Среди поволжских компаний среднего и малого бизнеса интерес к обеспечению информационной безопасности (ИБ) минимален. В первую очередь потому, что это требует значительных ресурсов и проникновения в целый ряд смежных сфер — таких, например, как подбор персонала или профилактика производственных угроз. В такой ситуации потребителю и производителю услуг трудно точно определить, какие именно работы необходимо провести и в каком объеме они должны быть оплачены.
Один из наших экспертов отметил, что на обеспечение ИБ большинство компаний либо вообще не выделяют средств, либо финансируют данное направление по остаточному принципу.
Соединение недоступно
В любой современной компании нормальная работа во многом зависит от защищенности и непрерывности доступа к базам данных (сотрудников, клиентов, поставщиков), к различным видам отчетности, а также к технической или финансовой информации. Негативные примеры известны и даже имеют хрестоматийно-показательный характер, но их адресная привязка обычно не разглашается.
Так, у одной из типографий возникли серьезные проблемы с загрузкой печатного оборудования в связи с механическим повреждением кабеля, с помощью которого осуществлялся доступ в Интернет. Подчеркнем: необходимая информация не была украдена или повреждена, был лишь утрачен доступ к ней. При той схеме работы, которой пользовалась компания (макеты и заготовки заказчиков выкладывались на находящийся в Москве сервер, откуда эти данные по сети поступали в типо-графию), этого оказалось достаточно, чтобы заблокировать все бизнес-процессы. Альтернативный канал доступа к серверу был в итоге найден, но сроки исполнения некоторых заказов были сорваны, что привело к ощутимым потерям — как финансовым, так и репутационным.
Предотвратить подобные инциденты не так уж трудно: вполне достаточно создать резервный (желательно беспроводной) канал доступа в Интернет. Но в рассматриваемом случае пошли по другому пути: сервер переместили из Москвы по месту расположения типографии, предусмотрев при этом, что в случае недоступности Интернета необходимую информацию уполномоченный сотрудник снимет вручную. Как показал опыт, данное — минимальное по стоимости — решение типографию выручило, но на это ушло много времени.
Самым распространенным нарушением ИБ является полная или частичная потеря информации, что, конечно, отрицательно влияет на бизнес-процессы. Такие неприятности могут произойти по разным причинам: в результате ошибки персонала или злого умысла как сотрудников компании, так и конкурентов. Коварную роль нередко играет и низкая стабильность электроснабжения. В этих случаях можно подстраховаться созданием в корпоративной локальной сети максимально защищенного (как от внешних воздействий, так и от неосторожных действий неподготовленных пользователей) файл-сервера для хранения важной информации. Для такого рода решения применяется программное обеспечение, позволяющее ограничить доступ к информации в зависимости от потребностей и квалификации пользователей, а также различное аппаратное обеспечение, например — источники бесперебойного питания.
Наиболее же адекватный способ обеспечения информационной безопасности — с учетом специфики конкретной компании — лучше определить с помощью компании-интегратора, владеющей базовыми решениями в сфере автоматизации производственной деятельности. «Тут самое важное — снизить риски потери данных, а также перерывов или простоев в работе предприятия, — утверждает начальник отдела информационной безопасности компании ‘‘Эксклюзивные решения’’ (Тольятти) Антон Абаньков. — А самое трудное — определить состав информации, критичной для данного бизнеса, и выделить ее в отдельный массив. Ведь данные, сосредоточенные в одном месте, защитить проще и дешевле».
Подарки конкурентам
Утечка информации — риск, грозящий многим предприятиям. Один из самых ярких примеров — распространение базы банковских проводок Центробанка РФ в 2005 году. Информация, составляющая банковскую тайну, до сих пор продолжает появляться в продаже. Так, на одной из конференций было обнаружено объявление о продаже подобной базы данных, датированное 26 сентября 2006 года. В результате этого хакерства был нанесен огромный вред банковской системе — прежде всего, подорвано доверие к ней.
Непредсказуемые негативные последствия может иметь утечка внутренней информации к конкурентам. Например, известен случай, когда в одной небольшой компании при обновлении программ нанятый для этого человек унес с собой на флэш-накопителе бухгалтерскую базу данных, включающую списки клиентов и поставщиков, а также информацию по закупкам и продажам. Не избежало неприятностей и другое предприятие, казалось бы, неплохо защищенное — там было запрещено проносить практически все носители информации, включая дискеты, компакт-диски и даже сотовые телефоны, зато отсутствовал контроль за использованием электронной почты и других ресурсов сети Интернет.
Проблемы ИБ особенно трудно решаются, если кроме применения аппаратно-программных средств необходимо регламентировать работу с персоналом, включая связи, выходящие за пределы территории компании. По мнению главного инженера самарской компании «Парус» Андрея Колпащикова, в подобных ситуациях следует добиваться такого уровня защиты, который позволил бы приравнять выгоду от украденной информации к стоимости проведения операции по ее изъятию из защищенной структуры.
«Письма счастья»
Нарушением безопасности также принято считать использование информационных ресурсов предприятия в личных целях: отсутствие контроля в этой сфере может нанести серьезный ущерб бизнес-процессам.
Классический тому пример: сотрудникам одной компании по электронной почте пришло письмо с настоятельным предложением установить приложенную программу, которая блокирует якобы начавшуюся эпидемию компьютерного вируса. Когда люди, причислявшие себя к продвинутым пользователям, выполнили рекомендацию, корпоративная сеть оказалась зараженной «почтовым червем», в результате чего за сутки из офиса ушло 15 гигабайт информации. Интернет-провайдер был вынужден отключить предприятие от сети, а внутрифирменная «санация» потребовала приглашения дорогостоящего специалиста и приостановки деятельности компании на целый день.
Между тем внедрение даже элементарных средств контроля и ограничения доступа позволяет в разы уменьшить расходы на устранение последствий неконтролируемого информационного обмена. Но тут важно не перегибать палку. Чрезмерные ограничения, которые чаще всего объясняются неверной оценкой потребностей бизнеса, тоже могут затруднить деятельность компании.
Оценивая состояние информационной безопасности в компаниях малого и среднего бизнеса, эксперты отмечают, что этой сфере уделяется явно недостаточное внимание. Так, по словам директора направления сервисных решений «Лаборатории Касперского» (Москва) Андрея Никишина, топ-менеджеров, которые хорошо осведомлены о методах защиты информации, не более 10—15%. Причем в восьми случаях из десяти нарушения ИБ связаны с ошибками, совершенными недостаточно квалифицированными пользователями компьютеров.
Большинство решений по обеспечению ИБ можно назвать стандартными. Как правило, они интегрированы в системное программное обеспечение. Однако даже эти доступные средства либо не используются вовсе, либо применяются лишь частично — «человеческий фактор» тут играет злую шутку. Но выход найти можно: малым и средним предприятиям есть смысл передать всю сферу информационной безопасности на аутсорсинг. Иначе говоря, в ведение профессионалов, которые готовы не только внедрить меры защиты, но и нести ответственность за их эффективность.