01.12.2015

Как кризис повлиял на уровень информационной безопасности в российских компаниях

Интернет-портал securenews.ru, декабрь, 2015<br>
Экспертный комментарий Дениса Суховея, директора по развитию бизнеса направления баз данных компании "Аладдин Р.Д.", и Ильи Щавинского, менеджера по развитию бизнеса компании "Аладдин Р.Д."

Начавшийся в конце 2014 года кризис сильно ударил по многим отраслям экономики. Из-за нехватки денежных средств компании вынуждены урезать свои бюджеты и экономить на жизненно важных вещах, в том числе и на информационной безопасности. Насколько оправдано сокращение расходов на ИБ и к каким последствиям это может привести? Основываясь на мнениях экспертов, редакция SecureNews подготовила материал о характере влияния экономического кризиса на информационную безопасность в российских компаниях.

По мнению генерального директора компании Cognitive Technologies Андрея Черногорова, государственные структуры, в отличие от частных компаний, гораздо лучше осознают, какие угрозы может нести недостаточный уровень защиты информационных ресурсов организации:

"В сфере ИБ сейчас активировались разговоры в пользу поддержки ряда законодательных инициатив – в частности, перехода стратегических государственных и полугосударственных предприятий на СПО и облачные технологии с дополнительным периметром защиты. Не дожидаясь усугубления ситуации с ИБ на государственном уровне, госсектор уже начал активное движение в сторону СПО: 37% государственных предприятий начали собственную программу импортозамещения ПО в 2015 году; 35% государственных заказчиков в 2015 году готовы внедрять отечественное и свободное ПО, которое сможет дополнительно обеспечить защиту от информационных утечек".

Денис Суховей, директор по развитию бизнеса направления баз данных в компании "Аладдин Р.Д.", выделяет сокращение бюджета в качестве одного из основных факторов влияния экономического кризиса на информационную безопасность российских компаний:

"Несмотря на всеобщую шумиху СМИ в области информационной безопасности (WikiLeaks, Сноуден, Windows 10), затраты отечественных заказчиков носят базовый характер, связанный с продлением поддержки уже закупленных средств защиты и лишь частичной реализацией планов по модернизации систем ИБ. Таким образом, на рынке интеграции и производства средств ИБ остаются игроки, способные выдержать низкий уровень прибыли или предложить заказчику более бюджетное решение. Существенные финансовые ограничения заказчиков, безусловно, ослабляют уровень защиты информационных систем. В первую очередь, эффект ослабления заметен в банковской сфере".

Игорь Корчагин, руководитель группы обеспечения безопасности информации в компании "ИВК", обращает внимание на возрастающую роль человеческого фактора в контексте информационной безопасности компании:

"Нет оснований не учитывать факт осложнения экономической ситуации, ведь он напрямую связан с мотивацией — важнейшей характеристикой модели нарушителя информационной безопасности. В особенности это касается роста угроз со стороны легитимных пользователей информационных систем. Причины понятны: в кризис одновременно возрастает число конфликтных ситуаций, снижается ощущение защищённости и возникает страх перед неустроенным будущим. Всё это — питательная среда для нарушений или даже преступлений в сфере ИБ".

Экономический кризис обусловил необходимость сокращения штата во многих компаниях, что стало благодатной почвой для роста числа утечек информации. Об этой тенденции сообщает Денис Каширин, руководитель департамента развития корпоративных продаж компании "Системный софт":

"Общее количество утечек информации не только не уменьшается, но и продолжает расти. Вероятно, это связано именно с общим кризисом. Сотрудникам урезают премии, сокращают размер заработной платы, проводят массовые увольнения. Все это сказывается на мотивации сотрудников, и, покидая компанию, они стремятся продать себя подороже, "насолить" предыдущему работодателю или просто дополнительно подзаработать. Именно поэтому и растёт количество утечек информации и фактов внутреннего мошенничества".

Егор Дудукалов, декан факультета управления Южно-Российского института управления РАНХиГС, отмечает возрастающую угрозу для корпоративной безопасности, исходящую изнутри организаций:

"Причина роста нарушений ИБ в условиях кризиса, по моему мнению, во многом обусловлена снижением лояльности сотрудников, связанным с штатно-реорганизационными мероприятиями, сокращением заработной платы, отсутствием определённости и чёткого плана антикризисных действий. Дело в том, что почти в половине случаев ИБ страдает из-за человеческого фактора, будь то последствие применения социальной инженерии или злой умысел инсайдеров. Когда в кризис происходят массовые сокращения персонала, понижения в должностях, закрытие отельных проектов – мотивация к честному добросовестному труду снижается. А уже подвергшиеся "оптимизации" работники, всё ещё имеющие физический доступ к рабочему месту и к средствам ИТ компании, нередко задумываются о возможных способах отомстить экс-работодателю.

Активизация инсайдеров также вполне объяснима. Если в условиях стабильной финансовой ситуации и высокого достатка лица, способные подорвать ИБ компании изнутри, как правило, воздерживаются от совершения уголовно-наказуемых деяний, то в кризис соблазн увеличивается многократно. Да и компании-конкуренты в кризис могут сделать инсайдеру наиболее заманчивые предложения".

Об усилении недобросовестной конкуренции в кризисный период говорит и Лина Данильчик, руководитель PR-службы компании Falcongaze:

"В нестабильной экономической обстановке меняются условия рынка, что влечёт за собой обострение конкурентной борьбы. Чтобы остаться на плаву, компании склонны принимать радикальные меры, в число которых входит использование методов недобросовестной конкуренции – в том числе, промышленного шпионажа. В этой связи доля утечек через инсайдеров, сотрудничающих с конкурентами, также существенно увеличилась".

Эксперты прослеживают определённую разницу во взглядах на защиту корпоративной информации между компаниями SMB-сектора и крупными организациями.

Михаил Сергеев, директор по маркетингу компании "Гарс Телеком", указывает на то, что крупные компании имеют бо́льшие возможности в вопросах защиты информации, чем предприятия малого и среднего бизнеса:

"Традиционно защита от кибератак была прерогативой крупных компаний, которые имеют возможность создавать специальные департаменты, выделять средства на необходимое для комплексной защиты "железо" и так далее. Сегодня об информационной защите своей компании стали задумываться не только крупные игроки, но и средние и даже мелкие организации. Их уровень не позволяет создавать специальные структуры, им недоступно серьёзное "железо", но они также хотят быть защищёнными или хотя бы знать об уровне подверженности внешним атакам, а также об утечке информации".

Кирилл Ткаченко, руководитель отдела IT и информационной безопасности российского офиса международного центра Интернет-торговли Allbiz, отмечает невнимательное отношение к информационной безопасности со стороны небольших компаний:

"В большинстве своём небольшие организации пренебрегают даже элементарными принципами информационной безопасности: не используют антивирусные программные продукты, не проводится хотя бы базовое обучение сотрудников основам информационной безопасности, а в штате нет квалифицированных специалистов, занимающихся этим вопросом. В крупных компаниях все обстоит немного иначе: штат сотрудников всегда укомплектован – как минимум, системными администраторами. Но даже крупный бизнес под действием негативных факторов экономики прибегает к сокращению затрат. Очень часто руководители предприятий и организаций не до конца понимают, зачем им в штате квалифицированный специалист и за что он получает свои деньги. А потому хороших, а значит, дорогих специалистов заменяют вчерашними студентами, готовыми работать за куда меньшую зарплату. Такие специалисты зачастую не понимают всей серьёзности угроз, которым подвергается информационная безопасность компании".

Некоторые эксперты видят причину слабости информационной безопасности именно в недостатке квалифицированных кадров. По мнению Романа Кобцева, директора по развитию бизнеса ЗАО "Перспективный мониторинг" (ГК ИнфоТеКС), можно говорить о влиянии кризиса на кадровый рынок:

"Сейчас спрос на высококвалифицированных программистов в сфере информационной безопасности неуклонно растёт: из-за санкций и тренда на импортозамещение многие отечественные компании стараются занять освободившиеся ниши и выпустить или доработать свои продукты. В то же время из-за падения курса рубля предложения российских разработчиков, выплачивающих зарплату сотрудникам в национальной валюте, уже значительно уступают предложениям из-за рубежа, в первую очередь из США. Так экономический кризис становится кадровым в сфере ИБ".

Егор Дудукалов также подчёркивает связь кризиса с "кадровым голодом" в сфере информационной безопасности:

"В России и в лучшие годы не принято целенаправленно инвестировать в ИБ. Это связано, главным образом, с отсутствием квалифицированных кадров в регионах. Компании ожидают, что их программисты или системные администраторы окажутся непременно экспертами в том числе в вопросах информационной безопасности, но это совсем не так, ведь на экспертов ИБ люди во всем мире учатся на специализированных факультетах и образовательных программах. А при отсутствии кадров необходимой квалификации невозможно ожидать, что будут формироваться адекватные предпосылки к развитию ИБ и акценты будут смещаться в сторону решения задач ИБ".

Часто коммерческие организации легкомысленно относятся к защите корпоративной информации, недооценивая важность данной проблемы для процветания компании. На эту тенденцию обращает Игорь Мялковский, член правления клуба ИТ директоров Санкт-Петербурга, АРСИБ, руководитель проектов защиты информации ТРИНИТИ СОЛЮШНС:

"По мере роста зависимости бизнеса от информации растут и потери компаний от угроз информационной безопасности. Оценить масштаб потерь можно, к примеру, на основе данных о штрафах за ненадлежащую защиту персональных данных. Если в 2006 г. количество штрафов измерялось десятками, а общая сумма не превышала несколько сотен тысяч рублей, то к 2014 г. число инцидентов перевалило за тысячи, а сумма исков возросла до нескольких миллионов рублей. Тем не менее, некоторые руководители до сих пор предпочитают заплатить штраф, нежели заниматься реальной защитой информации. Их репутационные потери в этом случае с трудом поддаются исчислению".

По словам Владимира Лебедева, директора по развитию Stack Group, экономический кризис сопровождается возросшими требованиями со стороны российских контролирующих органов к вопросам защиты информации, например, персональных данных, что приводит к повышению внимания со стороны организаций к вопросам выполнения требований законодательства. В результате повышается уровень информационной безопасности организации в целом.

Таким образом, большинство экспертов сходится во мнении, что кризис прямо или косвенно повлиял на информационную безопасность в российских компаниях. Однако есть и те, кто, напротив, считает, что на корпоративную политику в сфере ИБ влияет не кризис в экономике, а отношение той или иной организации к защите своих информационных активов. Такого мнения придерживается Ярослав Дубовиков, исполнительный директор "Объединённой телекоммуникационной корпорации":

"Те организации, которые отводят серьёзную роль защите персональных данных и коммерческой информации в целом, а также осознают степень влияния защищаемой информации на бизнес-процессы, в любых экономических условиях будут использовать современные методы защиты в соответствии с законодательством. Другие же компании, стремящиеся лишь формально следовать букве закона, даже при нарастающем тренде развития не вкладывают существенные средства в системы информационной безопасности. Однако ограниченность бюджетов многих компаний в текущих условиях заставляет прибегать к оптимизации расходов, в том числе на системы информационной безопасности. И многие компании под оптимизацией подразумевают временный полный отказ от внедрения и обслуживания систем защиты данных".

На последствия такого легкомысленного отношения к информационной безопасности указывает Илья Щавинский, менеджер по развитию бизнеса компании "Аладдин Р.Д.":

"Одного потерянного ноутбука с незашифрованными или некачественно зашифрованными конфиденциальными данными в 9-ти случаях из 10-ти достаточно для превращения процветающего бизнеса в ничто. Кризис, по моему личному мнению, – это время остановиться на мгновение, осмотреться, проверить все системы безопасности: охотники за чужими деньгами совсем близко".

В условиях кризиса компаниям чрезвычайно важно найти баланс между оптимизацией бюджета и обеспечением защиты своей информации на должном уровне, поскольку безответственное отношение к информационной безопасности может угрожать самому существованию организации. Об этом говорит Игорь Мялковский:

"Важно понимать, что, экономя на информационной безопасности, руководство компании рискует собственным бизнесом. Однако если раньше заказчики смотрели вперёд, формировали и тратили бюджеты на инновации, то сейчас многие пребывают в состоянии ожидания и боязни принять решение. Теперь для них главная задача – стабилизироваться и без спешки понять, в какие аспекты своего бизнеса действительно стоит вкладывать деньги и надо ли это делать в отношении ИТ-технологий".