Статья Рынок информационной безопасности: про штрафы, утечки данных и ответственность компаний

Информационная безопасность – это возможность получить гарантии защищенности важных данных, которые пользователь сохраняет, обрабатывает или передает. Вопросы целостности сведений с каждым годом все острее и острее, ведь желающих поживиться ими, увы, меньше не становится. Угрозы могут быть и случайными, и умышленными. Есть разные инструменты защиты, которые постоянно обновляются специалистами по информационной безопасности. О перспективах рынка информационной безопасности мы поговорили с председателем совета директоров компании «СёрчИнформ» Львом Матвеевым*.
DSC_2484-min 1.png


Здравствуйте, Лев!

– Добрый день!

Вот сейчас активно обсуждается тема оборотных штрафов за утечки информации. Как считаете, действительно ли это способствует более надежной защите данных граждан, и утечка данных будет происходить реже?

– Смотря, как применять. Когда сегодня смехотворный штраф в 60 тысяч рублей за утечку, то его проще заплатить, это гораздо дешевле, чем зарплата специалиста по информационной безопасности, чем программное решение и так далее. Штрафы надо вводить. Я понимаю, что не у всех есть позитивное отношение к этому, но, тем не менее, ничем, кроме штрафов, это не может регулироваться.

Тут есть еще один момент. В апреле мы проводили профильные конференции для финансового, промышленного, транспортного и других секторов, и получили мнение многих руководителей служб информационной безопасности: должно быть введено на законодательном уровне, чтобы в компаниях выделялся финансовый ресурс на инфобез. На сейф, где лежат деньги, на дверь с железным замком выделяют же все ресурсы. Никто не работает в офисе без входной двери, хотя она тоже, кстати, стоит денег не сто рублей, а гораздо больше. Здесь то же самое.

Насчет оборотных штрафов, я бы высказался немного в сторону коррекции логики: они должны быть, но их размер должен варьироваться в зависимости от того, насколько информационная безопасность поставлена, на все ли компьютеры закуплены решения, и так далее. Поясню: когда вы, например, страхуете машину, что делает страховая компания? Она учитывает ваш предыдущий опыт вождения, сколько было аварий и так далее. Соответственно, разница цены страховки между новичком и человеком с 20-ти летним стажем вождения будет раза в полтора.


– Если не больше. Я не так давно узнал, что оказывается, молодому водителю страхование автомобиля может обойтись в восемьдесят тысяч рублей, а опытному водителю раза в четыре, а то и в десять меньше.

– Вот, правильно. И то же самое должно быть в оборотных штрафах. Если на всех компьютерах стоят решения, которые контролируют информационную безопасность, то, соответственно, оборотный штраф должен быть меньше. Если этих решений вообще не стоит и нет офицеров по информационной безопасности, то оборотный штраф должен быть больше. Когда люди будут понимать, что их найдут за слив информации, 9 из 10 подумают прежде, чем сливать. Возможно, решат вообще не делать этого. Потому что есть потрясающие варианты, особенно, в регионах. Люди, имея не слишком большую зарплату, подрабатывают себе на вторую, третью, сливая персональные данные. Это актуально и в сотовых компаниях, и в банках, и в медицинских учреждениях. То есть, на самом деле, это процветающий теневой бизнес, так как за него нет никакого наказания. Поэтому вместе с оборотными штрафами я бы предложил еще все-таки вводить уголовное наказание для людей, которые сливают данные. Почему за взлом двери идет уголовное наказание, если найдут человека, который взломал дверь в офис или квартиру, а за слив информации – нет?

– Ну, вообще, инициатива достаточно суровая, по поводу уголовной ответственности.

– Уголовная ответственность человека, который сливает, суровая. Но мы живем в цифровой век, если человек украл логин и пароль к онлайн-банку и перевел себе деньги или карточку подделал, снял деньги с этой карточки, чем это отличается от того, что он взломал дверь, открыл мой чемодан и взял деньги? По сути, это то же самое. Я надеюсь, что мы постепенно придем к такому пониманию, что цифровое воровство и взлом двери ничем не отличаются друг от друга. Мы все больше живем в виртуальном мире, когда все в цифре. На самом деле, те же деньги сейчас в «цифре», никто не таскает большие чемоданы с наличными, деньги все на счетах.



Согласно исследованию «СерчИнформ», в 2022 44% компаний столкнулись с утечкой данных по вине сотрудников. Чаще всего утекала информация о клиентах и сделках – об этом сообщили 47% организаций. Также, компании часто сталкивались с рискованным поведением сотрудников, которое вредит бизнесу в 60% случаев, фирмами-«боковиками» – в 16% и откатами также в 16%.


– Ну, ответственность на самой организации тоже наверняка должна лежать достаточно серьезная, если, допустим, будет произведён взлом данных?

– Да, за это должна быть серьезная ответственность. В зависимости от того, насколько там внедрена информационная безопасность. Это должно градуироваться. Если компания вкладывает серьезные средства в это, есть служба информационной безопасности, стоят защитные решения, позволяющие расследовать, кто сливает, то штраф должен быть меньше. Но опять-таки, если нашли виновника утечки, то, наверно, организация не должна страдать, потому что не может работодатель отвечать за всех своих сотрудников. Я за то, чтобы приравнивать цифровое воровство к воровству физическому. Тогда будет какой-то результат.

– Лев, скажите, пожалуйста, а какие проблемы вы видите сегодня в организациях, которые мешают обеспечивать информационную безопасность и снижают уровень защищенности?

– Нежелание тратить деньги на ненужные вещи.

– Это они так считают, что это ненужные вещи?

– Да, для них это ненужные вещи. Ни для кого не секрет, что в интернете идет торговля сканами паспортов, сливают номера сотовых телефонов через базы спаммеров. В принципе откуда базы утекают? Да с тех же банков, еще откуда-то, начинают предлагать какие-то непонятные услуги и так далее. Соответственно, если бы вот это все прекратилось, то был бы эффект.

– Можно ли сегодня говорить о том, какие из организаций, тех же банков, наиболее ответственно подходят к тому, чтобы информационная защищенность все-таки присутствовала максимально?

– Я не буду рекламировать конкретные банки. Но если говорить про банковский сектор, в некоторых работает очень серьезная служба информационной безопасности. Стоят защитные решения, например, DLP, которые защищают от утечек и детектируют, кто этим занимается, и, соответственно, там минимум утечек. А есть банки, где утечек очень много, где информационная безопасность не работает. Как раз, если введут оборотный штраф, условно говоря, 3-4% от оборота, как в Европе, то станет дешевле вложить 10, 20, 30, 50 миллионов рублей в информационную безопасность, чем заплатить оборотный штраф. Если у банка оборот много миллиардов рублей, то это станет просто намного дешевле и эффективнее, потому что все развитие идет к тому, что должна быть ответственность за неправильно сделанные дела. Я всегда привожу в пример пожарные извещатели: они же тоже денег стоят, и тоже в принципе владельцу офиса не нужны, правильно?

– По большому счету, да.

– Но без них никто не примет здание в эксплуатацию, и все уже с этим смирились, никто не протестует против того, что меня заставляют за свой счет в купленном мной офисе поставить пожарные извещатели. То же самое должно быть и с информационной безопасностью. В наше время — это ничуть не менее важно.



В 2022 году 1/3 российских компаний увеличила бюджет на информационную безопасность. Дополнительные средства в основном шли на продление лицензионных ключей – так ответили 80% компаний, опрошенных в ходе исследования «СёрчИнформ». Чуть меньше респондентов – 75% – ответили, что будут закупать новое оборудование и программное обеспечение.


– А с информационной безопасностью сейчас дела обстоят 50/50, да? Ну допустим, покупается пакет этой определенной информационной безопасности, его обслуживание в течении нескольких лет тоже будет стоить денег?

– Ну конечно, но дело в том, что это окупается. Например, покупается самолет для перемещений на дальние расстояния, но самолет сам не полетит, нужен пилот, который им управляет. То же самое в решениях информационной безопасности: должен быть аналитик, специалист информационной безопасности, который работает с этой системой. Само по себе программное обеспечение оно не решает проблемы — это просто инструмент, с помощью которого можно отслеживать плохих людей.
Ну и вот как раз для небольших компаний, где условно от 30 до 200 компьютеров, предусмотрен сервис аутсорсинга информационной безопасности. На самом деле, это просто следующий шаг развития. Аутсорсинг ИБ должен стать повседневной услугой, как сегодня клининговые компании, аутсорсинг бухгалтерии.


– Ну просто нанимается со стороны?

– Да, когда один бухгалтер идет в 10-15-20 компаний – это нормально, когда они маленькие. И то же самое здесь: гораздо эффективнее, когда компанию, где 30-200 компьютеров ведет по информационной безопасности тот же аутсорсер, который все это отслеживает. Когда случается какая-то утечка, сразу сообщает ответственному лицу в компании. И это не только про защиту персональных данных, но про другие инциденты. Как правило, решения по информационной безопасности окупаются в первые 3-4 месяца эксплуатации.

– Так быстро?

– Да, и причем покупка лицензий обходится дороже, потому что нужны сервера, свои специалисты по ИБ и так далее. В любой компании начиная уже от 50 человек не все «белые и пушистые». Уже есть какие-то интриги, некорректные люди. Я не то, чтобы был настроен против людей, но так уж мир устроен, что есть понятие законов статистики: чем больше коллектив, тем больше процент некорректных людей будет.

– Ну даже может так получится, когда допустим какая-то компания организовывалась, набирался персонал по началу все нормальные, хорошие «причесанные и прилизанные», а потом спустя 2-3 года получается, что у кого-то какой-то характер проявляется не очень хороший, у кого-то появляются мысли какие-то не очень добрые по отношению к компании, к тем же данным персональным и так далее.

– Ну и понимаете, тут всегда идет step by step. Почему полезна информационная безопасность? Можно в зародыше пресечь воровство, разгильдяйство, когда люди не работают, а занимаются на работе не понятно чем. Системы информационной безопасности, кроме защиты персональных данных, на самом деле позволяют сильно экономить деньги. Например, закупают канцелярские товары даже в маленькой компании, а человек для пробы поставил лишнюю тысячу рублей на стоимость. Вроде бы всего 1000 рублей – мелочь, но все идет step by step. Поставил 1000 рублей – прошло, потом 2000, потом 5000, потом 10000 и потом это выливается в хорошие суммы или слив клиентской базы конкурентам или еще что-то. Есть множество ситуаций. И когда человек знает, что наказание неотвратимо, скорее всего, он не будет этим заниматься. Я все тот же пример привожу – есть разница между тем, что 200 миллионов лежат в открытой настежь комнате или же в хорошо закрытом сейфе? Людская природа слаба, а решения по информационной безопасности позволяют перестать провоцировать сотрудников на некорректные действия.

– Абсолютно с Вами согласен, Лев. В завершении нашей с вами беседы хотелось бы еще вот такой вам вопрос задать. Какие проблемы сегодня вы видите в организациях, которые мешают обеспечивать информационную безопасность и снижают уровень защищенности? Что минимально необходимо сделать организации, чтобы снизить риски утечек данных?

– Надо установить, как минимум несколько решений, которые контролируют, кто сливает данные. Это прежде всего продукт класса DLP – это решение по информационной безопасности, которое отслеживает движение информации по всем каналам, не важно это Skype, «облако», запись на флешку, email, печать на принтере и тд. То есть система это все перехватывает, все превращает в текст, индексирует и с помощью специальных алгоритмов находит нарушения. Ну, например, попытку слива клиентской базы, завышение цены на закупки чего-то и прочее. Вот такая система должна стоять на всех компьютерах.

Вторая система, которая критична – это DCAP – это ПО, которое контролирует содержимое файлов. Например, документ с какой-то конфиденциальной информацией (с номерами банковских счетов и паролями к ним), будет блокировать в пересылке в любом произвольном приложении.

Ну и должен быть минимально обучен персонал – это третья составляющая. Что все-таки не надо открывать email с атачем, что наследный принц Нигерии решил вам подарить 100 миллионов долларов. Все это вместе позволит сильно снизить риски информационной безопасности. И если компания небольшая и для нее слишком дорого покупать эти решения, ставить свои сервера и прочее, то логично воспользоваться сервисом информационной безопасности. Как он работает: на все компьютеры компании ставятся агенты, которые все контролируют, вся информация идет в «облако», у фирмы-подрядчика специально обученный аналитик информационной безопасности все контролирует и когда видит, что кто-то в компании делает что-то нехорошее, он сообщает ответственному лицу в компании, например, исполнительному директору. Ну и здесь нет никакого риска при грамотной технической организации – внешний аналитик не сможет никуда ничего даже скопировать.


– Ну то есть это гарантированно?

– Да. То есть самое простое, он, например, соединяется с компьютерами заказчиков по специальному защищенному соединению, где запрещено, чтобы он даже в clipboard что-либо копировал. Это можно установить на стороне заказчика. То есть аналитик работает со своего компьютера как с терминала. Запомнить что-то, понятно, он может, но перенести, скопировать – уже нет. Я не буду говорить про все технические детали, но есть достаточно надежные подтверждения тому, что это работает.

– Но опасаться будешь.

– Но, с другой стороны, внешнему специалисту небольшие компании отдают вести бухгалтерию на аутсорсинге, и она видит все «движения» денег. И мы к этому уже пришли, то же самое с информационной безопасностью. У малого и среднего бизнеса другого пути нет. Те компании, в которых 30-200 компьютеров для них, как правило, достаточно дорого нанимать себе специалистов, полностью их содержать, плюс этот специалист не факт, что пойдет работать в компанию, где всего 100 компьютеров, ему будет скучно и неинтересно. Ну и решения слишком дороги. На самом деле, это тот случай, когда аутсорсинг для такой компании будет стоить дешевле. Да, когда она уже вырастит до 500 компьютеров, там уже нужно создавать свой отдел, брать людей и так далее, но на начальном этапе, чем меньше компания, тем больше она пользуется аутсорсом.



45% компаний оценивают ущерб от инцидентов как срыв от бизнес-процессов и масштаб потерь с этим связанных. 10% организаций отметили, что ущерб в результате действия инсайдеров за последние 5 лет вырос – так ответили респонденты «СерчИнформ» о ситуации с информационной безопасностью в организациях России.


– Лев, что пожелаете тем компаниям, которые все-таки озабочены тем, чтобы их информационная безопасность была в порядке?

– Посоветую воспользоваться сервисом информационной безопасности. Если брать нас, компанию «СёрчИнформ», то мы на месяц предоставляем услугу бесплатно. Вот мы просто настолько уверенны в том, что человек за месяц выявит множество проблем, и тогда он поймет за что платит.


*интервью председателя совета директоров «СёрчИнформ» Льва Матвеева для радио «Спутник» от 27.04.2023
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!