Ассоциация документальной электросвязи провела практическую конференцию
Михаил Емельянников дает советы по обеспечению ИТ-безопасности

Ассоциация документальной электросвязи провела 3 и 4 апреля практическую конференцию «Безопасность телекоммуникационных и информационных технологий для взаимодействия граждан, бизнеса и органов государственной власти». Одной из проблем, на ней обсуждаемых, была защита персональных данных. Возможно, тема «навеяна» отчасти «утечкой» в прошлом году базы данных по абонентам МТС. Это самый известный случай, но, по данным МВД, в России в прошлом году было совершено около 6 тыс. преступлений, которые можно отнести к сфере высоких технологий.

О персональных данных

Показателен тот факт, что МТС практически не понесла убытков: количество клиентов после инцидента растет, а исков на компанию никто не подавал и не собирается. Руководство МТС считает ситуацию вполне приемлемой. В результате, хотя явно была нарушена система безопасности компании, убытков она так и не понесла или не хочет их разглашать. В МТС признают, что утечка произошла из самой компании, а ее представитель назвал даже точную дату копирования базы — 27 августа 2002 года. База была вынесена в три приема, а затем «склеена». «Склейка» выполнялась неправильно, поэтому некоторые данные оказались некорректными. Все действия с базой в МТС фиксируются, однако системные журналы хранятся только один месяц, поэтому на момент опубликования базы вся информация, которая помогла бы найти преступника, уже была уничтожена. Тем не менее вора удалось найти и наказать.

По Конституции публикация персональных данных является нарушением права на частную жизнь, однако клиентам получить материальную компенсацию за нарушение главного закона страны вряд ли удастся. Это возможно, если клиент понес прямые убытки от публикации своего телефона, например из-за оплаты нежелательных разговоров или замены телефона, однако связь между публикацией клиентской базы МТС и ущербом клиента — моральным или физическим — доказать очень сложно. Кроме того, персональные данные не являются собственностью компании МТС, поэтому она также не может требовать запрета на распространение своей клиентской базы. В результате складывается парадоксальная ситуация, когда закон явно нарушен, но непонятно за что наказывать преступников.

О страховании

На конференции также активно обсуждался финансовый вопрос информационной безопасности, то есть возмещение убытков от ее нарушения. В этой области есть стандартное решение — страхование рисков. Сейчас подобные услуги начинает предлагать компания «Ингосстрах». Однако для того, чтобы страховать информационные риски, нужно сначала понять, что же является объектом угрозы и как оценивать приносимый ему ущерб. Подход «Ингосстраха» заключается в следующем: страхуется база данных, архив или другое хранилище информации от повреждения или уничтожения, атаки вирусов и внешних злоумышленников на информационную систему, нелояльности своих сотрудников, списания электронных денег со счета клиента и др. Ущерб оценивается по затратам компании на восстановление целостности хранилища. При этом случаи нарушения конфиденциальности информации, такой как произошел в МТС, не страхуются. Сейчас у «Ингосстраха» уже есть несколько страховых полисов по перечисленным продуктам в области информационной безопасности.

Процесс получения полисов на страхование информационных рисков в «Ингосстрахе» достаточно длителен. Вначале проводится анкетирование клиента, потом ведутся переговоры со служащими, затем компании выдаются определенные рекомендации по организации системы защиты, после этого клиент должен выполнить ряд условий, привлекая для этого независимую специализированную компанию, далее проводится повторная проверка защищенности и только тогда выдается полис. Но даже в этом случае стоимость страхования будет достаточно высока — от 3 до 5% от страховой суммы. За рубежом наиболее популярными типами страхования являются угрозы внешних атак и нападение вирусов. В частности, по последним услугам уже выдано несколько тысяч полисов. К сожалению, в России пока не накоплено достаточно статистики убытков и выплат по такого рода страховым продуктам, поэтому страховщики еще не могут полноценно вести бизнес на информационной безопасности.

Тем не менее «Ингосстрах» готов страховать различные информационные риски, в том числе и связанные с нарушением конфиденциальности. В частности, компании может быть предложено застраховаться от незаконного копирования информации, от рисков владельца интеллектуальной собственности, а также расходов на найм адвокатов для преследования нарушителей. Однако ни методики оценки ущерба, ни статистики по этим услугам пока нет, как нет и заключенных соглашений. Присутствие страховых компаний не повредило бы и нарождающемуся рынку удостоверяющих центров. Для них можно страховать профессиональные ошибки персонала, риск мошенничества с ЭЦП, а также общую социальную ответственность. Поскольку ущерб от мошенничества с цифровой подписью зависит от уровня сделок, то в этом случае страховые компании ограничивают максимальный возмещаемый ущерб. В общем же клиенты могут подобрать такой страховой продукт, который минимизирует финансовые потери от нарушения информационной безопасности.

О трех составных частях

Следует отметить, что страхование информационных рисков — это достаточно дорогое удовольствие для компаний, так же, как и закупка сложных технических инструментов для компьютерной защиты. Что же делать компаниям, которые не могут позволить себе больших расходов на ИТ-безопасность, но хотят иметь хоть какую-то защиту? В них максимальную угрозу представляют не внешние злоумышленники, а сами сотрудники компании. Поэтому начинать выстраивать оборону необходимо с дисциплины в собственных рядах, а для этого не нужны сложные технические средства.

Перед закупкой специализированных продуктов стоит заняться выработкой административных регламентов доступа к информации, опираясь на штатные защитные механизмы операционных систем и прикладных программ. Это, как правило, не требует значительных финансовых вложений, но работает достаточно эффективно. Кроме того, нужно не забыть подвести определенную юридическую базу под предпринимаемые организационные меры, чтобы сотрудники не могли подать в суд за нарушение своей частной жизни и других конституционных прав. Только после этого можно приступать к поэтапному совершенствованию всех трех компонентов: административных мер, их юридического обоснования и технической реализации. По мнению Михаила Емельянникова, начальника отдела департамента безопасности «Связьинвеста», использование только одного из этих трех механизмов не даст необходимого эффекта.

Поделитесь материалом с коллегами и друзьями