Враг не пройдет

Недавнее исследование «Лучше оценивая ИТ-риски», проведенное Economist Intelligence Unit, продемонстрировало: бизнес склонен к пересмотру роли ИТ. 75% опрошенных по всему миру руководителей ставят знак равенства между рисками, связанными с автоматизацией бизнеса, и бизнес-рисками как таковыми. И вот что удивительно. Согласно данным EIU, российских предпринимателей, пришедших к тому же выводу, еще больше — 80%.

Каждый мало-мальски значимый для современной компании бизнес-процесс ныне так или иначе автоматизирован. Некоторые же из них и вовсе немыслимы без идеальной работы соответствующих программно-аппаратных комплексов. А значит, знак равенства, поставленный между непрерывностью бизнеса и безотказной работой серверов, сетевого оборудования и рабочих станций, оказывается на своем законном месте.

Почему итоги исследования EIU вызывают некоторое удивление применительно к России? Отвечая на вопросы аналитиков, наши бизнесмены проявили невероятную сознательность. Однако эмпирические ощущения свидетельствуют об обратном: пока гром не грянет, ИТ-риски в российском бизнесе считаются второстепенными. Информационная безопасность перестает быть умозрительной категорией и переходит в практическую плоскость лишь после того, как что-то произойдет: зависнет почтовый сервер, вероломные хакеры похитят конфиденциальные данные или в результате очередного блэкаута выйдет из строя сразу все оборудование.

— Практика показывает, — подтверждает руководитель отдела систем и методов обеспечения информационной безопасности компании «Микротест» Константин Соколов, — что о рисках, связанных с нарушением режима информационной безопасности, а значит, и о разработке политики в этой сфере, позволяющей указанные риски минимизировать, во многих компаниях задумываются лишь постфактум, когда тот или иной инцидент, вызвавший серьезные последствия, уже произошел.

Что правда, то правда. Из личного опыта многие знают: осознание необходимости резервного копирования информации приходит лишь после того, как ценные файлы оказываются безвозвратно утраченными. Но если в повседневной жизни с этим еще можно мириться (погибшие фотографии, сделанные в отпуске, — это неприятно, но не смертельно), то в бизнесе подобный «бытовой» подход чреват крупными финансовыми и репутационными потерями. А это уже куда более серьезные вещи.

Ведущий консультант по информационной безопасности компании «АйТи» Сергей Петренко советует не откладывать в долгий ящик разработку правил и политики информационной безопасности. Потом будет труднее, а главное, дороже латать прорехи.

В России почему-то до сих пор распространено заблуждение, будто зависимость крупного бизнеса от качества работы информационных систем куда выше, чем в бизнесе малом или среднем. Однако специалисты единодушны: необходимость аудита ИТ-инфраструктуры определяется вовсе не масштабами предприятия. «Любая компания должна начинать беспокоиться о разработке политики информационной безопасности тогда, когда ее информация начинает обладать ценностью», — формулирует генеральный директор компании IBS DataFort Денис Калинин. И не важно, идет ли речь о транснациональной корпорации или о «гаражном» стартапе, главные победы которого еще впереди.

Классифицируй это!

«Политика информационной безопасности, — считает Сергей Петренко, — это своего рода свод правил для сотрудников компании и внешних контрагентов. И даже — правовая основа работы компании в целом: если никаких законов и правил не принято, наступают анархия и хаос». Может быть, такой «свод законов» можно скопировать у других компаний? Эксперты очень не советуют заниматься таким «импортом», поскольку набор рисков — как ДНК — уникален для каждой компании. А значит, и иммунитет следует вырабатывать «штучно», не слишком полагаясь на массовые вакцины.

Первый этап формирования корпоративной системы информационной безопасности — детальный анализ всей ИТ-инфраструктуры и угроз, сопряженных с ее функционированием. «Оценка рисков просто необходима, — подчеркивает Денис Калинин. — Основываясь на результатах, можно перейти к разработке превентивных защитных мер. Кроме того, в процессе разработки антикризисного плана всегда следует учитывать не только вероятность рисков, но и ущерб, который они могут причинить».

Проще говоря, компания может потратить приличные средства на приобретение и обновление антивирусного программного обеспечения, а прямые убытки наступят в результате выхода из строя отработавшего свое сервера. Можно вложиться в построение мощной антихакерской обороны, а потом выяснится, что ваша ахиллесова пята — собственные сотрудники. В Societe Generale тратили огромные деньги на защиту от внешних угроз. А удар нанес тихий и незаметный трейдер Жером Кервьель, хорошо знавший устройство системы информационной безопасности…

Заранее предсказать, какие именно «узкие места» будут выявлены после инвентаризации ИТ-рисков, почти невозможно. Многое зависит от специфики деятельности, а порой и (все-таки!) от размера компании. Зато современные подходы к управлению системами корпоративной информационной безопасности позволяют весьма точно идентифицировать участки, требующие первостепенной и безотлагательной защиты.

— В первую очередь, — говорит Сергей Петренко, — стоит обратить внимание на серверный парк и шлюзы, защищающие информационный периметр компании. Выход из строя этих элементов, как правило, очень чувствителен для бизнеса.

Нужно ли менеджменту и акционерам в точности понимать, что такое «шлюзы», как выглядит «периметр», и похоже ли все это на гидротехнические сооружения, украшающие Беломорканал? Вовсе нет. Куда важнее задавать правильные вопросы представителям ИТ-блока компании и внятно ставить задачи. Генеральный директор может не знать многих тонкостей налогового законодательства. Однако, нанимая главбуха, он требует вполне конкретных вещей. Например, добиться во всех смыслах идеального баланса, чтобы, с одной стороны, не переплатить лишнего, а с другой — не оказаться в числе жертв налоговой службы. То же самое касается и ИТ-рисков.

Что делать в первую очередь после того, как аудит угроз проведен? Разумеется, защищать самые болезненные участки. В «Северстали» поступили именно таким образом. В первую очередь ИТ-специалисты компании озаботились резервированием критически важных каналов связи и серверного оборудования. Правда, были и другие рубежи, которые, по словам советника генерального директора компании Александра Кириллова, по результатам ревизии были причислены к наиболее уязвимым. Так появилась система противодействия спаму, а также была усилена защита каналов доступа в Интернет и удаленного доступа в корпоративную сеть.

Кстати, именно связанные с удаленным доступом сервисы (а еще точнее — использующие их сотрудники) вызывают в последнее время все больше опасений у специалистов. Консультант-аналитик «Лаборатории Касперского» Роман Косичкин уверен, что мобильные сотрудники — одно из самых слабых мест современных корпоративных ИТ-инфраструктур: «Стоит только таким сотрудникам покинуть офис, где имеется возможность обеспечить надежную централизованную защиту электронной переписки, интернет-запросов и обмена документами, как они оказываются один на один с внешним миром, полным информационных угроз». А ведь информационная мобильность ныне в моде: редкий производитель карманных коммуникаторов не пообещает вам легкой и простой удаленной работы с корпоративными данными!

Ваши документы

После завершения детального анализа ИТ-инфраструктуры и классификации рисков приходит пора закрепить результаты этой работы в корпоративном документе, именуемом политикой информационной безопасности. Задача состоит в том, чтобы не только детально прописать возможные риски и способы их избежать, но и определить ответственных за реализацию этих положений. Можно ли обойтись без документирования? Вряд ли. Пока закон (пусть даже действующий на территории отдельно взятой компании) не издан по всем правилам, он не действует. Можно требовать от людей чего угодно. Но до тех пор, пока отдельным документом не будут определены их задачи и ответственность, об информационной безопасности бизнеса придется забыть. Уволенный сотрудник пользовался ноутбуком и каждый день копировал на домашний компьютер проходящие через него за день документы? Очень грустно, но бессмысленно наказывать за это системного администратора или директора информационной службы при отсутствии документа, запрещающего работникам уносить мобильные компьютеры с собой.

В холдинге «МИЭЛЬ» к разработке политики информационной безопасности подошли «по науке». «Это общекорпоративный документ, определяющий цели построения и использования системы информационной безопасности, — говорит директор департамента ИТ компании Сергей Захарцев. — В нем сформулированы все требования к системе информационной безопасности на всех этапах жизненного цикла корпоративной информационной системы. Мы проводим постоянный мониторинг возникших или потенциальных угроз, реализуем адекватные мероприятия по противодействию им. Кроме того, в рамках ИТ–подразделения сформирован отдел, в функции которого входит обеспечение информационной безопасности компании».

Знают ли высшие руководители холдинга о том, как на уровне железа и софта реализуются сформулированные требования? Скорее всего, нет. И не должны знать. Трансляция задач и потребностей бизнеса на уровень конкретных информационных систем и исполнителей — задача одного из топ-менеджеров — CIO, в данном случае Сергея Захарцева. Куда важнее другое. До тех пор пока корпоративная политика информационной безопасности не выработана и не утверждена по всей форме, ни директор департамента ИТ, ни его подчиненные не смогут обеспечить защиту.

Другой разговор, что формирование этого документа эксперты ни в коем случае не советуют отдавать на откуп самим «айтишникам». С тем же успехом можно предложить всем прочим сотрудникам самостоятельно подготовить для себя должностные инструкции. То есть инструкции-то появятся, однако будут напоминать скорее распорядок дня в доме отдыха. С другой стороны, ни один уважающий себя руководитель ИТ-департамента не возьмется за такую работу в одиночку. Ведь в таком случае он добровольно примет на себя всю ответственность не только за букву, но и, что называется, дух стратегии информационной безопасности.

— Я считаю необходимым вовлечение руководства компании в этот процесс, — признается Александр Кириллов («Северсталь»). — Это необходимо для того, чтобы все сотрудники понимали следующее. Во-первых, вся деятельность по обеспечению информационной безопасности инициирована руководством и обязательна. Во-вторых, руководители компании лично контролируют функционирование системы управления информационной безопасностью. И, наконец, в-третьих, само руководство выполняет те же правила по обеспечению информационной безопасности, что и все сотрудники компании.

Ответственность — ключевое слово в борьбе с ИТ-рисками. «Риски требуют постоянного контроля. Необходимо соответствующим образом обучать сотрудников и проводить тестирование созданного антикризисного плана, — говорит Денис Калинин (IBS DataFort). — Вот почему в любой ИТ-службе должен быть либо целый отдел информационной безопасности, либо ответственный сотрудник, подчиненный службе собственной безопасности или генеральному директору».

Как и при любых сбоях, в случае неработоспособности ИТ-подсистем возникает резонный вопрос: кто виноват? Точнее, с кого взыскивать — в том числе рублем, — если сервер «упал», почта «не ходит», счета не выписываются, а бухгалтерия вспоминает, как пользоваться старорежимными счётами? «Ответственность в большинстве случаев лежит на ИТ-директоре компании, а финансовая ответственность закрепляется в трудовых договорах между сотрудником и компанией», — категоричен Кирилл Котельников, генеральный директор компании «Рэйс Информационные технологии». Вот только Денис Калинин напоминает: в итоге вся финансовая ответственность ложится скорее на директора компании. Другой разговор, что часть этой ответственности можно делегировать подрядчикам, как в случае с аутсорсингом. «При использовании услуг аутсорсинга компания-провайдер обычно отвечает за сбои в работе в объеме, равном стоимости услуг», — поясняет Калинин.

Можно ли застраховать риски, связанные с функционированием ИТ-инфраструктуры компании? Все эксперты, опрошенные «Бизнес-журналом», уверенно дали отрицательный ответ. «Застраховать подобные случаи в России, в отличие от развитых стран, практически невозможно, — разводит руками Денис Калинин. — Страховые компании в России не практикуют подобные услуги из-за низкой формализации процессов на предприятиях и недостаточной управленческой зрелости».

Тридцать три процента

Как и любые другие мероприятия по обеспечению безопасности, полноценная защита компании от ИТ-угроз — дело довольно затратное. Вот только выводить «среднее арифметическое» — занятие бессмысленное.

— Точно оценить стоимость комплексного решения невозможно, поскольку ответ слишком зависит от целого ряда параметров. Например, от ценности данных предприятия, — говорит Денис Калинин. — Для начала нужно понять, с какой именно информацией работает конкретная компания. Салон красоты не слишком пострадает в случае потери данных. В конце концов, можно купить новый сервер и продолжить работу. При этом процесс обслуживания клиентов и вовсе не пострадает. Если же речь идет о подразделении налоговой службы, то ценность информации, которая хранится на серверах, возрастает в тысячи раз».

По мнению Константина Соколова («Микротест»), лишены смысла и попытки вывести усредненный показатель стоимости защиты, исходя лишь из номинального числа сотрудников. «Я считаю совершенно неверным ранжировать компании в этом смысле по количеству персонала, — подчеркивает Соколов. — Это важный момент, но критичность ИТ-инфраструктуры для бизнеса куда сильнее зависит от оборота, а в некоторых случаях — от оборачиваемости капитала. А значит, и оценка рисков должна быть многофакторной».

И все-таки хотя бы приблизительно оценить диапазон затрат на достижение минимально допустимого уровня информационной безопасности можно. Разве что, отмечает Сергей Петренко («АйТи»), выбор методик слишком обширен — их больше десятка. «Примерная стоимость простейших мероприятий по защите от информационных угроз составляет 30–50% от стоимости ИТ-активов, — полагает Петренко. — То есть для компании со штатом в сто человек и примерной стоимостью одного рабочего места на уровне тысячи долларов минимальная техническая защита составляет 30–50 тысяч долларов. К этой сумме необходимо добавить стоимость разработки пакета нормативных документов — от двух с половиной тысяч долларов (только за шаблоны документов) до 15 тысяч (за полноценное обследование внешним консультантом и подготовку пакета требуемых нормативных документов в сфере информационной безопасности)».

Петренко признает, что приведенные цифры — именно усредненные. Но, как показывает опыт конкретных компаний, порядок этих цифр заслуживает доверия. «Прямые затраты на информационную безопасность составляют примерно 14% от общего ИТ-бюджета нашей компании, — говорит Сергей Захарцев («МИЭЛЬ»). — Но такой расчет некорректен, поскольку вопросы информационной безопасности решаются при реализации всех ИТ-проектов. Например, проект по реинжинирингу мультисервисной сети не имеет прямой цели по обеспечению информационной безопасности компании, но доля затрат на информационную безопасность в его составе может приближаться к 25%. Так что если рассчитать долю затрат ИТ-бюджета на эти цели, учитывая прямые и косвенные расходы, ее можно определить на уровне 33%».

Как бы то ни было, главный источник ИТ-рисков в бизнесе — не «железо», софт и коммуникации, а — люди. Люди, ошибки (а то и умысел) которых способны нанести ощутимый урон компании. «Как показывает опыт, наиболее уязвимы не элементы ИТ-инфраструктуры, а именно сотрудники компании, — подчеркивает менеджер по информационной безопасности «БАТ Россия» Геннадий Голенев. — Людям свойственно ошибаться, поэтому наша работа в первую очередь направлена на информирование сотрудников о том, какие проблемы могут возникнуть в области ИТ-безопасности, и как их можно решить».

Что же, для любого топ-менеджера или предпринимателя такой вердикт — прямое руководство к действию. А главное, здесь можно обойтись без детального знания о том, что такое шлюз и какова его роль в защите информационного периметра компании. Оставьте это профессионалам.