В условиях кризиса предпринимателям стоит задуматься о том, как защитить информационную составляющую собственного бизнеса
Говоря об обеспечении безопасности бизнеса в нынешних условиях, нельзя обойти вниманием такой вопрос, как информационная безопасность. Сразу оговоримся: речь в данном случае не идет о защите авторских прав и т.п.: соблюдение их, а вернее, несоблюдение – это тема для отдельного большого разговора.
Оно вам надо!
Что же такое сегодня информационная безопасность? Если исходить из юридического определения, то информационная безопасность – это защищенность информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб владельцам или пользователям информации. Звучит, казалось бы, достаточно отвлеченно. Однако если вспомнить, какую роль сегодня в ведении бизнеса играет информационная составляющая, – в том числе сведения, которые хранятся в памяти компьютеров – становится очевидным, что защита информации является весьма и весьма актуальным вопросом.
Представьте себе, что все данные, которые хранятся в памяти компьютеров вашей компании, начиная от деловой переписки и заканчивая бухгалтерской отчетностью, информацией о финансовых потоках и клиентской базой, окажутся в руках конкурентов. Или что эти данные в один не самый прекрасный день будут уничтожены. Насколько серьезный ущерб будет нанесен вашей компании? Думается, что в подавляющем большинстве случаев, особенно сегодня, подобное развитие событий может стать критичным для бизнеса.
На Западе, как правило, компании тратят на информационную безопасность (именно на безопасность, а не на обеспечение функционирования локальной сети и компьютерной техники), по данным разных источников, от 10 до 30 % суммы, в которую может быть оценена эта самая информация. При этом упор делается на превентивные меры, а не на "пожарные", когда необходимо срочно спасать базы данных. В России, как показывает практика, в большинстве случаев дело ограничивается установкой нелегальной версии какого-нибудь антивируса (которая не обновляется годами) и примитивных паролей типа 12345 или имени пользователя ПК.
По мнению Алексея Подшивалова, руководителя компании "Главком" — одной из немногих фирм, оказывающих в Иванове услуги по обеспечению информационной безопасности предприятий и организаций, – одна из причин столь беспечного отношения к вопросу защиты информации со стороны ивановских предпринимателей кроется в непонимании самой сути проблемы и привычке работать и жить по принципу "пока гром не грянет, мужик не перекрестится". "На самом деле уже немало ивановских фирм сталкивались с компьютерными атаками или взломом системы, — говорит он. – Просто зачастую люди не понимают, что это был именно взлом. Например, если вам вдруг пришел необоснованно большой счет за интернет или начались какие-то сбои в программах или конкуренты неожиданно перехватили ваших клиентов, то, скорее всего, это не случайность, а целенаправленные действия, связанные с несанкционированным проникновением в ваши компьютеры".
Впрочем, крупные компании, в том числе и в Иванове, давно уже осознали важность информационной безопасности. Банки, филиалы крупных коммерческих структур, компании, работающие с ценными бумагами – все они тратят немалые деньги для того, чтобы защитить свои данные, причем нередко по заказу крупных корпоративных клиентов разрабатывается оригинальное программное обеспечение.

Кто здесь?
Как отмечают специалисты в области компьютерной безопасности бизнеса, на сегодняшний день в этой сфере можно выделить три основных аспекта:
- технический: защита от несанкционированного доступа, антивирусная защита, предотвращение утечки информации по техническим каналам, использование криптографии и пр.;
- организационно-правовой: урегулирование вопросов, связанных с имущественными правами на информацию;
- социотехнический (связан с так называемым человеческим фактором): предотвращение неправомерных действий сотрудников по разглашению инсайдерской информации, утечки информации вследствие некомпетентности персонала организации, применения технологий социального инжиниринга внешними агентами и пр.
Соответственно угрозы информационной безопасности компании условно можно разделить на следующие группы:
Информационные — нарушение адресности и своевременности информационного обмена, хищение информации из баз данных, манипулирование информацией, навязывание ложной информации и пр.;
Программно-математические — разработка ПО, нарушающего штатное функционирование информационных систем, а также встраивание в легитимное ПО программных закладок для осуществления недокументированных функций;
Физические — внедрение закладных устройств в аппаратные средства обработки данных, хищение носителей и средств обработки информации, воздействие на парольно-ключевые системы, радиоэлектронное подавление в каналах передачи данных, дешифрование информации;
Организационные — нарушение нормативно-правовой базы, регламентирующей предметную область информационной безопасности, в части работы с конфиденциальной информацией.
Очевидно, что для создания надежной системы информационной безопасности необходимо работать по всем этим направлениям. Хотя и в разной мере: то, что актуально для крупной компании, может быть совершенно ненужно для предприятия малого бизнеса. Вряд ли кто-то из конкурентов решит закладывать "жучки" в кабинете директора небольшой фирмы, торгующей готовой одеждой или предоставляющей услуги перевозки пассажиров. Хотя удалить базу данных могут попытаться – хотя бы для того, чтобы фирма, ставшая объектом атаки, потратила некоторое время на ее восстановление. А время, как известно, — деньги, и упущенная неделя может сыграть решающую роль во время передела рынка.

Не откладывай на завтра
Сегодня специалисты предупреждают: в условиях кризиса, когда резко обостряется конкуренция, вероятность того, что некоторые компании пойдут на все, чтобы оттеснить конкурента, повышается. Соответственно, повышаются риски стать объектом атак киберпреступников. Соблазн украсть базу клиентов или поставщиков велик, а сделать это совсем нетрудно: достаточно попросить не слишком лояльного сотрудника установить у себя на компьютере шпионскую программу, внедрить ее на компьютер шефа – и дело в шляпе. Более того, некоторые программы могут просто уничтожить все данные в ключевом компьютере. Даже обычная для хакеров практика сидеть в интернете за чужой счет может нанести существенный ущерб. Что уж говорить о целенаправленном воровстве денежных средств со счета – такие возможности тоже есть, и многие хакеры этим пользуются.
Очевидно, что лучше взять на вооружение привычку западных бизнесменов, для которых превентивные меры информационной безопасности стали такими же общепринятыми, как и страхование. Аргумент тех, кто хочет сэкономить: мол, в 1998 году не было никаких хакерских атак, никаких кибершпионских страстей, можно смело отметать. Вспомните, сколько компьютеров было в вашей компании 10 лет назад, если они вообще были? И сколько из них были подключены к интернету? Развитие компьютерной техники сделало работу более комфортной и оперативной, однако за все надо платить. За чудеса техники мы расплачиваемся тем, что становимся более уязвимыми для компьютерных асов-злоумышленников. И это лучше осознать до того, как к вам "придут".


Мнение
Александр Насонов, директор охранного предприятия "Тауэр":
- Информационная безопасность бизнеса – это тема, о которой много говорят. Однако фактически занимается ей мало кто (как среди клиентов, так и среди специалистов). Причин этому несколько: во-первых, дорого, во-вторых, как правило, до вопросов информационной безопасности у людей не доходят руки. Пока в фирме все в порядке, люди не думают о безопасности, когда что-то случается, зарекаются заняться этим вопросом, но после того, как порядок восстановлен, забывают об этом до следующего раза. Мы оказываем некоторые услуги по обеспечению информационной безопасности. Например, можем разработать систему допуска к компьютерной технике. Для того, чтобы проверять помещение на наличие подслушивающих устройств, нужна лицензия ФСБ, это достаточно дорого и, если и окупится, то нескоро.
В Иванове многие мероприятия по организации информационной безопасности теряют смысл, так как главный фактор риска – это люди. Проконтролировать этот канал утечки информации труднее всего.

Кирилл Белоусов, директор-учредитель детективного агентства "Альфа-Инфо":
- Есть разные уровни обеспечения информационной безопасности. Иногда мне приходится объяснять своим клиентам, что не стоит вести деловую переписку с электронных адресов, расположенных на общедоступных ресурсах. взломать их может даже начинающий хакер. Некоторые клиенты уверены, что если они не звонят по мобильному телефону, а посылают СМС, информация останется конфиденциальной. Это заблуждение.
Чем серьезнее фирма, тем серьезнее должен быть и подход к обеспечению информационной безопасности. Сейчас возможности подслушивающих устройств огромны. Можно бросить в корзину для бумаг в кабинете начальника прибор, который в несколько раз меньше, чем брелок сигнализации для автомобиля. Можно установить "жучки". Можно прослушивать кабинет и через окна и стены. Понятно, что ради мелкой фирмы, которая занимается какой-нибудь ерундой, никто этого делать не будет. А вот заметной персоне, чтобы поговорить конфиденциально, нужно уехать далеко за город, оставить мобильник в машине и отойти на приличное расстояние. И то не факт, что вас не снимут со спутника.
Мы услуг по обеспечению информационной безопасности пока не оказываем: это не востребовано.

Алексей Подшивалов, директор компании "Главком":
В Иванове многие предприниматели задумываются об обеспечении информационной безопасности своего бизнеса. Но только задумываются – собственно, на то, чтобы заняться защитой, или времени не хватает, или денег. В результате нам нередко приходится принимать авральные меры по спасению информации или выявлению "резидентов".
Я думаю, что многим просто кажется: хакерская атака если и произойдет, то не со мной – разве в нашем Иваново могут быть хакеры? Но дело в том, что для компьютерной атаки нет границ, ваша компьютерная система может быть взломана человеком, который сидит где-нибудь в Австралии – и просто пользуется интернетом за ваш счет. А вы потом получите огромный счет. Это самый простой пример.
На ивановском рынке услуги по обеспечению информационной безопасности, кроме "Главкома", оказывают несколько фирм, однако это не является основным видом их деятельности, так как явный обеспеченный спрос на эти услуги невелик. Впрочем, я уверен, что он зависит в первую очередь от уровня понимания бизнесменами проблемы защиты информации и в ближайшее время будет только расти.