Спецпроекты

Безопасность Цифровизация Бизнес-приложения

«Купил-забыл»: о чем умалчивает реклама средств ИБ

Средства обеспечения информационной безопасности необходимы для работы любой современной компании, однако технологическое развитие в этой области несколько замедлилось. Отсутствие принципиально новых решений компенсируется здесь агрессивной рекламой. Но не искажается ли информация, пройдя через рекламный фильтр? И каковы последствия такого искажения?

Вся беда в том, что подобная логика достаточно распространена и успела достаточно сильно исказить мышление специалистов по информационной безопасности. Кажется, теперь даже компании-разработчики уверены в том, что, после того как будут предприняты некоторые организационные меры, данная система полностью решит проблему внутренних угроз на предприятиях.

На самом деле, проблема защиты информации от внутренних угроз полна «подводных камней», о которых предпочитают умалчивать. Предлагаемые системы решают задачу расширенного контроля доступа на технологическом уровне, который по умолчанию отсутствует в системе — это действительно благотворный фактор. Однако распределение ролей и прав доступа — это только первый, обязательный шаг. Далее начинается самая тяжелая работа — работа непосредственно с людьми, участвующими в процессе обработки информации, к которой они допущены. К примеру, сотрудники могут иметь доступ к информации, которая умещается в нескольких коротких предложениях бизнес-плана и, возможно, ценится намного больше, чем громоздкая база данных. Небольшие фрагменты бизнес-плана легко запомнят и «вынесут в голове», так что «флешка» совершенно не понадобится.

По сути, подобные системы «защиты от внутренних угроз» можно использовать для защиты «от дураков» (например, для защиты от уборщиков, которые без какого-либо надзора работают в кабинетах руководства и которые могут быть подкуплены заинтересованными лицами) или для расследования произошедшего инцидента (например, для того чтобы резко сократить круг подозреваемых).

Кто виноват и что делать?

Два извечных российских вопроса применимы и к нашей ситуации. Например, для того чтобы укрепить защищенность компании от спама, компания затратила средства на: систему и ее внедрение,покупку дорогостоящего оборудования для нее, техническую поддержку (закупленное средство вызывает периодические сбои в работе всей системы), найм нового сотрудника и его обучение азам эксплуатации новой системы.

Учебный курс «Информационная безопасность компании» 13-14 ноября

Руководство этой фирмы собственноручно взрастило целую массу мелких проблем и затратило массу денежных средств, но проблема спама практически не решилась, так как его доля в общем количестве почтовых сообщений уменьшилась, например, с 53% до 27%. Так было ли целесообразно тратить деньги, время, ресурсы и нервы на попытку решения проблемы, если собственно подход к решению был некорректен? Конечно же, нет. Для того чтобы осмыслить описанную ситуацию, вспомним один из основных софистических приемов: строить абсолютно правильные, логичные, стройные суждения и выводы, изначально основываясь на неверных предпосылках.

Кто виноват? Тот, кто под влиянием маркетинговых материалов принял решение о закупке оборудования? Фирма-производитель, «неверно» информирующая своих клиентов о предлагаемом решении? Редакторы специализированных изданий, допустившие формирование ошибочного мнения даже у специалистов по информационной безопасности?

Главный вопрос: как найти и
Главный вопрос: как найти и "поймать" истину?

На самом деле совершенно неважно, кто виноват и кого необходимо наказать. Главное — понять, что сформировавшееся мнение слишком узко, что оно создает проблемы, и посмотреть на информационную безопасность под правильным углом. Ответ на вопрос «что делать?» напрашивается сам собой: в первую очередь, мыслить здраво. Не решать проблему необдуманной поспешной покупкой очередного средства, а попытаться четко и всесторонне проработать вопрос о результате, которого требуется достичь при этих затратах. Если ваша конфиденциальная информация представлена действительно только в виде крупной базы данных и больше ничего ценного для конкурентов вы в своем активе не имеете — конечно же, целесообразно подумать о приобретении системы контроля использования внешних устройств и введении четких регламентов работы с этой базой. Если один из ваших основных страхов — это остановка бизнес-процессов (пусть даже на десять минут), то для вас актуально использование антивирусов, анти-spyware, систем предотвращения атак, а также систем постоянного и всестороннего мониторинга сети на предмет посторонней вредоносной активности средствами специально выделенной службы. Также для всех систем обязателен режим «горячего» резервирования.

Однако стоимость подобного подхода к решению проблем обычно достаточно высока, особенно если для вас актуальны и критичны все возможные угрозы и вы пытаетесь решать задачу собственными силами и ресурсами. Услуги опытных специалистов достаточно дороги, а стоимость обеспечения неприкосновенности и неразглашения информации всегда должна быть адекватна стоимости самой информации: противоугонная сигнализация не может стоить дороже автомобиля.

Выход найдется и из этой ситуации, однако в России описанный подход приживается с трудом. Речь идет об аутсорсинге, то есть о передаче работ по обеспечению состояния защищенности информационной системы (с учетом специфики бизнес-процессов и вида защищаемой информации) в руки профессионалов вне компании. Может быть передана на разрешение как некоторая часть, так и весь комплекс проблем, связанных с информационной безопасностью — от выбора необходимого оборудования, закупки и его внедрения до повышения осведомленности ваших сотрудников обо всех опасностях вирусов, фишинговых атак или просто устного разглашения конфиденциальной информации коллегам, например, при неофициальном общении. Такой подход позволит комплексно и профессионально решить проблемы информационной безопасности, не растрачивая при этом внутренние ресурсы компании на решение непрофильных задач или не оплачивая большой штат дорогостоящих специалистов. Более того, если для решения ваших проблем привлекаются профессионалы, надежность защиты значительно повышается. Стоимость же подобных услуг при разумном подходе ненамного превышает стоимость тех же работ, выполняемых силами компании, однако качество будет заметно отличаться в лучшую сторону.

К сожалению, российская ментальность такова, что мы с недоверием относимся как к профессионалам (проверить их компетенцию крайне затруднительно), так и к людям «со стороны», посторонним (что если один из них в будущем перейдет к конкурентам?). Но когда в вашей квартире протекают проржавевшие насквозь трубы, вы в спешке покупаете парочку новеньких оцинкованных тазиков (для «горячего резервирования») на каждое место протечки или вызываете профессионалов для решения этой проблемы?

Константин Черезов

Учебный курс «Информационная безопасность компании» 13-14 ноября

Короткая ссылка