Бес опасности

Павел Кобер
11 декабря 2017, 00:00

Айтишник не защитит вашу информацию: информационная безопасность предприятия в первую очередь зависит от порядка — как в организации защиты информации, так и в бизнес-процессах в целом

Иллюстрация: ДАРЬЯ КОЖЕВНИКОВА
Читайте Monocle.ru в

Group-IB, одна из крупнейших международных компаний в сфере расследования и предотвращения киберпреступлений, зафиксировала новую волну массового распространения вирусов, маскирующихся под мобильные приложения ведущих российских банков. Основной мишенью злоумышленников стали пользователи мобильных устройств на операционной системе Android. Как отмечают в Group-IB, вирусы распространяются не через официальный магазин приложений Google Play, а через рекламные объявления в поисковых системах.

— Нам известно о проблеме фиктивных мобильных банковских приложений.

И мы как крупнейший банк, конечно, тоже с ней сталкивались, — подтвердили в пресс-службе Сбербанка. — Мы рекомендуем своим клиентам соблюдать «кибергигиену» — скачивать приложения только с официальных ресурсов, защищать свои устройства и внимательно проверять права на доступ к данным, которые запрашивает приложение. Со своей стороны, мы в официальное приложение «Сбербанк Онлайн» для Android встроили антивирус, который выявляет вредоносные приложения и блокирует их установку. Достаточно скачать официальное приложение «Сбербанк Онлайн» из Google Play.

Прокатный цех оцифрован

По данным МВД России, за январь — сентябрь 2017 года в стране зарегистрировано около 62,5 тысячи преступлений, совершенных с использованием компьютерных и телекоммуникационных технологий, раскрыто чуть больше 15 тысяч таких преступлений (аналогичная статистика за этот же период прошлого года отсутствует). Сегодня банки, по сути, возглавляют процесс цифровизации в нашей стране, а потому одни из первых (вместе с клиентами) принимают на себя кибератаки.

Но внедрение ИТ-решений на крупных промышленных предприятиях также носит уже всеохватывающий характер.

— Информационные технологии используются практически во всех сферах деятельности НПК «Уралвагонзавод», — сообщили в пресс-службе УВЗ. — Это касается автоматизации конструкторской и технологической подготовки производства, управления и планирования производства, финансово-бухгалтерского учета, управления кадрами и др. Например, в 2015 году введена в промышленную эксплуатацию автоматизированная система управления технологическими процессами САПР ТП «Вертикаль», разработчик — российская компания АСКОН.

— На Белорецком металлургическом комбинате (БМК) используется информационная система собственной разработки «АСУ-БМК», которая охватывает все сферы деятельности предприятия: от планирования, учета производства и реализации продукции до бухгалтерского и финансового учета. Она интегрирована с другими приобретенными программами по расчету заработной платы, оперативному производственному учету и автоматизированной системе слежения за прокатом, — рассказал начальник управления информационных технологий БМК Олег Сарапулов. — Автоматизированные системы управления используются практически на всем основном оборудовании комбината. Например, в прокатном цехе действует система управления технологическим процессом и мониторинга за прокатом. В сталепроволочно-канатных цехах предприятия используется система мониторинга за основной группой агрегатов: волочильными станами, колпаковыми печами и другим оборудованием. Используется как российское ПО — его около 60%, так и иностранное — 40%. Мы следим за всеми новинками, модернизация и замена серверного и специального оборудования идут непрерывно. БМК активно сотрудничает с несколькими уральскими университетами, используя их научно-теоретическую базу в области информационных технологий для решения производственных задач.

— На заводе «Трубодеталь» (Челябинская область, входит в Объединенную металлургическую компанию) система управления ресурсами предприятия, обслуживанием которой занимается «ОМК — Информационные технологии», реализована на базе централизованной информационной системы SAP ERP, на которую мы перешли в 2016 году. Она охватывает весь функционал ERP-решения крупного промышленного предприятия, — отметил руководитель сервисного центра «Челябинск» компании «ОМК — Информационные технологии» Ахат Рахматуллин. — В рамках АСУП внедрено решение для отслеживания производства, с помощью которого можно по штрих-коду с использованием мобильного устройства (iPod) проследить изделие на различных этапах производства, определить его местоположение, отметить начало и завершение операции и так далее. Открыт предпроект по определению ключевых целей и единых подходов по автоматизации бизнес-процессов производства.

В рамках него в течение ближайших месяцев определим целевой ИТ-ландшафт предприятия на горизонте 5 — 10 лет, поймем, какие бизнес-процессы будут охватывать те или иные системы, и создадим дорожную карту развития информационных технологий. Собственно, в рамках этой дорожной карты и примем решение о дальнейшем векторе развития ИТ.

ИБ с врачебным диагнозом

В сентябре в Екатеринбурге состоялась конференция по информационной безопасности с международным участием «Код ИБ».

Один из главных выводов, на котором сошлись ее участники, — на предприятиях и в учреждениях состоянию информбезопасности (ИБ) необходимо уделять никак не меньше внимания, чем собственно внедрению ИТ. В противном случае возникает риск, что автоматизированным цехом начнет управлять кто-то извне. Пока же нередки случаи, когда на заводе с высочайшим уровнем автоматизации и цифровизации производства работает структурное подразделение ИБ, состоящее из специалистов с крайне низкой квалификацией. В государственных и муниципальных учреждениях за пределами Москвы ситуация еще хуже: там ответственными за информбезопасность могут назначить сотрудника с дипломом учителя или врача.

На Западе совсем иное отношение к ИБ. Например, в английском городе Лидсе небольшая поликлиника, состоящая всего из нескольких медицинских кабинетов, потратила почти всю свою месячную выручку (около 200 тысяч фунтов стерлингов, это 15,8 млн рублей) на внедрение двухфакторной аутентификации — контроля доступа пациентов через интернет к результатам своих анализов. К чему такие траты?

Судебные иски обошлись бы дороже.

— В России, несмотря на большой объем регуляторных требований, последствия их несоблюдения порой не столь значительны, — констатирует эксперт RTM Group

Евгений Царев. — Основной удар компании получат в тот момент, когда появится большое количество этих самых судебных процессов. Сейчас вы можете начать зарабатывать, если просто станете судиться.

Вместе с тем российские учреждения и компании сталкиваются с острым дефицитом профессиональных кадров в сфере информбезопасности. Число преподавателей, которые обладают не просто теоретическими знаниями в сфере защиты информации, а опытом реальной работы, в стране единицы. Эксперты отмечают, что в наших высших и среднеспециальных учебных заведениях специалистов ИБ готовят прежде всего с технической точки зрения, в то время как требуется комплексный подход. Например, большинство вопросов, которые приходится решать устроившимся по специальности выпускникам, лежат не столько в сфере ИТ, сколько в юридической плоскости. Также ИБ плотно соприкасается с кадровой безопасностью, поскольку важно организовать надежную защиту от внутренних угроз — инсайдеров.

— Кадровый голод в сфере ИБ ощущается резко, так как данное направление стало активно развиваться относительно недавно и квалифицированных экспертов пока не много, тем более в регионах, — отметил замдиректора МРФ «Урал» ПАО «Ростелеком» Антон Кузнецов. — Мы активно взаимодействуем с ведущими вузами в регионах, в частности участвуем в вузовских соревнованиях и конференциях. Ежегодно берем к себе студентов на практику, в том числе в отделы, занимающиеся проектами по информационной безопасности.

В последнее время в России ужесточены требования к специалистам, работающим с конфиденциальной информацией и занимающимся созданием средств ее защиты. Но пока никто не запрещает неспециалисту зарегистрироваться в качестве индивидуального предпринимателя и оказывать консультационные услуги в сфере ИБ, проводить аудит информбезопасности. Лицензии на это не требуется. Для сравнения, в Великобритании компании, решившей оказывать услуги в сфере ИБ, необходимо выложить примерно полмиллиона фунтов стерлингов (почти 40 млн рублей), чтобы обосновать квалификацию своих сотрудников и получить доступ для экспертной работы с крупными заказчиками. То есть входной билет на этот рынок весьма недешев, случайных участников здесь нет.

Вообще на Западе ведущие компании в сфере информбезопасности первоначально создавались как службы ИТ или ИБ крупных корпораций, а затем выделялись в самостоятельный бизнес (в отличие от нашей страны, где такие компании, как правило, организуются с нуля). По мнению экспертов, возможно, такой же процесс в России начнется со Сбербанка, где в службе информбезопасности работает уже больше тысячи человек (пока у нас больше нет ни одного крупного интегратора с таким объемом компетенций). Следующим может стать Ростелеком: обе компании активно привлекают в свои ряды тех единичных профессионалов ИБ, которые еще работают в регионах.

По мнению Антона Кузнецова, схема «один специалист-эксперт на предприятии», который закрывает все вопросы ИБ, больше не работает. Для эффективного функционирования необходимо содержать штат узких специалистов по отдельным задачам, но это затратно даже для крупных компаний. Хорошая альтернатива для бизнеса в таком случае — доверить информационную безопасность профессиональной организации, которая по совместительству является и интернет-провайдером. В таком случае защита обеспечивается как на программном, так и на технологическом уровне.

—  В условиях возрастающего количества и разнообразия атак выделенный в единственном лице специалист по ИБ не может справиться. Например, прошедшая недавно волна шифровальщиков WannaCry и Petya стартовала в пятницу вечером. Атаки учитывали психологию сотрудников, которые к концу рабочей недели уже были на «выходных», — рассказал эксперт «Ростелекома». — Привлечение в узких областях специализированных организаций по безопасности более эффективно, в том числе по соотношению цена/качество.

Между тем прогресс движется семимильными шагами, на фоне дефицита кадров появляются новые средства защиты информации, усложняются технологии. Кто должен заниматься администрированием сложных средств защиты типа WAF? При этом рекомендации аудита ИБ из года в год не меняются, остаются очень простыми: проведите обновление, установите антивирус, создайте резервную копию… По мнению экспертов, гораздо эффективнее любой рекомендации проведение одного полного теста на проникновение, что позволяет компании оценить реальный уровень защищенности своих информационных активов в условиях современного состояния методов получения несанкционированного доступа. Это способно оказать отрезвляющее действие на руководство предприятия. Но для проведения тестирования и устранения выявляемых брешей опять же нужны квалифицированные кадры.

Впрочем, состояние информационной безопасности зависит не только от наличия современных интеллектуальных средств защиты и профессионалов, обслуживающих эти средства. В первую очередь важен порядок, определяющий саму организацию процессов защиты информации. Важно сперва на бумаге расписать процесс отработки возможного инцидента и только после этого определять, какой инструментарий для этого необходим, вкладывая финансовые и организационные ресурсы.