Российский бизнес не готов вкладывать деньги в свою безопасность

В одной известной всем сказке домик из соломы легко развалился стараниями серого волка. Бизнес, не уделяющий должного внимания своей экономической безопасности, — это соломенный домик, разрушить который не составит труда. А волков на любой бизнес в России всегда найдется предоста­точно. Несмотря на эти прописные истины, понятие экономической безопасности практически неизвестно российским предпринимателям.

Что нужно охранять

Европа и США уже не первое десятилетие вкладывают в безопасность своих пред­приятий миллиарды долларов. По оценкам экспертов IDC (International Data Corporation), общемировой рынок информационной безопасности растет ежегодно на 14–17% (в зави­симости от вида услуг) и за 2009 год составил, по разным оценкам, от 74 до 100 млрд долларов.

А в России представители бизнеса до сих пор путаются в терминологии и не могут обо­значить, какие параметры включает в себя экономическая безопасность предприятия. Под ней понимают все что угодно — от взаимодействия предпринимателей и органов власти до повышения тарифов на электроэнергию. Хотя на самом деле эти темы ничего общего с безопасностью не имеют.

Существует определение экономической безопасности предприятия — это защи­щенность его научно-технического, технологического, производственного и кадрового потенциала от прямых или косвенных экономических угроз и способность к воспроиз­водству. Все, что может навредить компании, входит в полномочия ее службы без­опасности.

По сути же безопасность предприятия — это охрана не только его имущества и товаров, но и информации, в том числе передаваемой через все виды связи. А также самый слож­ный для реализации пункт: охрана тех сведений, которые хранятся в компьютерах и голо­вах сотрудников предприятия, иначе говоря, работа с кадрами.
Небоевой настрой

В бизнес-среде Красноярска экономическая безопасность воспринимается скорее как буржуазный пережиток, который, возможно, и эффективен, но «уж больно это все дорого, непонятно, да и вообще, мы привыкли справляться своими силами». Исключение дела­ется только для физической охраны товаров и услуг: практически все компании пользу­ются теми или иными мерами по сбережению своего имущества.

Слабое желание бизнеса внедрять меры экономической безопасности подтверждают и данные, приведенные директором Красноярской ассоциации бизнес-консультантов Денисом Зерновым: «О том, что необходимо вводить меры, усиливающие экономи­ческую безопасность предприятия, задумывается не менее половины собственников бизнеса, но до проведения конкретных мероприятий дело доходит в одной из десяти компаний».

Это мнение разделяет и генеральный директор компании INOPSYS Юлия Вострецова: «Немало средств вкладывается в защиту от утечек информации. Однако зачастую данные меры носят поверхностный характер — их целью является получение сертифи­кации, а не реальная защита данных. По моему мнению, Россия еще не готова к качест­венным переменам в отношении информационной безопасности, и ситуация изменится не ранее чем через 5–10 лет».

Лидеры и аутсайдеры

Так как речь идет о защите данных, то компании, которые занимаются установкой и об­служиванием различных систем безопасности, крайне неохотно делятся информа­цией о своих клиентах. Оно и понятно — такой бизнес. Тем не менее «фоторобот» тех, кто пользуется такими системами, составить можно.

В числе лидеров по затратам на различные системы безопасности стоят властные структуры, государственные организации. Во-первых, к этому их вынуждает законо­дательство (тот же самый 152-ФЗ о защите персональных данных, вступление которого в силу хоть и перенесли на год, но не отменили). Во-вторых, у государства есть и сред­ства, и необходимость защищать информацию. Подтверждение тому — активно созда­ющиеся сейчас в администрациях различных субъектов Федерации специальные отделы по вопросам информационной безопасности.

Но реалии матушки-России и здесь дают о себе знать: если все без исключения органы власти краевого и городского масштаба пользуются только лицензионным ПО, то, по сло­вам эксперта рынка, пожелавшего остаться неназванным, средства на районные струк­туры государство выделять не спешит. И увидеть пиратское программное обеспечение у руководителя не только отдела, но и целой территории, района — не редкость. Поэтому о глобальной защите информации даже на уровне органов государственной власти говорить пока рано.

Вторая и самая большая группа активных пользователей систем информационной без­опасности — это представители крупных федеральных компаний с разветвленной сетью филиалов и все компании, имеющие зарубежные корни. Наличие головного офиса в Москве — это гарант того, что в компании есть система безопасности, укомплекто­ванная необходимыми сотрудниками, и в любой кризисный период фирма не уменьшит затраты на ее содержание. Чаще всего в таких компаниях есть специальный документ — информационная доктрина, которой необходимо соответствовать.

Служба безопасности головного офиса прописывает в ней все, вплоть до марки кабелей, которые необходимо установить. Например, Роснефть согласно такой доктрине имеет право закупать для нужд обеспечения безопасности технику только фирмы Hewlett-Packard и никакую другую.

Кроме того, государство активно помогает подобным компаниям становиться еще «без­опаснее», принимая соответствующие законы. Поэтому все фирмы, имеющие базы данных своих клиентов (например, компании, предоставляющие сотовую связь, про­вайдеры, абонентами которых являются тысячи человек), обязаны затрачивать серь­езные суммы на обеспечение безопасности информации, чтобы продолжать работать дальше.

Юлия Вострецова отмечает: «В сфере крупного и среднего бизнеса в последнее время значительно повысилось внимание к вопросам информационной безопасности. В свете принятия закона „О персональных данных“ предприятия выделяют значительные бюд­жеты и инвестируют в услуги и программное обеспечение специализированных компаний».

И наконец, третья, самая большая по численности, но самая незначительная по осна­щенности системами информационной безопасности группа клиентов, — это местный средний и малый бизнес, а также индивидуальные предприниматели. Их руководство точно знает, что надо охранять офис, склады и магазин. Но ему еще не ясно, что охра­нять необходимо также и документы, переписку, информацию о налоговой отчетности. О специальном обеспечении защиты данных, расходах на него речь в таких предпри­ятиях если и идет, то только на уровне умений и навыков системного администратора. Тратить реальные деньги на свою информационную безопасность подобные фирмы не готовы. Совсем.

С малым бизнесом все усложняется еще и тем, что покупка лицензионного софта многим просто не по средствам. В этой нише пиратского ПО традиционно больше, чем легаль­ного.
Кризисный спрос

На вопрос, увеличился ли в период кризиса спрос на услуги по обеспечению информа­ционной безопасности предприятия, Юлия Вострецова отвечает так: «И да и нет. С одной стороны, бизнес обеспокоен утечками информации, недобросовестной кон­курентной борьбой и связанными с этим угрозами. С другой же стороны, бюджеты в период кризиса значительно сокращены».

Эксперты подмечают, что с наступлением кризиса на рынке экономической безопас­ности — а это, в первую очередь, охрана и информационная безопасность — дела идут так же, как и в других отраслях, предоставляющих услуги бизнесу: спрос на услуги не мень­ше, но в вопросах оплаты многие клиенты стали щепетильнее, тщательно взве­шивая каждый рубль. И основной вид услуг, востребованных сегодня, относится к среднему ценовому сегменту, или эконом-классу.

Цена решений

Самые популярные решения в сфере информационной безопасности можно разбить на четыре основные группы.

Первая — это антивирусы. Самый распространенный — ими пользуются практически все ком­пании — и, пожалуй, самый неоднозначный способ защиты. Дело даже не в том, что немалая часть антивирусов, используемых потребителем, являются пиратскими, а в том, что эффективность антивирусных программ рядовому пользователю определить очень сложно.

Логика проста: ПО не видит вирусов, значит, их нет. А нет ли их на самом деле — не яс­но. Стоит антивирус тоже недорого — от 0 рублей за пиратскую версию, скачанную из Интернета или локальной сети. С лицензионными уже иначе. Здесь цена может коле­баться от 400 рублей на один компьютер, если их в компании от 50 до 99, до нес­кольких тысяч, если нужен небольшой тираж. И обновлять каждую программу (покупать лицензию на обновление вирусных баз), естественно, не бесплатно, необходимо как минимум раз в год.

Второе решение используется реже — это так называемые межсетевые экраны, контро­лирующие входящие и исходящие потоки данных между подключенными сетями. Стоимость их зависит от конфигурации, от 1000 рублей за самый простой роутер с эк­раном до нескольких тысяч. Здесь тоже все непросто. Дело в том, что сам по себе межсетевой экран обеспечить безопасность не может — его нужно настраивать. Но логи­ка настройщика чаще всего сильно разнится с логикой хакера.

Шифрование данных — третий способ обеспечения информбезопасности — приме­няется еще реже. И дело даже не в цене, которая может варьироваться от 0 рублей за бесплатный софт до опять же нескольких тысяч. Основная проблема в том, что по действующему законодательству для использования систем шифрования данных нужно покупать лицензию, а это сильно отпугивает потенциальных потребителей.

Ну и последний способ защиты — это приобретение специализированных ПК. Такие компьютеры предназначены для использования в защищенных информационных системах государственных учреждений и частных компаний. Это одно из самых серьезных и самых дорогих средств обеспечения безо¬пасности. Стоимость их начи­нается от 30 тысяч рублей за одну машину. Потому и покупаются такие устройства чаще всего штучно.

Между тем все эти меры чаще всего — лишь повод успокоиться. Эксперты по экономи­ческой безопасности сходятся во мнении, что за границей основные усилия направлены на профилактику, а у нас — на устранение последствий вторжения в информационное пространство. Это наглядно показывает отношение к безопасности как к системе. Неуди­ви­тельно, что выделять серьезные бюджеты на защиту своей информации красно­ярский бизнес пока не готов. Последствий же может и не быть — все престу­пления в сфере информационной и экономической безопасности высоколатентны и обнаруживаются порой тогда, когда принимать меры уже поздно.

Простые советы

Несмотря на наличие или отсутствие средств информационной безопасности, у каждой компании есть свое ноу-хау в этой сфере. «Советник» рекомендует взять на вооружение следующие меры по защите информации.

1. Убрать с ПК дисководы. Это помешает сотрудникам выносить информацию за пре­делы компании.

2. Отключить USB-порты. Для той же цели. Или документально запретить пользоваться флешками на рабочем месте. Хорошо использовать обе меры сразу.

3. Запретить пользоваться на рабочем месте ноутбуками. Оставить только стацио­нарные ПК. Так можно ограничить доступ к большому объему информации.

4. Поставить фильтры электронной почты и разрешать ее отправку только после проверки администратором. Особенно это касается писем с вложениями.

5. Если нет возможности запретить ICQ, поставить трафик и иметь возможность отслеживать передачу важной для компании информации.

6. Использовать DLP-системы (Data Leak Prevention, технологии предотвращения утечек информации, которые строятся на анализе потоков данных в системе). Их применяют многие предприятия.

Кроме этого, не жалеть средств на лицензионные антивирусы и установку межсетевых экранов. А также запретить сотрудникам посещать в Интернете сайты сомнительного содержания.

Использование этих нехитрых мер — необходимый минимум по соблюдению информационной безопасности любой компании.