Проведенный нами опрос ИТ-директо-ров, специалистов в области информационной безопасности показал: все эксперты уверены, что человеческий фактор был, остается и в перспективе будет оставаться самым слабым звеном информационной безопасности.
ЧЕЛОВЕК МОЖЕТ ОБИДЕТЬСЯ, КОМПЬЮТЕР - НЕТ
Объективная реальность состоит в том, что полностью автоматических систем информационной безопасности (ИБ) не существует, все они автоматизированные, т.е. предполагающие участие человека. Правильное построение и дальнейшее управление системами ИБ является исключительно прерогативой персонала, и здесь, хочешь не хочешь, самые совершенные ИТ-решения не помогут. Даже идеально технически спроектированная ИТ-система не является гарантом высокого уровня информационной безопасности в банке.
По данным исследований, свыше 80% нарушений информационной безопасности вызвано действиями сотрудников самой организации. И здесь нет ничего удивительного, считают эксперты. Персонал ошибается не в пример чаще компьютера, человека можно подкупить, подговорить, он может на кого-то обидеться, а компьютер этих недостатков лишен, объясняет директор департамента информационных технологий СДМ-Банка Олег Илюхин.
«Люди подвержены разного рода воздействиям, причем многие их них эмоциональные, несвойственные техническим средствам», - соглашается директор по информационным технологиям российского подразделения Cetelem Виталий Татару. Люди могут быть ленивы, некомпетентны, заинтересованы, подвержены давлению и прочее.
«В отличие от технических средств защиты и обеспечения безопасности человеку могут быть присущи такие факторы, как нежелание следовать правилам информационной безопасности, отсутствие определенных навыков и знаний, забывчивость, преднамеренные и непреднамеренные ошибки, личные мотиваци-онные побуждения и т.п., - говорит начальник управления банковской безопасности, заместитель директора дирекции безопасности ОТП Банка Олег Водовсков. - Эти факторы могут нести в себе существенные риски нарушения информационной безопасности, и в определенных ситуациях сводить практически к нулю эффективность самых совершенных технических средств защиты».
НАДЕЯТЬСЯ НА ЗДРАВЫЙ СМЫСЛ ПЕРСОНАЛА НЕ СЛЕДУЕТ
Банковские эксперты в области ИБ уверены, что не следует надеяться на здравый смысл персонала, а нужно целенаправленно повышать осведомленность сотрудников по вопросам информационной безопасности. Именно это является необходимым условием для нормального функционирования системы управления ИБ в банке. При этом подчеркивается, что здравый смысл люди могут понимать по-разному, а в организации должны быть четкие, единые для всех правила, обязательные для исполнения.
Несмотря на повышение общей компьютерной грамотности сотрудников, проблеме ИБ по-прежнему уделяется недостаточное внимание, и далеко не все сотрудники осознают важность этого вопроса, считает Олег Водовсков (ОТП Банк). Эксперт объясняет это отчасти тем, что угрозы нарушения информационной безопасности носят виртуальный характер и не сразу очевидны.
По мнению начальника управления контроля за операционными рисками Райффайзенбанка Светланы Беляловой, как минимум, необходимо в понятной и доступной форме ознакомить сотрудников с действующими в организации правилами информационной безопасности. Персонал должен знать контакты тех подразделений, куда можно обратиться при возникновении проблемных ситуаций.
Менталитет жителей нашей страны, надежда на то, что «пронесет», как нельзя лучше способствует росту числа нарушений информационной безопасности, считает Олег Илюхин (СДМ-Банк). «Как правило, пока не произойдет какое-то мошенничество - кража данных, вирусное заражение, хакерская атака, списание средств со счета, - обычный человек ничего не предпринимает и только после этого начинает задумываться, как же сделать так, чтобы такого больше не происходило».
КАК СДЕЛАТЬ НЕВОЗМОЖНЫМ ОТСТУПЛЕНИЯ ОТ ПРАВИЛ
Возникает вопрос: что все-таки следует противопоставить неисполнительности работников, игнорирующих правила информационной безопасности?
Прежде всего отношения работника и работодателя регулируются трудовыми договорами и действующим законодательством РФ. Поэтому ответственность за нарушение правил информационной безопасности, равно как и других правил, установленных в организации, должна определяться договорными отношениями между работником и работодателем и в соответствии с действующим законодательством РФ, считает Светлана Белялова (Райффайзенбанк).
Правила информационной безопасности могут не соблюдаться либо по причине их сложности, либо в связи с низкой трудовой и исполнительской дисциплиной, уверен Олег Водовсков (ОТП Банк). «В первом случае надо постараться максимально упростить правила - сделать их понятными рядовому сотруднику, а за счет внедрения технических средств безопасности сделать невозможным отступление от тех или иных правил. Во втором случае нужно повышать исполнительскую дисциплину за счет назначения дисциплинарной ответственности за нарушения с применением административных методов воздействия».
Соблюдение всех правил информационной безопасности всегда ухудшает условия труда работников, будь то медленно работающий из-за антивирусной проверки компьютер или дополнительная аутентификация пользователя в финансовой системе, считает Олег Илюхин (СДМ-Банк). Поэтому, по мнению специалиста, наивно думать, что персонал с восторгом примет все требования информационной безопасности. В этом случае необходимы обучение, жесткая система нормативов и правил информационной безопасности, реально работающая система штрафов и наказаний.
В любой кредитной организации должны быть определены соответствующие методы контроля, включая технические средства, позволяющие выявить нарушения правил информационной безопасности конкретным работником.
«БОЛЬШОЙ БРАТ» ВСЕГДА С ВАМИ!
Для того чтобы стимулировать персонал соблюдать правила ИБ, наиболее действенным является метод кнута и пряника, соглашаются эксперты.
В качестве мотивационной составляющей сотрудникам, как минимум, необходимо обеспечить комфортные условия работы и конкурентоспособную заработную плату, подчеркивает Олег Водовсков (ОТП Банк). «Это позволит работнику не задумываться о сиюминутной выгоде в виде продажи секретов и тайн работодателя и даст возможность выстраивать с работодателем долгосрочные, стабильные и взаимовыгодные трудовые отношения».
В качестве «кнута» могут применяться дисциплинарные меры воздействия, а также создание негативного имиджа: разглашение секретов работодателя всегда будет являться несмываемым пятном и отразится на всей последующей карьере работника.
«Сотрудники должны знать, что за ними всегда следит «большой брат», - говорит Олег Илюхин (СДМ-Банк). Соответственно, нарушения информационной безопасности выборочно предаются огласке, проходит процесс «разбора полетов» и наказания с доведением этой информации до всех сотрудников банка. Такова в общем виде методика воздействия «кнутом».
Начать дискуссию