Особенности информационной безопасности в Украине

Дата: 18.03.2013
Источник: Delo.ua
Автор: Роман Идов, аналитик компании Searchinform


Информационная безопасность в украинских компаниях часто доходит до крайностей. Ведущий аналитик компании Searchinform Роман Идов рассказал об особенностях информационной безопасности в Украине

Рынок средств для защиты от утечек информации (так называемых DLP-систем) стремительно развивается в последние несколько лет. Кто-то называет DLP-системы новым подходом, кто-то — бизнесом по продаже страха. Тем не менее, нельзя отрицать, что сегодня информация имеет реальную цену, а утечка конфиденциальных данных приносит не менее реальные убытки. Если же взять ближайших соседей Украины в прицеле развития законодательства относительно защиты персональных данных, получается классическое распределение: в России закон принят давно, но вступил в полную силу лишь в прошлом году, в Белоруссии закона как такового и вовсе нет.

Украина же расположилась "меж двух огней". Сам закон "О персональных данных" был принят в стране 1 июня 2010 года и вступил в силу с 1 января 2011-го. Но каково реальное положение дел? Видно, что из года в год интерес со стороны бизнеса к защите информации растет стремительно, но вот покупать украинские бизнесмены не спешат.

Кто с этим будет работать?

Если проанализировать заявки работодателей на специализированных порталах, большинство из них требует от претендентов на вакансию "специалист по информационной безопасности" умения формировать систему информационной безопасности (далее — ИБ, прим. "Дело") компании, мониторить ее и проводить аудит, анализировать информационные риски, устанавливать и настраивать технические средства защиты информации, обучать и консультировать сотрудников по вопросам обеспечения ИБ, а также составлять нормативно-техническую документацию.

Кроме того, даже претенденты на сравнительно невысокий доход должны знать законодательство по ИБ, принципы работы сетей и средства криптозащиты. Как правило, на должности "безопасника" работодатели хотят видеть молодых людей в возрасте от 22 до 30 лет с высшим образованием и знанием английского языка на уровне, достаточном для чтения специализированной литературы.

Но способны ли вузы "выковать" такие кадры к 5-му курсу? По словам независимого эксперта в области ИБ Владимира Безмалого, "выпускники вузов получают очень мало практических знаний, особенно в базовых технологиях, таких как антивирусная защита, DLP, настройка операционных систем с точки зрения ИБ. У большинства студентов подготовка за компьютером — это только игрушки и ничего более. Предметов в ВУЗе дают много, да вот только тех, которые реально нужны — нет, также, как и практики".

Действительно, на первый взгляд набор дисциплин в соответствующих "alma mater" впечатляет:

безопасность сетей — 150 часов (в ряде специализаций такой дисциплины вообще нет);
безопасность баз данных — 150 часов;
основы информационной безопасности — 80 часов;
теоретические основы компьютерной безопасности — 200 часов;
организационное обеспечение информационной безопасности — 100 часов (в ряде специализаций количество часов на данную дисциплину сокращено вдвое);
правовое обеспечение информационной безопасности — 100 часов (в ряде специализаций количество часов на данную дисциплину сокращено или наоборот увеличено вдвое);
криптографические методы защиты информации — 150 часов;
технические средства и методы защиты информации — 150 часов (в ряде специализаций количество часов на данную дисциплину сокращается до 100);
программно-аппаратные средства обеспечения информационной безопасности — 200 часов (в ряде специализаций количество часов на данную дисциплину сокращается до 100);
комплексное обеспечение информационной безопасности автоматизированных систем — 100 часов.
Вот только если чуть детальнее изучить учебные планы, окажется, что предметы профессиональной направленности составляют от 900 до 1500 часов при общей сумме гуманитарных дисциплин, превышающих планку в 2200 часов. Выводы, как говорится, делайте сами.

Косвенным подтверждением вышесказанного служит малая популярность различных союзов и групп специалистов по информационной безопасности. На сегодняшний день основная концентрация украинских "безопасников" сосредоточена в паре групп в соцсети LinkedIn. Откровенно говоря, в России ситуация не намного лучше. Сообществ больше по количеству, но не по качеству.

Еще одна причина парадоксальной ситуации с защитой данных кроется непосредственно в менталитете. Сергей Борисович Дяченко, подполковник запаса СБУ, бывший сотрудник подразделения по борьбе с киберпреступлениями с 2000 года, так комментирует эту ситуацию:

"На сегодня ситуация с ИБ полностью созвучна нашему национальному славянскому менталитету: "Либо все, либо ничего". В сфере ИБ это проявляется так: либо полное разгильдяйство, либо доведенная до маразма ситуация. Хуже всего — в государственном секторе. Если на обеспечение ИБ и выделяется какой-то бюджет, то лишь по остаточному принципу: руководство не видит реальной выгоды от создания специального отдела ИБ, установки полноценной системы. По крайней мере, до тех пор, пока не столкнется с несколькими (!) серьезными инцидентами. Хотя я наблюдал и пару примеров того, как в бюджетной организации использовались достаточно современные и дорогие решения от Cisco, но при этом админы путали 2-й и 3-й уровни OSI и не могли правильно настроить firewall".

Какие можно из этого сделать выводы? Чтобы получить положительные результаты, необходимо разрушить "порочный круг". Для появления понимания необходимости защиты данных нужны не только законы, но и люди, которые эти законы будут соблюдать. Также нужны специалисты, которые будут понимать, для чего нужны современные средства защиты и как с ними работать. В последствии, эти специалисты, собираясь в профессиональные союзы, смогут помогать дорабатывать и улучшать законодательство, отходя в них от абстрактных фраз к конкретным предписаниям. Хочется верить, что такие времена наступят уже скоро.

Исследование ситуации с информационной безопасностью в компаниях Киева

Прошедший год оказался богат на различные инциденты, связанные с информационной безопасностью. Согласно данным опроса, проведенного компанией SearchInform среди представителей более чем 150 государственных и коммерческих организаций Киева, за прошедший год каждая вторая компания сталкивалась с утечкой конфиденциальных данных.

Год 2012-й отметился повышенным интересом инсайдеров к персональным данным обычных граждан. Причиной тому стали выборы в Верховную Раду Украины. Так, к примеру, в Киеве во время подачи документов кандидатур в состав участковых комиссий от партии "Права воля Украины" было обнаружено, что на 86 УИК они были составлены на основе персональных данных управления образования Голосеевского района. К сожалению, столицей подобные утечки не ограничились: в Тернопольской области в каждом из округов были зафиксированы массовые фальсификации и подделки избирательной документации, манипуляции при осуществлении жеребьевки в ОИК и УИК. Тем не менее, утечки по "политическим мотивам" сезонны и их количество сильно варьируется в зависимости от года.

Постоянными же остались утечки у бизнеса. Согласно исследованию SearchInform из года в год "тройка лидеров" остается постоянной. В нее входят персональные данные, документы, составляющие коммерческую тайну, а также техническая документация компаний. В 2012 году наблюдался небольшой всплеск утечек персональных данных, но о причинах уже было сказано выше.

Чаще всего в организациях Киева "ловят на горячем" менеджеров (38% случаев). Следом с большим отрывом следуют IT-специалисты (15%), руководители подразделений (13%), а также работники, связанные с финансовой информацией (13%). Практика лишь подтверждает статистику. Так, Служба безопасности Украины в 2012 году возбудила уголовное дело в отношении директора отделения одного из коммерческих банков по ч. 1 ст. 361-2 и ч. 2 ст. 361-2 Уголовного кодекса Украины. В ходе следствия было установлено, что чиновник незаконно предоставлял преступникам закрытые электронные ключи доступа к системе "Клиент-Банк" для управления счетами фиктивных фирм, открытых в его отделении. Однако этот случай скорее исключение, чем правило. Во-первых, даже если сотрудник нарушил корпоративную политику, не факт, что в отношении него будут применены санкции. Согласно опросу только в 20% компаний нарушителей готовы уволить. Некоторые предпочитают "наказывать рублем", прибегая к штрафам (23%) или выговорам (29%). Оставшиеся компании и вовсе не собираются принимать меры.

Согласно данным портала incidents.su, занимающегося агрегацией инцидентов в странах СНГ, в 2012 году в Украине было зафиксировано 57 утечек. Довольно незначительное количество, как может показаться на первый взгляд. Проблема в том, что если принять во внимание исследование SearchInform, все становится на свои места: лишь один из четырех опрошенных компаний заявила, что готова в случае утечки публично об этом заявить. Таким образом, реальное количество инцидентов, в сравнении с 2011 годом, не уменьшилось, а наоборот выросло.

Причины сложившейся ситуации разные. Среди главных можно назвать отсутствие профессиональных кадров (только в 34% опрошенных компаниях информационной безопасностью занимается специализированный отдел), отсутствие комплексного подхода при контроле информационных каналов (основное внимание уделяется электронной почте), а также низкую осведомленность сотрудников компании о действующих правилах.

Чем опасна утечка информации для компании

На сегодняшний день многие начинают задумываться об информационной безопасности только тогда, когда сами столкнутся...

Добавить комментарий

2015-03-28 06:47:20 - С целью защиты передаваемой в интернете... Рая

Всего 1 комментариев