечерний Красноярск», №14 (255)