Поддержание системы информационной безопасности в рабочем состоянии и ее развитие не должно состоять только в обновлении антивирусных баз и установке новых решений

Российский офис компании PricewaterhouseCoopers представил свои услуги по обеспечению кибербезопасности и расследованию компьютерных преступлений.

Как отметил Владимир Наймарк, старший менеджер отдела анализа и контроля рисков, специализирующийся на оказании услуг в области кибербезопасности PwC в России, угрозы предприятию, связанные с ИТ, — это угрозы не только его информационным системам. Необходимо учитывать и множество других способов хищения информации — например, социальную инженерию или физическое проникновение. Поэтому важно понять, кто наиболее вероятный потенциальный противник: «просто хакеры», конкуренты или госструктуры, какая информация, имеющаяся у предприятия, больше всего заинтересует злоумышленников и как они смогут до нее добраться. При этом стоит проверить: возможно, проникновение уже совершилось.

Далее идет разработка стратегии в области информационной безопасности (для того, чтобы стратегия была в поле зрения топ-менеджмента, она должна быть встроена в общую бизнес-стратегию), определяются ключевые показатели, оценивается возврат инвестиций в системы безопасности, внедряются сами системы.

В некоторых странах становится популярной страховка от инцидентов в области информационной безопасности, аналогичная страховке от любых других напастей, но в России она, судя по неофициальным комментариям страховщиков, пока слишком дорогая, в районе 160 тыс. долл. на 1 млн долл. предполагаемых убытков.

Поддержание системы информационной безопасности в рабочем состоянии и ее развитие не должно состоять только в обновлении антивирусных баз и установке новых решений. Необходимо также тренировать персонал службы безопасности и всех остальных. Например, посредством имитаций атак — и чисто технических, и «социально-инженерных».

Могут быть востребованы услуги по проведению разнообразных «смешанных» атак, тестирующих и технологические решения, и сотрудников на стойкость к взлому и методам социальной инженерии.

Вообще собственные сотрудники, как злоумышленники, так и просто невнимательные, по словам Романа Чаплыгина, директора направления анализа и контроля рисков кибербезопасности, — главный фактор риска для любой компании. На втором месте — компании-контрагенты. Они особенно опасны для крупных организаций, которые от внешнего вторжения защищены неплохо, у них установлены современные решения, персонал обучен не открывать подозрительные файлы и не переходить по неизвестным ссылкам… Однако мелкие контрагенты зачастую средств на информационную безопасности выделяют меньше, и можно подцепить вредоносный код в ходе работы с их сайтами или открыв зараженное письмо. И только на третьем месте — службы разведки конкурентов или спецслужбы (последних, по опросу PwC, боятся в 59% опрошенных компаниях).

При этом Чаплыгин отметил, что, несмотря на рост количества и качества угроз информационной безопасности, на ее обеспечение в последние годы тратится в среднем лишь 3,8% ИТ-бюджетов, которые тоже не растут. В этих условиях действия по предотвращению инцидентов могут оказаться эффективнее обороны как таковой. Например, можно договориться с контрагентами о взаимной проверке бдительности сотрудников. И, конечно, очень многое зависит от вовлеченности в эти мероприятия топ-менеджмента.

Если компьютерное преступление все-таки произошло, их расследованием занимаются подразделения, специализирующиеся на так называемой форензике (от английского forensics, то есть forensic science — «наука об исследовании доказательств»). Первоначальное значение слова охватывает все разделы криминалистики, при переводе на русский оно ужалось до криминалистики компьютерной.

Каков этот рынок в России, в PwC не знают, однако пятеро сотрудников российского офиса «последние два года заняты больше чем на 150%», в год они ведут около двух десятков проектов, некоторые из них, с учетом времени собственно судебных разбирательств, тянутся под два года.

В ходе информационно-криминалистических работ сотрудники PwC анализируют информацию на компьютерах заказчика, логи серверов, почтовые отправления. Все действия исследователей фиксируются в соответствии с мировыми стандартами.

А вот будут ли эти доказательства признаны юридически значимыми, зависит пока исключительно от доброй воли судьи.

Как отметил представлявший «расследователей» Антон Замковой, младший менеджер, форензик-финансовые расследования PwC в России, на Западе полиция, если видит, что доказательства собраны надлежащим образом, признает их юридически значимыми и приобщает к делу. Российские правоохранители предпочитают докапываться до истины сами и научились это делать, как говорят в PwC, вполне неплохо.