ИБ-манеры: как развить культуру работы с корпоративными данными
09.09.2020

По мере того, как документы переводят в электронный вид, компании приходят к пониманию, что данные на компьютерах стоят дороже самих компьютеров. Но от отрасли к отрасли ситуация с корпоративной ИБ-культурой выглядит очень по-разному. О причинах такого положения дел размышляет руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев.

Где и почему царит ИБ-бескультурье?

В сферах, где силен контроль внешних регуляторов (например, в банковской) ситуация выглядит лучшим образом: сотрудники осознают ценность данных, с которыми работают, а компании внедряют все инструменты для защиты, хранения, передачи информации. Но несмотря на близкую к образцовой ситуацию, данные о заемщиках крупнейших банков можно легко обнаружить в даркнете. А значит, во внутренней безопасности банков все еще остаются бреши. 

Есть сферы, где культура обращения с данными еще не развита. По злой иронии это отрасли, где скапливается наибольшее количество критической информации: медицина, гостиничное дело. Хостелы и отели, к сожалению, – надежный поставщик сканов паспортов на черный рынок. С медицинскими данными ситуация еще более критичная. 

Проблема низкой ИБ-культуры касается не только небольших организаций, у которых просто нет средств для обеспечения соответствующего уровня защиты. В крупном бизнесе топ-менеджмент старается внедрить хотя бы основы безопасности. К сожалению, эта безопасность часто выглядит «бумажной» – регламенты есть, но не соблюдаются. Но создание регламентов – это лучше, чем ничего, это начало осознания важности проблемы. 

Хотя смотреть на ИБ «сквозь пальцы» и надеяться на «авось» в некоторых сферах просто преступно. Это касается организаций, располагающих сверхчувствительными данными, опасных производств и т.п. И первые шаги для перелома ситуации уже сделаны – это принятие ФЗ-187 для объектов критичной инфраструктуры, к которой, относится и упомянутое выше здравоохранение. Закон вступил в силу, пока его реализация хромает, но после переходного периода ситуация с безопасностью объектов критичной инфраструктуры улучшится в разы.

Повышаем уровень 

Человек – не одна из, а главная причина ИБ-инцидентов. Он – автор утечек информации и корпоративных мошеннических действий, а также спусковой крючок для большинства внешних атак. Но универсального метода эффективной борьбы с этим фактором нет, хотя бы потому, что люди руководствуются в своих действиях разными мотивами: кто-то ошибается, а кто-то допускает инциденты намеренно. 

Поэтому для повышения уровня ИБ в компании нужен комплекс методов:

1. Создание культуры обращения с информацией. Работодатель должен объяснять персоналу, что техника, программное обеспечение и информация – собственность компании. Для сотрудников это не всегда очевидно, поэтому отношение к сохранности этих ресурсов часто попустительское. Нужно давать понять, что в компании относятся к информации серьезно, осознавая этот факт, сотрудники становятся внимательнее, что снижает число инцидентов по рассеянности. 

2. Регулярное обучение. По статистике Сбербанка, 30% продвинутых пользователей открывают фишинговые письма. То есть попадаются даже те, кто осведомлен о такой угрозе. Причина не только в невнимательности пользователей. Хакеры совершенствуют и усложняют атаки, например, фишинговые письма и сайты все сложнее отличить от настоящих. Полезно проводить регулярные киберучения, которые будут держать сотрудников в тонусе и покажут работодателю реальную картину уязвимости компании.

3. Контроль сохранности информации. Каналов, по которым информация может утечь из компании, стало слишком много. Усложняются и внешние атаки. В компании нужно постепенно наращивать арсенал средств защиты. На первом этапе бывает достаточно антивирусных программ, средств администрирования Windows, программ контроля продуктивности сотрудников. Дальше организации приходят к пониманию необходимости использования Firewall, Proxy, IDS/IPS, DLP- и SIEM-систем. И если раньше профессиональные инструменты были необходимостью только для крупного бизнеса, то сейчас их приобретают и собственники среднего, а в ряде случаев, и малого бизнеса.

4. Введение ответственности. Подписание бумаг об ответственности – это очень важный шаг к повышению культуры отношения к данным в компании. При этом люди должны понимать последствия несоблюдения внутренних регламентов. Например, угроза заплатить 1,5 млн рублей штрафа или получить семь лет тюрьмы за воровство данных (ст. 183 УК) отбивает у сотрудников желание воровать секреты фирмы.

Как повысить ИБ-уровень в компании

ИБ-регламенты обязательны для любых компаний, где используют компьютерную технику и программы с выходом в интернет. Правила, как и в каких целях могут использоваться компьютеры, инструменты для работы, интеллектуальная собственность и другие ресурсы фирмы, а также ответственность сотрудников должны быть прописаны во внутренних инструкциях, трудовом контракте и прочих документах. Например, в Правилах внутреннего распорядка может появиться пункт: «Предоставляемые работнику для выполнения трудовых обязанностей ЭВМ и другая оргтехника должны использоваться исключительно для решения рабочих задач».

Если компания заинтересована не допускать краж ценной информации, следует также ввести режим коммерческой тайны. Для этого – определить перечень данных, составляющих тайну, и ограничить доступ к ним; включить в трудовые и гражданско-правовые договоры пункты о порядке обращения с конфиденциальной информацией. А после – отслеживать, кто ей пользуется.  

Беседы и тренинги дают отличный результат. Но с ростом компании положиться только на них нельзя. По нашим наблюдениям, когда штат организации перешагивает рубеж в 100 сотрудников, начинаются проблемы. Беседы продолжат иметь воздействие на добропорядочных сотрудников, но на людей с дурными мотивами никак не повлияют. Да и от случайных ошибок никто не застрахован. Поэтому в крупных компаниях нужно применять комплекс мер: и технические средства контроля, и мотивационные методы.   

Как искать ИБ-инциденты в реальном времени? Как правильно вести расследования? Как защититься от будущих рисков? Экспертные доклады, живые кейсы и эффективные инструменты – в программе Road Show SearchInform 2020. Бесплатная конференция пройдет в 23 городах РФ и СНГ.

Хочу там быть!

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.