Доверяй, но проверяй. Исследование состояния информационной безопасности в организациях России

Согласно докладу «State of IT Security: Study of Utilities and Energy Companies», опубликованному исследовательским институтом Ponemon Institute, 75% компаний ТЭК пострадали от утечки данных в 2010 году, при этом 69% респондентов отметили, что утечки данных «вероятно или скорее всего» произойдут в ближайшие 12 месяцев. Каждая утечка данных, как говорится в исследовании, обходится компании в среднем в 156 000 долл. Главной причиной утечки данных респонденты называют «злобных инсайдеров» — 43% опрошенных отметили, что инсайдеры — самая большая угроза для организации.

Россия не отходит от мировых трендов, хотя и существуют некоторые особенности. Так, например, крайне сложно найти факты утечек конфиденциальной информации — компании по закону не обязаны предавать огласке подобные инциденты, а добровольно в здравом уме никто на это не пойдет. Страх потерять клиентов, следовательно, и прибыли, гораздо сильнее любого голоса совести.

Тем не менее, позитивные сдвиги есть и у нас. Компания SearchInform провела в рамках Security Road Show, прошедшего в 23 городах России и Украины, масштабное анкетирование, ответы на которое и легли в основу этой статьи.

Неслучайно первый вопрос анкеты, как и в предыдущих исследованиях 2010 и 2011 года, звучал как «Кто в вашей организации отвечает за информационную безопасность?».

И если в 2010 году руководители организаций больше полагались на них, чем на профильных специалистов по безопасности, то по результатам исследований 2011 и 2012 года видно, что ситуация разительно изменилась. Все больше компаний доверяет «безопасникам» сохранность своих тайн.

Не последнюю роль в этой ситуации сыграл ФЗ №152 «О защите персональных данных». Однако не законом единым…

Тенденция доказывает, что проблема защиты конфиденциальной информации не придумана маркетологами, а действительно актуальна для современного бизнеса.

Но одного понимания необходимости защиты недостаточно. Важно знать, что защищать и от кого. Первым шагом к реализации конкретных мер обычно служит подписка соглашения о неразглашении. По данным компании SearchInform в 2012 году в 9 из 10 опрошенных компаний применялся этот инструмент.

Однако большинство сотрудников, совершивших кражу персональных данных, подписывали подобные соглашения и знали о политиках безопасности. Поэтому если компания всерьез намерена позаботиться о защите конфиденциальных данных, очевидно, что должны быть разработаны соответствующие политики безопасности. Но, скажите, часто ли вы заглядываете в инструкцию к, скажем, тостеру или чайнику? Конечно же, нет. «Это же чайник!», — воскликнете вы. Зачем читать руководство, если и так понятно, как пользоваться прибором. Такая же мысль посещает светлые головы ваших сотрудников.

Их точку зрения разделяет Михаил Соколов, кандидат юридических наук, научный сотрудник Центра исследования проблем российского права «Эквитас»: «Смысла никакого нет в таких соглашениях, кроме того, что они несут информативный характер. Ведь такие соглашения устанавливают ответственность только в пределах, определенных федеральным законодательством, поэтому менять надо именно его».

К 2011 году в вопросе «Проводится ли вашей организацией инструктаж сотрудников для разъяснения политик ИБ?» окончательно исчезла неопределенность.

Сами руководители поняли для чего им все это, а следом, как водится, потянулись конкретные улучшения ситуации с разъяснениями политик. В 2012 цифры на первый взгляд стали хуже. Стоит отметить, что статистика приведена в абсолютных величинах и не учитывает тот факт, что в 2012 в опросе приняло участие гораздо больше респондентов. В относительных величинах по-прежнему наблюдается рост.

По мнению Михаила Соколова в инструктаж должны входить следующие пункты:

1. введение (тема, цель, задачи);
2. актуальность проблемы (примеры УИ (утечек информации);
3. общемировая обстановка (последние факты, основные тренды, угрозы и т.п.);
4. характеристика УИ (понятие, сущность, каналы, методы, средства и т.п.);
5. правовая основа, определяющая правовой режим видов информации, обрабатываемой организацией;
6. юридическая ответственность за нарушение режима обработки информации в организации;
7. сущность и основные моменты политики безопасности организации в указанной сфере;
8. порядок действий в случае обнаружения фактов УИ или заинтересованности со стороны третьих лиц в какой-либо информации;
9. простые правила информационной культуры;
10. уведомление о контроле за действиями сотрудников;
11. роспись сотрудников о том, что с ними проведен инструктаж, ими уяснены все приведенные положения, они осведомлены о контроле за их деятельностью со стороны уполномоченных сотрудников.

Эти условия, конечно, необходимы, но, как говорят математики, недостаточны.

С этим утверждением согласен Дмитрий Мананников, директор по информационной безопасности ООО «ЭнергоСтрим Сервис»: «Безусловно, одного инструктажа, который, как правило, проводится при приеме на работу, недостаточно. Поэтому помимо разъяснения политик ИБ и описания типовых проблемных ситуаций, мы также знакомим новых сотрудников с инцидентами, которые уже имели место, и последствиями, которые наступили для нарушителей (как с административными, так и приведшими к уголовной ответственности). Кроме того, мы практикуем регулярные мероприятия, связанные с пояснениями к политикам, и тренировки по действиям в случае инцидентов. Только так можно получить достаточный уровень осведомленности сотрудников».

Именно поэтому важно помимо «теории» иметь в арсенале и «практику», то есть реально контролировать каналы передачи информации, через которые чаще всего происходят утечки данных.

Согласно результатам исследования, чаще всего контролируется электронная переписка и внешние носители сотрудников. Как известно, спрос рождает предложения. Удобство и компактность «флешек» сделали их любимыми носителями информации для инсайдера. Как показало другое исследование Эрика Шоу и Харли Стока, экспертов в области психологического тестирования и управления рисками, связанными с действиями сотрудников, большинство субъектов (54% по результатам опроса в Америке) используют сеть, электронную почту и внешние накопители, чтобы передать украденные данные. Именно эти «Топ-3» позиции возглавили опрос SearchInform.

Теперь, когда понятно, что и от кого защищать, самое время задуматься над средствами. Обязательным, а по совместительству и самым дешевым, является обычное разграничение прав доступа сотрудников к той или иной информации. В идеале работник должен иметь доступ только к тем данным, с которыми работает. Российские бизнесмены прекрасно это понимают. Данные опроса наглядно иллюстрируют ситуацию на сегодняшний день.

К сожалению, подобная мера не гарантирует вам защиту от инсайдеров. В действительности 75% инсайдеров крадут материал, к которому им предоставлен легитимный доступ. Но если бы разграничений в правах не было, последствия могли бы быть гораздо неприятней.

Правильным ходом в «битве» за усиление защищенности конфиденциальной информации в компании является установка DLP-системы (от англ. Data Leak Prevention — предотвращение утечки данных). Подобные системы способны контролировать все информационные потоки, которые могут использоваться инсайдерами для передачи конфиденциальных данных. Эффективность DLP лучше всего продемонстрируют цифры, полученные в ходе опроса: Планируете ли вы внедрение DLP-системы в своей организации (если она еще не внедрена)?

Сравните с 2012 годом. Комментарии излишни.

В заключение хотелось бы сказать, что в защите информации важно не «перегнуть палку». Разработанные политики безопасности не должны тормозить бизнес-процессы. Бюрократия, дополнительные «бумажные» согласования — не самый лучший вариант, поверьте. Можно запретить сотрудникам выходить в интернет, пользоваться флешками и прочее. В общем, решить проблему «посталински». Но как это скажется на производительности труда ваших сотрудников?

И последний, как оказалось, не совсем очевидный вопрос, который был задан руководителям в ходе опроса SearchInform: «Предупреждены ли сотрудники вашей организации о наличии DLP-системы или других решений для защиты информации/контроля информационных потоков?». При ответе на него мнение аудитории разделилось практически поровну (43% — «Да» и 57% — «Нет»).

Михаил Соколов считает, что «нужно предупреждать о самом наличии контроля за деятельностью сотрудников, так как некоторые его виды запрещается осуществлять скрытно. А вот о видах, составе, средствах, методах и способах контроля должны быть осведомлены только лица его осуществляющие».

Дмитрий Мананников полностью солидарен с коллегой, утверждая, что «методология и техническое обеспечение ИБ — это прерогатива Управления ИБ и топ-менеджмента. Иначе излишняя информированность сотрудников приведет исключительно к попыткам обмануть существующую систему».

Споры будут вестись еще долго, но ясно одно: защита информации не сказка, не рекламный ход и даже не прихоть. Это необходимость, появившаяся в ходе развития общества и технологий.

Алексей ДРОЗД,
независимый эксперт по информационной безопасности