Теоретики безопасности побеждают практиков

Несмотря на различные последствия, в том числе и солидный финансовый ущерб, утечки конфиденциальной информации из российских компаний происходят с завидной регулярностью. По данным Zecurion, лишь 11% компаний уверены в отсутствии инцидентов внутренней безопасности.

Примечательно, что 44% организаций признают наличие утечек, но не располагают подтверждением своих слов. Причина банальна — у «безопасников» просто нет инструментов, которые могли бы фиксировать утечки. В этом случае можно говорить об утечках-фантомах, которые происходят незаметно для владельцев информации. Впрочем, выявить утечку информации можно по косвенным признакам — например, по тем негативным последствиям, которые следуют за инцидентом.

Если говорить о возможных каналах утечки, у инсайдеров широкое поле для деятельности. Лучше всего российские компании контролируют корпоративную электронную почту, это делают примерно две трети организаций. Однако контроль далеко не всегда осуществляется электронными системами. Нередки случаи, когда почта просто архивируется, а специалисты службы безопасности затем выборочно проверяют содержание электронных писем.

Еще меньше доли закрытия других каналов коммуникаций. Менее половины организаций контролируют веб-сервисы, примерно каждая пятая компания следит за передачей данных на локальные и съемные устройства, а уж принтеры остаются практически бесконтрольным каналом.

Заряд псевдооптимизма

Почему статистика утечек выглядит столь удручающе? Ведь более половины компаний уже имеют выделенную службу ИБ, а еще часть планируют создать ее в течение ближайшего года. Если взять срез банковской отрасли, то там доля выделенных подразделений по ИБ находится на уровне 63%. При этом деятельность кредитных организаций, в том числе и с точки зрения защиты информации, является одной из самых зарегулированных.

«Очевидно, есть и другие важные компоненты, в том числе политики безопасности, — говорит Владимир Ульянов, руководитель аналитического центра компании Zecurion. — Это высокоуровневые документы, которые описывают цели и задачи службы ИБ, обозначают пути достижения этих целей». Несмотря на возможное отсутствие «конкретики», обойтись без политик практически невозможно. Все нижестоящие документы, вплоть до конкретных процедур, должны разрабатываться в соответствии со стратегическими целями, обозначенными в политиках.

Попытки реализовать меры безопасности без общего плана, без предварительной разработки и согласования политики безопасности на самом высоком уровне не только сказываются на качестве этих самых мер, но и приводят к неоправданным затратам. Специалисты, вместо того чтобы планомерно работать, вынуждены периодически затыкать выявляемые дыры, количество которых в перспективе практически не снижается.

Впрочем, ситуация с политиками вполне терпимая — все-таки в большинстве компаний они утверждены. Выполняются ли — уже другой вопрос. Наверное, не везде, потому что классификацией корпоративной информации, по статистике, занимаются гораздо меньше респондентов.

Но как можно защищать информацию, не понимая ее ценности, не зная точно мест хранения, не представляя, кто к ней может иметь доступ и кому она вообще нужна по должностным обязанностям? К тому же в рамках разработки процедур безопасности целесо­образно больше внимания (и, соответственно, больше средств) уделять защите наиболее важных ресурсов. Неразумно одинаково защищать информацию, стоимость которой различается в разы, а то и в десятки раз.

Команда без тренера

Какие типы данных специалисты по ИБ считают наиболее важными? В верхней части «хит-парада» — все те же, уже набившие оскомину персональные данные. Разумеется, здесь есть и другие типы информации — базы клиентов и поставщиков, сведения об учетных записях, используемых ИТ-системах. Но лидируют все же персональные данные — вот что считается самым важным, вот что защищается в первую очередь.

Но что защита персональных данных представляет собой в России? «Первым делом «теоретическая», бумажная работа — ворох документов, которые нужны, чтобы прикрыть свою компанию в случае проверки со стороны регулятора», — подчеркивает Ульянов. Впрочем, даже проверка, вероятность которой для каждой конкретной компании крайне низка (ежегодно в России проводится всего по несколько сотен плановых и внеплановых проверок), не является действительно весомым аргументом для запуска проекта по защите персональных данных. Часто компании проще — а главное, дешевле — создать видимость работ, получить предписание или даже заплатить штраф, средний размер которого составляет менее 2 тыс. руб., нежели действительно приводить свои информационные системы и необходимую документацию в соответствие с законом.

Как отмечает Ульянов, соперничество теоретиков и практиков на самом деле достаточно условно. Строго говоря, его вообще не должно быть, и разделять специалистов по ИБ на теоретиков и практиков тоже неправильно. Эти две роли должны гармонично сочетаться; хорошо, когда безопасностью занимается человек, подкованный в теории, но обязательно имеющий и практический опыт.

Теорию и практику можно разделять, но здесь не должно быть победителей и проигравших — необходим взаимовыгодный симбиоз. Теория информационной безопасности (отраслевые стандарты, нормативные документы регуляторов и прочее) не может существовать отдельно от практики. Цель действующих нормативов — помогать, направлять и подсказывать практикующим специалистам, на чем сделать акцент в их ежедневной деятельности. Оторванные от практики требования, пусть даже они идеальны в теории, не будут эффективны, не дадут того эффекта, которого от них ждали, не выполнят своей роли.

Можно собрать команду интеллектуалов, рассказать им, как надо играть в футбол, какую схему использовать в атаке и как прессинговать соперника. Но если люди физически не смогут выполнить требования, такая команда проиграет матч профессиональным спортсменам, у которых даже не будет тренера. Так же и в безопасности — пока бумажная безопасность превалирует над реальной защищенностью, существующие угрозы оказываются сильнее мер противодействия.

Диаграмма
Инфографика