Пермский бизнес встанет на защиту своей информации

IT-технологии уже давно используются как эффективный инструмент в конкурентной борьбе и рейдерских операциях. Страх лишиться коммерческой информации или подцепить вирус, который «уронит» корпоративную IT-систему, вынуждает пермских коммерсантов выделять деньги на защиту от взломов. Причем если в прошлые годы пермские компании задумывались об этом лишь перед лицом реальной угрозы, то в 2008 году у IT-фирм появились клиенты, заинтересованные в том, чтобы обезопасить себя превентивно.

Вапреле этого года житель Йошкар-Олы Евгений Симонов был признан виновным в том, что с помощью программ packed.win32.tibs.dc и troyan-spy.win32.broker.j похитил логины и пароли клиента компании «БрокерКредитСервис» и от его имени проводил операции с фьючерсными контрактами, — рассказал руководитель Пермского отделения «БКС» Алексей Бушуев. Нанесенный ущерб, по оценкам правоохранительных органов, составил более 3 млн руб., за что г-на Симонова осудили на 5,5 лет лишения свободы.
Этот случай практически единственный в нашем регионе, когда о финансовых потерях, понесенных в результате преступления в сфере информационных технологий, было заявлено открыто. Пермские компании, как, впрочем, и российские, предпочитают скрывать свои неприятности в области информзащиты: только 10-15% подобных преступлений становятся известны. «Компания не заинтересована в том, чтобы пресса и широкая общественность узнали о крупном происшествии в сфере информзащиты — репутационные потери слишком велики. Эти преступления замалчиваются, а если расследуются — то в строжайшей тайне», — утверждает генеральный директор ООО «Безопасные информационные технологии» Юрий Котов.
Специалисты пермских фирм, специализирующихся на защите информации, отмечают, что интерес к их услугам в последнее время растет — по разным оценкам, на 15-20% в год. Это значит, что угроза утраты конфиденциальных сведений для пермского бизнеса более чем реальна, и он готов платить за то, чтобы предотвратить ее. Впрочем, финансовый кризис внесет изменения в эту картину. В лучшем случае, по мнению Юрия Котова, рост спроса в следующем году составит порядка 5%. При этом само количество информационных угроз от желающих нажиться на слабеющих во время кризиса компаниях вырастет еще больше.

Пермский бизнес страдает от внешних и внутренних врагов

Рост интереса к защитным продуктам в Перми специалисты связывают с активизацией внешних угроз информационной безопасности (ИБ) бизнеса. Специалисты компании «Лаборатории Касперского», анализируя тенденции в области угроз информационной безопасности, еще в отчете за 2007 год отметили, что угрозы окончательно «коммерциализировались»: никто уже не создает вредоносные программы для самовыражения, самоутверждения или исследований. Более выгодно генерировать сотни примитивных троянских программ на продажу, которые потом будут использоваться для получения финансовой выгоды в конкурентной борьбе.
Проникновение вирусов в компьютерную сеть компании может принести значительный финансовый ущерб. «Был случай, когда в одной пермской компании компьютерная система примерно из 500 машин полностью встала в результате атаки вируса», — рассказывает Юрий Котов. Сеть не работала в течение 4 дней, а ее руководство целиком пересмотрело всю систему безопасности. «До инцидента их система информационной безопасности была построена по принципу «ореха» — жесткая оболочка и мягкая сердцевина. Проникнуть в саму сеть вирусу сложно, но когда он это сделал, никаких внутренних препятствий не встретил». После происшествия компания перестроила сеть по принципу «пушечного ядра», дополнительно укрепив внутреннюю безопасность.
Непосредственно против конкретной компании могут применяться DDoS-атаки и взлом серверов. «Их используют, чтобы либо понизить рейтинг компании, либо переманить ее клиентов», — поясняет заместитель генерального директора по информационной безопасности ЗАО «Авитек-сервис» Артем ТверИтинов. По его информации, с подобными проблемами сталкивались и пермские банки, и операторы связи.
Одной из самых известных DDoS-атак около года назад подвергся банк «Северная казна» (Екатеринбург). В течение двух суток была атакована система интернет-банкинга. По словам пресс-секретаря банка Алексея Калистратова, финансового ущерба банк не понес. Однако входящие каналы связи оказались перегружены, а доступ клиентов к ресурсам банка был затруднен.
По оценкам «айтишников», не меньше, чем вирусы и DDOS-атаки, для компаний опасен «человеческий фактор»: почти в 70% утечки конфиденциальной информации виновны собственные сотрудники. Артем Тверитинов рассказал, что не так давно в одной из крупных пермских компаний, работающих в сфере ритейла, был выявлен сотрудник, укравший базы данных клиентов. «Эту информацию вынесли на обычной флешке. Хотя в компании и существует отдел безопасности, но он узнал об этом уже после того, как все произо- шло», — рассказывает Тверитинов.
«За все время нашей работы мы сталкивались всего с двумя-тремя хакерскими атаками, причем фирмы-объекты атаки были серьезно физически защищены. Легче подкупить сотрудника и за $100 вынести конфиденциальные сведения, чем нанять специалиста, который за $1 тыс. создаст систему для похищения информации, которая, возможно, сработает, а возможно, и нет», — отмечает Юрий Котов.
IT-специалисты говорят, что порой ущерб пермским компаниям наносит элементарное удаление увольняемым сотрудником всей информации на корпоративном сервере (если человек узнает об увольнении, а его учетную запись для входа еще не заблокировали). В некоторых компаниях вообще нет такого понятия, как учетная запись, и человек со злости или из каких-то других побуждений беспрепятственно удаляет все свои папки, прихватывает папки коллег.

Крупный бизнес начинает тратить деньги на профилактику IT-cпециалисты отмечают, что только в последнее время появились клиенты, готовые защищать информацию в профилактических целях. Их доля пока невысока и составляет, по оценкам Юрия Котова, примерно 10%. «В 90% случаев наши клиенты защищают информацию, составляющую государственную или служебную тайну, а вот о сохранности коммерческой тайны большинство задумывается лишь после того, как уже пострадали от угроз ИБ, — соглашается Андрей Киселев, начальник отдела безопасности информационных технологий ЗАО «Проминформ». — Например, фирма очень быстро теряет большую часть постоянных клиентов, которых конкурент переманил в результате утечки клиентской базы».
В лидерах по информационной защищенности в Пермском крае — банки. «Банки уже понимают, что если всплывет информация об их клиентах, это, помимо финансовых потерь, приведет и к прямым репутационным», — отмечает Артем Тверитинов. Чаще всего у финансовых организаций есть свои отделы безопасности, которые и отвечают за сохранение важных данных. Следом за банками, по оценкам Юрия Котова, идут предприятия промышленной сферы и предприятия, связанные с оборонными заказами и гостайной.
При этом, как отмечает Артем Тверитинов, в 80% случаев крупные компании заказывают комплексную систему защиты информационной безопасности. «Эти решения не просто закрывают какие-либо бреши, а затрагивают все уровни защиты информации, начиная с человеческого фактора и заканчивая всеми внутренними и внешними угрозами. Сюда входят шифрование, антивирусная и спам-защита, многофакторный уровень контроля доступа, биометрические технологии и др.», — поясняет Тверитинов. Стоимость подобных проектов исчисляется миллионами рублей, внедрение занимает свыше трех месяцев.
В данный момент существенную долю среди клиентов пермских IT-компаний, специализирующихся на защите информации, занимают различные органы госвласти — около 50%. По оценкам Артема Тверитинова, они приносят львиную долю выручки по направлению ИБ — порядка 60%.
С этим сегментом клиентов, по словам Юрия Котова, проще работать — их бюджеты на информационную безопасность заранее прописаны. Они вынуждены выполнять законодательные изменения в области защиты информации, их политика в области ИБ определяется «сверху».
Небольшие компании не доверяют внедренцам Компании малого и среднего бизнеса пока не спешат выделять бюджеты на защиту информации, а их требования к безопасности стандартны. До 80% небольших компаний используют только антивирусные продукты и простейшие средства защиты сетевого периметра (интернет-шлюзов), при этом стараясь по возможности минимизировать затраты. По оценке Андрея Киселева, установка примитивного межсетевого экрана и антивирусов выливается в сумму от 800 до 2 тыс. руб. на 1 место.
Директор агентства информации и рекламы «Стиль МГ» Олег Андрияшкин говорит, что тратит на ИБ около 3% прибыли, ежегодно эти затраты растут примерно на 7-8%. Он считает уже достаточным уровень информационной защищенности, которым обладает его компания: «Мы используем средства антивирусной защиты, аппаратные решения, в том числе аппаратные бранд-мауэры (Firewall) . Для заказов, которые отличаются закрытостью, мы применяем специализированную программу шифрования». Сегодня «Стиль МГ» использует технологии ограничения доступа к информации, когда, например, получают от клиентов конфиденциальную информацию: используются специальные программы, чтобы ограничить доступ к файлам.
Рост спроса на ИБ замедляется недоверием потенциальных клиентов к IT-компаниям и, следовательно, нежеланием отдавать направление на аутсорсинг. «Порой у бизнесменов и есть заинтересованность в системах защиты, но нет доверия к посторонним людям. Они пытаются обеспечить информационную безопасность своими силами», — отмечает Андрей Киселев.
Получается это, по оценкам IT-специалистов, не всегда удачно. «Хорошо, когда в организации есть корпоративная антивирусная система, которая контролирует всю сеть, и есть хотя бы сколько-нибудь настроенные узлы доступа в Интернет. Это уже начальный, минимальный уровень, который защищает от проникновения извне. Но даже этого нет пока у многих компаний», — говорит Киселев.
В «Стиль МГ» почти все работы по ИБ выполняются собственными силами. «Мы считаем, что так более надежно, чем отдавать эти вопросы в ведение сторонних специалистов. Это более затратно, но вопросы безопасности перевешивают вопросы выгоды», — говорит Олег Андрияшкин.
Впрочем, спрос на системы ИБ у небольших пермских компаний все же должен вырасти, надеются IT-компании. «Чем крупнее становится компания, тем больший объем информации переносится на электронные носители, и, соответственно, ее необходимо активнее защищать», — говорит Юрий Котов. Однако в связи с кризисом рост интереса к услугам «айтишников», занимающихся информбезопасностью, у среднего бизнеса вряд ли сохранится. «Многие компании будут сокращать IT-бюджеты, и спрос на наши услуги упадет. Насколько — пока прогнозировать рано», — говорит Андрей Киселев.
Закон может подтолкнуть предпринимателей к защите данных Более плотно заняться собственной информбезопасностью пермский бизнес вынудят законодательные новшества. В 2007 г. Государственная дума РФ приняла закон «О персональных данных». Как сказано в документе, персональными данными является любая информация, относящаяся к определенному физическому лицу, например: фамилия-имя-отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и прочее. Подобного рода сведения имеются в любой компании — вне зависимости от сферы ее деятельности, и каждая организация обязана обеспечить их конфиденциальность и безопасность.
Закон говорит, что в случае утечки персональных данных любой гражданин имеет право на защиту своих прав вплоть до возмещения убытков и компенсации морального вреда в судебном порядке.
Но организациям дана небольшая поблажка — окончательно документ вступает в силу с 1 января 2010 года. «Сейчас все новые системы защиты персональных данных, которые вводятся в эксплуатацию, должны изначально соответствовать требованиям закона. Остальные должны быть приведены в соответствие до января 2010 года», — поясняет Андрей Киселев.
Сейчас ажиотажного спроса на решения, направленные на защиту персональных данных, пермские «айтишники» не замечают. Прежде всего, заказы поступают от органов власти и филиалов крупных общефедеральных компаний, в которых работа по соблюдению норм законодательства осуществляется централизованно.
«С небольшими частными предприятиями вопрос сложный. Чтобы определиться, как и каким образом нужно защищать, — надо провести классификацию систем персональных данных. Это все очень индивидуально. Для кого-то это может быть сложно и дорого», — отмечает Киселев. Он опасается, что предприятия начнут решать проблему в самый последний момент, к концу 2010 г., когда государство станет применять карательные меры, и организации будут не в состоянии справиться со всем этим оперативно.
Олег Андрияшкин пока не готов тратить ресурсы на системы защиты данных: «У нас штат 50 человек, и данные о них не так сложно сохранить, а персональные данные наших клиентов у нас уже проходят как секретная информация». Он намерен заняться защитой данных сотрудников уже после вступления закона в силу. «Пока не ясно, в каком виде закон вступит в силу, и какие изменения в нем произойдут до 2010 года», — поясняет он.
Впрочем, некоторые специалисты по информационной безопасности настроены и более пессимистично. «Не думаю, что после вступления закона в силу что-то принципиально изменится. Когда начали использовать лицензионное обеспечение в школах? После «дела Поносова» (Александр Поносов — директор Сепычевской средней школы, осужденный за использование нелицензионного программного обеспечения. — Прим. ред.). У нас «пока гром не грянет, мужик не перекрестится», — считает Юрий Котов.