— Александр, какие угрозы на данный момент наиболее актуальны и опасны для бизнеса?
— На мой взгляд, это угроза утечки критичной информации по вине инсайдеров — собственных сотрудников, имеющих доступ к жизненно важным данным. Проблема появилась не вчера, она актуальна на протяжении многих лет. Однако именно в последние год-два ей уделяется пристальное внимание, так как широкое распространение получили средства защиты, предназначенные для минимизации этой угрозы, — различные DLP-решения.
Также актуальными остаются угрозы, связанные с невыполнением требований ФЗ-152 «О персональных данных». Несмотря на то, что ФСТЭК и ФСБ сегодня не имеют права проверять коммерческие организации, существует механизм, когда эти ведомства в рамках проведения своих проверочных мероприятий может привлечь Роскомнадзор. Пока штрафы за невыполнение требований ФЗ-152 остаются на прежнем уровне, потери от этой угрозы значительно меньше, чем от воровства, скажем, базы клиентов. Хотя в ближайшее время санкции планируют существенно ужесточить.
— Какой ущерб несут дыры в информационной безопасности?
— Тема ущерба от утечек информации в России на данный момент весьма туманна, так как сами организации, в которых произошла кража, стараются не предавать такие случаи огласке.
С уверенностью мы можем говорить только о возможных рисках. Самые значительные из них — финансовые (связаны с упущенной выгодой в результате утечки критичной информации) и репутационные. В качестве примера можно привести шквал негативной информации, который возник вокруг МТС и Мегафона в связи утечкой персональных данных абонентов.
— На ваш взгляд, степень информзащиты уральских компаний достаточна?
— Сложно дать конкретный ответ на данный вопрос. Малый бизнес в большинстве своем практически не уделяет внимания вопросам информационной безопасности. Это связано с тем, что любые внедрения в данной сфере — дополнительные и довольно существенные затраты, эффект от которых сложно «пощупать» или перевести в денежный эквивалент. Зачастую руководители здесь ограничиваются лишь использованием антивирусных средств и максимум межсетевых экранов, поэтому о полноценной комплексной защите информации в данном случае речи не идет.
В среднем и крупном бизнесе картина иная. Во-первых, эти организации находятся под более пристальным надзором контролирующих органов. Во-вторых, у таких предприятий, как правило, стоимость защищаемой информации превышает цену реализации мероприятий по ее защите, что делает внедрение системы защиты как минимум экономически целесообразным. Правда, бизнес не всегда знает о существующих эффективных способах и предлагаемых решениях по информбезопасности.
— Какова стоимость внедрения различных решений по информбезопасности?
— Она зависит от целей, которых хочет достичь организация, и масштабов ИТ-инфраструктуры, подлежащей защите.
Если компания хочет пройти проверку Роскомнадзора на соответствие требованиям ФЗ-152, достаточно разработать комплект организационно-распорядительной документации и провести ряд организационных мероприятий. Стоить это будет от 20 тыс. рублей и выше в зависимости от размера организации, наличия филиалов и т.п. Если к проверке присоединится ФСТЭК или ФСБ, то уже потребуется применение специализированных средств защиты информации, и стоимость защиты вырастет в разы или десятки раз в зависимости от числа рабочих мест и серверов.
Стоимость специализированных DLP-систем по защите от утечек информации начинается от нескольких сотен тысяч рублей и может достигать нескольких миллионов. Все зависит от вендора, количества рабочих мест и серверов, а также особенностей информационных потоков в организации. DLP-система — не «коробочное» решение, для каждой организации ее необходимо подбирать индивидуально.