Информационная безопасность как один из факторов долгосрочного бизнеса компании

По вполне понятным причинам наиболее чувствительны к таким ситуациям оказались компании финансового сектора, которые в силу специфики своего бизнеса оперируют с огромными массивами персональных данных, конфиденциальной клиентской и коммерческой информацией. При этом достаточно большое число банков, финансовых и страховых компаний по всему миру уже понесли определенные материальные и, главное, репутационные потери, вызванные несанкционированным доступом к их конфиденциальной информации с последующими мошенническими действиями. О важности и серьезности темы информационной безопасности говорит и тот факт, что еще несколько лет назад Международной организацией по стандартизации (ISO) был разработан международный стандарт безопасности ISO 15408, который детально описывал требования по защите информационных систем и их отдельных составляющих.

Объектами системы информационной безопасности являются прежде всего данные, составляющие любую коммерческую и конфиденциальную информацию, представленную в виде электронных документов и массивов информации. Главной целью службы информационной безопасности является обеспечение устойчивого и бесперебойного функционирования компании и предотвращение угроз утечки, разглашения, несанкционированного доступа и кражи важной служебной информации, а также нарушение работоспособности технических систем.

Руководители подавляющего большинства компаний прекрасно понимают, что обеспечение информационной безопасности является неотъемлемой частью стратегии развития компании и, одновременно с этим, одной из важных составляющих их деловой репутации на рынке. Поэтому разумное и адекватное инвестирование в систему информационной безопасности и подготовку соответствующего персонала уже давно не рассматривается как неоправданное расходование корпоративных средств. Если еще несколько лет назад меры по обеспечению информационной безопасности сводились преимущественно к защите от спама и вирусов, то в последнее десятилетие перечень потенциальных угроз существенно расширился. В частности, в связи с широким использованием компаниями Интернет-ресурсов все актуальнее становится проблема противодействия DDоS- атакам на корпоративные серверы, парализующие на некоторое время работу целой компании. Как правило такие атаки являются одним из элементов конкурентной войны, а также прикрытием для более серьезных противоправных действий, связанных с кражей значимой информации или финансовым мошенничеством.

Очевидно, что в условиях новых реалий обеспечение информационной безопасности бизнеса не ограничивается какими-либо локальными мерами, а требует комплексного подхода по защите компанией своих информационных ресурсов их мониторингу и управлению системой безопасности на постоянной основе. К сожалению, экспертные оценки показывают, что даже бюджеты крупных российских компаний на комплексное решение вопросов по обеспечению информационной безопасности примерно в два-три раза меньше, чем у их иностранных коллег.

Как было отмечено выше наиболее уязвимыми с точки зрения нанесения ущерба деловой репутации в следствие утраты конфиденциальной или коммерческой информации являются прежде всего финансовые институты. Вполне естественным является и тот факт, что именно крупные банки, страховые и финансовые компании, а также кредитно-рейтинговые агентства в силу специфики своего бизнеса должны уделять повышенное внимание всему комплексу мер по обеспечению информационной безопасности их бизнеса. Во многих компаниях системы информационной безопасности уже интегрированы в общекорпоративную систему мониторинга и управления рисками. При этом обеспечение информационной безопасности в финансовом учреждении должно находиться под контролем на постоянной основе и охватывать полный цикл информации от ее появления до полного уничтожения информации в случае утери ее актуальности и значимости для бизнеса.

В настоящее время Банк России, являющийся мегарегулятором на финансовом рынке, осуществляет надзорные функции по реализации финансовыми институтами комплексных мер по внедрению систем информационной безопасности, препятствующих потере или краже конфиденциальных данных.

К основным причинам, представляющим угрозы информационной безопасности компании, можно отнести следующее:

• Халатность сотрудников и несоблюдение правил получения, хранения и передачи конфиденциальной информации

Как это ни странно на первый взгляд, но угрозу информационной безопасности компании могут представлять даже лояльные и ответственные сотрудники компании своими непредумышленными действиями, к которым обычно относятся открытие различных фишинговых сообщений, приходящих на корпоративный адрес сотрудника, копирование конфиденциальной информации на другие носители для возможности поработать с ней дома или в командировке, а также ошибки при отправке конфиденциальной информации по электронной почте.

• Использование нелицензионного программного обеспечения

Пользователь нелицензированного программного обеспечения не только лишается возможности получения технической поддержки и его плановых обновлений со стороны компании-разработчика, но и сталкивается с риском того, что нелицензионное программное обеспечение может помимо различных вирусов включать в себя дополнительные программы-присадки для кражи конфиденциальной информации. В свое время корпорация Microsoft по результатам проведенного анализа показала, что порядка 10% исследованных ими нелицензионных программ имели дополнительные опции, позволяющие злоумышленникам взламывать пользовательские пароли и красть конфиденциальную информацию.

• Компьютерные вирусы и вирусные атаки

Вирусные атаки представляют собой один из основных факторов, влияющих на систему информационной безопасности компании. В ряде случаем подобные атаки являются специально организованными маскирующими и отвлекающими акциями для нанесения масштабного ущерба конкуренту и кражи с его серверов конфиденциальной информации.

• DDоS- атаки

Как правило такие атаки проводятся в ходе конкурентной войны и ставят своей целью нанесение ущерба каналам связи и Web-ресурсам атакуемой организации. Следует заметить, что, как и в случае с вирусными атаками, DDoS -атаки могут являться отвлекающим маневром для кражи конфиденциальной информации у компании-мишени.

В связи с тем, что потенциальные угрозы информационной безопасности компании становятся все более изощренными в плане их технологической и технической реализации методы защиты конфиденциальной информации от несанкционированного доступа также постоянно эволюционируют. Помимо самых простых и практически не затратных методов защиты информации, таких как физическое ограничение доступа посторонних лиц к месту хранения конфиденциальных данных существуют и высокотехнологичные методы противодействия противоправным действиям, к которым следует отнести технические, программные и криптографические средства защиты. Поэтому в подавляющем большинстве случаев инновационные и высокотехнологичные способы кражи информации и прочих кибер-преступлений весьма успешно нейтрализуются такими же высокотехнологичными средствами защиты конфиденциальной информации и эти средства постоянно совершенствуются. Тем не менее, по-прежнему, ключевым средством борьбы с рисками утраты конфиденциальной информации является работа с персоналом компании. Серьезное внимание нужно уделять не только профессиональным качествам нанимаемых на работу сотрудников, но и их личностным качествам, таким как лояльность к своему работодателю и порядочность.

Хорошей практикой может являться негласный контроль деятельности сотрудников со стороны руководителя службы информационной безопасности в плане соблюдения ими внутренних процедур и политик компании при работе с конфиденциальной информацией, режимами ее передачи, обработки и хранения. Одновременно с реализацией таких мер в компании должна быть организовано система разграничения доступа персонала к коммерческой или конфиденциальной информации, а также так называемое дробление информации. Принцип дробления информации состоит в том, чтобы сотрудник оперировал только тем объемом информации, который необходим ему для выполнения своих служебных обязанностей. Таким образом конфиденциальная информация не может быть доступна в полной мере каждому сотруднику, что минимизирует риск ее возможной утечки. Кроме этого, в большинстве компаний в рамках политики Compliance уже давно разработаны и внедрены внутрикорпоративные документы и процедуры, регулирующие порядок работы с конфиденциальной информацией и правила ее хранения.

Следует отметить, что очень часто в соблюдении принципов информационной безопасности и защите конфиденциальной информации заинтересовано не только руководство компании, но и бизнес-партнеры, которые в рамках своего сотрудничества должны поставлять конфиденциальную информацию другой стороне. И в данном случае дело конечно же не ограничивается только подписанием соглашения о неразглашении информации (NDA). В моей практике имели место случаи, когда компании-клиенты, связанные с оборонным комплексом и продукцией двойного назначения были вынуждены отказаться от сотрудничества либо приостановить его, поскольку с их точки зрения организационно-технические решения, связанные с защитой конфиденциальной информации не были реализованы на приемлемом для них уровне.

Грамотно выстроенная и успешно реализованная общекорпоративная система информационной безопасности в последнее время стала очень значимым элементом стабильного и долгосрочного бизнеса любой компании. Руководители как крупных и средних компаний, так и представители малого бизнеса стали уделять существенное внимание вопросам хранения, передачи и обработки конфиденциальной информации, прекрасно понимая, что информационная безопасность бизнеса уже давно является неотъемлемой частью общекорпоративной системы управления рисками и залогом стабильного и долгосрочного бизнеса.