Защита информации в компании
В России о проблемах защиты информации предприятия малого и среднего бизнеса, как правило, начинают задумываться только тогда, когда случается какое-то ЧП. Такова уж психология наших людей: к врачам ходим, только если заболеем, инструкцию читаем, только если без нее телевизор показывать не желает. То же самое и с информационной безопасностью. Задумываться о ней начинаем зачастую только после того, как начинаются проблемы. До этого наивно полагаем, что нам хватит популярного антивируса.
Информационная защита
В итоге доходит до курьезов: доморощенные хакеры из 8-10 класса, совершенно среднего ума и посредственных знаний компьютера (на уровне хакерских форумов), умудряются дестабилизировать работу довольно серьезных компаний, а в случае получения компромата – успешно шантажировать владельцев. В нашей практике был случай, когда большой хлебозавод почти два года платил ежемесячную дань малолетнему наглецу, который, вскрыв личную почту главного бухгалтера, угрожал сообщить обо всех операциях компании (в том числе и оптимизирующих налоговую нагрузку) в правоохранительные органы.
Вскрытие почты у молодого «хакера» заняло в общей сложности минуты две: он просто ответил на контрольный вопрос, который женщина указала при регистрации на случай, если забудет пароль от ящика: «Любимое блюдо?» – «Пельмени». На этом взлом бухгалтерии успешно закончился, и начались страдания и бессонные ночи начальства. Конечно же, это крайность, но она очень показательна, глупость и невежество большинства людей в области информационной безопасности просто поражают воображение. Мы уже не говорим о серьезных бизнес-разведчиках, для которых практически любая компания – открытая книга, которую они могут начать читать с любой страницы, причем столько, сколько пожелают.
После подобных инцидентов в компании обычно начинается паника. Руководство выпускает целую кучу инструкций по информационной безопасности, где под страхом смертной казни запрещает выносить из офиса флешки, устраивая проверку личных вещей у выхода, а также без объяснения причин требует выучить наизусть 27-значный пароль от своего компьютера, содержащий буквы, цифры, а также знаки разного размера. Одним словом, наступает другая напасть, которая только усложняет работу и ничего кроме напряжения в коллективе не вызывает. Хорошо, что длится все это, как правило, максимум несколько недель. Затем все успокаиваются, и все возвращается на круги своя.
Какой должна быть информационная безопасность?
.
- ПРОДУМАННОЙ. Средства защиты информации нельзя проектировать, покупать или устанавливать до тех пор, пока не произведен соответствующий анализ. Они должны быть спроектированы знающими специалистами и работать комплексно.
- НЕЗАМЕТНОЙ. Хорошая безопасность означает, что ваши сотрудники ее практически не замечают, а о многих вещах даже не догадываются. Не усложняя им жизнь, она охраняет их от попыток внешних проникновений, а компанию – от самих сотрудников. От глупости или сознательного злого или коррупционного умысла.
- АДЕКВАТНОЙ. Система должна быть адекватна возможным угрозам. Нет никакого смысла автосервису ставить защиту на уровне оборонного НИИ. Зачем палить из пушки по воробьям?
- НАДЕЖНОЙ. Грамотно организованная система безопасности должна сводить риски утечки если не к нулю, то хотя бы к минимуму.