ОДНО ИХ САМЫХ ВАЖНЫХ УСЛОВИЙ РЕАЛИЗАЦИИ ЦИФРОВОЙ ЭКОНОМИКИ – ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ В ЦИФРОВОМ ПРОСТРАНСТВЕ. СЕГОДНЯ ОНА ОСТАВЛЯЕТ ЖЕЛАТЬ МНОГО ЛУЧШЕГО. РИСКУЮТ ВСЕ: И ВЛАДЕЛЬЦЫ КРУПНОГО БИЗНЕСА, И РЯДОВЫЕ ГРАЖДАНЕ.
IT-специалисты делят все угрозы в виртуальном пространстве на две группы: внешние и внутренние. Внешние – это вирусы и вредоносные программы, попадающие в наши компьютеры извне. А вот внутреннюю угрозу может представлять любой сотрудник, вольно или невольно допустивший утечку информации из компании или другую ошибку.
РЕАЛЬНАЯ УГРОЗА
«Интернет вещей, всё больше внедряемый в нашу жизнь, ставит вопросы безопасности на новый уровень», – говорит доцент кафедры информационной безопасности СГУГиТ Евгений Попантонопуло. Ведь если раньше вирус, попавший в компьютер, грозил гибелью только железу, то теперь сбой, к примеру, в программе «умный дом» может открыть электронный замок ворам, вывести из строя бытовую технику, устроить в доме пожар или потоп.
Ещё страшнее, если такие сбои происходят на опасных производствах – в шахтах, на предприятиях, где работают со взрывчатыми веществами. В медицинском учреждении это может привести к отключению аппаратуры жизнеобеспечения и гибели больных. Сбой в программе оборонного предприятия – риск для военной безопасности страны.
«Поэтому, – продолжает Евгений Попантонопуло, – нельзя экономить на системах безопасности».
Сегодня на первом месте среди киберугроз – вредоносные программы. 65% из них проникают в систему по вине человека. Дело в том, что разработчики вирусов – не только хорошие программисты. Они в совершенстве владеют навыками социальной инженерии и маскируют свои разрушительные продукты под предложения, от которых сложно отказаться. Мало кто устоит перед соблазном открыть письмо, в котором рассказывается, как выиграть миллион или как излечиться от всех болезней. «Один клик мышкой со стороны рядового работника – и сервер предприятия обрушен», – предсказывает последствия таких действий Евгений Попантонопуло.
ДОСТАТОЧНО ОДНОЙ СЕКУНДЫ
Резидент Новосибирского Академпарка Даниил Бориславский рассказал о результатах исследований, проведённых специалистами его компании. Так вот, ущерб от кликанья на спам в фирме, где работают 200 человек, составляет порядка 1,5 млн руб. в месяц. «Утечки инсайдерской информации растут», – констатирует Даниил Бориславский.
Главные виновники утечек – недобросовестные сотрудники, которые вместо работы занимаются ерундой: смотрят Ютуб, путешествуют по соцсетям, играют в игры, пьют чай и курят. «Если человек тратит на работу 80% рабочего времени, то это – очень хороший работник, – объясняет Даниил Бориславский. – Большинство тратит на работу от силы 25% рабочего времени».
Продвинутые IT-компании предлагают директорам предприятий программы безопасности, которые позволяют и следить за сотрудниками, и блокировать внешние угрозы. Но стоят такие программы дорого. Руководители жалеют денег на них.
Ещё одна проблема в сфере интернета вещей – дефицит кадров. Сегодня инженер по IT-безопасности должен быть не только хорошим программистом, но и психологом, и юристом. «В законодательстве много нюансов. Осуществляя конт-роль, важно не выйти за рамки, установленные на правовом поле. Иначе это будет шпионаж. И да, контроль за персоналом – абсолютно законная процедура», – утверждает IT-специалист Геннадий Жиловский.
Евгений Попантонопуло предлагает проводить с сотрудниками на предприятиях учения по информационной безопасности – такие же, как в социалистические времена проводили по гражданской обороне. Отрабатывая ситуации учебной тревоги, люди должны понять, что нельзя писать пароль от компьютера на корпусе монитора, открывать
сомнительные письма, «флудить» в мессенджерах, особенно про работу. «Для того чтобы инсайдерская информация из вашей компании утекла вашим конкурентам, достаточно одной секунды», – предостерегает специалист.
НА РАБОТЕ ЛИЧНОЙ ЖИЗНИ – НЕТ!
Адвокат Новосибирской коллегии адвокатов Ольга Картушина:
– Работодатель имеет полное право контро-лировать, на что его работник тратит служебное время и как использует профессиональное оборудование. Но есть нюансы. Например, электронная почта относится к персональным данным, и вторжение в личную переписку является незаконным действием. Но при этом работодатель может установить на служебные компьютеры программу, ограничивающую доступ к личным ресурсам. Совсем другое – корпоративная почта, заведённая на сервере компании. Её владелец бизнеса может контролировать когда угодно.
В любом случае, если на предприятии установлены подобные системы контроля, работник должен быть предупреждён об этом в момент трудоустройства. Это должно быть прописано в служебной инструкции и в согласии на обработку персональных данных.