1. Кто обычно в компаниях занимается вопросами безопасности информации?
Пока компания маленькая, целенаправленно вопросами безопасности информации, как правило, не занимаются, все и так на виду. По мере роста компании вопросами безопасности в меру своего видения и опыта начинают заниматься специалисты в IT-подразделениях. Как правило, это ограничивается настройками оборудования и программного обеспечения, входящих в зону ответственности IT-специалиста. Применяемые меры фрагментарны и разрозненны. Следующий этап — выделяется человек, который формирует единые согласованные для всего предприятия требования и формирует точку управления безопасностью информации в компании. В первую очередь централизуются и унифицируются меры по технической защите IT-инфраструктуры. На следующем этапе берутся под контроль информационные потоки в компании. Начиная с этого момента подразделение информационной безопасности может перемещаться в разных направлениях. IT и высокотехнологичные компании склонны оставлять ИБ в блоке IT, в финансовых компаниях, скорее исторически, ИБ находится в едином блоке с экономической и физической безопасностью. Случаются и более экзотические случаи, например, ИБ может находиться в подразделении внутреннего контроля и даже HR. В больших зрелых компаниях в процессы обеспечения ИБ вовлекаются уже все подразделения, используется риск-ориентированный подход.
2. Быстрорастущие компании стихийно создают то, что они называют системой безопасности?
Систему безопасности можно строить на более или менее устоявшихся процессах. Для компании, чей бизнес не связан напрямую с know-how, секретом производства и т. д., в период бурного роста вопросы, связанные с безопасностью, выводят во второй приоритет, при необходимости решения по таким вопросам принимаются «на лету».
3. Как вообще должна смотреться эффективная система информационной безопасности?
Бытует огромное количество мнений по этому поводу. На мой взгляд, в компаниях, где ИБ — не основной вид бизнеса, подразделение ИБ должно предлагать сервисы понятные, прозрачные и востребованные в самой компании. Работа подразделения ИБ может быть выстроена так, будто сервисы и услуги предоставляются на открытом рынке, если предложения конкурентные, они будут более чем востребованы внутри компании. От руководителей ИБ потребуются новые знания в разработке экономических обоснований, разработке SLA и т. д. Специалистов с такими навыками пока на рынке не много.
4. «У рояля — то же самое ...» — помните представление пианиста незабвенным конферансье в спектакле «Необыкновенный концерт» у Образцова? Откуда черпать профессионалов по безопасности?
Специалистов много, хороших специалистов заметно меньше, готовых под конкретные задачи практически нет. Время сакральных знаний уходит, сейчас стало доступно большое количество актуальных онлайн-курсов по тематике безопасности. Думаю, хорошей стратегией может быть поиск людей мотивированных, с потенциалом к росту, развитию и обучению. В среднесрочной перспективе из них получаются хорошие профессионалы.
5. Как проверять их безопасность, если уж нашли?
Современные люди оставляют за собой очень большой цифровой след, не сложно понять, что представляет собой человек, кто его друзья, каковы его интересы простым анализом данных в социальных сетях и иных ресурсах Интернета. Есть специализированные сервисы, которые такую информацию агрегируют и даже делают экспертную оценку, помогают принять решение. Это помимо классических проверок.
6. Каковы критерии достаточной стоимости этой системы?
Классический подход — стоимость реализуемых мер защиты не должна превышать стоимости защищаемой информации. Риски соответствия требованиям регуляторов могут быть переведены в стоимостную оценку, и подход работает так же. В случае организации работы ИБ по сервисной модели, услуги ИБ приобретаются в соответствии с принятыми внутри компании документами, такими как Risk Acceptance Level, и могут быть дополнены в соответствии с видением и желанием руководства компании.
7. Кто должен собирать команду — руководитель отдела или босс компании?
Это зависит от личности и подходов самого руководителя компании. В общем случае босс компании подбирает людей, с которыми он будет работать напрямую, те в свою очередь набирают себе команду. Кандидаты на ключевые позиции, как правило, согласуются руководителем.
8. Откуда сегодня более всего исходят угрозы бизнесу?
Вид деятельности и локальные ситуации могут быть очень разные. Если попытаться найти что-то общее, то люди, как и всегда, жаждут быстрого обогащения. Раньше для этого грабили банки, сейчас деньги — это часто нули и единички на счету, поэтому придумываются всевозможные, порой весьма экстравагантные способы эти нули и единички перенести на свои счета. Количество киберпреступлений, связанных с хищением средств, растет на 30-40 процентов в год. Объем похищенных средств в 2015 году составляет около 2 миллиардов рублей. Заметнее стали репутационные атаки с использованием социальных сетей и сервисов телекомоператоров (т. к. sms-сообщения — платные). Так было проведено несколько атак на банки: в течение некоторого времени распространялась информация об отзыве лицензий некоторых крупных банков, что привело к оттоку средств с депозитов этих банков в объеме миллиардов рублей.
9. В.В. Путин сказал о том, что корпоративные войны сегодня нередко сопровождаются искусственными уголовными делами. Как обезопасить босса и фирму от такого «счастья»?
К любой кризисной ситуации надо быть готовым. В том числе заранее должны быть разработаны планы обеспечения непрерывности бизнеса, учитывающие и данный сценарий событий. О любой непредвиденной ситуации желательно узнать как можно раньше, поэтому будет уместно организовать систему раннего обнаружения подобных инцидентов.
10. Слабые места в защите компании — это что или кто?
Часто работники компании плохо разбираются в элементарных вещах, связанных с обеспечением информационной безопасности, и по незнанию могут подвергать компанию и ее ресурсы рискам. Организации вкладывают значительные средства в реализацию дорогих технических мер, при том что программы повышения осведомленности сотрудников в вопросах ИБ не столь дороги и дают заметный положительный эффект, но пока на практике используются редко. Видимо, это связано с тем, что большинство из текущих руководителей ИБ в прошлом — бывшие IT-специалисты.
Многие используют на работе корпоративный Wi-Fi на личных устройствах (телефонах, планшетах и т. д.). Профили корпоративных сетей сохранены на этих устройствах. В кафе «хакер» создает Wi-Fi-сеть с таким же именем, что и корпоративная сеть, и ваше устройство подключается к компьютеру «хакера». Если корпоративная сеть настроена неправильно, ваше устройство не заметит разницы, а «хакер» получит доступ ко всей информации, которую вы будете в этот момент передавать, включая логины и пароли.
Большое количество корпоративных сайтов по-прежнему плохо сконфигурированы или содержат ошибки или уязвимости в программном коде, что позволяет нарушать их работоспособность, выгружать с них информацию, встраивать код и заражать посетителей сайта троянами и т. д.
11. Итак, ваши советы?
Мир большой, интересный и разный, давайте не забывать на любое явление в этом мире смотреть и оценивать его с разных сторон.
Артем Кроликов