Информационная безопасность. Типичные ошибки (Игорь Чернов, Директор ТОО «Informsecurity»)

Информационная безопасность.

Типичные ошибки

 

 Игорь Чернов,

Директор ТОО «Informsecurity»

 

 

За безопасность надо платить. За отсутствие безопасности расплачиваться. Вопрос только в том, что стоит дороже

Народная мудрость

 

Поговорим об информационной безопасности. Казалось бы - всё тут понятно. О необходимости охранять и защищать информацию, содержащую коммерческую тайну знают все. И вроде бы меры какие ни какие предпринимаются. Скачали из интернета Положение о коммерческой тайне. Заставили работников подписать Обязательства о неразглашении. А всё равно что-то не то. Есть подозрение что информация утекает. То проект сорвётся, то конкуренты обскачут. То о событии в жизни компании, которое хотелось бы поскорее забыть, вдруг начинают все говорить и писать. Знакомая ситуация? Для многих очень знакомая. И возникает вопрос - а может что-то мы делаем не так? Да, не так. Подавляющее большинство компаний при планировании и проведении мероприятий, призванных обеспечить режим сохранения сведений составляющих коммерческую тайну совершают одни и те же ошибки.

Ошибка первая и самая распространённая. Желание обезопасить от утечки максимальное количество информации. Природа этой ошибки на первый взгляд понятна. Чем больше информации я смогу защитить, тем меньше будет знать обо мне неприятель и тем меньше шанс, что используя эту информацию, этот неприятель сможет причинить мне какой-то вред. На практике же всё происходит наоборот. Усилия, направленные на обеспечение информационной безопасности размываются на большой массив охраняемой информации, которую попросту невозможно сохранить. Дело в том, что каждая компания существует в плотном информационном поле. И сведения о компании, о её работе и её активах, хранятся во многих местах, которые вы не можете контролировать по определению. Это и различные сайты, в том числе государственные, и государственные органы (налоговая, юстиция, прочее), и банки, да много чего ещё. И эту информацию теоретически не так сложно получить, используя зачастую абсолютно законные, а иногда и не совсем законные методы. Это, конечно, не значит, что информацию о полученной компанией прибыли или имеющихся у компании активах нужно расклеивать на каждом заборе, но и слишком беспокоиться об охране таких данных не стоит. Вы просто физически не сможете закрыть все каналы доступа к такой информации. Между тем у любой компании есть сведения, разглашение которых действительно может привести к тяжким для компании последствиям. Их не так много, но они есть. И вот их и необходимо защищать. Приведу пример. Все у нас в стране знают, что такое технические средства негласного получения информации, именуемые в простонародье «жучками». И ни для кого не является секретом, что наши правоохранительные органы и спецслужбы используют эти средства при проведении оперативно-розыскных мероприятий. А многие и видели в новостных программах негласно снятые ролики, когда очередной коррупционер пересчитывает очередную взятку, а тут к нему в кабинет врываются наши борцы с коррупцией и берут его под белы рученьки. При этом заметьте, государственные органы никак не реагируют на слова «правоохранители прослушивают подозреваемых в совершении преступлений». Потому что это не является секретом. А вот сведения о технических характеристиках таких изделий, применяемых нашими правоохранителями, или тактика их применения, или сведения об объектах их применения являются закрытыми. И разглашение таких сведений приведёт к репрессиям со стороны государства, которое защищает эту информацию. Что, собственно, понятно и справедливо. То же самое и в бизнесе. Какой можно сделать вывод? Прежде всего надо вспомнить известный афоризм бессмертного Козьмы Пруткова «Нельзя объять необъятное». И не пытаться этого сделать. Нужно определить утечка какой именно информации способна нанести реальный ущерб предприятию. И все усилия направить на защиту именно этой информации. К слову, это будет сделать намного легче, да и стоить это будет дешевле, чем пытаться защитить всё. А толку от этого будет несравненно больше.

Ошибка вторая. Недооценка угроз. Природа этой ошибки тоже понятна. С одной стороны до сих пор многими нашими бизнесменами информация воспринимается как нечто эфемерное, не имеющее ценности. С другой стороны многие до сих пор почему-то уверены, что раз они не выкладывают в «фейсбуке» или «одноклассниках» посты типа «начинаем подготовку к конкурсу, будем предлагать такую-то продукцию по таким-то ценам, а пролоббирует наши интересы Баке, который очень большой человек», то получить эту информацию посторонним людям просто невозможно. На самом деле очень даже возможно. Будьте готовы к тому, что с вами не будут поступать по-джентльменски. В отношении вас могут быть применены различные методы получения информации. Такие как подкуп или шантаж ваших работников, имеющих доступ к интересующим сведениям. Или кража различных носителей с интересующими данными. Или внедрение агента в вашу фирму с целью получить информацию, которая является коммерческой или банковской тайной. Также может быть произведено осуществление незаконного доступа к коммерчески значимой информации с использованием технических средств (прослушивание телефонных линий, кабинетов, незаконное проникновение в компьютерные сети). Да много чего ещё. Какой вывод? Нужно учитывать все эти угрозы и быть готовым им противостоять.

Ошибка третья. Отсутствие стратегии в планировании и проведении мероприятий, направленных на обеспечение информационной безопасности. Говоря по-другому в наших компаниях нет грамотно выстроенной системы, предназначенной для борьбы с такими угрозами. Природа этой ошибки тоже не новость. Многие наши бизнесмены почему-то уверены, что достаточно произвести какие-то начальные действия по формированию такой системы - подписать Положение о коммерческой тайне, отобрать у работников Подписку о неразглашении и всё - дальше всё как-то само собой образуется, а работники проникнутся. Не надейтесь. Не образуется и не проникнутся. А если и проникнутся, то толку от этого всё равно будет немного. Потому что без эффективных мер контроля, являющихся одной из составляющей системы информационной безопасности, такое проникновение очень быстро закончится. И потому что сотрудники просто не умеют работать в режиме мер по сохранению коммерческой тайны. Их этому учить надо. А никто этого не делает. Какой вывод? Систему противодействия угрозам информационной безопасности надо внедрять. В наше непростое время это лишним не будет. К тому же это не требует каких-то заоблачных расходов и основные затраты придётся понести только на первом этапе внедрения такой системы.

Ошибка четвёртая. Поведенческая. Это лень и отсутствие самодисциплины у руководителей наших компаний. Природа этой ошибки заложена в умах этих руководителей. Многие из которых почему-то думают, что строгие меры, установленные на предприятии для соблюдения режима сохранения коммерческой тайны их не касаются. Не секрет, что исполнение всех нормативов, обусловленных режимом сохранения коммерческой тайны, привносит в нашу жизнь много мелких неудобств. Пример. Всем понятно, что документы для организации и осуществления какого-либо нового проекта лучше делать самому. Или пусть это делает особо доверенное лицо, но в защищённом кабинете. И компьютер, на котором делаются эти документы, должен быть отключен от сети. И на этом компьютере должны быть установлены программы, препятствующие несанкционированному доступу к информации и копированию документов на любые носители. А черновики документов нужно распечатывать и править на бумаге, которая потом уничтожается. Но это неудобно. Зачем править на бумаге, если это можно делать на новом мониторе высокого разрешения. В конце концов в двадцать первом веке живём. И документы, изготовленные исполнителем, направляются директору компании по сети. А исправленные и дополненные документы также по сети направляются исполнителю для оформления. А потом этот директор компании удивляется, что конкуренты предложили практически тот же проект, но с небольшими улучшениями и таким образом обеспечили себе участие в госпрограмме. Кстати невыдуманный случай. Всё очень просто. На сервере компании была установлена программка, которая копировала весь документооборот и отправляла копии куда-то кому-то. Кем и когда была установлена эта программка так и не было установлено. Уволили сисадмина. Что, естественно, не покрыло огромных убытков. Но если разобраться, то сисадмин не виноват. Главные виновники - лень и отсутствие самодисциплины генерального директора. Который не придал значения тому, что действительно живём в двадцать первом веке. В котором хищение информации стало нормой. Какой вывод? Очень простой. Да, понимаю, борьба со своей ленью - самая трудная и мучительная. Но надо, ребята, надо. В конце концов это ваш бизнес.

Теперь немного о хорошем. В последнее время ситуация начинает меняться. Руководители и владельцы компаний начинают понимать значимость мер по сохранению информации, являющейся коммерческой тайной. И начинают выстраивать систему таких мер. Огорчает одно. Чаще всего такая система начинает строиться уже после того, как информация ушла, все негативные последствия наступили, компания понесла убытки. То есть, как говорят в простонародье, начинают покупать в большом количестве «Боржоми» после того, как пропустили чувствительный удар по почкам.

Впрочем, это уже другая история.

Берегите себя.

 

Следите за новостями zakon.kz в: