Информационная безопасность и бизнес: как найти общий язык и соблюсти баланс интересов?
Почему информационная безопасность, несмотря на то, что она постоянно в центре внимания последние десять лет, так в итоге и не смогла стать приоритетом для бизнеса? Почему большие ИТ-инфраструктуры могут оставаться компрометированными несколько лет подряд? Почему защищенность с течением времени падает, а не растет? Попробуем найти ответы на эти вопросы, волнующие как бизнес-сообщество, так и ИБ-специалистов.
На самом деле, не все так плохо, как кажется на первый взгляд. Просто надо принять за аксиому, что абсолютно безопасных систем не существует, никогда и нигде. Все потому, что любая безопасность, и ИБ в том числе, – это только лишь страховка, ее бизнес волен «покупать» исключительно на «добровольных началах». Бизнесу информационная безопасность не приносит никакой прибыли, она лишь обеспечивает ему страховку от убытков. Тогда как многие другие ИТ-решения обычно относятся к категории «время-деньги». К примеру, внедрение ERP-системы увеличивает рентабельность бизнеса сразу же на десятки процентов, это не доступно даже банальному антивирусу, который устанавливается на корпоративном сервере.
Любой бизнес обычно функционирует только лишь ради единственной цели – увеличения прибыли. Соответственно, все остальное, что не позволяет увеличивать прибыль, является вторичным. Однако некоторые «снижатели» прибыли сегодня уже являются нормой, ведь бизнес уже понял, что они могут оказывать ему пользу, даже если эта польза оказывается не прямо, а косвенно. К примеру, это комфортабельный офис вместо подвала, разнообразные PR-активности, для некоторых отраслей это также забота об экологичности и о натуральности товара…
Благодаря росту уровня угроз бизнес начинает понимать, что защищаться уже необходимо. Чем старше компания, чем она крупнее, тем, соответственно, у нее больше будет шансов пасть жертвой своего пренебрежения вопросами безопасности данных. С ростом количества компаний, для которых данная угроза уже реализовалась, будет становиться лучше и ситуация с информационной безопасностью. Это старое правило – обжегшись на молоке, дуют и на воду.
Если же говорить о падающей защищенности, то во многом она является следствием проникновения технологий в те сферы, где с ними постоянно сталкиваются пользователи, не обладающие соответствующей квалификацией. Злоумышленнику будет намного проще обвести вокруг пальца такого пользователя, нежели «гика». В качестве аналогии можно привести увеличение количества мелких ДТП с выездом «подснежников». Соответственно, по мере роста технической грамотности населения данная проблема также будет решаться.
Тогда возникает закономерный вопрос: почему ИБ-отрасль не играет на опережение? Ведь если столько инцидентов происходит, то это говорит о недостаточной эффективности систем защиты от них.
Чтобы понять, почему кажется, что защита отстает, вспомним сказанное выше про абсолютную безопасность. И сопоставим с тем фактом, что в любом программном продукте существуют так называемые «уязвимости нулевого дня». На другой чаше весов находится знаменитый человеческий фактор. Архитектура технологий на сегодняшний день все же играет против ИБ, также нужно учитывать и желание заказчиков получить в виде ИБ-решений некие «сказочные машины», обладающие простой и единственной клавишей «Сделать безопасно». Соответственно, клиенты не готовы внедрять вместо привычных методов работы методы безопасные. Так что говорить сегодня стоит не об отставании компаний по обеспечению информационной безопасности, а скорее об инертности клиентов. Причем инертность эта довольно большая не только в России, но и во всем мире.
Если же говорить именно о российской ИБ-отрасли, то здесь ситуация по многим параметрам гораздо лучше, нежели в других ИТ-отраслях. Тут дают себя знать знаменитые русские традиции «не пущать и запрещать». Большое количество российских (равно как и вообще постсоветских) ИБ-компаний сегодня являются мировыми лидерами в собственных узких технологических нишах. Отставание от хакеров у таких компаний в разы меньше, нежели у их западных коллег. Например, первый компьютерный «червь», который Израиль использовал в кибервойне против Ирана, был найден белорусским специалистом, сейчас это специалист уже работает в России.
О конкретных значениях отставания говорить смысла нет, ведь в каждой нише это отставание свое. В антивирусах оно может составлять часы, а в области борьбе с утечками информации оно полностью зависит от заказчика, тогда как в некоторых глобальных вещах, таких как комплексная защита бизнеса, данное отставание может составлять годы.
Самое главное для бизнеса – это запомнить, что неуязвимых систем нет вообще. Задача информационной безопасности заключается в том, чтобы сделать взлом делом очень дорогим и длинным. Настолько длинным и дорогим, чтобы им никто не заинтересовался. Потому везде главной проблемой остается человеческий фактор. Можно вспомнить относительно недавнее крушение самолета в Альпах: если пилот решил разбить лайнер, то и никакого террориста не потребуется. Соответственно, и самыми безопасными на сегодня системами являются те, где присутствие человека требуется меньше всего. Беспилотные автомобили, к примеру, которые уже вовсю ездят по дорогам США, пока не задавили ни одного человека. Иное дело – автомобили, управляемые водителями-людьми, тем более пьяными.
Потому в наше время в ИБ очень важное значение приобретают те системы, которые позволяют контролировать работу сотрудников на их рабочих местах, потому что как раз на этих людей, а нисколько не на вирусы или на хакерские атаки, и приходится основная доля ущерба от инцидентов, происходящих в сфере ИБ. Само собой, от таких инцидентов сильнее всего страдают организации.
К сожалению, сам бизнес неохотно выделяет деньги на страховки, такие как ИБ-решения, потому такие законы, как закон «О персональных данных» нужны сегодня, чтобы обеспечить цивилизованный оборот этих данных. Как, например, в случае с экологическими законами, думать тут нужно, в первую очередь, не о комфорте для компаний, а о возможных последствиях в будущем.
Однако, до тех пор, пока законодательные акты принимают без консультаций со специалистами, когда законодатели стараются «на всякий случай запретить побольше», то и самые полезные инициативы в данной сфере вызывают огромное количество критики со стороны бизнеса, и в итоге и вовсе игнорируются им. Это, само собой, не дает поводов для оптимизма. Так что госполитика в сфере ИБ – это правильно, в целом, но требуется более ответственное и продуманное отношение к ней в первую очередь от тех, кто её составляет.
Защита в наше время является необходимостью, однако априорная защита оправдывает себя далеко не везде и не всегда. Если мы говорим не о тех данных, которые являются критически важными, то она может стать скорее неподъемной обузой и своеобразным тормозом для бизнес-процессов в организации, а это вызывает желание обойти такую защиту, либо же совсем ее выключить.
Серьезное наказание за утечки данных нужно в том случае, если речь идет об утечках персональной информации. В большинстве остальных случаев утечек рынок и сам может наказать нерадивого игрока. Примером может служить случай с тайваньской компанией HTC, менеджеры которой занимались продажей китайцам новых разработок устройств компании. Некогда фирма являлась лидером в своей отрасли, сегодня она уже довольно сильно отстает от тех же Samsungи LGв области Android-устройств. В России подобные примеры тоже есть. Можно рассказать об одной интернет-компании, работник которой решил зарегистрировать на себя домены нескольких интересных ему проектов. После этого сотрудник уволился и начал требовать за данные домены миллионы рублей. Печально, что в такой ситуации рычагов воздействия на сотрудника у компании совсем мало. Если бы в фирме была хорошо работающая служба информационной безопасности и хорошо организованная система для защиты данных от утечек, то ничего подобного никогда бы не случилось.
К сожалению, основным препятствием становится только лишь отсутствие у руководства компании воли к обеспечению безопасности данных. Но для того, чтобы сделать свой бизнес безопасным, не нужно проявлять чудес ловкости. ИБ – довольно рутинная сфера, тут не потребуется особенных исследований или оригинальных подходов. Даже более того, лучшими практиками можно назвать самые проверенные. Потому начинать потребуется с организации отдела по информационной безопасности, пусть даже он и будет на первых порах включать только одного сотрудника. Дальше потребуется понять, какие именно угрозы сегодня являются актуальными для организации, и создать план мер, обеспечивающий их нейтрализацию. И затем потребуется реализовать данный план поэтапно. А под лежачий камень, как известно, и вода не течет…