Почему течет?
Обеспечение информационной безопасности - самостоятельный и достаточно развитый сегмент IT-рынка со своими лидерами-гигантами, передовыми технологиями и высококлассными специалистами. В свою очередь защита от утечек - неотъемлемая часть этого сегмента. И внутри нее тоже много конкурирующих разработчиков, предлагающих вполне зрелые профессиональные решения для организаций любого масштаба.
Почему же, если защита становится все совершенней, новостные ленты с завидной регулярностью продолжают сообщать об утечках баз данных объемом в десятки и сотни тысяч записей, а компании, допустившие их, несут огромные убытки? В чем проблема: в несовершенстве технологий или в их использовании?
Однозначно ответить на эти вопросы трудно. Во-первых, внутренние (инсайдерские) угрозы имеют латентный характер. Если предприятие не использует, например, антивирусную защиту, последствия этого наступят быстро и будут очевидны. С утечками подобной наглядности нет. В отсутствие специальных технических средств для внутреннего контроля топ-менеджмент и владельцы компании, скорее всего, вообще ничего не узнают о похищении клиентской базы, скажем, сотрудником, который уволился и ушел работать к конкурентам.
Во-вторых, проблема внутренних угроз относительно нова, и тут свою роль играет обычный бюрократический консерватизм. Даже если у спецов по компьютерной безопасности есть понимание, что разговоры о новых угрозах - не маркетинговый ход заинтересованных поставщиков систем защиты, а отражение объективной реальности, им приходится это объяснять и доказывать на всех уровнях - от собственно IT-департамента, с которым надо согласовывать внедрение новых программно-технических средств, до руководства, выделяющего деньги. В-третьих, многие руководители уверены, что в их организациях злонамеренных инсайдеров нет: уровень зарплат высокий, сотрудники мотивированные, так зачем им красть конфиденциальную информацию? Но по статистике, более 90% утечек совершается случайно или по ошибке. Например, сотрудник взял служебные документы на флешке домой, чтобы поработать на выходных, и потерял ее в торговом центре. Или по ошибке ввел неправильный адрес при отправке конфиденциального электронного письма. К сожалению, никакая мотивация не защищает от подобного рода промахов, а их последствия практически столь же серьезны, как и от действий злоумышленников. Наконец, не для всех руководителей владение информацией равнозначно владению миром. А потому и инфобезопасность может быть для многих далеко не приоритетом. Если антивирус де-факто входит в стандартный набор корпоративного ПО, то более сложные системы защиты от утечек с большим трудом преодолевают барьеры в сознании. И тут дело даже не в отношении к конкретным системам, а в общей информационной культуре. Больше половины компаний затрудняются сказать, какую информацию и от кого им вообще нужно защищать. И большинство не видит связи между сообщениями в СМИ о крупных утечках и собственными проблемами в бизнесе.
Впрочем, закон "О персональных данных" обязывает все компании, работающие с данными граждан, предпринимать определенные меры для их защиты и предусматривает за нарушения разные виды ответственности, вплоть до уголовной. Тут, конечно, в большей степени нужны бумажки для отчетности, а не реальные действия, но на самом деле многие именно благодаря этому закону все-таки обращают внимание на проблему и стараются решить ее как следует, а не формально, чтобы только избежать штрафов и претензий. А дальше действует простая логика: если все равно тратишься на защиту персональных данных граждан, почему бы не защитить и собственные информационные активы? Так что в этом случае законодательство, как это ни удивительно, вносит существенную лепту в повышение общей инфокультуры в корпоративной среде, и это можно только приветствовать. Главное, чтобы оно продолжало развиваться в этом направлении и применялось разумно, а не в соответствии с легендарным "хотели как лучше, а получилось как всегда".
Подписывайтесь на нас:
