Особенности информационной безопасности в Украине

Информационная безопасность в украинских компаниях часто доходит до крайностей. Ведущий аналитик компании Searchinform Роман Идов рассказал об особенностях информационной безопасности в Украине

Рынок средств для защиты от утечек информации (так называемых DLP-систем) стремительно развивается в последние несколько лет. Кто-то называет DLP-системы новым подходом, кто-то — бизнесом по продаже страха. Тем не менее, нельзя отрицать, что сегодня информация имеет реальную цену, а утечка конфиденциальных данных приносит не менее реальные убытки. Если же взять ближайших соседей Украины в прицеле развития законодательства относительно защиты персональных данных, получается классическое распределение: в России закон принят давно, но вступил в полную силу лишь в прошлом году, в Белоруссии закона как такового и вовсе нет.

Украина же расположилась «меж двух огней». Сам закон «О персональных данных» был принят в стране 1 июня 2010 года и вступил в силу с 1 января 2011-го. Но каково реальное положение дел? Видно, что из года в год интерес со стороны бизнеса к защите информации растет стремительно, но вот покупать украинские бизнесмены не спешат.

Кто с этим будет работать?

Если проанализировать заявки работодателей на специализированных порталах, большинство из них требует от претендентов на вакансию «специалист по информационной безопасности» умения формировать систему информационной безопасности (далее — ИБ, прим. «Дело») компании, мониторить ее и проводить аудит, анализировать информационные риски, устанавливать и настраивать технические средства защиты информации, обучать и консультировать сотрудников по вопросам обеспечения ИБ, а также составлять нормативно-техническую документацию.

Кроме того, даже претенденты на сравнительно невысокий доход должны знать законодательство по ИБ, принципы работы сетей и средства криптозащиты. Как правило, на должности «безопасника» работодатели хотят видеть молодых людей в возрасте от 22 до 30 лет с высшим образованием и знанием английского языка на уровне, достаточном для чтения специализированной литературы.

Но способны ли вузы «выковать» такие кадры к 5-му курсу? По словам независимого эксперта в области ИБ Владимира Безмалого, «выпускники вузов получают очень мало практических знаний, особенно в базовых технологиях, таких как антивирусная защита, DLP, настройка операционных систем с точки зрения ИБ. У большинства студентов подготовка за компьютером — это только игрушки и ничего более. Предметов в ВУЗе дают много, да вот только тех, которые реально нужны — нет, также, как и практики».

Действительно, на первый взгляд набор дисциплин в соответствующих «alma mater» впечатляет:

безопасность сетей — 150 часов (в ряде специализаций такой дисциплины вообще нет);
безопасность баз данных — 150 часов;
основы информационной безопасности — 80 часов;
теоретические основы компьютерной безопасности — 200 часов;
организационное обеспечение информационной безопасности — 100 часов (в ряде специализаций количество часов на данную дисциплину сокращено вдвое);
правовое обеспечение информационной безопасности — 100 часов (в ряде специализаций количество часов на данную дисциплину сокращено или наоборот увеличено вдвое);
криптографические методы защиты информации — 150 часов;
технические средства и методы защиты информации — 150 часов (в ряде специализаций количество часов на данную дисциплину сокращается до 100);
программно-аппаратные средства обеспечения информационной безопасности — 200 часов (в ряде специализаций количество часов на данную дисциплину сокращается до 100);
комплексное обеспечение информационной безопасности автоматизированных систем — 100 часов.
Вот только если чуть детальнее изучить учебные планы, окажется, что предметы профессиональной направленности составляют от 900 до 1500 часов при общей сумме гуманитарных дисциплин, превышающих планку в 2200 часов. Выводы, как говорится, делайте сами.

Косвенным подтверждением вышесказанного служит малая популярность различных союзов и групп специалистов по информационной безопасности. На сегодняшний день основная концентрация украинских «безопасников» сосредоточена в паре групп в соцсети LinkedIn. Откровенно говоря, в России ситуация не намного лучше. Сообществ больше по количеству, но не по качеству.

Еще одна причина парадоксальной ситуации с защитой данных кроется непосредственно в менталитете. Сергей Борисович Дяченко, подполковник запаса СБУ, бывший сотрудник подразделения по борьбе с киберпреступлениями с 2000 года, так комментирует эту ситуацию:

«На сегодня ситуация с ИБ полностью созвучна нашему национальному славянскому менталитету: «Либо все, либо ничего». В сфере ИБ это проявляется так: либо полное разгильдяйство, либо доведенная до маразма ситуация. Хуже всего — в государственном секторе. Если на обеспечение ИБ и выделяется какой-то бюджет, то лишь по остаточному принципу: руководство не видит реальной выгоды от создания специального отдела ИБ, установки полноценной системы. По крайней мере, до тех пор, пока не столкнется с несколькими (!) серьезными инцидентами. Хотя я наблюдал и пару примеров того, как в бюджетной организации использовались достаточно современные и дорогие решения от Cisco, но при этом админы путали 2-й и 3-й уровни OSI и не могли правильно настроить firewall».

Какие можно из этого сделать выводы? Чтобы получить положительные результаты, необходимо разрушить «порочный круг». Для появления понимания необходимости защиты данных нужны не только законы, но и люди, которые эти законы будут соблюдать. Также нужны специалисты, которые будут понимать, для чего нужны современные средства защиты и как с ними работать. В последствии, эти специалисты, собираясь в профессиональные союзы, смогут помогать дорабатывать и улучшать законодательство, отходя в них от абстрактных фраз к конкретным предписаниям. Хочется верить, что такие времена наступят уже скоро.

Исследование ситуации с информационной безопасностью в компаниях Киева

Прошедший год оказался богат на различные инциденты, связанные с информационной безопасностью. Согласно данным опроса, проведенного компанией SearchInform среди представителей более чем 150 государственных и коммерческих организаций Киева, за прошедший год каждая вторая компания сталкивалась с утечкой конфиденциальных данных.

Год 2012-й отметился повышенным интересом инсайдеров к персональным данным обычных граждан. Причиной тому стали выборы в Верховную Раду Украины. Так, к примеру, в Киеве во время подачи документов кандидатур в состав участковых комиссий от партии «Права воля Украины» было обнаружено, что на 86 УИК они были составлены на основе персональных данных управления образования Голосеевского района. К сожалению, столицей подобные утечки не ограничились: в Тернопольской области в каждом из округов были зафиксированы массовые фальсификации и подделки избирательной документации, манипуляции при осуществлении жеребьевки в ОИК и УИК. Тем не менее, утечки по «политическим мотивам» сезонны и их количество сильно варьируется в зависимости от года.

Постоянными же остались утечки у бизнеса. Согласно исследованию SearchInform из года в год «тройка лидеров» остается постоянной. В нее входят персональные данные, документы, составляющие коммерческую тайну, а также техническая документация компаний. В 2012 году наблюдался небольшой всплеск утечек персональных данных, но о причинах уже было сказано выше.

Чаще всего в организациях Киева «ловят на горячем» менеджеров (38% случаев). Следом с большим отрывом следуют IT-специалисты (15%), руководители подразделений (13%), а также работники, связанные с финансовой информацией (13%). Практика лишь подтверждает статистику. Так, Служба безопасности Украины в 2012 году возбудила уголовное дело в отношении директора отделения одного из коммерческих банков по ч. 1 ст. 361-2 и ч. 2 ст. 361-2 Уголовного кодекса Украины. В ходе следствия было установлено, что чиновник незаконно предоставлял преступникам закрытые электронные ключи доступа к системе «Клиент-Банк» для управления счетами фиктивных фирм, открытых в его отделении. Однако этот случай скорее исключение, чем правило. Во-первых, даже если сотрудник нарушил корпоративную политику, не факт, что в отношении него будут применены санкции. Согласно опросу только в 20% компаний нарушителей готовы уволить. Некоторые предпочитают «наказывать рублем», прибегая к штрафам (23%) или выговорам (29%). Оставшиеся компании и вовсе не собираются принимать меры.

Согласно данным портала incidents.su, занимающегося агрегацией инцидентов в странах СНГ, в 2012 году в Украине было зафиксировано 57 утечек. Довольно незначительное количество, как может показаться на первый взгляд. Проблема в том, что если принять во внимание исследование SearchInform, все становится на свои места: лишь один из четырех опрошенных компаний заявила, что готова в случае утечки публично об этом заявить. Таким образом, реальное количество инцидентов, в сравнении с 2011 годом, не уменьшилось, а наоборот выросло.

Причины сложившейся ситуации разные. Среди главных можно назвать отсутствие профессиональных кадров (только в 34% опрошенных компаниях информационной безопасностью занимается специализированный отдел), отсутствие комплексного подхода при контроле информационных каналов (основное внимание уделяется электронной почте), а также низкую осведомленность сотрудников компании о действующих правилах.

Чем опасна утечка информации для компании

На сегодняшний день многие начинают задумываться об информационной безопасности только тогда, когда сами столкнутся с какими-нибудь инцидентами, о важности информбезопасности рассказал ведущий аналитик компании SearchInform Роман Идов.

Информационная безопасность — это именно та сфера, где заметно дешевле учиться на чужих ошибках. Ведь давно известно, что для того, чтобы компания заявила о банкротстве, достаточно утечки 20% ее корпоративных секретов, а для того, чтобы компания потеряла лидирующие позиции в своей отрасли и в своем регионе, нужно еще меньше — всего 5%. Что же, давайте посмотрим на примеры известных утечек информации, которые наверняка помогут вам «вдохновиться» на внедрение системы защиты от утечек в вашей собственной организации.

К сожалению, украинские компании всеми силами стараются замалчивать происходящие утечки информации, не считаясь даже с тем, что это может негативно отразиться на возможностях пострадавших защитить себя и свою информацию. Одним из немногих известных случаев стало кредитное мошенничество в Киеве, которое обсуждалось в прессе прошлой осенью. В результате действий работников одного из киевских банков последний недосчитался более $1,5 млн., «выданных» в виде кредитов при использовании ксерокопий паспортов подставных лиц.

Пожалуй, одним из самых ярких событий последних дней, связанных с утечками информации, можно назвать штраф, который должна выплатить банковская компания Citigroup в связи с IPO Facebook. Размер штрафа — около двух миллионов долларов. Даже в масштабах бизнеса Citigroup эта сумма могла бы найти гораздо лучшее применение. Впрочем, и эта сумма — вовсе не предел для штрафа: крупнейший японский брокер Nomura оштрафован за утечку информации на $4 млн.

Впрочем, штрафы — далеко не единственный механизм нанесения финансового ущерба при утечках информации, и, более того, даже не самый основной. Минувшей весной утечка информации о коде сигнализации в одном из отделений российского Сбербанка помогла злоумышленникам похитить более 20 миллионов российских рублей.

Будет ошибочно думать, что от утечек информации страдают только банки и другие финансовые организации. На самом деле, не застрахован от них никто, и ущерб тоже получают компании из практически любых отраслей. В прошлом году жертвой неоднократных утечек данных стал автоконцерн Renault. Утечки, в основном, касались разрабатываемых концерном технологий производства электромобилей. Точных данных о величине убытков нет, но эксперты называли суммы порядка миллиарда евро. Еще ранее жертвой утечек технологий становился корейский автогигант KIA, тогда его убытки превысили 4 млрд. долларов.

В целом же, аналитики называют величину средней стоимости одной утечки информации порядка
20 млн. долларов. Вряд ли кто-то, кто даже может себе это позволить, захочет терять эти деньги, если можно их сэкономить, приобретя для своей организации систему защиты от утечек информации.

Опубликовать в twitter.com

Обсуждения закрыты для данной страницы