Оцифровать риск

Русский бизнес
Москва, 08.06.2015
«Эксперт Урал» №24 (648)
Финансирование ИБ-проектов по остаточному принципу приводит к устареванию внедряемых решений еще до момента запуска, считают начальник отдела консалтинга и аудита головного офиса ARinteg Роман Семенов и руководитель направления продаж ARinteg в УрФО Сергей Добронравов

— Об информбезопасности бизнеса постоянно говорят уже больше десяти лет. Однако для многих компаний она так и не стала приоритетом.

Роман Семенов: Большинство отечественных компаний до сих пор воспринимают информбезопасность если не как сдерживающий фактор развития, то как подразделение, не приносящее прибыли. На первый взгляд, они правы: затраты на адекватную систему защиты могут составлять миллионы рублей, а фидбэк от ее внедрения не очевиден. Руководители ИБ-отделов так и не научились говорить на одном языке с главами бизнес-подразделений, «переводить» риски инцидентов в цифры и суммы. Ситуацию усугубил кризис: бюджеты, которые ранее выделялись на формирование ИБ, сокращены до необходимого минимума.

Сергей Добронравов: Подход к финансированию ИБ-проектов по остаточному принципу, к сожалению, является нормой финпланирования во многих организациях. Это приводит к затягиванию реализации проектов. В результате к моменту перевода системы в промышленную эксплуатацию технологии теряют уникальность.

Роман Семенов 024_expert-ural_24-3.jpg
Роман Семенов

— Киберпреступники порой оказываются на несколько шагов впереди ИБ-вендоров. Могут ли последние играть на опережение?

С.Д.: ИБ-производители, конечно, не имеют в своем штате «предсказателей». Но если обратиться, например, к отчетам Gartner, то мы увидим группу компаний, именуемую visionaries. Эти вендоры движутся по пути предугадывания потребностей рынка. Одновременно надо понимать, что визионерство требует больших человеческих затрат при незначительном результате, что непременно сказывается на стоимости продуктов и услуг. Следование постфактум создает лаг между потребностями (во многом обусловленными угрозами) и решениями, но при этом позволяет снизить затраты на исследования и разработку.

— Многие эксперты отмечают: внешние угрозы трансформируются (подробнее см. «Дуализм киберзлодейства», «Э-У» № 17 от 20.04.2015). На ваш взгляд, в каком направлении?

Р.С.: Происходит некое сращивание внешних и внутренних угроз. Раньше наибольшая опасность исходила от интернета. Сегодня одной из основных головных болей безопасников являются таргетированные целевые атаки (Advanced Persistent Threats), для проведения которых злоумышленники используют абсолютно все приемы: от DDoS до социальной инженерии. Получается, что компании нельзя доверять даже собственным сотрудникам, поскольку их необдуманные действия могут открыть преступникам «дверь» в защищенный периметр. Это внутренняя или внешняя угроза?

— По вашему мнению, госполитика в сфере ИБ — это помощь или бремя для компаний? Есть ли в ней смысл?

Р.С.: В последнее время ситуация с законотворчеством в области информбезопасности стала значительно лучше. Несколько лет назад документы от разных регуляторов могли противоречить друг другу.
К настоящему моменту появились грамотные нормативные акты, пришедшие на помощь ИБ-специалистам.

С.Д.: Как показывает западный опыт, утечки конфиденциальных данных и взломы ИТ-систем не исчезли после введения жестких мер регулирования. Секрет успешной защиты кроется не в регламентах и мерах воздействия, а, в первую очередь, в культуре обращения с информацией и компьютерной грамотности.

— Многие заказчики спрашивают: как обеспечить реальную безопасность? Есть ли рецепт, пошаговая инструкция?

Р.С.: Идеального рецепта приготовления «реальной безопасности» не существует. Как и не существует идеальной ИБ-системы. Любую защиту можно обойти, взломать, изменить. Универсальной, пошаговой инструкции нет. Все очень индивидуально, вариантов масса. Оптимальный путь — посмотреть на организацию и ее информпотоки со стороны. Привлечение внешних аудиторов и консультантов позволяет применить лучшие ИБ-практики и обеспечить должный уровень безопасности.

Новости партнеров

Реклама