В 2005 году, незадолго до очередной покупки, руководство компании «Регистратор Р.О.С.Т.», специализирующейся на обслуживании реестров владельцев именных ценных бумаг, приняло решение привлечь внешнюю компанию для комплексного аудита системы информационной безопасности.
«Стратегия компании нацелена на развитие. Можно точечно собирать клиентов по рынку, но конкуренция сейчас чрезвычайно высока и свободных клиентов практически нет, поэтому более разумный путь развития — поглощать мелких конкурентов», — озвучила позицию компании Людмила Миронова, первый заместитель генерального директора ОАО «Регистратор Р. О. С. Т.».
Людмила Миронова
Образование: Московский государственный технический университет им. Н. Э. Баумана по специальности «конструирование и технология электронно-вычислительных средств». Завершила с отличием немецкую школу бизнеса по программе Controller’s Diplom.
Послужной список последних лет:
2000 — настоящее время ОАО «Регистратор Р.О.С.Т.» (2000—2002 ЗАО «Фондовая регистрационная компания»). Работала на различных должностях. В настоящее время является первым заместителем генерального директора.
1998 — 2000 ОАО «Центральный московский депозитарий», отвечала за информационно-техническое обеспечение работы региональных представителей компании
Только в прошлом году компания приобрела и присоединила двух регистраторов. Всего с момента основания было осуществлено восемь операций слияния. Как известно, укрупнение бизнеса ведет к росту объемов информации, подлежащей хранению и обработке, а интеграция ИТ-инфраструктур присоединенных регистраторов имеет свои специфические особенности, вызванные подчас различными технологиями ведения реестров. Обязательным условием сделок по слиянию в этом секторе является предоставление непрерывного сервиса клиентам присоединяемого регистратора, что усложняет процесс объединения ИТ-инфраструктур. Все это может способствовать появлению потенциальных уязвимостей в корпоративной системе безопасности.
«После приобретения компании ее клиентский персонал обычно остается работать, но лояльность его к новым владельцам под вопросом. Когда у меня в компании работало десять сотрудников, я их всех могла лично проконтролировать. Сейчас в штате компании работает более сотни человек и контроль над их деятельностью становится не таким уж простым делом», — отмечает Миронова. Это важно, поскольку главными задачами регистратора являются обеспечение сохранности права собственности на ценные бумаги клиентов, обеспечение реализации прав, вытекающих из владения ценными бумагами, а также сохранение конфиденциальности информации, которую клиенты доверили регистратору. «Следовательно, мне нужны какие-то другие методы и средства контроля, в том числе путем построения системы информационной безопасности, которая могла бы предотвратить их негативные действия», — продолжает свой рассказ Миронова.
Свою готовность откровенно делиться подробностями организации информационной безопасности она объяснила в первую очередь желанием клиентов знать и понимать, что происходит внутри компании. «Мы поставили цель сделать внутреннюю «кухню» компании максимально прозрачной. Если раньше регистратор оставался неким черным ящиком для клиентов, то сейчас ситуация в принципе иная: приходящему клиенту важно знать, что за сотрудники ведут его реестр, какие технологии и внутренние процедуры для этого используются и как хранится информация. Клиенты хотят удостовериться в том, что получат услуги надлежащего качества, что не случится утечки информации и не возникнет никаких неприятностей с их собственностью, — поясняет Миронова. — Когда мы это поняли, то стали раскрывать больше информации о компании, в том числе о том, как у нас организована информационная безопасность. Открытость способствует продвижению бизнеса и укрепляет доверие к нам».
Аудит
В качестве внешних консультантов были приглашены специалисты компании «Информзащита». Перед ними была поставлена задача — оценить адекватность мер, применяемых в компании «Регистратор Р.О.С.Т.», ее бизнес-целям.
Консультантам предстояло определить текущее состояние защищенности корпоративной информационной системы компании «Регистратор Р.О.С.Т.» и подготовить рекомендации по ее защите. Как дополнительная самостоятельная задача выделялось проведение анализа полноты организационно-нормативного документирования процессов информационной безопасности.
Известно, что изменения в информационных системах современных предприятий происходят очень динамично, это связано не только с увеличением объемов бизнеса, но также с ростом числа мобильных пользователей и обеспечением для них удаленного доступа. Границы компании становятся не просто размытыми — они могут практически отсутствовать: если раньше достаточно было установить на «краю» компании межсетевой экран, который, по сути, определял периметр безопасности, то сейчас периметром может стать каждый ноутбук, КПК или мобильный телефон. Потенциальные злоумышленники в состоянии получить данные из информационной системы не только посредством сетевых (в том числе беспроводных) технологий, но также используя всевозможные USB-накопители, MP3-плееры, смартфоны и другие мобильные устройства. Поэтому акцент приходится смещать в сторону защиты мест хранения данных.
Консультантам предстояло выявить пробелы в области безопасности хранения информации, которыми могли бы воспользоваться злоумышленники. На первом этапе консультанты постарались определить, что бы они смогли сделать с информацией, хранящейся в системе, окажись они на месте злоумышленников. Осуществляя аудит, консультанты опирались в основном на собственные методики и наработки.
По итогам работ компании «Регистратор Р.О.С.Т.» был предложен план мероприятий, чтобы воспрепятствовать действиям злоумышленников. Реализацию мер (включая развертывание рекомендованных консультантами решений) специалисты компании «Регистратор Р.О.С.Т.» взяли на себя.
Сложности анализа
Когда начался аудит, сотрудники компании «Регистратор Р.О.С.Т.» опасались, что рабочие сервисы перейдут в некорректный режим и начнутся сбои в обслуживании клиентов. Подобных ситуаций удалось избежать благодаря тому, что, во-первых, консультанты заблаговременно предупредили специалистов компании о возможных отказах, и во-вторых, тесты проводились в нерабочее время.
Результаты первого аудита показали, что информационная система компании очень хорошо защищена от проникновения извне, но некоторые вопросы защиты и сохранности информации нуждались в проработке. В первую очередь требовалось повысить компьютерную грамотность персонала и его осведомленность об информационной безопасности и существующих угрозах, для этого необходимо провести обучение сотрудников. Также выяснилось, что нормативная документация требует доработок и, кроме того, нужно ужесточить политику безопасности и регламентировать доступ к ресурсам, размещенным на серверах компании.
В процессе аудита консультанты применяли не только технические средства проникновения, но и социальные — приемы взаимодействия с сотрудниками, налаживание эмоционального контакта с ними с целью получения конфиденциальной информации. Внимательно изучались и ресурсы информационной системы, позволявшие сотрудникам обмениваться большими объемами данных, в частности файловые папки общего доступа. Очень часто выяснялось, что доступ к ним имеют пользователи, которым по должности это не нужно. С точки зрения сохранности информации подобная ситуация может привести к крайне неприятным и губительным для бизнеса компании последствиям.
Что дальше?
Не секрет, что аудит — это процедура, которая позволяет на определенный момент снять слепок с системы. Аудит рекомендуется проводить примерно раз в год, а при существенных изменениях в системе — чаще, поскольку любое изменение может создать новые уязвимости.
Исходя из итогов повторных аудитов можно проследить результативность мер по повышению уровня безопасности. В случае с «Регистратором Р.О.С.Т.» прогресс был очевиден: количество выявленных недостатков существенно сократилось. Например, аудиторы отметили, что были установлены рекомендуемые обновления безопасности программного обеспечения на узлах информационной системы, активно применяются средства мониторинга аномальной сетевой активности, разработаны правила доступа к ресурсам совместного использования и, что особенно приятно аудиторам, никакими уловками не удается ввести персонал в заблуждение.
Неявный мотив
Нередко основным мотивом затрат на информационную безопасность становится приведение информационной системы в соответствие требованиям, предъявляемым руководством, владельцами компании или государственными органами. Но в России закон «О защите персональных данных» был принят недавно, поэтому еще рано говорить о его влиянии на рынок безопасности.
Отечественным компаниям приходится искать индивидуальные побудительные мотивы и способы оценки рисков для своего бизнеса. С этой точки зрения у разных компаний и организаций могут быть свои причины для беспокойства. Компания «Регистратор Р.О.С.Т.» работает на розничном рынке. «Наши клиенты — в основном средние предприятия. Для них ситуация с утечкой информации может оказаться крайне неприятной», — уверена Людмила Миронова. По ее оценке, утечки информации наверняка привели бы к оттоку примерно четверти клиентов.
Подобные опасения не беспочвенны. Не так давно в продаже на черном рынке появилась база данных одного из ведущих регистраторов. Участникам этого рынка не представляло большой сложности проверить подлинность этой информации. «Я не хотела бы, чтобы даже в узкой профессиональной среде упоминание нашей компании прозвучало в подобном контексте», — призналась Миронова.
Надо сказать, что многие клиенты «рассекреченного» регистратора в скором времени подверглись рейдерским атакам.