Кульминацией первой книги трилогии «Foundation» Айзека Азимова стало понимание главным героем того факта, что при наличии достаточной выборки, результаты исследований по ней можно экстраполировать даже на галактику. Если же перенести этот вывод в фокус информационной безопасности, получается примерно следующее: для того, чтобы выявить тенденции и тренды в рамках региона, не нужно опрашивать каждого, кто в нём живёт. В своём исследовании для «NewsBalt» компания SearchInform, лидер российского рынка средств обеспечения информационной безопасности, решила выяснить, какова ситуация с информационной безопасностью в компаниях Латвии сегодня, и что изменилось по сравнению с 20112012 годом.
Цифры в теории
Прежде всего, стоит отметить, что в 2012 году не осталось компаний, в которых за информационную безопасность «никто не отвечает». Для сравнения, в 2011 году такой ответ дали 4% опрошенных организаций. Однако ситуация пока далека от идеальной: лишь у 5% опрошенных компаний существует специальный отдел по ИБ, в то время как 60% опрошенных, по-прежнему, не выделяют информационную безопасность в отдельное направление, предпочитая отдать её в «дополнительную нагрузку» IT-отделу. Подобный подход вряд ли можно назвать дальновидным, так как в этом случае в одних руках оказывается и неограниченный доступ к информационным ресурсам компании, и средство контроля.
Впрочем, для лучшего понимания картины обратимся к азам ИБ, коими выступают разграничение прав доступа сотрудников к корпоративной информации, а также соглашение о неразглашении конфиденциальной информации. К сожалению, по сравнению с 2011 годом ситуация в латвийских компаниях ухудшилась. Так, разграничивают права доступа лишь в 67% опрошенных организациях (92% в 2011 г.). Немного сглаживают ситуацию соглашения о неразглашении – их подписывают в 93% компаний.
Однако основополагающую роль в информационной безопасности компаний играет понимание её необходимости самими сотрудниками. Для этого с ними должна вестись работа по разъяснению действующих политик ИБ. Как говорится, предупреждён, значит, вооружён. Приятно отметить, что по сравнению с 2011 годом количество латвийских компаний, проводящих специализированные инструктажи персонала по разъяснению политик ИБ, существенно увеличилось. В 2012 году только 1 из 10 компаний не прибегала к такой практике.
А что на практике?
Согласно опросу, проведённому компанией SearchInform в начале 2013 года среди руководителей и сотрудников 60 крупных латвийских предприятий, сектор информационной безопасности (ИБ) в Латвии развит плохо. Только 11% компаний имеют отдел информационных технологий. Более трети не проводят разъяснение элементарных корпоративных правил обеспечения ИБ для своих сотрудников.
Согласно данным исследования, почти 70% опрошенных организаций столкнулись с утечкой информации. Ещё 5% затруднились ответить. Примечательно, что в 45% случаях инициаторами «сливов» выступали уволенные сотрудники компаний. Если же взглянуть на распределение нарушителей корпоративных политик ИБ по профессиям, с большим отрывом лидируют менеджеры (в 32% случаях). Ещё в 2012 году именно они перехватили лидерство у IT-специалистов, которые фигурировали в 21% случаев. Справедливости ради, стоит отметить, что однозначного лидера в инсайде нет – попеременно «первое место» занимают то одни, то другие. Не отстают от «айтишников» работники финансовой отрасли: экономисты, бухгалтера и т.д. На их долю также пришёлся 21%. Также «значительный» вклад в утечки внесли руководители подразделений (16% случаев).
Тем не менее, интересы у злоумышленников остались неизменными: чаще всего инсайдеры воруют техническую информацию, информацию финансового характера, а также персональные данные.
В этом плане показательной является самая крупная утечка в истории Латвии. В середине февраля 2010 из Службы госдоходов (СГД) было украдено 7,4 млн. документов общим «весом» 120 гигабайтов. ЧП переполошило всё высшее руководство государства. Похищенная информация была самая разнообразная: зарплаты работников частных предприятий и государственных учреждений, персональные коды физических лиц и так далее. Всего в украденном списке имелись сведения более чем на тысячу структур и помимо ведомств в него попали такие известные компании, как Rīgassiltums, Rimi, Aizkraukles banka. Утечка произошла из системы электронного декларирования (EDS), функционирующей с 2001 года. Кража сведений случилась предположительно в конце 2009 года. Но известно о ней стало только зимой 2010-го.
После этого случая государство, похоже, усвоило урок. Как же так? Но что мешает предотвращать утечки данных? Вариантов несколько.
Не каждому по силам
О главных проблемах редакции «NewsBalt» рассказал руководитель европейского подразделения компании SearchInform Эдгар Небылица:
— Следить за данными, точнее, за тем, чтобы они не утекли на сторону – удовольствие не из дешёвых. В среднем предприятиям, персонал которых насчитывает сотню сотрудников, внедрение DLP-системы обойдётся в 20-50 тыс. латов. Думать о её установке специалисты советуют тем, у кого на фирме имеется не менее 100 компьютеров.
Однако при её выборе стоимость принимают во внимание в последнюю очередь. Обычно покупатель системы обращает внимание на следующие элементы:
• количество контролируемых каналов передачи информации (важно, когда все каналы передачи информации открыты для пользователя);
• наличие полной или частичной базы перехваченной информации (позволяет проводить внутренние расследования спустя время и выявлять связи инсайдеров);
• наличие аналитического модуля (позволяет настраивать работу системы в автономном режиме и сортировать потоки бесполезной информации);
• возможность формировать удобные отчёты (формирует наглядность картины инсайдерских действий);
• надёжность и скорость технической поддержки (оперативность в решении технических проблем работы системы).
Тем не менее, сравнивая ситуацию на рынке информационной безопасности, профессионалы отмечают, что в 2011 году воровства было больше, чем сейчас, но оно имело менее серьёзные последствия. Сейчас данные крадут реже, но инциденты стали более разрушительными.
Ещё одна тенденция, на которую указывают участники рынка: нынешняя мода на DLP-системы является запоздалой реакцией на инциденты с утечкой данных годичной давности. В 2011-м многое произошло по причине затянувшихся кризисных явлений. Увольнения продолжались. Сотрудникам, не сменившим профиль деятельности, удавалось трудоустроиться, как правило, в структурах, конкурирующих с прежним местом работы. Многие при переходе из фирмы в фирму уносили с собой важную информацию, к которой имели доступ, повышая таким образом свою ценность. В том числе клиентскую базу, какие-либо ноу-хау, маркетинговые исследования и прочие важные сведения.
Дело тёмное
На этом трудности не заканчиваются. Главная беда – неосведомлённость и незнание. Во-первых, никто подробно не анализировал, насколько тот или иной вид системы может противоречить тому или иному закону. Даже если их применение обосновано драконовскими поправками к закону «О защите персональных данных», то, насколько это гармонирует с остальной законодательной базой, никому не ведомо. Но порой можно найти юридические парадоксы прямо на поверхности. Есть несколько нормативных документов, явно противоречащих друг другу. Например, Конституция, дающее неограниченное право на сохранение тайны личной переписки, и трудовой договор, ограничивающий права, либо вообще не дающий права на личную переписку в рабочее время на рабочем месте. Закон, естественно, будет на стороне менее защищённой и более угнетённой, то есть, сотрудника компании.
Во-вторых, в некоторых режимах применение DLP-системы может требовать особого оформления отношений между работниками и работодателем. И по большому счёту потенциального сотрудника необходимо ставить в известность о том, что в компании, куда он нанимается, внедрена система информационной безопасности. В международной практике известны случаи, когда специалисты истолковывали это как нарушение прав человека и отказывались от работы в такой компании.
Так может лучше не связываться?
Эта мысль хоть и логична, но только на первый взгляд. Как уверяют специалисты, оборот рынка систем по защите конфиденциальной информации в денежном выражении составляет сейчас около млн. латов в год. Ежегодно в Латвии защитный софт инсталлируют 20-30 предприятий.
— Можно подумать, что эти цифры мизерны, а оценки далеки от реальности, но это не так. Ведь цифры касаются только DLP-систем. Существует рынок других технологий, который путают с DLP. Это, например, аппаратные решения по перехвату и обработке почтового трафика или системы по блокировке интернет-трафика. DLP – более направленный инструмент и нужен для решения более сложных задач, – подчеркнул Небылица. – Нам есть куда расти. Интерес к DLP традиционно есть у двух категорий компаний: у тех, кто имеет большой объём персональных данных и у тех, кто уже сталкивался с крупными утечками инфы. Нет никаких оснований полагать, что число таких компаний будет уменьшаться.