В одной известной всем сказке домик из соломы легко развалился стараниями серого волка. Бизнес, не уделяющий должного внимания своей экономической безопасности, — это соломенный домик, разрушить который не составит труда. А волков на любой бизнес в России всегда найдется предостаточно. Несмотря на эти прописные истины, понятие экономической безопасности практически неизвестно российским предпринимателям.
Что нужно охранять
Европа и США уже не первое десятилетие вкладывают в безопасность своих предприятий миллиарды долларов. По оценкам экспертов IDC (International Data Corporation), общемировой рынок информационной безопасности растет ежегодно на 14–17% (в зависимости от вида услуг) и за 2009 год составил, по разным оценкам, от 74 до 100 млрд долларов.
А в России представители бизнеса до сих пор путаются в терминологии и не могут обозначить, какие параметры включает в себя экономическая безопасность предприятия. Под ней понимают все что угодно — от взаимодействия предпринимателей и органов власти до повышения тарифов на электроэнергию. Хотя на самом деле эти темы ничего общего с безопасностью не имеют.
Существует определение экономической безопасности предприятия — это защищенность его научно-технического, технологического, производственного и кадрового потенциала от прямых или косвенных экономических угроз и способность к воспроизводству. Все, что может навредить компании, входит в полномочия ее службы безопасности.
По сути же безопасность предприятия — это охрана не только его имущества и товаров, но и информации, в том числе передаваемой через все виды связи. А также самый сложный для реализации пункт: охрана тех сведений, которые хранятся в компьютерах и головах сотрудников предприятия, иначе говоря, работа с кадрами.
Небоевой настрой
В бизнес-среде Красноярска экономическая безопасность воспринимается скорее как буржуазный пережиток, который, возможно, и эффективен, но «уж больно это все дорого, непонятно, да и вообще, мы привыкли справляться своими силами». Исключение делается только для физической охраны товаров и услуг: практически все компании пользуются теми или иными мерами по сбережению своего имущества.
Слабое желание бизнеса внедрять меры экономической безопасности подтверждают и данные, приведенные директором Красноярской ассоциации бизнес-консультантов Денисом Зерновым: «О том, что необходимо вводить меры, усиливающие экономическую безопасность предприятия, задумывается не менее половины собственников бизнеса, но до проведения конкретных мероприятий дело доходит в одной из десяти компаний».
Это мнение разделяет и генеральный директор компании INOPSYS Юлия Вострецова: «Немало средств вкладывается в защиту от утечек информации. Однако зачастую данные меры носят поверхностный характер — их целью является получение сертификации, а не реальная защита данных. По моему мнению, Россия еще не готова к качественным переменам в отношении информационной безопасности, и ситуация изменится не ранее чем через 5–10 лет».
Лидеры и аутсайдеры
Так как речь идет о защите данных, то компании, которые занимаются установкой и обслуживанием различных систем безопасности, крайне неохотно делятся информацией о своих клиентах. Оно и понятно — такой бизнес. Тем не менее «фоторобот» тех, кто пользуется такими системами, составить можно.
В числе лидеров по затратам на различные системы безопасности стоят властные структуры, государственные организации. Во-первых, к этому их вынуждает законодательство (тот же самый 152-ФЗ о защите персональных данных, вступление которого в силу хоть и перенесли на год, но не отменили). Во-вторых, у государства есть и средства, и необходимость защищать информацию. Подтверждение тому — активно создающиеся сейчас в администрациях различных субъектов Федерации специальные отделы по вопросам информационной безопасности.
Но реалии матушки-России и здесь дают о себе знать: если все без исключения органы власти краевого и городского масштаба пользуются только лицензионным ПО, то, по словам эксперта рынка, пожелавшего остаться неназванным, средства на районные структуры государство выделять не спешит. И увидеть пиратское программное обеспечение у руководителя не только отдела, но и целой территории, района — не редкость. Поэтому о глобальной защите информации даже на уровне органов государственной власти говорить пока рано.
Вторая и самая большая группа активных пользователей систем информационной безопасности — это представители крупных федеральных компаний с разветвленной сетью филиалов и все компании, имеющие зарубежные корни. Наличие головного офиса в Москве — это гарант того, что в компании есть система безопасности, укомплектованная необходимыми сотрудниками, и в любой кризисный период фирма не уменьшит затраты на ее содержание. Чаще всего в таких компаниях есть специальный документ — информационная доктрина, которой необходимо соответствовать.
Служба безопасности головного офиса прописывает в ней все, вплоть до марки кабелей, которые необходимо установить. Например, Роснефть согласно такой доктрине имеет право закупать для нужд обеспечения безопасности технику только фирмы Hewlett-Packard и никакую другую.
Кроме того, государство активно помогает подобным компаниям становиться еще «безопаснее», принимая соответствующие законы. Поэтому все фирмы, имеющие базы данных своих клиентов (например, компании, предоставляющие сотовую связь, провайдеры, абонентами которых являются тысячи человек), обязаны затрачивать серьезные суммы на обеспечение безопасности информации, чтобы продолжать работать дальше.
Юлия Вострецова отмечает: «В сфере крупного и среднего бизнеса в последнее время значительно повысилось внимание к вопросам информационной безопасности. В свете принятия закона „О персональных данных“ предприятия выделяют значительные бюджеты и инвестируют в услуги и программное обеспечение специализированных компаний».
И наконец, третья, самая большая по численности, но самая незначительная по оснащенности системами информационной безопасности группа клиентов, — это местный средний и малый бизнес, а также индивидуальные предприниматели. Их руководство точно знает, что надо охранять офис, склады и магазин. Но ему еще не ясно, что охранять необходимо также и документы, переписку, информацию о налоговой отчетности. О специальном обеспечении защиты данных, расходах на него речь в таких предприятиях если и идет, то только на уровне умений и навыков системного администратора. Тратить реальные деньги на свою информационную безопасность подобные фирмы не готовы. Совсем.
С малым бизнесом все усложняется еще и тем, что покупка лицензионного софта многим просто не по средствам. В этой нише пиратского ПО традиционно больше, чем легального.
Кризисный спрос
На вопрос, увеличился ли в период кризиса спрос на услуги по обеспечению информационной безопасности предприятия, Юлия Вострецова отвечает так: «И да и нет. С одной стороны, бизнес обеспокоен утечками информации, недобросовестной конкурентной борьбой и связанными с этим угрозами. С другой же стороны, бюджеты в период кризиса значительно сокращены».
Эксперты подмечают, что с наступлением кризиса на рынке экономической безопасности — а это, в первую очередь, охрана и информационная безопасность — дела идут так же, как и в других отраслях, предоставляющих услуги бизнесу: спрос на услуги не меньше, но в вопросах оплаты многие клиенты стали щепетильнее, тщательно взвешивая каждый рубль. И основной вид услуг, востребованных сегодня, относится к среднему ценовому сегменту, или эконом-классу.
Цена решений
Самые популярные решения в сфере информационной безопасности можно разбить на четыре основные группы.
Первая — это антивирусы. Самый распространенный — ими пользуются практически все компании — и, пожалуй, самый неоднозначный способ защиты. Дело даже не в том, что немалая часть антивирусов, используемых потребителем, являются пиратскими, а в том, что эффективность антивирусных программ рядовому пользователю определить очень сложно.
Логика проста: ПО не видит вирусов, значит, их нет. А нет ли их на самом деле — не ясно. Стоит антивирус тоже недорого — от 0 рублей за пиратскую версию, скачанную из Интернета или локальной сети. С лицензионными уже иначе. Здесь цена может колебаться от 400 рублей на один компьютер, если их в компании от 50 до 99, до нескольких тысяч, если нужен небольшой тираж. И обновлять каждую программу (покупать лицензию на обновление вирусных баз), естественно, не бесплатно, необходимо как минимум раз в год.
Второе решение используется реже — это так называемые межсетевые экраны, контролирующие входящие и исходящие потоки данных между подключенными сетями. Стоимость их зависит от конфигурации, от 1000 рублей за самый простой роутер с экраном до нескольких тысяч. Здесь тоже все непросто. Дело в том, что сам по себе межсетевой экран обеспечить безопасность не может — его нужно настраивать. Но логика настройщика чаще всего сильно разнится с логикой хакера.
Шифрование данных — третий способ обеспечения информбезопасности — применяется еще реже. И дело даже не в цене, которая может варьироваться от 0 рублей за бесплатный софт до опять же нескольких тысяч. Основная проблема в том, что по действующему законодательству для использования систем шифрования данных нужно покупать лицензию, а это сильно отпугивает потенциальных потребителей.
Ну и последний способ защиты — это приобретение специализированных ПК. Такие компьютеры предназначены для использования в защищенных информационных системах государственных учреждений и частных компаний. Это одно из самых серьезных и самых дорогих средств обеспечения безо¬пасности. Стоимость их начинается от 30 тысяч рублей за одну машину. Потому и покупаются такие устройства чаще всего штучно.
Между тем все эти меры чаще всего — лишь повод успокоиться. Эксперты по экономической безопасности сходятся во мнении, что за границей основные усилия направлены на профилактику, а у нас — на устранение последствий вторжения в информационное пространство. Это наглядно показывает отношение к безопасности как к системе. Неудивительно, что выделять серьезные бюджеты на защиту своей информации красноярский бизнес пока не готов. Последствий же может и не быть — все преступления в сфере информационной и экономической безопасности высоколатентны и обнаруживаются порой тогда, когда принимать меры уже поздно.
Простые советы
Несмотря на наличие или отсутствие средств информационной безопасности, у каждой компании есть свое ноу-хау в этой сфере. «Советник» рекомендует взять на вооружение следующие меры по защите информации.
1. Убрать с ПК дисководы. Это помешает сотрудникам выносить информацию за пределы компании.
2. Отключить USB-порты. Для той же цели. Или документально запретить пользоваться флешками на рабочем месте. Хорошо использовать обе меры сразу.
3. Запретить пользоваться на рабочем месте ноутбуками. Оставить только стационарные ПК. Так можно ограничить доступ к большому объему информации.
4. Поставить фильтры электронной почты и разрешать ее отправку только после проверки администратором. Особенно это касается писем с вложениями.
5. Если нет возможности запретить ICQ, поставить трафик и иметь возможность отслеживать передачу важной для компании информации.
6. Использовать DLP-системы (Data Leak Prevention, технологии предотвращения утечек информации, которые строятся на анализе потоков данных в системе). Их применяют многие предприятия.
Кроме этого, не жалеть средств на лицензионные антивирусы и установку межсетевых экранов. А также запретить сотрудникам посещать в Интернете сайты сомнительного содержания.
Использование этих нехитрых мер — необходимый минимум по соблюдению информационной безопасности любой компании.
Анна Гришанова
Журнал «Советник. Грамотное управление»