Компания A.T. Kearney опубликовала результаты исследования о перспективах информационной безопасности международного бизнеса. В условиях все более стремительного развития цифровых технологий, указывается в публикации, каждая компания становится мишенью для непрерывных атак, которые могут произойти в любую секунду и увенчаться успехом.
По данным Интерпола, в Европе совокупный объем ущерба, причиняемого киберпреступностью, достигает ошеломляющей отметки в 750 млрд евро. Комиссия по расследованию краж американской интеллектуальной собственности, в свою очередь, оценивает ущерб, наносимый кражами интеллектуальной собственности, в сумму не менее 320 млрд долларов США. Причем в эти суммы еще не включены потери из-за системных сбоев, связанных с хакерскими атаками, и из-за мошеннических действий, совершаемых при хищении банковских реквизитов компаний и частных лиц. Эксперты полагают, что как минимум 25% всех существующих компаний уже тем или иным образом понесли финансовые убытки из-за различных разновидностей кибератак. Их количество может достигать даже 50%, и некоторые специалисты по компьютерной безопасности откровенно признают, что компании из второй половины, вероятно, еще просто не заметили, что в их системе безопасности пробиты бреши.
Приведенные данные подтверждают, что обеспечение информационной безопасности нельзя рассматривать только как технологическую проблему (связанную исключительно с безопасностью информационных технологий) — эта проблема имеет также организационное и стратегическое измерение.
Темпы инновационного развития при таком соревновании «наступательных» и «оборонительных» технологий очень высоки. Каждый день разрабатывается более 100 тысяч новых образцов вредоносного программного обеспечения. За некоторые вредоносные программные модули сейчас платятся суммы, превышающие миллион долларов. Такие деньги киберпреступники готовы платить, потому что уверены: вложенные средства смогут окупиться очень быстро.
Еще одну угрозу информационной безопасности несет развернувшаяся в киберпространстве новая гонка вооружений, в ходе которой проводятся, в частности, и диверсионные акты, и кибератаки. Ставшая недавно достоянием гласности информация о крупнейшей в мире разведывательной программе PRISM существенно подорвала доверие к крупным провайдерам облачных сервисов, базирующимся в США. Особенно снизилось доверие в странах Европы, где традиционно уделяется большое внимание защите данных. По оценке экспертно-аналитической организации Information Technology and Innovation Foundation (Вашингтон, округ Колумбия), базирующиеся в США провайдеры облачных сервисов могут в результате за период с 2014 по 2016 г. недополучить выручку на сумму от 22 до 35 млрд долларов США.
В принципе эта угроза затрагивает каждую компанию. Обеспечение информационной безопасности больше не является проблемой, которая должна решаться только в каких-либо определенных секторах экономики, таких как машиностроительная, авиастроительная и автомобилестроительная отрасли, где оцифрованные проектно-конструкторские материалы и чертежи изделий содержат ценную информацию, за которой охотятся промышленные шпионы. В фармацевтической или пищевой промышленности к секретной информации повышенной важности относится, например, рецептура продукции, в том числе результаты исследований и данные о технологических процессах.
В этом отношении бизнес-модель, которой придерживается компания, не играет существенной роли. Конечно, компания, использующая в своем бизнесе интернет-технологии, например имеющая интернет-магазин розничной торговли, в целом будет более уязвима для электронных атак, чем организация, поставляющая продукцию для корпоративных клиентов и в интернете не работающая. Но если последняя не будет в должной мере заботиться о своей информационной безопасности, она все же может недосчитаться нескольких сотен файлов, когда хакеры получат доступ к ее базе данных, содержащей записи о работе с клиентами.
Чтобы эффективно противостоять этой угрозе, масштабы которой столь разительно выросли за последние годы, компаниям необходимо рассматривать информационную безопасность в качестве одного из ключевых компонентов своей операционной деятельности. Наиболее приоритетным должен стать вопрос ответственности. Коль скоро проблема информационной безопасности приобрела стратегическую важность, членам правления компании следует уделить первостепенное внимание решению этой трудной задачи.
Одним из первых важных шагов должно стать введение в организационную структуру компании должности директора по информационной безопасности. Директор по информационной безопасности или руководитель службы безопасности, как правило, не входят в состав правления, но они должны иметь право прямого доступа и отчитываться либо непосредственно перед правлением, либо перед должностным лицом, которое в иерархии подчиненности находится максимум на одну ступеньку ниже правления. Директор по информационной безопасности обязан информировать руководителей высшего звена о важности мер по обеспечению информационной безопасности и добиваться выделения необходимых ресурсов. Следующее решение, принимаемое на уровне правления компании — это составление перечня данных и систем, защита которых имеет первостепенное значение. После определения подразделений и систем, нуждающихся в защите, разрабатываются сценарии противодействия атакам с учетом перечня потенциальных злоумышленников, их целей, временных и финансовых ресурсов. Наряду с этим, после оценки рисков следует внедрить систему управления информационной безопасностью.
Важно, чтобы в работу на всех перечисленных этапах были надлежащим образом вовлечены все отделы. Еще один существенный момент — информационная работа среди персонала организации. Необходимо, чтобы каждый сотрудник владел базовыми знаниями в области информационной безопасности — в этом случае можно будет противодействовать хотя бы самым простым уловкам, которые часто используются злоумышленниками, таким, например, как рассылка вредоносных программ в приложениях к электронным письмам. Одних лишь технологий еще недостаточно; их роль заключается только в том, чтобы помогать людям в принятии правильных решений и совершении правильных действий.
