СМИ создают вокруг информационной безопасности очень тревожный фон: кругом хакеры, среди сотрудников сплошь злодеи-инсайдеры. В чем настоящие риски и что составляет тот минимум мер, который позволит реально защитить бизнес от кибератак и корпоративного мошенничества? Поговорили с генеральным директором компании-разработчика средств защиты информации «СёрчИнформ» Сергеем Ожеговым.
Сергей Ожегов, генеральный директор «СёрчИнформ»
- Сейчас часто говорят об информационной безопасности и утечках данных. Как много в этом «страшилок» и как много реальной проблемы?
- Не стану спекулировать и говорить, что информационная безопасность – главная проблема. Я как человек бизнеса понимаю, что если нет реального риска потери денег или встречи с правоохранительными органами, вероятность утечек – это не первоочередной вопрос.
Безопасность начинается для компаний с вопросов физической защищенности.
До последнего времени это было оправдано. Но сейчас все бизнес-процессы переходят в цифру: обмен документами, общение в коллективе и с клиентами, учет, планирование и т.д. Поэтому на каком-то этапе развития бизнеса информационная безопасность становится важнее замков на дверях.
Это осознаешь с первым ЧП. Сотрудник подцепил вирус-шифровальщик – и полетела вся бухгалтерия, вместо работы все выясняют, есть ли бэкап базы или придется платить хакеру-вымогателю. Кто-то слил конкурентам зарплатную ведомость – и спровоцировал массовый исход сотрудников. Сисадмин уволился со скандалом, и через месяц устроил диверсию, потому что никто не позаботился сменить доступы. Все это примеры из жизни наших клиентов, в какой-то момент беспечность начала стоить им реальных денег.
- С чего тогда начинать информационную безопасность?
- Есть минимальный набор, с которого имеет смысл начинать: использовать антивирусные программы, антиспам-фильтры, шифровать жесткие диски и каналы передачи данных (https, ftps, VPN-сервисы), менять пароли по умолчанию на роутерах, коммутаторах, принтерах, обновлять ПО и делать резервные копии данных, пользоваться только корпоративной почтой.
Выше перечисленное – это защита от т.н. внешнего злоумышленника, хакера. Но самая большая проблема в том, что сами сотрудники становятся ключом для мошенников извне. Поэтому важно обучать коллектив основам информационной безопасности, чтобы они не оказывались жертвами фишинга, социнженерии и других уловок.
С другой стороны, важно защищаться от злоумышленников и среди сотрудников. Это неприятно осознавать, но в компаниях, особенно с разрастанием штата, неизбежно появляются люди, склонные к мошенничеству. Приходится внедрять средства контроля. С этой задачей справляются DLP-системы, они защищают и от случайных, и от намеренных утечек данных, а также находят признаки мошеннических схем и сообщают о том, как соблюдается дисциплина. Это такое ПО «все-в-одном».
- Насколько описанные вами выше меры и технические средства доступны бизнесу?
- Будем говорить языком цифр. Безопасность экономит бизнесу деньги, потому что это не трата, а возвратная инвестиция. Часто встречаем кейсы: сотрудник слил конкуренту информацию о том, с какой суммой лота его компания планирует выступить по крупному тендеру. Заказ мог обеспечить бизнес работой на год-полтора, но сорвался — вот и убытки.
Выдержка из исследования «СёрчИнформ»: нарушения, которые в компаниях обнаруживают чаще всего
Самое неприятное в том, что обнаружить факт мошенничества «вручную» сложно, мошеннические практики могут отлаживаться годами. Мы недавно начали работать с промышленной компанией, где после установки программы контроля выяснилось, что в организации образован «тандем» из руководителя региона и ее подчиненной. Они брали откаты на протяжении 12 лет, и за годы суммы выросли до десятков миллионов!
Скриншот из DLP-системы «СёрчИнформ КИБ»: программа ищет признаки общения сотрудников на откатную тематику
Другое дело, что компаниям сложно просчитать эффект от внедрения защитных решений – это первое, что останавливает. Второе – в компаниях часто нет специалистов, которые могут взять на себя работу. По нашим прикидкам, это и есть самая большая проблема, она создает перекос в защищенности. В компаниях со штатом от 500 сотрудников обычно стоят новейшие защитные средства и есть штат специалистов. А те, что меньше – часто без защиты.
- Вы запустили услугу ИБ-аутсорсинга. Это как раз для таких случаев?
- Мы обеспечиваем бизнес защитным ПО, но главное – даем ему «руки», специалистов, которые анализируют информацию из DLP-системы, оповещают об инцидентах и дают регулярные отчеты. А в случае экстренной ситуации предупреждают об опасности, чтобы предотвратить слив информации или мошенническую схему.
Аутсорсинг позволяет оценить уровень защищенности компании и вскрывает проблемы – мошенничество, откатные схемы, работу на конкурентов и прочее. Таким образом разрешаются сомнения руководителей, что компания потратится на программу, новых спецов в штат (а вы еще попробуйте найдите их на рынке) – а все окажется зря.
- Но компаниям приходится показывать сторонним специалистам свою «внутреннюю кухню». Насколько они готовы к этому?
- Когда мы запускали услугу, предполагали, что это будет серьезным аргументом против. Но рынок откликнулся гораздо лучше, чем мы ожидали. Бизнес видит эффект именно в том, что безопасностью занимается сторонняя организация – незашоренные аналитики, которые не болтают с вашими сотрудниками в курилке, не связаны с ними никакими личными отношениями.
- Какие результаты показал аутсорсинг у ваших первых заказчиков?
- Результаты по всем заказчикам похожие. Расскажу на примере самого первого клиента. Это компания с 360 сотрудниками в штате. В первый же месяц нашлись и факты злоупотребления служебным положением, и прямого воровства. Один из самых доверенных работников, что называется, «левачил» – был учредителем в другой компании. Десятками обнаруживались факты фальсификации документов.
Мы предоставили отчет об эффективности расходования рабочего времени, и в «красную» зону попали 300 из 360 человек! Случались совсем вопиющие случаи безделья. Один из сотрудников потратил 2 дня на просмотр фильмов онлайн (даже Word для виду не открыл). После анализа были уволены откровенные бездельники (коллектив был в итоге сокращен до 300 человек). Это дало более чем ощутимый экономический эффект.
- Почему для решения этих проблем нужны ИБ-специалисты и программы? Не проблема ли это слабого руководства и провалов на местах?
- Если мы говорим о бизнесе в 10-20 человек – соглашусь. Глупо уповать на «машину», когда все люди как на ладони. Но с ростом бизнеса задача усложняется, даже грамотный руководитель, который держит ситуацию под контролем, не имеет объективной картины происходящего. Линейные руководители относятся к подчиненным как к ресурсу и будут отстаивать необходимость сохранить полный штат. О реальной загрузке рядовых сотрудников собственник может никогда и не узнать. И это только то, что касается относительно простого вопроса – продуктивности работников. А ведь факты корпоративного мошенничества обнаружить гораздо сложнее.
Результаты работы аутсорсинга за полгода: в 100% компаний-заказчиков выявлены сотрудники, которых можно отнести к группе риска
- А есть какие-то сомнения у ваших заказчиков относительно аутсорсинга?
- Скорее не сомнения, есть факторы, которые влияют на эффективность нашей работы и на то, насколько ею будет доволен заказчик. Нужно помнить, что аутсорсинг – это партнерство заказчика и исполнителя. Ставьте и уточняйте задачи аутсорсеру, снабжайте его достаточной информацией, чтобы он смог закрыть критичные процессы именно вашего бизнеса. Тогда аналитик сможет найти не только типовые инциденты, но и специфические угрозы, которые составляют наибольшую опасность.
Как любой наш продукт, услуга аутсорсинга доступна в тестовом формате. Мы всегда советуем пробовать и составлять свое впечатление. Оставляйте заявку, наш менеджер с вами свяжется.
