Дмитрий Красносельский
В себя программу развития собственной базы информационнотехнологического направления. Основной акцент в данной программе должен быть сделать на обеспечении компании условиями для достижения высокого уровня информационной защиты. Данный процесс может заключаться в корректировке кадровой политики (создание новых отделов, обращение к аутсорсинговым фирмам, приглашение высококвалифицированных специалистов в области компьютерной безопасности), в разработке новых внутренних регламентов и правил.
Развитие рыночной экономики включает в себя постоянное приспособление участников данного процесса к меняющимся условиям ведения бизнеса. Различного рода направлений этой «эволюции» достаточно много, но одним из тех, которые характеризуются, пожалуй, наиболее высокой динамикой развития, является сфера информационных технологий. Прежде всего, следует сказать, что фактически эта сфера представлена в качестве отдельной части экономики любого современного государства и сама по себе является самостоятельным субъектом бизнеса. Основные функции IT – создание информации, обеспечение обмена и хранения информации – обуславливают выполнение специфической интеркорпоративной роли сферы IT, то есть являются системным фактором ее интеграции в другие сферы экономики.
Очевидно, что информация в том или ином виде является важнейшей ценностью современного бизнеса. Вне зависимости от разновидностей конкретных ресурсов информации, обладание доступа к ней является одним из ключевых инструментов ведения корпоративной политики. Разделить этот доступ с конкурентами (и другими нежелательными субъектами) либо утерять его –
значит лишиться возможности управлять своим бизнесом.
Следовательно, политика по разработке и практическому применению методов поддержания информационной безопасности является одной из наиболее приоритетных сфер деятельности предприятия.
Нам известно, что окружающие нас условия ведения бизнеса постоянно меняются. Поэтому чрезвычайно важно участие корпораций и их представителей в особых мероприятиях, позволяющих получить новые сведения и опыт, которые будут способствовать совершенствованию и модернизации своей системы, призванной реализовывать политику информационной безопасности компании.
В качестве одного из успешных примеров проведения такого рода мероприятий мы можем привести организацию ежегодной международной выставкиконференции под названием «INFOBEZEXPO/Инфобезопасность». Традиционно выставка организуется в московском Экспоцентре. В 2010 году выставка прошла с 5 по 7 октября. С программой можно ознакомиться на официальном сайте мероприятия www.infobezexpo.ru
Расписание локальных мероприятий выставки организовано в виде очень интересного алгоритма. Прежде всего, очевидно, что организаторы задавались целью не столько осуществить некую масштабную PRкомпанию ведущих разработчиков в области информационной защиты, сколько попытаться внедрить в организационный процесс мероприятия элемент своеобразной многоканальной дискуссии, который обусловил бы выработку оригинальных (и, как следствие, весьма конструктивных в аспекте адаптации к меняющимся условиям бизнеса) решений в области информационной безопасности. С этой целью организаторы создали условия для проведения соответствующих конференций и круглых столов, а также постарались наделить свойствами открытой дискуссии и большинство других мероприятий выставки, таких как, например, многочисленные бизнессеминары.
В качестве примера построения успешной конструктивной дискуссии по вопросам информационной безопасности можно привести события пленарного заседания выставкиконференции, которое прошло 5 октября в конференцзале седьмого павильона Экспоцентра. Тема пленарного заседания была связана с проблематикой государственного регулирования вопросов информационной безопасности. На первом этапе слушателям были зачитаны доклады, характеризующие положение дел в аспекте законодательного регулирования данного процесса, были рассмотрены организационные особенности реализации отдельных направлений государственной политики в данной сфере, а также изложены в предметном порядке те сложности, с которыми пришлось столкнуться как законодателям, так и техническим специалистам в ходе практической реализации отдельных направлений этой политики.
Например, обсуждался вопрос о том, как заставить функционировать новую задумку российской власти – систему под названием «электронное правительство». Предназначение этой системы заключается в том, чтобы избавить граждан, госслужащих и других субъектов общественнополитического процесса, от необходимости совершать обмен данными старым «бумажным» методом и перейти на современный «электронный» способ передачи документов. Выполнение задуманного на практике, как выяснили участники конференции, осложнено, прежде всего, наличием множества неучтенных при разработке проекта технических нюансов, связанных с обеспечением безопасности передачи сведений и сохранением их конфиденциальности. Кроме того, участники конференции сошлись во мнении, что на текущий момент российское законодательство не в полной мере способно отразить реалии сферы информационных технологий. Государственные стандарты, существующие в настоящее время, не являются общепризнанными нормативными документами, причем основная сложность заключается в различии интерпретации между различными ведомствами излагаемых в стандартах параметров. Тем не менее необходимость в налаживании успешно функционирующего механизма «электронного правительства» была признана, и целесообразность проведения дальнейшей работы по совершенствованию методов практической реализации системы «электронного правительства» осталась очевидной.
Следующая дискуссия, прошедшая в конференцзале, была представлена в формате круглого стола на тему, связанную с таким явлением, как «аутсорсинг» в информационной безопасности. Термин «аутсорсинг», в принципе, уже стал достаточно устоявшейся идиомой в языке бизнеса, а в данном контексте означает обращение к услугам сторонней компании для обеспечения информационной безопасности собственной корпорации. То есть допуск своеобразных «легионеров» на свою территорию, которые могут выполнить работу лучше и дешевле, чем свои специалисты. Участники дискуссии сошлись во мнении, что аутсорсинг чрезвычайно целесообразен, главным образом как инструмент оптимизации бюджетной политики компании. Также снижается риск утечки сведений в случае появления прецедентов внутренней коррупции, вероятность возникновения которых в сторонней организации настолько более низка, насколько тот аутсорсер дорожит собственной репутацией.
Несмотря на те сложности политикоправового порядка, которые обнаружились в ходе дискуссии на пленарном заседании, необходимо признать, что индустрия информационной защиты продолжает постоянно развиваться в аспекте как таковых прикладных технологий. Вне зависимости от текущего правового статуса как собственного, так и в номенклатурном аспекте своей программной продукции компанииразработчики постоянно производят и поставляют на рынок эффективные решения. На выставке в Экспоцентре разработчикам предоставлен прекрасный шанс для того, чтобы презентовать свои новинки, укрепить текущие клиентские связи и найти новые перспективы корпоративного развития. Прежде всего, разработчикам необходимо обнаружить перед потенциальным клиентом потенциальный источник угрозы безопасности, а следующим шагом предложить свои технологические приемы пресечения данной угрозы и обосновать их объективное преимущество. В целом ожидать проблем в области информационной защиты, основываясь на докладах разработчиков, можно в нескольких основных направлениях. Вопервых, опасаться публичных каналов передачи данных – посредством средств беспроводной и мобильной связи, а также по незащищенным компьютерным сетям. Лучше довериться компанииаутсорсеру, гарантирующей сохранность сведений и надежность их полноценной передачи адресату.
Вовторых, постоянно совершенствовать квалификацию и повышать уровень технологической компетентности собственных сотрудников в области информационной защиты. Втретьих, совершенно неожиданно проблема может прийти и из области бюрократии – в случае выявления нарушений в ходе проверки надзорных инстанций могут быть самые неприятные последствия, поэтому особое внимание в аспекте информационной безопасности следует уделять правовой политике компании.
Первый день конференции получился чрезвычайно продуктивным как для участников, так и для посетителей выставки. Представители первой категории получили возможность получить новые полезные сведения в ходе дискуссионного обмена мнениями сторон по актуальным вопросам информационной безопасности. Эти сведения помогут им в составлении стратегии успешного развития модели информационной защиты своей корпорации. Посетители выставки узнали о новых технологиях информационной защиты, о новых тенденциях в развитии компьютерной индустрии.
Следующий день конференции именовался как «банковский», то есть приоритетным направлением в аспекте обсуждения информационной защиты являлась банковская сфера. Согласно установленному формату выставки, так же как и в первый день, актуальная проблематика обсуждалась в рамках специализированной конференции. Первой на очереди стояла дискуссия на тему участия персонала в обеспечении безопасности своего предприятия. Выяснилось, что данный процесс характеризуется рядом особенностей.
Вопервых, в обязательном порядке необходимо постоянное повышение качества осведомленности персонала. Это может выражаться как в реализации специальных учебных программ на базе предприятия, обучение на курсах, инструктаж и прочие мероприятия, которые призваны повысить уровень квалификации пользователей конечного звена (то есть не ITспециалистов). В случае если работа будет проведена эффективно, то, соответственно, риски, связанные с незаконным использованием информации, существенно снижаются. Разумеется, помимо уровня подготовки пользователя с точки зрения обладания теоретическими знаниями и прикладными навыками, очень важен индивидуальный психологический аспект: умение руководствоваться правилами здравого смысла является не менее важным условием достижения должного уровня соответствия пользователя требуемым правилам.
Следующий важный момент заключается в том, что информация в корпоративном аспекте выражается, как правило, в виде специфической служебной тайны, доступ к которой, соответственно, может иметь лишь ограниченный круг лиц. Возникает вопрос о том, как на практике достигается соответствие данному условию. Методы могут быть самыми разными, но так или иначе они предстают в виде отдельных прецедентов либо сочетания в той или иной пропорции двух следующих стратегий. Первая заключается в том, чтобы в как можно более «либеральной» форме изложить работнику фирмы необходимость в том, чтобы служебная тайна была сохранена при любых обстоятельствах. В основе данной стратегии лежит набор аргументов объективного характера, которые формируются со стороны руководства и узких специалистов по информационной безопасности. Эти аргументы призваны пробудить в сотрудниках чувство особой ответственности за свою деятельность в рамках вверенных полномочий. Второй тип стратегии – это использование гораздо более «тоталитарных» методов, в основе которых лежат какиелибо штрафные санкции в отношении сотрудников в случае нарушения дисциплины по профилю обеспечения информационной безопасности. Санкции могут носить как материальный характер (например, лишение премий), так и нематериальный, выраженный в виде той или иной формы порицания. Следует также сказать, что на оборотной стороне медали, знаменующей такой «карательный орден», может быть выпестована строка о том, что в случае отсутствия неприятных прецедентов сотрудника может ожидать определенное поощрение, опять же выраженное в денежной либо моральноэтической форме.
В любом случае вышеперечисленные методы редко встречаются в чистом виде. Как правило, руководство компании ищет комбинационные пути работы с персоналом на предмет повышения качества их подготовки по профилю информационной безопасности. Специфика избираемой стратегии может зависеть от конкретной сферы деятельности компании. Например, в тех сферах, где высоки репутационные риски, в банках, инвестиционных фондах, методы будут смещены, вероятнее всего, в сторону «тоталитарной» стратегии. В свою очередь, в таких сферах, как государственная служба и подобных ей, в которых материальные риски не столь очевидны, допустимо придерживаться более «либеральной» стратегии.
На следующей дискуссии второго дня обсуждалась важнейшая проблема, актуальная для современного состояния сферы компьютерных систем, – это использование информационных ресурсов для осуществления дистанционных банковских операций, или ДБО. По результатам дискуссии было выявлено, что в современный период сфера банковских услуг в области ДБО характеризуется значительным количеством нерешенных проблем, рядом специфических особенностей, обусловленных реалиями российского бизнеса и типичных тенденций развития информационных технологий в нашей стране.
Такой вид банковских услуг, как ДБО, является сравнительно новым для России явлением. Следовательно, очевидно то, что специалистам по информационной безопасности, пользователям, регуляторам, вендорам – в целом всем субъектам сферы информационных технологий предстоит набираться опыта в данной области, совершенствовать свои познания, выбирать наиболее оптимальные стратегии безопасности при проведении ДБО. Разумеется, что технологические новинки, связанные с банковскими операциями, детально изучаются не только специалистами «гражданского» лагеря, но и хакерами. В конечном счете выиграет тот, кто продемонстрирует опережающие навыки и познания в практическом применении технологических новаций. Следовательно, задача специалистов по информационной безопасности состоит в том, чтобы осуществлять перманентный мониторинг обстановки в среде программного обеспечения, проводить активную работу по превентивному выявлению вирусных и иных вредоносных угроз, а также осуществлять своевременные процедуры, выраженные в социальноинженерном аспекте, то есть работать с конечными пользователями своей информационной системы, будь то сотрудники фирмы либо ее клиенты – пользователи услуг по ДБО.
По понятным причинам процедуры, связанные с проведением ДБО, активно контролируются со стороны государственных регуляторов: ФСБ, ФСТЭК.
С одной стороны, данное обстоятельство может гарантировать пользователю услуги определенный уровень гарантии собственных прав. Государство законодательно гарантирует своим гражданам создание условий для проведения банковских операций и определяет варианты защиты от возможных инцидентов, связанных с получением соответствующих банковских услуг. Но с другой стороны, наличествует такое обстоятельство, что эффективная законодательная база до сих пор не сформирована, существующие правовые нормы имеют существенные пробелы в регулировании тех или иных сторон банковского рынка в целом и информационнотехнологического его аспекта в частности. Тем не менее стремление законодателей к совершенствованию системы правового регулирования данного процесса более чем очевидно, и есть основания полагать, что на этапах развития рынка ДБО в обозримом будущем государство сможет обеспечить существенное повышение качества регулирования в данной области, что позволит существенно снизить риски для поставщиков и потребителей данного рода услуг.
Рост количества инцидентов в сфере предоставления услуг по ДБО в последние годы растет, прогрессируя геометрически. Участники конференции приводили цифры, согласно которым, например, количество киберпреступлений по состоянию за неполный 2010 год превышает показатели всего периода 2009 года на 200 процентов. Следует отметить, что далеко не каждый прецедент получил в дальнейшем статус расследуемого органами безопасности. Вероятно, это связано с двумя группами причин. Вопервых, в некоторых случаях издержки по проведению расследования могут существенно превышать украденную сумму. Профессиональные хакеры, как правило, не размениваются на воровство небольших по банковским меркам сумм (в пределах 100 тысяч рублей). Средний размер ущерба от несанкционированной финансовой операции составляет около 2 миллионов рублей.
Также следует отметить, что существует одно весьма занимательное обстоятельство. Временами сотрудники службы банковской безопасностью сталкиваются с весьма специфичным, но тем не менее актуальным для российского, да и мирового рынка банковских услуг, явлением. Оно заключается в том, что клиенты банка официально объявляют об утечке средств, но по факту совершают особый акт мошенничества: банковская операция осуществлена дефакто под их собственным контролем. Клиенты данной категории бессовестно обманывают собственный банк. Ситуация осложняется тем, что в настоящий период те законы, которые регулируют отношения банка и клиента, не содержат необходимых формулировок, для того чтобы создать действенные прецеденты привлечения таких граждан к ответственности.
Исходя из практического опыта расследования киберпреступлений, участники конференции обменялись весьма занимательными сведениями. Как показывает опыт, оперативное реагирование на произошедший инцидент в течение 2 часов после его совершения гарантирует в среднем 85 процентов успеха в разрешении ситуации. Таким образом, клиент банка в случае подозрения на то, что его банковский счет использовали не по назначению, должен немедленно уведомить службу безопасности своего банка. Не нужно допускать каких бы то ни было актов самодеятельности. Стоит отметить, что данное правило должно активно пропагандироваться сотрудниками банка при заключении контрактов.
Работа с клиентами банка может быть выражена как в консультативной форме, непосредственно в ходе процесса обслуживания, так и при составлении договоров на соответствующий вид банковского обслуживания. На сегодняшний день многие банки в обязательном порядке включают в формулировки банковского договора положения, которым обязательно должен следовать клиент, для того чтобы снизить риск возникновения инцидентов с утечкой капитала. В том случае если клиент по какимлибо причинам не готов поставить подпись под договором на данных условиях, то банку с целью снижения последующих репутационных рисков целесообразно не обслуживать такого клиента в принципе либо содействовать тому, чтобы скорректировать ситуацию (например, обучить клиента пользованию необходимым программным обеспечением).
Второй день конференции во всех проявлениях продемонстрировал участникам, что в современной России рынок предоставления банковских услуг, связанных с использованием компьютерных систем, находится на стадии сложных процедур становления. Это наблюдается при исследовании различных его составляющих элементов – начиная от уровней теоретической подготовки и степени развития прикладной технологической базы пользователей и поставщиков и заканчивая законодательным аспектом правового регулирования данного процесса.
Третий день выставки именовался «телекоммуникационным». Вероятнее всего, по задумке организаторов, мероприятия третьего дня были призваны резюмировать прошедшие события выставки. Большинство из проведенных мероприятий третьего дня выставки было проведено с тем расчетом, чтобы включить в себя элемент финальной дискуссии с той целью, чтобы участники выставки смогли сделать для себя соответствующие полезные выводы относительно той информации, которую они получили в ходе посещения мероприятий выставки.
В конференцзале седьмого павильона в очередном порядке, так же как и в предыдущие дни, состоялся ряд заседаний. В частности, обсуждались наиболее актуальные проблемы информационной безопасности в плане обеспечения антивирусной защиты.
Представители ведущих мировых и российских разработчиков антивирусных программ приняли участие в обсуждении современной ситуации, характерной для рынка антивирусных решений. В частности, акцент в обсуждении был сделан на тех обстоятельствах, которые оказывают наиболее явное влияние на положение дел в текущих условиях развития антивирусных систем, актуальных для нашей страны. Прежде всего, все участники конференции сошлись во мнении, что на современном этапе российская компьютерная индустрия характеризуется несравнимо высоким количественным и пространственным уровнем распространения новых антивирусных угроз, по сравнению с недавним прошлым. За последний десяток лет, в частности, динамика появления новых вирусов выросла более чем в 100 раз. Безусловно, по этой причине методы выявления угроз требуют постоянного совершенствования и корректировки. Прежние, некогда весьма эффективные методы безнадежно устаревают. В частности, в качестве одной из прогрессивных технологий обнаружения и обезвреживания вирусов многие разработчики предлагают использовать метод так называемой облачной коммуникации. Метод заключается в том, чтобы наладить между разработчиком и пользователем перманентную коммуникативную связь в режиме онлайн, для того чтобы обеспечить наиболее оперативный способ диагностики вирусных угроз. Также технические возможности «облака» позволяют мгновенно передать новые сведения и другим пользователям системы разработчика. Участники конференции сошлись во мнении, что применение технологии «облака» позволяет на данный момент наиболее эффективно противодействовать последствиям текущей динамики развития вирусных угроз.
Технические решения разработчиков, продемонстрированные в течение каждого дня выставки, безусловно, представляют собой наиболее современные инновационные разработки. Тем не менее специфика развития мирового и российского технологического сообщества требует от разработчиков постоянной готовности к совершенствованию технических и программных средств.
Конференция «INFOBEZEXPO – Инфобезопасность2010» завершена, участники мероприятия провели большую работу в плане осуществления системного обмена опытом с другими субъектами сферы информационных технологий. Какие выводы для себя в аспекте практической полезности мы с вами можем сделать на основе итога выставки?
Компьютеризация российского бизнеса уверенно достигла национальных масштабов.
Мы убедились в этом, так как практически каждая проблема, обсуждаемая в ходе дискуссий на конференциях, затрагивала то обстоятельство, что российский рынок информационных технологий и услуг вырос и созрел для больших решений.
Одним из важнейших условий ведения успешного бизнеса для российских компаний является достижение высокого уровня подготовки в сфере информационной безопасности.
Несколько лет тому назад, на заре процессов информатизации нашей страны, многие корпорации зачастую не уделяли должного внимания изучению сферы компьютерных систем и не проводили соответствующей политики в отношении обеспечения должного уровня компетенции в сфере информационных технологий. В настоящее время очевидно, что стратегия развития абсолютно любой компании должна включать в себя программу развития собственной базы информационнотехнологического направления. Основной акцент в данной программе должен быть сделан на обеспечении компании условиями для достижения высокого уровня информационной защиты. Данный процесс может заключаться в корректировке кадровой политики (создание новых отделов, обращение к аутсорсинговым фирмам, приглашение высококвалифицированных специалистов в области компьютерной безопасности), в разработке новых внутренних регламентов и правил.
Информационные технологии – эффективный инструмент конкурентной борьбы в бизнесе. Обладание лучшими ресурсами означает обладание преимущественной позиции, и, как следствие, создание условий для достижения высоких результатов работы.
Российская экономика является по сути своей развивающейся. В условиях нашей страны существует множество возможностей для построения бизнеса по самому разливному профилю. В качестве гарантов успеха могут выступать самые различные факторы: личные и профессиональные качества сотрудников, качество продукции или услуг, поддержка со стороны партнеров. Но мы определили, что неотъемлемым условием успешности бизнеса будет являться подготовленность к разнообразным инновационным веяниям, в частности к условиям, продиктованным тенденциями развития информационных технологий. Обеспечение должного уровня соответствия собственных возможностей компании тем требованиям, которые формируются обстоятельствами внешней информационнотехнологической среды, в особенности в отношении направления информационной безопасности, является неотъемлемым компонентом успешной стратегии развития бизнеса.