Кто ответит за информационную безопасность компании

В третьем чтении в июле текущего года депутаты Госдумы одобрили законопроект о безопасности информационной инфраструктуры, который позволит создать государственную систему защиты от цифровых угроз для предприятий, банков, госучреждений и других организаций. Поправки, внесенные в уголовный кодекс, ужесточили наказание за преступления в сети: до 10 лет лишения свободы и штраф до миллиона рублей. Поможет ли это улучшить безопасность компаний, рассказал в своей колонке Владимир Пивоваров, директор по развитию «СИБРУС».

Наиболее желанной информацией для преступников, которые охотятся в «корпоративной среде», были и остаются сведения, хранящиеся в компании под грифом «Конфиденциально»: персональные данные, новые разработки, договоры с партнерами, финансовые документы и многое другое. Разглашение внутренней информации может грозить компании не только репутационными рисками, но и значительными финансовыми потерями, вплоть до ухода с рынка. Чаще от кибератак страдают банки, инвестиционные и страховые компании, электронные платежные системы, участники рынка ценных бумаг и телеком операторы.

Если не говорить о краже сведений, относящихся к коммерческой тайне, киберпреступники могут неплохо заработать, «заморозив» деятельность предприятия. Ярким примером может послужить история с вирусом-вымогателем WannaCry, который в мае блокировал доступ к данным и требовал деньги за разблокировку. По оценкам экспертов, за первые четыре дня масштабной кибератаки пострадали около 300 тысяч пользователей в 150 странах мира, а общий ущерб был оценен в сумму $1 млрд.

Виноваты в истории c вирусами-шифровальщиками обе стороны: и хакеры, атаковавшие инфраструктуру, и компании, которые своевременно не задумались об информационной безопасности.

Впрочем, виноваты в истории c вирусами-шифровальщиками обе стороны: и хакеры, атаковавшие инфраструктуру, и компании, которые своевременно не задумались об информационной безопасности.

Среди самых распространенных ошибок:

— слабая защищенность учетной записи администратора ресурса (недостаточно сложный пароль самого администратора, слабые пароли для доступа по FTP-протоколу),

— пренебрежение базовыми правилами безопасности при написании кода сайта (без защиты от SQL-инъекций, устаревшие версии языков программирования, ошибки в криптографической защите),

— неверно подобранное или устаревшее ПО (использование массовых сервисов для корпоративного рынка, невнимательность к обновлениям),

— человеческий фактор (персонал, который не знает правил ИБ).

В связи с ростом числа кибератак и появлением всё новых видов нападения на систему, направление информационной безопасности становится одним из основных на рынке IT-услуг. К корпоративному шпионажу, блокировке инфраструктуры с целью шантажа, остановке онлайн-сервисов и нанесению репутационного ущерба прибавились подделка сведений о результатах выборов или доппинг-тестов, использование мощностей предприятия против сторонних лиц или компаний и, даже, организация техногенных катастроф.

Из-за появления BYOD (Bring your own device, использование личных гаджетов в рабочих целях), интернета вещей, мессенджеров и социальных сетей, в которых деловые страницы и рекламные кампании напрямую связаны с личными профилями пользователей, грань между персональной или корпоративной экосистемами попросту стирается. Поэтому правильные настройки системы, актуальное ПО, осведомленность о возможных угрозах и последствиях становятся решающими в вопросе защиты данных компании.

Наиболее уязвимым сегментом остается «человеческий фактор».

Наиболее уязвимым сегментом остается «человеческий фактор», поэтому обучать основам ИБ надо всех — и топ-менеджмент и тех, кто работает в «полях». Если сейчас спросить у сотрудников, пересылают ли они внутреннюю информацию на свой личный ящик, чтобы поработать вечером, или используют ли они массовые мессенджеры для обсуждения новых проектов, есть слишком большая вероятность услышать в ответ «ДА» как минимум на один из этих вопросов.

Самый простой способ повысить уровень безопасности системы компании уже сейчас — перейти на бизнес-продукты, которые не только заточены на эффективную работу, но и гарантируют должный уровень безопасности. Корпоративная почта в разы лучше справится со спамом, а бизнес-мессенджер даже дистанционно сможет защитить данные компании. Есть опции, которые на расстоянии позволяют не только блокировать и закрывать подключения, но и полностью удалять информацию с устройств. Это значит, что даже если смартфон или ноутбук сотрудника будет украден или потерян, придется «оплакать» только гаджет, но не коммерческую тайну компании.

Вектор государства на повышение безопасности критической информационной инфраструктуры (КИИ) является верным, но сложно поверить, что после вступления закона в силу 1 января 2018 года количество киберпреступлений уменьшится. Поэтому и сейчас, и год спустя, задумываться о защите систем должны сами предприятия. Да, безусловно, если после совершенной кибератаки преступника поймают, он потеряет 10 лет свободы и заплатит штраф в размере миллиона. Но так ли важно это будет компании, которая потеряла время, репутацию и миллиард?