На вес золота
Кирилл Мартынов
Источник: Деловая газета "Бизнес"
Сохранение конфиденциальности корпоративной информации - сегодня одно из главных условий конкурентоспособности бизнеса. Ведь в современной экономике компания любого профиля работает прежде всего с собственной базой данных, в которой фиксируются результаты труда ее сотрудников. Как противостоять хищению конфиденциальной информации?
том, насколько в нашей стране распространено хищение конфиденциальной информации, можно судить хотя бы по обилию коммерческих и государственных баз данных, продающихся в интернете и на московских рынках. Разумеется, это только вершина айсберга, поскольку информация обычно крадется вовсе не для передачи в широкую продажу.
Обычно она предлагается конкретному "клиенту".
Платим и заказываем
"Потери от информационных утечек могут быть очень велики именно потому, что часто они провоцируются заинтересованной стороной из числа конкурентов,- говорит Дмитрий Распертов, научный сотрудник НИИ "Информационные технологии".- Заказчики, как правило, заранее знают, за что платят, и имеют четкие планы по дальнейшему использованию полученных данных. А вот человек, который непосредственно организует утечку, может не понимать реальной ценности информации, которую он передает".
На Западе уже давно пришли к пониманию того факта, что как бы дорого ни обходилась защита критически важных данных, убытки, вызванные их разглашением, обычно оказываются выше. Причем сохранение конфиденциальности зачастую связано не только с финансовыми, но и с этическими вопросами. Летом этого года большинство из 200 членов советов директоров американских компаний, участвовавших в соответствующем опросе, заявили о своей поддержке любых легальных способов идентификации утечки конфиденциальной информации, включая анализ электронной переписки сотрудников. Около половины опрошенных считают также, что нужно использовать и данные по телефонным переговорам, если такой метод будет признан законным.
Технологии и люди
Рассказывает Денис Ушаков, специалист отдела защиты информации ЗАО "Кардинал": "Проблема защиты информации имеет три аспекта: правовой, организационный и технологический. Естественно, что мы в основном занимаемся технологической стороной вопроса, однако на практике она тесно связана с остальными". По его словам, пытаться обеспечить конфиденциальность информации исключительно техническими средствами - задача безнадежная. Самое лучшее инженерное решение не будет работать, если в компании не создана четкая организационная структура доступа к информации.
"Можно использовать самые современные системы шифрования информации и при этом оставить полный доступ к базе данных секретарше,- продолжает Денис Ушаков.- Она, как это обычно бывает, будет использовать при входе в систему простейший пароль, состоящий из нескольких цифр или короткого слова. Взломать такую защиту на низком уровне, то есть путем простого подбора пары "логин-пароль", не представляет никакого труда".
И все же начинать стоит именно с технологий. "Системы защиты информации и системы ее взлома развиваются так же, как и любые средства обороны и атаки, использующиеся в военных целях,- замечает Дмитрий Распертов.- Например, в средние века были созданы совершенные защитные системы, применявшиеся тяжеловооруженной кавалерией. Но изобретение огнестрельного оружия сделало рыцарей анахронизмом. Такова потенциальная судьба и любой системы, которая стоит на защите вашей информации".
По его словам, эффективной можно считать такую систему защиты, стоимость взлома которой превышает ценность информации, которая может быть добыта в результате.
Топ в помощь
Западные исследования показывают, что проникновение злоумышленника в информационную систему компании обычно связано либо с некорректными действиями администратора сети, либо с "помощью" сотрудника компании.
В большинстве случаев "помощником" выступает кто-то из руководителей. Это легко объяснить, учитывая, что именно управленцы не только имеют обычно наиболее широкий доступ к информации, но и понимают ее ценность.
"Во многих компаниях сложилось неверное понимание этой ситуации,- соглашается Дмитрий Распертов.- Руководство склонно опасаться, скорее, студента-стажера, имеющего самый минимальный доступ к корпоративной базе данных,чем реальных угроз, исходящих от нелояльных менеджеров высокого уровня. Студент же просто "не видит" нужной информации, не распознает ее в качестве товара и не знает, что ее можно продать".
Противодействие распространению информации через топов - это очень сложная задача, связанная с введением жестких схем ограничения доступа. "В малом и среднем бизнесе,- говорит Александр Алексеев, административный директор компании "Керамика-строй",- эту проблему, как правило, стараются решать неформально. Руководители таких компаний во многих случаях - это давние проверенные партнеры, которые могут полностью доверять друг другу. Ограничения на доступ к информации распространяются здесь обычно только на персонал среднего и низшего уровней".
Однако чем более крупной становится компания, тем больше формальных правил, направленных на распространение и хранение информации, ей приходится вводить.
"Часто подобные меры не находят понимания среди сотрудников,- замечает Александр Алексеев.- С точки зрения работников это свидетельствует о недоверии со стороны руководства. Поэтому очень важно не просто объявлять о новых правилах, но и разъяснять их смысл, подчеркивая, что главная цель охраны информации - это защита бизнеса. Ведь, в конце концов, данные можно раскрыть и без злого умысла".
В самом деле, может получиться так, что сотрудник, которого не предупредили о нежелательности распространения той или иной информации, окажется в весьма неприятной ситуации, просто рассказав о жизни компании кому-нибудь из своих друзей.
"Как раз здесь,- пожимает плечами Дмитрий Распертов,- криптоалгоритмы бессильны, это чисто человеческий фактор. Наверное, для предотвращения таких ситуаций компаниям следует стараться переводить подобные отношения с сотрудниками в юридическое поле".
Записано в контракте
Стандартной практикой, особенно распространенной в крупных западных корпорациях, работающих в России, является наличие в контракте сотрудника специального пункта о неразглашении конфиденциальной информации компании. Подобные отношения регулируются федеральным законом РФ "О коммерческой тайне", принятом два года назад. В соответствии с ним работодатель должен заранее и в письменном виде предупредить своих сотрудников, как о полном перечне охраняемых документов, так и о санкциях за разглашение их содержания.
Другая юридическая проблема связана с государственным регулированием систем защиты информации. По словам Дениса Ушакова, определенную защиту от несанкционированного доступа предоставляют стандартные средства программного обеспечения.
Авот для создания системы защиты более высокого уровня необходимо использовать специальные средства шифрования. В России от разработчиков и эксплуататоров подобных средств требуется в обязательном порядке пройти процедуру государственного лицензирования. Фактически речь идет о государственном контроле над информационными системами любых компаний, что полностью соответствует нынешней законодательной системе. "Естественно, что такая практика вызывает множество критических замечаний,- замечает Денис Ушаков.- Ведь реализация принципов государственного контроля за информацией требует ограничить распространение систем защиты, а также подразумевает наличие у соответствующих служб ключей для дешифровки".
Уровни доступа
Как правило, уровень доступа к корпоративной информации определяется в зависимости от компетенций сотрудника. Рядовые специалисты и менеджеры по работе с клиентами имеют доступ лишь к тем документам, которые нужны им для повседневной работы.
Управленцы, ответственные за тактические решения, работают как с данными своих подчиненных, так и с информацией более высокого уровня. Наконец, люди, ответственные за стратегический менеджмент компании, имеют полный доступ к информации. "С топ-менеджерами в этом смысле могут сравниться только специалисты в области ИТ,- замечает Александр Алексеев.- Их задача состоит как в организации бесперебойной работы информационной базы предприятия, так в и защите данных. А следовательно, от надежности этих людей полностью зависит сохранность вашей коммерческой тайны".
Во многих компаниях, деятельность которых связана с накоплением и переработкой уникальной информации (например, речь может идти о научно-технических разработках), существует практика создания специальных банков данных. "В таких случаях,- говорит Дмитрий Распертов,- каждый сотрудник компании имеет доступ только к тому сегменту банка данных, с которым непосредственно связана его рабочая группа. А запросы на доступ к остальной информации идут через руководителя группы, который несет ответственность за принятие решений об открытии информации".
|
