Информационная безопасность (ИБ) — это та база, которая позволяет сохранить важные данные внутри компании, не бороться с ветряными мельницами и быть уверенным, что бизнес под защитой.
Из своей практики я знаю, что многие собственники малого и среднего бизнеса об этом просто не задумываются. При этом они боятся действий конкурентов или утечки данных, но не принимают никаких мер.
Я поговорила с Артемом Попцовым, экспертом по информационной безопасности и ИТ-технологиям. Задача нашего диалога — показать важность информационной безопасности тем собственникам, которые пока еще не думают о ней всерьез.
— Артем, давай для начала определим, что такое информационная безопасность?
Информационная безопасность, или сокращенно ИБ, делится на два больших направления. Первое — техническое (настройка софта, оборудования). Второе — организационное, или, как я его называю, «бумажно-нормотворческое». Это оформление внутренних документов, политик и регламентов, чтобы соответствовать законодательству и просто навести порядок.
— Кто в компании должен этим заниматься?
В компаниях эти функции распределены по-разному. Где-то ИБ-отдел занимается и тем, и другим. Где-то он только пишет документы, а техника ложится на плечи IT-подразделения.
— Собственники малого бизнеса часто не задумываются об ИБ. В таких компаниях обычно нет отдельной команды или даже специалиста. Значит ли что, если бизнес маленький, то переживать пока не о чем?
Что касается размера бизнеса, то риски есть у всех. Это как с преступностью — есть преступники разного масштаба, и на каждом уровне найдутся те, кто захочет украсть данные или нанести урон.
— В таком случае, когда собственнику малого или среднего бизнеса пора задуматься об информационной безопасности?
Начинать нужно сразу, еще на этапе проектирования любых бизнес-процессов или IT-систем. Если не делать этого с самого начала, то потом исправлять ошибки будет намного сложнее и дороже.К сожалению, чаще всего об ИБ начинают думать, когда инцидент уже произошел. Важно понять: информационная безопасность — это не про решение проблем постфактум, а про снижение вероятности того, что проблема вообще случится.
— Я понимаю, что для собственника это звучит довольно сложно и далеко от его повседневных забот о финансах и продажах. Если он понимает, что не разбирается в этой теме, что ему делать: идти учиться, нанимать эксперта, покупать программы?
Что касается конкретных действий, я бы не советовал сразу углубляться в бумажную волокиту. Самый разумный первый шаг для бизнеса — нанять так называемых «белых хакеров», чтобы они провели пентест (тест на проникновение). Это проверка того, что доступно извне, поиск «дыр», через которые можно попасть в систему.
— Давай остановимся подробнее. Кто такие «белые хакеры» и что за «пентест»?
«Белые хакеры» — это этичные хакеры, которых вы нанимаете за деньги, чтобы они попытались взломать вашу систему. Они находят уязвимости и показывают, где и как им это удалось. Это своего рода аудит, в результате которого вы поймете, какие «дыры» нужно закрыть до того, как туда проникнут настоящие злоумышленники. Важно быть осторожным в выборе, чтобы эти «белые» хакеры не оказались «черными», и вам не пришлось потом выкупать у них собственные данные.
— Что делать дальше, когда уязвимости обнаружены? С чего начать внедрение мер информационной безопасности?
Часто внешние атаки становятся возможны из-за «внутренних нарушителей» — самих сотрудников. Поэтому следующий шаг — это организационные меры: разработка парольных политик, регламентов хранения данных, использования облачных сервисов и так далее. Здесь уже потребуется отдельный специалист, который опишет эти процессы, внедрит и введет их приказом. Для начала этого будет достаточно.
— То есть без человека все же не обойтись. А можно ли просто купить какой-то «волшебный» программный продукт? Или, может, собственник может сам во всем разобраться?
«Волшебный» софт — это только инструмент, но проектирует защиту и настраивает инструменты человек. Самому собственнику вникать в дебри не обязательно, его задача — нанять того, кто в этом разбирается.
— А где искать таких людей?
На первом этапе лучше заключать договор со специализированной организацией, которая официально занимается этой деятельностью, или нанимать отдельного специалиста в штат.
— Хорошо, перейдем на язык денег. Как собственнику оценить потенциальный ущерб? Допустим, ничего не украли, но заблокировали работу компании на неделю. Во сколько это может обойтись?
Здесь все просто: собственник может взять свою среднюю выручку за неделю, разделить на количество дней и получить цифру ежедневного убытка от простоя. Для каждого эта цифра будет своя.
— Отличная формула. Главный вопрос: что дешевле — предотвратить атаку или ликвидировать последствия?
Давно известно, что предотвратить пожар всегда дешевле, чем тушить его и разбирать завалы. Информационная безопасность — это не про восстановление, а про снижение вероятности. Инцидент не случится именно потому, что вы вложились в защиту.
— В маркетинге есть устоявшиеся нормы бюджета — процент от выручки. Есть ли что-то подобное в ИБ? Сколько нужно закладывать денег?
Предельной суммы нет, безопасность можно накручивать бесконечно. Что касается минимального порога — это зарплата одного специалиста по ИБ, который сможет описать организационные меры и закрыть большую часть уязвимостей.
— А что делать самым маленьким компаниям, у которых таких бюджетов просто нет? Есть ли что-то, что собственник может сделать прямо сейчас, бесплатно?
Да, конечно. Можно начать с базовых организационных мер, не вкладывая ни копейки, кроме своего времени. Например, внедрить простую парольную политику: требовать, чтобы пароли были длинными — не менее 8-12 символов, менялись раз в три месяца и не использовались повторно. Уверен, в большинстве компаний пароли не меняются годами.
— Я думаю, что для безопасности еще нужны корпоративные почты, отдельные телефоны... Это работает?
Да, это уже более сложные вещи. А база — это ответы на простые вопросы: где и как хранится информация, кто имеет к ней доступ, как сотрудники обмениваются данными. Может, они пересылают пароли в открытых сообщениях по электронной почте или мессенджерах? Это те «дыры», которые можно закрыть даже без бюджета.
— То есть получается, что главная уязвимость — это люди и хаос. Говорят, что 80% проблем — это не хакеры, а сами сотрудники. Это правда?
Да, внутренний нарушитель — это одна из основных проблем. Поэтому наведение порядка в головах и регламентах — это первый и важнейший шаг.
— Как сделать так, чтобы сотрудники соблюдали эти организационные меры?
В вопросах безопасности важна дисциплина. Сначала, в любом случае, нужно официально описать процедуру, издать приказ и ознакомить с ним сотрудника под подпись. Человек должен четко знать правила и понимать, какое наказание последует за их нарушение. Только после этого можно требовать соблюдения.
— Логично. А вот еще практическая ситуация: уволился ключевой сотрудник, а доступы к системам у него остались. Что делать?
Это критически важный момент. Если увольняется любой привилегированный пользователь (администратор, руководитель отдела и т.д.), который имел доступ к важным системам, правило железное: меняются все пароли, к которым он имел отношение. Все до единого. Нельзя полагаться на то, что он «хороший парень» и ничего не сделает.
— Сейчас многие компании работают на облачных платформах. Это удобно, но безопасно ли? Стоит ли хранить данные на своих серверах или можно пользоваться облаками?
Здесь выбор не всегда принципиален. Можно развернуть облачный сервис на своих мощностях, а можно пользоваться публичными облаками. Суть безопасности не в «железе», а в правилах работы с ним. Если вы выбираете облако, нужно применять те же самые строгие правила управления доступом. Доступ к облачным ресурсам должен настраивать один выделенный администратор. Он же контролирует парольную политику и политику разграничения доступа. Недопустимо, чтобы сотрудники могли самостоятельно выдавать себе или коллегам права доступа к данным.
— Поговорим про периодичность. Как часто нужно проверять надежность системы информационной безопасности? Раз в год, раз в три года? От чего это зависит?
Минимум — раз в год. Но логичнее выстроить цикл иначе. Допустим, вы заказали пентест. Хакеры нашли уязвимости. Вам нужно время на их устранение — это может занять от трех до шести месяцев. Как только вы все исправили, логично провериться снова. Поэтому идеальный цикл — примерно раз в полгода.
— Вернемся к кадрам. Что ты порекомендуешь для среднего бизнеса: нанять специалиста в штат или компанию на аутсорс?
На первое время я бы рекомендовал нанять хорошего ИБ-специалиста как внешнего консультанта. Чтобы он пришел, провел аудит текущих процессов, указал на «дыры» и помог выстроить базовую систему защиты. Когда процессы будут отлажены, можно будет решить, нужен ли вам свой сотрудник в штате или вы продолжите работать с подрядчиком.
— Еще один, скорее, стратегический вопрос. Какие тренды сейчас есть в сфере информационной безопасности? Какие угрозы станут главными для бизнеса в ближайшие два-три года? Или угрозы всегда одни и те же?
Задачи у злоумышленников всегда одни и те же: украсть данные, нарушить работу, получить выгоду. Плюс-минус цели не меняются. Но вот инструменты и методы, конечно, становятся умнее и изощреннее. Современные сложные системы могут взламывать годами.
— То есть может быть такая ситуация: мы работаем, у нас всё хорошо, а параллельно с нами на наших серверах уже давно «работает» кто-то чужой, и мы об этом даже не догадываемся?
Да, именно так. Это уже не просто хулиганство, а хорошо спланированная спецоперация. Длительность подготовки и проведения такой атаки может достигать двух-трех лет. И обнаружить присутствие таких «гостей» без серьезной системы защиты практически невозможно.
— Сейчас все говорят об искусственном интеллекте. Насколько опасно его применение в бизнесе? Не является ли использование нейросетей сотрудниками большой дырой в информационной безопасности? Многие пользуются ИИ, и информация уходит неизвестно куда.
Все данные, которые вы отправляете в публичные нейросети, уходят на внешние серверы и используются для обучения этих моделей. Более того, существует риск, что на чей-то запрос нейросеть может выдать чувствительную информацию вашей компании. Именно поэтому, кстати, банки все свои ИИ-механизмы разрабатывают и используют на внутренних серверах. В государственном секторе использование внешних ресурсов вообще запрещено.
Так что да, это большая проблема. Сейчас многие бездумно «сливают» в общедоступные сети колоссальные объемы данных. Если уж очень хочется использовать ИИ для анализа, данные нужно как минимум обезличивать.
— Получается, это зона серьезного риска? Как с этим работать, кроме как просто запретить?
Идеальная картина мира с точки зрения безопасности — это разворачивать ИИ-агентов на собственных серверах или в арендованных облаках, но в своем контуре, чтобы данные физически не покидали пределы компании.
— Выходит, что у современного специалиста по информационной безопасности просто колоссальный фронт работы.
Это абсолютно так. То, о чем мы сегодня поговорили, — лишь верхушка айсберга. Работы очень много. Особенно если добавляется «бумажный трек», связанный с требованиями регуляторов, — объемы задач просто огромные.