Защита информации в компании
В России о проблемах защиты информации предприятия малого и среднего бизнеса, как правило, начинают задумываться только тогда, когда случается какое-то ЧП. Такова уж психология наших людей: к врачам ходим, только если заболеем, инструкцию читаем, только если без нее телевизор показывать не желает. То же самое и с информационной безопасностью. Задумываться о ней начинаем зачастую только после того, как начинаются проблемы. До этого наивно полагаем, что нам хватит популярного антивируса.
В итоге доходит до курьезов: доморощенные хакеры из 8-10 класса, совершенно среднего ума и посредственных знаний компьютера (на уровне хакерских форумов), умудряются дестабилизировать работу довольно серьезных компаний, а в случае получения компромата – успешно шантажировать владельцев. В нашей практике был случай, когда большой хлебозавод почти два года платил ежемесячную дань малолетнему наглецу, который, вскрыв личную почту главного бухгалтера, угрожал сообщить обо всех операциях компании (в том числе и оптимизирующих налоговую нагрузку) в правоохранительные органы.
Вскрытие почты у молодого «хакера» заняло в общей сложности минуты две: он просто ответил на контрольный вопрос, который женщина указала при регистрации на случай, если забудет пароль от ящика: «Любимое блюдо?» – «Пельмени». На этом взлом бухгалтерии успешно закончился, и начались страдания и бессонные ночи начальства. Конечно же, это крайность, но она очень показательна, глупость и невежество большинства людей в области информационной безопасности просто поражают воображение. Мы уже не говорим о серьезных бизнес-разведчиках, для которых практически любая компания – открытая книга, которую они могут начать читать с любой страницы, причем столько, сколько пожелают.
После подобных инцидентов в компании обычно начинается паника. Руководство выпускает целую кучу инструкций по информационной безопасности, где под страхом смертной казни запрещает выносить из офиса флешки, устраивая проверку личных вещей у выхода, а также без объяснения причин требует выучить наизусть 27-значный пароль от своего компьютера, содержащий буквы, цифры, а также знаки разного размера. Одним словом, наступает другая напасть, которая только усложняет работу и ничего кроме напряжения в коллективе не вызывает. Хорошо, что длится все это, как правило, максимум несколько недель. Затем все успокаиваются, и все возвращается на круги своя.
Какой должна быть информационная безопасность?
1. ПРОДУМАННОЙ. Средства защиты информации нельзя проектировать, покупать или устанавливать до тех пор, пока не произведен соответствующий анализ. Они должны быть спроектированы знающими специалистами и работать комплексно.
2. НЕЗАМЕТНОЙ. Хорошая безопасность означает, что ваши сотрудники ее практически не замечают, а о многих вещах даже не догадываются. Не усложняя им жизнь, она охраняет их от попыток внешних проникновений, а компанию – от самих сотрудников. От глупости или сознательного злого или коррупционного умысла.
3. АДЕКВАТНОЙ. Система должна быть адекватна возможным угрозам. Нет никакого смысла автосервису ставить защиту на уровне оборонного НИИ. Зачем палить из пушки по воробьям?
4. НАДЕЖНОЙ. Грамотно организованная система безопасности должна сводить риски утечки если не к нулю, то хотя бы к минимуму.
В итоге доходит до курьезов: доморощенные хакеры из 8-10 класса, совершенно среднего ума и посредственных знаний компьютера (на уровне хакерских форумов), умудряются дестабилизировать работу довольно серьезных компаний, а в случае получения компромата – успешно шантажировать владельцев. В нашей практике был случай, когда большой хлебозавод почти два года платил ежемесячную дань малолетнему наглецу, который, вскрыв личную почту главного бухгалтера, угрожал сообщить обо всех операциях компании (в том числе и оптимизирующих налоговую нагрузку) в правоохранительные органы.
Вскрытие почты у молодого «хакера» заняло в общей сложности минуты две: он просто ответил на контрольный вопрос, который женщина указала при регистрации на случай, если забудет пароль от ящика: «Любимое блюдо?» – «Пельмени». На этом взлом бухгалтерии успешно закончился, и начались страдания и бессонные ночи начальства. Конечно же, это крайность, но она очень показательна, глупость и невежество большинства людей в области информационной безопасности просто поражают воображение. Мы уже не говорим о серьезных бизнес-разведчиках, для которых практически любая компания – открытая книга, которую они могут начать читать с любой страницы, причем столько, сколько пожелают.
После подобных инцидентов в компании обычно начинается паника. Руководство выпускает целую кучу инструкций по информационной безопасности, где под страхом смертной казни запрещает выносить из офиса флешки, устраивая проверку личных вещей у выхода, а также без объяснения причин требует выучить наизусть 27-значный пароль от своего компьютера, содержащий буквы, цифры, а также знаки разного размера. Одним словом, наступает другая напасть, которая только усложняет работу и ничего кроме напряжения в коллективе не вызывает. Хорошо, что длится все это, как правило, максимум несколько недель. Затем все успокаиваются, и все возвращается на круги своя.
Какой должна быть информационная безопасность?
1. ПРОДУМАННОЙ. Средства защиты информации нельзя проектировать, покупать или устанавливать до тех пор, пока не произведен соответствующий анализ. Они должны быть спроектированы знающими специалистами и работать комплексно.
2. НЕЗАМЕТНОЙ. Хорошая безопасность означает, что ваши сотрудники ее практически не замечают, а о многих вещах даже не догадываются. Не усложняя им жизнь, она охраняет их от попыток внешних проникновений, а компанию – от самих сотрудников. От глупости или сознательного злого или коррупционного умысла.
3. АДЕКВАТНОЙ. Система должна быть адекватна возможным угрозам. Нет никакого смысла автосервису ставить защиту на уровне оборонного НИИ. Зачем палить из пушки по воробьям?
4. НАДЕЖНОЙ. Грамотно организованная система безопасности должна сводить риски утечки если не к нулю, то хотя бы к минимуму.
