«Российская газета» и Юлия Кибирева: «Cкрытая угроза»

17 января 2008 (09:18)

От кого и какими способами нужно защищать корпоративную информацию

Отношение к защите информации в бизнес-среде до сих пор неоднозначное, что вполне объяснимо: без собственного опыта необходимость этих услуг осознать трудно, а высокая их стоимость вовсе не гарантирует стопроцентной защиты. тем более что утечка информации происходит главным образом с участием или по вине собственного персонала компании.

Со щитом или без щита

Сегодня, говоря о безопасности информационной, прежде всего подразумевают защиту компьютеров, поскольку львиная доля ценных сведений на предприятиях и офисах хранится в электронном виде. Причем эту информацию, порой конфиденциальную и имеющую коммерческую ценность (базы данных, клиентские базы, схемы производства, различные ноухау), как раз принято защищать. Утечка или утрата такого рода сведений может, как минимум, принести большие убытки, а как максимум — привести к полной потере бизнеса.

Помимо риска утечки, есть еще множество других угроз. Например, как рассказал Александр Голоушкин, генеральный директор компании по антивирусной безопасности и защите конфиденциальных данных, существенный вред наносят и вирусы, которые могут стирать информацию или скачивать ее из Интернета, и спам (рекламная рассылка), объем которого в почтовом трафике порой доходит до 70 процентов. Оплачивать все эти «побочные эффекты" компаниям приходится из своего бюджета.

Впрочем, несмотря на повальную компьютеризацию, всерьез заниматься защитой корпоративной информации большинство предпринимателей пока не готовы. Поскольку, с одной стороны, никто не даст гарантии, что, грамотно выстроив комплексную систему защиты и потратив на это большие деньги, фирма этой информации не лишится. С другой же, полностью открытая для злоумышленников компьютерная сеть тоже может существовать довольно долго — правда, до первой атаки. Как говорят специалисты по информационной безопасности, вопросами защиты начинают заниматься чаще всего после того, как уже что-то сломано или взломано. Заранее на предотвращение посягательств хакеров работают только предприятия отдельных сфер деятельности, для которых это уже стало традиционным.

- Это коммерческие банки, поскольку они обязаны этим заниматься, так как основной документооборот у них электронный, а работают они с чужими деньгами. Госучреждения, а также заводы, связанные с министерством обороны или с Аэрокосмическим агентством, одним словом, все предприятия, которые имеют отношение к государственной тайне. Ведь их в плане защиты информации контролирует государство. Операторы сотовой связи занимаются серьезной защитой добровольно, поскольку также работают с чужими деньгами, — говорит Владимир Турчик, директор компании по безопасности компьютерных сетей.

Все остальные коммерческие компании занимаются защитой настолько серьезно, насколько заинтересованы в сохранении своей информации.

При этом комплексно подходить к этому вопросу склонен по большей части крупный бизнес, средний и малый же ограничивается стандартными средствами; защита от вирусов, спама плюс пропускная система входа в здание. Иногда используется ограничение доступа к компьютерам и в Интернет через простейшие средства — пароли и контроль трафика.

Внутренний враг

Однако и небольшим компаниям защита информации необходима, особенно если на рынке имеется хоть какая-то конкуренция. Причем защита комплексная, которая хороша тем, что позволяет закрыть компьютер

ную сеть как от внешних, так и от внутренних угроз, которые стали гораздо актуальнее для сегодняшнего бизнеса.

Среди основных методов комплексной защиты компьютерных сетей различают технические и организационно-правовые или процедурные методы. К первым относят специальное программное обеспечение (антиспам, антивирусы), устройства, блокирующие доступ к разъемам компьютера и препятствующие снятию информации, и тому подобные барьеры. Ко вторым - внутренние регламенты, где прописано, какие действия сотрудник имеет право совершать с информацией, к которой имеет доступ, а также система доступа к тем или иным ресурсам. Например, начальник отдела может просматривать и редактировать клиентскую базу, а рядовой сотрудник — только просматривать.

Однако ни один метод не будет работать достаточно эффективно, если не учитывать при построении системы человеческий фактор.

— Работа с кадрами, система отношений в организации играют большую роль, ведь до 80 процентов утечек или разрушения информации по незнанию либо намеренно совершает собственный персонал компании, — считает Виталий Баранский, директор РУНЦ «Информационная безопасность», профессор кафедры алгебры и дискретной математики УрГУ.

Так что если от внешних атак уже существуют и применяются довольно эффективные методы защиты, то проблема угроз внутренних гораздо серьезней. Людей, которые в личных целях или по заказу конкурентов крадут или стирают информацию, профессионалы называют инсайдерами. Скопировать клиентскую или бухгалтерскую базу, например на «флэшку», — минутное дело, отследить это сложно, а предотвратить еще сложнее. Как уменьшить риск таких действий сотрудников, рассказал Александр Голоушкин:

— Помимо закрытия доступа к разъемам и устройствам компьютера, можно контролировать исходящий от сотрудника трафик по набору заданных ключевых слов. И, например, при возрастании количества таких слов как «прибыль», «сделка», «клиенты», система предупреждает администратора сети. Конечно, перед этим сотрудник должен быть предупрежден и подписать согласие на то, что его электронную почту читают.

Другой способ профилактики инсайдерских угроз предложил Владимир Турчик: вовремя платить людям адекватную зарплату. Специалист привел интерес

ную статистику из своего опыта: из всех действий, выполняемых сотрудниками на компьютерах, около 90 процентов имеют штатное объяснение, остальные -подозрительные или нештатные. Из них половина связана с безобидными вещами, например посещением сайтов, просмотром личной почты. К вопросам безопасности это будет иметь отношение в том случае, если они случайно загрузят из Интернета вирус. Часть действий, не имеющих отношения к производственному процессу, направлена на удовлетворение любопытства: что будет, если я сделаю так. И только весьма незначительная доля нештатных действий совершена со злым умыслом, который питает низкая зарплата и нездоровый психологический климат на предприятии.

Цена обороны

Эксперты в один голос говорят, что абсолютной гарантии от всех угроз дать никто не сможет: на всякое действие найдется свое противодействие. Злоумышленник может получить информацию всегда. Вопрос в том, сколько он при этом потратит денег и усилий, а это уже зависит от того, насколько хороша защита нужной ему информации. От этого, соответственно, и зависит стоимость самой защиты. Естественно, что чем она дороже, тем ее сложнее сломать.

Теоретически стоимость защиты такова: сколько хозяин информации может потерять в

денежном выражении, если информация уйдет на сторону, таков и будет максимальный порог трат. На практике этот принцип трудно применим, поскольку подсчитать вероятные убытки невозможно: информацию можно просто удалить или исказить, а можно передать конкурентам или контролирующей организации. Экономический ущерб от этих действий разный.

Есть и другой метод расчета стоимости системы аварийного восстановления данных — точка потери бизнеса.

— Просчитывается, через какое время бизнес умрет, если компьютерная сеть не работает — обычно это два-три дня. Здесь играет ключевую роль время простоя, то есть время, когда компания терпит убытки. Соответственно, чем меньше понадобится времени на возобновление работы, тем дороже будут стоить необходимые для этого средства, — объяснил Владимир Турчик.

По его мнению, этот метод наиболее подходит банкам, для других видов деятельности его применить уже сложнее.

Однако общие рамки стоимости, опробованные практикой, все же существуют. По расчетам разных специалистов, цена компьютерной защиты может достигать пяти процентов от стоимости информации или 15 - 30 процентов от стоимости всего программного и аппаратного обеспечения, если речь не идет о специфической информации или виде бизнеса.

Не удешевляет защиту и комплексный подход, который проявляется как в функциях самого программного продукта, так и в обслуживании его. Например, современные антивирусные программы в состоянии не только блокировать вирусную угрозу, но и отражать внешние атаки, контролировать трафик, почту, утечку информации. А современное обслуживание не ограничивается только установкой нужных программ и оборудования — теперь оно подразумевает разработку технического задания, проекта, написание инструкций, поставку программного обеспечения, обучение сотрудников компании, которые будут его обслуживать, и так далее.

При этом защита от инсайдеров, как ни парадоксально, зачастую стоит меньше.

— Хотя сказать одназначно о низкой сравнительной стоимости систем защиты от инсайдеров проблематично, для компании малого бизнеса защита внешнего периметра может обойтись дороже, чем продукты по ограничению копирования и контролю за сотрудниками, — считает Александр Голоушкин.

В любом случае, хотя пока немногие представители среднего и малого бизнеса рассмат ривают информационную защиту как средство конкурентной борьбы и сохранения своей фирмы, профессиональная защита информации давно стала необходимым видом услуг, а значит, и вполне успешным бизнесом.


Другие материалы по теме: