Информационная безопасность – это не разовый проект

«Возьмем, к примеру, металлообрабатывающую компанию. Может показаться, что информационная безопасность не имеет никакого отношения к металлообработке. При более внимательном рассмотрении выясняется, что у предприятия есть восемь станков с программным управлением и контракт с оборонной промышленностью», – поясняет Оруаас. Он поднимает вопросы, которые должен задать себе каждый руководитель такой компании: как управляются станки моей компании? Где находятся данные станка? У кого есть доступ к этим данным? Полностью ли я доверяю своему поставщику услуг, осуществляющему наладку, техническое обслуживание или модернизацию станков компании?

«В паре компаний мы обнаружили открытые каналы, где кто-то посторонний «сидит» в компьютерной сети и читает все электронные письма. В том числе те, в которых руководитель компании обменивается тендерной информацией и рассылает предложения. Руководитель компании жаловался, что больше не выигрывает тендеры, поскольку конкурент всегда предлагает те же вещи, скажем, на евро дешевле и, таким образом, получит работу себе», – приводит Оруаас пример того, почему управление информационной безопасностью также необходимо на предприятиях в сфере строительства. промышленности, логистики или торговли.

«Когда мы начинаем говорить с потенциальными клиентами об информационной безопасности, первое, о чем они думают – это секретность. И они утверждают, что у них нет ничего секретного. Фактически, всем компаниям в первую очередь необходимо, чтобы они могли использовать свои информационные активы (данные, инфосистемы и т. п.) для желаемых целей, и чтобы данные были правильными», – говорит Маттеус. Например, у компании в металлургической промышленности может не быть конфиденциальной информации, но для нее жизненно важно, чтобы станки работали – и именно так, как нужно.

Оруаас подчеркивает то обстоятельство, о котором часто не думают. Если информационные системы компании или учреждения будут захвачены злоумышленником, то среднее время обнаружения этого факта во всем мире составляет 9 месяцев. «Если оборудование украдено, это сразу видно. А если кто-то постоянно крадет информацию, об этом обычно узнают случайно и спустя долгое время. Систематически применяя меры информационной безопасности, можно значительно сократить это время», – добавляет Оруаас.

Он также напоминает и о том факте, что, к сожалению, хакеры всегда на несколько шагов опережают администраторов и защитников информационных систем: «Например, сайт Дональда Трампа был захвачен непосредственно перед окончанием президентских выборов в США – несмотря на то, что в распоряжении президента находятся очень мощные учреждения этой сверхдержавы, занимающиеся кибербезопасностью. И всё равно сайт был захвачен», – констатирует Оруаас.

И всё же жизнь злоумышленникам можно осложнить. «Эстонская полиция и Департамент государственной инфосистемы (RIA) хорошо справляются с информированием по информационной безопасности. Постоянно поступают предупреждения о различных видах атак – телефонном мошенничестве, мошенничестве по электронной почте и т. д. Каждый руководитель компании также должен следить за тем, чтобы уровень познаний сотрудников об этих атаках постоянно повышался – это помогает. Постоянное повышение осведомленности и построение собственной системы кибербезопасности способствуют защищенности», – говорит Оруаас.

В течение почти десяти лет предприятие FocusIT предлагает различным компаниям и учреждениям управление информационной безопасностью в качестве услуги, которую можно приобрести так же, как бухгалтерскую услугу. «Мы видим, что эстонские компании очень «тонкие», если можно так выразиться – в средних компаниях часто есть только исполнительный директор и, в лучшем случае, руководитель по информационным технологиям (ИТ-менеджер). Последний часто завален повседневными проблемами и задачами службы поддержки клиентов, и до стратегического управления информационной безопасностью у него не доходят руки», – констатирует Маттеус. Но расплата за это может быть болезненной. Маттеус говорит: «Может сложиться впечатление, что для защиты информации достаточно покупки новомодного сетевого экрана или антивируса. Но фактически, информационная безопасность – это рутинная деятельность, ключевым словом которой является постоянство». Технология и способы проведения атак постоянно меняются. Сами создатели информационных систем и прикладного программного обеспечения постоянно обнаруживают недостатки в безопасности своей продукции, и непрерывное исправление этих ошибок является частью их повседневной работы. Например, Adobe и Microsoft вносят сотни исправлений, связанных с безопасностью, в год. Никому не удается избежать постоянной работы в области информационной безопасности. «Если заниматься информационной безопасностью на проектной основе, когда остается время от других задач, можно быть уверенными в том, что риски при этом высоки», – отмечает Оруаас.

Он приводит пример, когда предприятие заказало атаку со стороны компании мирового уровня, занимающейся кибербезопасностью. Работники предприятие не знали, когда на них нападут, они просто ждали и были полностью готовы к атаке. Но тогда атакующая сторона просто нашла способ перехватить права пользователя у одного из сотрудников этой компании. Оруаас говорит: «Мораль этой истории заключалась в том, что, хотя технически все было в порядке, еще не всё было безопасно. Сотрудник компании просто нажал на экранную кнопку, где это не надо было делать, или неправильно хранил свои пароли – и посторонние получили контроль над всей ИТ-системой компании».

Один из вариантов – нанять человека или людей, которые будут постоянно заниматься информационной безопасностью. Другой вариант – приобрести соответствующую услугу. У обоих вариантов есть свои плюсы и минусы.

Маттеус говорит: «При покупке услуги руководителю не нужно ежедневно заниматься планированием или мониторингом информационной безопасности. При этом за соблюдение правил информационной безопасности и принятие необходимых решений по-прежнему отвечает само предприятие, поскольку эти действия не могут выполняться внешней стороной. Однако внешняя сторона может дать руководителю уверенность в том, что все находится под контролем».

Оруаас указывает на первую проблему, с которой сталкивается предприятие, понимающее необходимость информационной безопасности – с чего ему следует начать: «Так называемый страх перед чистым листом вполне объясним – вам предстоит задача, но вы не знаете, что делать, и с чего начать», – объясняет Оруаас. В этом случае стоит обратиться за помощью к специалисту. Такой специалист помогает выбрать верный путь и, при необходимости, способствует достижению результатов.

Время от времени стоит привлекать внешних специалистов даже в том случае, если в компании есть ИТ-менеджер и руководитель по информационной безопасности. Так сказать, для двойного контроля. Оруаас добавляет: «В моей практике есть пример, когда в компанию пришел новый ИТ-менеджер, который решил с помощью внешнего партнера получить представление о ситуации перед тем, как приступить к работе. Предыдущий менеджер пробыл там очень долго и, как оказалось, попал в зону комфорта. Новый ИТ-менеджер обнаружил довольно много опасных дыр в безопасности», – отмечает Оруаас.

На вопрос, как распознать, что ИТ-менеджер вашей компании попал в зону комфорта, Оруаас ответил, что проще всего заказать внешнюю независимую проверку: «Можно заказать у других компаний аудит или инспекцию, либо просто сказать – «атакуйте нашу компанию», не сообщая, что вы делаете, и кто вы». В государственном секторе, например, периодическое проведение внешнего аудита является обязательным.