Миллиардный утекай

Половине российских предприятий среднего ималого бизнеса не хватает денег для борьбы с киберугрозами — к такимвыводам пришли эксперты «Лаборатории Касперского». Большие же компаниихоть и вкладываются в информационную безопасность, но пока не могутобеспечить стабильно надежной защиты своих коммерческих тайн. По оценкам компании Zecurion,разрабатывающей в том числе и средства защиты данных, по итогам 2011года суммарный ущерб российских компаний от утечки информации составил 1 миллиард долларов. Дешевле предохраняться Среди самых громких инцидентов прошлогогода можно вспомнить утечку сведений о более чем полутора миллионахабонентов МТС, публикацию персональных данных на сайте Пенсионного фонда РФ и обнародование клиентской базы нескольких интернет-магазинов. Приэтом, отмечают IT-специалисты, о подавляющем большинстве фактов (до 99 процентов!) потериконфиденциальной информации так и не станет известно ни общественности, а в некоторых случаях даже самим компаниям. С учетом этого общий ущерброссийского бизнеса по итогам 2011 года достигает примерно 3 миллиардовдолларов. В целом, по мнению все тех же специалистов из Zecurion, вместе с ценной информацией из компаний во всем мире утекло около 20 миллиардов. В среднем каждый инцидент обошелся фирмам в 25 с лишниммиллионов «зеленых», при этом скомпрометированными оказались данныеболее чем 350 миллионов человек. Если так все плачевно, то где же нужно искать дыры, через которые уходят и данные, и деньги? Аудит окупится с лихвой — На самом деле основная угрозабезопасности любой компании — это люди, — предупреждает победительвсероссийских межвузовских соревнований в сфере информационнойбезопасности VolgaCTF-2012 в составе команды «M‑RF» (ННГУ) Сергей Кочанов. — Сколько обучающих семинаров ни проводи,результат всегда один: люди хранят свои шестисимвольные пароли вфайлике на рабочем столе и всегда готовы пройти по незнакомой ссылке.Это прискорбно, но факт. Действительно, листочек с паролем,наклеенный на системный блок компьютера, — не лучший способ сохранитьинформацию, и, несмотря на это, такой странный метод шифрования данныхвстречается повсеместно. Но относительная тщетность попыток IT-специалистов совсем не означает того, что компании не должны заниматься пропагандойздорового информационного образа жизни среди своих сотрудников. Этопохоже на борьбу с курением. — Нужно, чтобы каждый понимал своюперсональную ответственность в деле обеспечения безопасности компании ивыполнял обязательные правила. Кроме того, стоит обратиться ворганизации, которые проведут аудит безопасности. Уверяю: расходы на его проведение с лихвой окупаются сохраненными средствами и репутацией, — дает совет Сергей Кочанов. Личный комп требует капитальных инвестиций Немалую угрозу таят в себе личныекомпьютеры сотрудников, которые они используют для работы. Явление стало настолько распространенным, что даже получило свое название«консьюмеризация». Это сложно выговариваемое понятие возвело проблемы IT-безопасности на совершенно новый уровень, о чем пока в российских компаниях практических не догадываются. Риск утечки данных в таких ситуациях очевиден.Руководители некоторых фирм отвечают запретами на использованиепринадлежащих сотрудникам устройств в рабочих целях, но, отмечаютэксперты, это приводит к совершенно обратным результатам, ведьконсьюмеризация IT неминуема. Большие западные компании решили пойти от противного в борьбе с этой проблемой, то есть, наоборот, стали всячески поощрять использование личных технических средств сотрудниками в работе и были крайне удивлены результатами. Как оказалось, консьюмеризация IT повышает производительность труда работников и их лояльность кпредприятию. Ведь постоянно имея под рукой компьютер или планшет,сотрудник работает там, где ему удобно, и не чувствует жесткойпривязанности к рабочему месту. Это позволяет ему ощущать себя болеесвободным и менее скованным корпоративными рамками. Понятно, что такую роскошь могут себе позволить только действительно большие и состоятельные компании, потому чтосредства защиты корпоративных данных на персональных устройствах стоятнедешево и требуют капитальных инвестиций. С учетом того, что 30процентов представителей малого и среднего бизнеса в России неиспользуют даже антивирус, у нас об этом пока не может быть и речи…Мнения Айгуль Сенченко, региональный менеджер по связям с общественностью компании HEINEKEN в России: — Помимо технических методовобеспечения информационной безопасности и защиты от утечекконфиденциальных данных, таких как система DLP (data loss prevention),или антивирусных программ и спам-фильтров, в нашей компании внедренысистемы административной защиты. Все сотрудники, пользующиесякомпьютерами, проходят обязательный вводный инструктаж в IT-отделе. Организовано периодическое обучение правилам информационной безопасности.Доступ к большинству развлекательныхресурсов и ко всем ресурсам, представляющим угрозу, закрыт для всехпользователей. Также мы не поддерживаем пока практику использованияличных устройств для доступа к корпоративным данным. При этом отдельныекатегории пользователей все же обеспечены мобильными устройствами иноутбуками для работы с корпоративной почтой и серверными данными, ноэти устройства проходят специальную подготовку. Андрей Цветков, юрист-консультант дирекции по управлению дивизионом «Волга» ОАО «ЕВРАЗ Металл Инпром»:— Под неправомерным доступом к охраняемойзаконом компьютерной информации следует понимать самовольное получениеинформации без разрешения ее собственника или владельца. Формынеправомерного доступа могут быть разнообразными: это и вторжение вкомпьютерную информацию, и ее неконтролируемое распространение, икопирование с носителей.Успех расследования таких делзависит от многих факторов: своевременного обнаружения преступногодеяния, подготовки компьютерной системы собственника (наличиеопределенных программ защиты), профессионализма сотрудников внутреннихдел, от наличия и характера следов, которые остались на компьютерепотерпевшего, и так далее.Но раскрывать преступления в сферекомпьютерной информации очень сложно. Зачастую даже сами потерпевшиеорганизации не всегда обращаются в правоохранительные органы: боятсялишних проверок, потери доверия со стороны своих клиентов (что оченьактуально в деятельности банков) и так далее, тем самым помогаяпреступнику избежать ответственности.