Обзор ИТ в промышленности 2006 подготовлен

Алексей Доля: Служащие допускают минимум одну утечку конфиденциальной информации ежемесячно

Об особенностях борьбы с утечками конфиденциальной информации на промышленных предприятиях, в интервью CNews рассказал Алексей Доля, руководитель аналитического центра компании InfoWatch

CNews: В чем состоит специфика обеспечения информационной безопасности на промышленных предприятиях?

Алексей Доля: Прежде всего — в размере компании-заказчика. Как известно, эффект масштаба позволяет промышленным предприятиям значительно сократить издержки, поэтому во многих отраслях (ТЭК, металлургия, машиностроение и др.) типичный заказчик является представителем именно крупного бизнеса.

Это накладывает свой отпечаток: на крупных предприятиях наиболее актуальна проблема инсайдеров и утечек. Наши клиенты сами признают, что борьба с внешними угрозами уже давно превратилась в рутину. Она требует вполне определенных продуктов и расходов. В результате практически каждое крупное промышленное предприятие сегодня использует антивирусы, межсетевые экраны, IDS/IPS и т.д. Защитившись снаружи, отрасль постепенно поворачивает взгляд вовнутрь. Естественно, что отсутствие какого-либо контроля над действиями инсайдеров руководство не устраивает. Поэтому многие заказчики сами приходят в InfoWatch и просят разобраться с этой проблемой. Нам даже не надо доказывать клиентам, что внутренняя угроза — реально опасна.

CNews: Другими словами, промышленные предприятия довольно зрело относятся к проблеме утечек и инсайдеров?

Алексей Доля: Я бы сказал, что лидеры отрасли уже начинают преодолевать тот психологический барьер, который являлся основным препятствием на пути внедрения решений для защиты от утечек и инсайдеров в течение двух предыдущих лет. Однако это, в основном, самые развитые предприятия, которые готовы выделить около полумиллиона долларов на создание эффективной системы внутренней информационной безопасности. Если же рассматривать промышленную отрасль в целом, то большинство предприятий еще психологически не готовы бороться с инсайдерами, хотя их опасность осознают. Так что о зрелости говорить еще рано. 

CNews: Исходя из опыта InfoWatch, в чем проявляется специфика проектов по защите от утечек и инсайдеров на предприятиях промышленности?

Алексей Доля: Мы уже довольно долго работаем в секторе промышленных предприятий. Более того, один из наших первых клиентов – компания «ГидроОГК» — как раз из этого сектора. Так что InfoWatch удалось накопить достаточно опыта, чтобы выделить специфику отрасли.

А теперь посмотрим на промышленность: в этой отрасли никто практически не взаимодействует с отдельными потребителями, поэтому проблема защиты огромных массивов персональных данных просто не возникает. Зато значительно повышается ценность другой информации. Во-первых — интеллектуальной собственности (например, промышленных секретов, научных разработок). Во-вторых, коммерческой конфиденциальной информации (торговые секреты, информация о сделках, контрактах, партнерах, финансовые отчеты). Все это предъявляет специфичные требования к системе защиты от утечек и инсайдеров. Например, внедряемое решение должно защищать данные в тех форматах, которые характерны в основном для промышленных предприятий. Скажем, файлы CAE- и CAD-систем. Кроме того, продукт должен легко интегрироваться в комплексные решения управления предприятием, например, в ERP-системы. Наконец, решение должно быть достаточно гибким, чтобы его можно было доработать под нужды конкретного заказчика. Дело в том, что многие крупные предприятия используют собственные ИТ-продукты и форматы хранения данных. Компания InfoWatch, например, уже не раз добавляла в свои продукты поддержку новых форматов данных, специфичных именно для какого-то одного конкретного заказчика.

CNews: Насколько сильное влияние на рынок оказывает принятие федерального закона «О персональных данных»?

Алексей Доля: Я бы не стал переоценивать влияние этого закона на российский рынок в течение ближайших двух лет. Сам закон, безусловно, заслуживает похвалы. Все-таки это первый нормативный акт, который упорядочивает обращение персональных данных в российском обществе. Более того, в нем абсолютно правильно прописаны требования к безопасности приватных сведений: защита конфиденциальности, запрет на распространение без согласия гражданина и т.д.

Однако проблема все-таки есть, но не в законе, а в правоприменительной практике. ФЗ «О персональных данных» начнет работать только тогда, когда появятся первые судебные решения в пользу пострадавших от «утечки» граждан. Пока этого не произойдет, на требования закона никто не будет обращать внимания.

Тем не менее, с точки зрения стратегии, лидерам отрасли надо готовиться к будущему нормативному регулированию уже сейчас. Хотя промышленные предприятия очень редко работают на рынке розничной торговли, многие из них имеют довольно обширный штат служащих. Следовательно, персональные данные аккумулируются в ИТ-инфраструктуре компании, хотя и не в таких масштабах, как в телекомах или банках. Если сегодня утечка этих приватных сведений не приведет к снижению прибыли предприятия, то через пару лет инцидент может вызвать волну исков и существенные издержки.

Хотя справедливости ради стоит заметить, что, внедряя защиту от утечек и инсайдеров, промышленное предприятие защищает сразу и промышленные, и торговые секреты, а также персональные данные. Но это происходит в том случае, если внедряется комплексное решение. Поэтому не имеет значения, с какой именно стороны подходить. Главное – перекрыть утечки и взять под контроль оборот всей информации.

CNews: Сколько сегодня стоит защита от инсайдеров?

Алексей Доля: Это действительно самый насущный вопрос, так как на современном рынке можно встретить самые разные предложения. Я полагаю, что комплексная защита от всего спектра внутренних угроз обойдется компании в $ 400-800 за одно рабочее место. Названный мною диапазон продиктован, в основном, параметрами ИТ-инфраструктуры заказчика. В принципе можно создать систему защиты и за меньшие деньги, например, за $100-200 на одно рабочее место. Однако максимум, чего удастся добиться таким способом — это предотвратить угрозу со стороны халатных и безалаберных служащих. Например, если сотрудник задастся целью украсть информацию или навредить компании, то такие средства его не остановят. Между тем — это не такой уж редкий случай. На практике работника просто подкупают, после чего все промышленные секреты плавно перетекают в карманы конкурента. Кроме того, служащий может просто обидеться на коллег или начальника, стать жертвой социальной инженерии, попасть под давление криминальных элементов. Все это приведет к тому, что у инсайдера появится конкретная цель – украсть и передать вполне определенную информацию. Так что дешевый сыр бывает только в мышеловке.

CNews: Какова отдача от создания системы защиты от утечек и инсайдеров?

Алексей Доля: Наши решения окупаются менее чем за год. Например, последние независимые исследования (см. «2006 Annual Study — Cost of a Data Breach») показывают, что средние убытки компании вследствие всего одной утечки составляют $ 4,8 млн.

При этом опыт внедрения продуктов InfoWatch в крупных российских компаниях (от 500 рабочих мест) показывает, что служащие по халатности или злому умыслу допускают минимум одну утечку конфиденциальной информации ежемесячно. Более того, вероятные потери вследствие любой из этих утечек сразу же превышают стоимость внедрения в несколько раз.

Дополнительные аргументы в пользу комплексной системы защиты от утечек приводит Gartner. По ее мнению, утечки обходятся намного дороже, чем внедрение средств по их предотвращению. Эта экономия в среднем достигает 500%. Между тем, это лишь усредненная величина. По оценке аналитического центра InfoWatch, в ряде случаев, когда информация об утечке становится достоянием общественности, совокупный ущерб может превышать стоимость системы защиты в сотни и тысячи раз.

Я прекрасно понимаю сомнения руководства многих промышленных предприятий, так как проблема инсайдеров и утечек изучена еще не так хорошо, как внешние угрозы. Да и системы защиты еще молодые, хотя уже успели пройти обкатку в ведущих отраслевых компаниях. Сомневаетесь? Инициируйте пилотный проект. Возьмите под контроль хотя бы один канал утечки, например, электронную почту. Это позволит убедиться в том, как часто сотрудники подвергают конфиденциальную информацию компании самым разнообразным рискам. Причем необязательно иметь в штате злонамеренных инсайдеров. Даже лояльные служащие часто допускают ошибки, каждая из которых может сразу превысить стоимость внедрения раза в два-три.

CNews: С какими российскими промышленными компаниями работает InfoWatch сегодня?

Алексей Доля: Мы уже завершили создание комплексной системы защиты от утечек и инсайдеров в «ГидроОГК». Данное внедрение уже освещалось на страницах CNews Analytics.

Теперь мы сотрудничаем с «Лукойлом» и целым рядом промышленных предприятий, которые попросили нас не афишировать проекты в прессе. Мы прекрасно понимаем, что многие заказчики не хотят предавать гласности наличие системы защиты от инсайдеров и утечек. InfoWatch уважает право клиента на «тайну внедрения».

CNews: Спасибо.