В этом месяце на телеканале «ПроБизнес» стартовала авторская программа председателя совета директоров «СёрчИнформ» Льва Матвеева. Гостями студии становятся опытные руководители служб безопасности из разных отраслей – от сетевого ритейла до тяжелой промышленности. Открыло серию программ интервью ее автора об особенностях и проблемах ИБ в России. Ниже публикуем его тезисы.
– Если бы в большом городе резко убрали все светофоры, то аварий стало бы больше. Так и с ИБ. Пандемия и удаленная работа «убрали светофоры». Поэтому количество инцидентов заметно увеличилось. Сотрудники расслабились: когда они работают в офисе, у них есть внутреннее понимание, что их как-то контролируют, а работа из дома у многих вызывает ощущение полной бесконтрольности. К тому же работники на удаленке очень часто не соблюдают простые ИБ-правила, например, что нужно подключаться к корпоративным информационным ресурсам через VPN. Пренебрежение правилами привело к росту числа утечек и других ИБ-инцидентов. Часть из них – предумышленные, часть – нет. Также опыт наших клиентов показал, что во время удаленной работы у персонала часто падала эффективность.
Многих резко перевели на удаленку. В итоге процесс, который затягивался бы на долгие годы, произошел за шесть месяцев. Компании освоились с тем, что удаленка должна быть для определенного количества сотрудников. А спад эффективности, незащищенность данных привели к тому, что вопросы ИБ стали для них более критичными.
В медицине, которая сейчас итак на передовой, происходит очень много утечек, прежде всего, данных пациентов с COVID-19. Но это не вина медиков. Цифровых данных стало так много, что для их защиты нужны специалисты. Настал момент, когда каждый должен заниматься своим делом.
В России в открытую продаются данные ГИБДД, паспорта, информация о владельцах недвижимостью. В какой отрасли не копни – везде все печально. Но в данный момент из-за пандемии все внимание приковано к медицине.
Чтобы решить проблему утечек персданных, нужно вмешательство государства. При каждом ведомстве необходим специализированный ИБ-центр, который будет обслуживать все подведомственные учреждения. Мировой бизнес давно доказал, что централизация услуг делает их дешевле и эффективнее. Держать специалиста по ИБ в каждой больнице невозможно, проще создать единый центр, например, при Минздраве, где будут работать специально обученные люди. Этот подход можно использовать и в остальных госструктурах.
Во-первых, при каждом министерстве и ведомстве нужно организовать центр ИБ, который будет обслуживать подведомственные учреждения.
Во-вторых, необходим специализированный орган, министерство ИБ или Росинфобезнадзор – неважно, какое он будет носить название. Когда за ИБ следят разные ведомства, получается, как в поговорке: у семи нянек – дитя без глаза.
Движение в этом направлении уже идет, хоть и минимальное. Например, в начале этого года МВД объявило о создании спецподразделений по борьбе с распространением наркотиков и их пропагандой в интернете. Капля в море, но очень позитивный сигнал.
В цифровой экономике условное министерство ИБ должно выполнять роль контролера, чтобы не получилось, что цифровизация принесла больше урона, чем пользы. А пока в интернете можно купить скан паспорта за 300-500 рублей….
В том числе поэтому в рамках НП «Руссофт» я основал комитет по ИБ. Хочется донести до властей и через общественные организации, что проблема утечек существует. И лучше не следовать пословице пока гром не грянет, мужик не перекрестится, а заранее «перекреститься», чтобы гром не грянул.
По ИБ на уровне государства пока не принимается серьезных мер. Есть подвижки в ряде госсктруктур, где люди, руководящие ИБ, пытаются что-то делать. Но перелом в сознании, что ИБ – не менее важно, чем пожарный извещатель в здании, пока не произошел.
Пока у организаций нет стимулов защищать данные граждан, они этого не делают. Многие считают это дополнительными затратами. Но по этой логике и замки в дверях, и сейфы в банках – дополнительные затраты.
Если будет ужесточаться контроль со стороны государства, тогда проблема сдвинется с мертвой точки. И уже нельзя будет за 500 рублей купить скан паспорта или выписку по кредитной карте в интернете. А за 15-20 тыс. – полный цифровой портрет человека: от истории болезни до выписки с банковского счета.
Для осознания нужно время. Цифровизация ворвалась в нашу жизнь внезапно. Но в том, что Россия начала этим заниматься намного позже, чем остальной мир, есть плюс. Например, сервиса такого уровня как Госуслуги, по моей информации, в других странах нет. Обратная сторона медали, что вопросы ИБ у нас пока не в приоритете, поэтому из тех же Госуслуг происходят утечки.
Исторически так сложилось, что российские ИБ-решения значительно сильнее зарубежных аналогов. Потому что, когда дом строят с нуля, а не перестраивают, он более качественный и современный. Наш опыт продвижения за рубежом это доказывает. Видя функционал наших продуктов, клиенты часто говорят: «Неужели такое возможно?» В ряде стран сформировалось положительное отношение к российским ИТ-решениям.
Но одно дело поставлять лицензии, а другое – методологию регулирования и контроль за исполнением ИБ. Создание министерства ИБ позволило бы России через несколько лет поставлять не просто софт, а технологию целиком, включая подходы к законодательству и обучению специалистов.
Бизнес тоже нужно заставлять следить за данными. Поэтому к идее повышения штрафов за утечки я отношусь хорошо, они сейчас смешные. Но вопрос не только в них. И в бизнесе, и в жизни метод только кнута никогда не работал. Должен быть и пряник. Бизнес должен осознать, что защита данных и в его интересах тоже. Что внедрение системы ИБ – это не только контроль за чужими данными, но и налаживание работы инутри: выявление неэффективных, некорректных, нелояльных сотрудников.
Во время пандемии самым незащищенным классом стали небольшие фирмы от 50 до 200 компьютеров без выделенной службы ИБ. Фирме, в которой 100 ПК, сложнее заплатить 2-3 млн рублей за специализированное ПО, чем фирме с 10 тыс. ПК заплатить 50 млн рублей.
Еще в декабре прошлого года мы запустили ИБ-аутсорсинг, который позволяет небольшим компаниям защитить данные. Для фирм с 50-200 ПК – это единственно правильный выход. Это не очень дорого (около 150 тыс. рублей в месяц на 100 ПК). Причем решение под ключ – ПО вместе с аналитиком, который с ним работает и отслеживает все инциденты, по которым нужно принимать меры. Не нужны многомиллионные вложения в оборудование и персонал.
Сейчас весь мир движется в сторону сервиса. Мне хочется, чтобы ИБ-аутсорсинг полноценно вошел в жизнь как сервис для небольших компаний.
ИБ-расходы позволят увеличить эффективность работы сотрудников и предотвратить утечку критичных для компании данных. Для любой компании попадание к конкуренту клиентской базы чревато большими потерями.
Если в компании больше 50 человек, всегда есть подводные течения. Даже один сотрудник, который некорректно ведет себя с клиентами и негативно влияет на настроение коллектива, способен заметно снизить прибыль. Поэтому ИБ – это не трата, а страховка от потерь и в итоге – экономия ресурсов.
Следите за выходом новых выпусков «Информационной безопасности с Львом Матвеевым» на странице проекта и в эфире телеканала «ПроБизнес» в 19:30 (Мск) по вторникам.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных