«Для контроля защиты данных нужен Росинфобезнадзор»

Какой комплекс мер необходим для выстраивания информационной безопасности

Сотрудники компаний, допускающие утечки данных, могут посоперничать с хакерами по степени и объемам наносимого вреда. Техническая защита, персональная ответственность и цифровая гигиена – три кита, на которых держится безопасность, уверены эксперты по информбезопасности (ИБ). Почему малым и средним компаниям логично обеспечивать цифровую защиту по аутсорсингу, как выстроить отношения ИБ-отделу с IT-департаментом организации и зачем нужны цифровые атташе при экспорте цифровых технологий, в интервью RSpectr рассказал основатель и председатель совета директоров «СёрчИнформ» Лев Матвеев.

ПОД «НОЖОМ» БЕЗОПАСНИКА

– В США в последние два года топ-менеджеры оказываются в центре скандалов из-за утечек конфиденциальной информации из компаний. На ваш взгляд, стоит ли регламентировать контроль за персональными данными вплоть до личной ответственности топ-менеджеров?

– Уровень и степень ответственности операторов данных за утечки обрабатываемых и хранимых персданных – важный момент. И здесь главное – найти баланс, чтобы не впасть в крайности и не начать стрелять из пушки по воробьям. Персонализация ответственности – неплохой инструмент мотивации. Ведь хирург отвечает за пациента, и если тот умирает «под его ножом», то врача ждет расследование. Схожую аналогию можно провести с утечками ПД. Но ИБ-руководитель не виноват, если отсутствовала надежная IT-инфраструктура. Там, где каждый сотрудник может свободно устанавливать любое приложение на рабочий компьютер, ИБ-руководитель бессилен.

При защите ПД есть много составляющих. Поэтому, вводя ответственность для топ-менеджера, необходимо наделять его полномочиями. Например, внедрять программные и аппаратные решения для защиты, проводить профилактические курсы цифровой гигиены среди персонала.

Сегодня многие руководители безопасности, к сожалению, действуют по старинке – на бумаге все прописано и зарегламентировано. А по факту возникает вопрос: «Насколько техническое обеспечение позволяет исполнять должностные обязанности?»

СПРАВКА
Лев Матвеев
председатель совета директоров «СёрчИнформ»

• В 1993 году окончил Минский радиотехнический институт, специальность – инженер-программист.
• В 1995 году основал собственную компанию. На разных этапах карьеры возглавлял IТ-компании численностью от 30 до 500 человек. В настоящий момент – председатель совета директоров «СёрчИнформ».
• Автор ряда патентов в области обработки неструктурированной информации.
• Основатель ежегодного Road Show SearchInform – серии образовательных конференций для специалистов сферы ИБ.
• Член правления НП «РУССОФТ», основатель комитета по информбезопасности в рамках РУССОФТ, ассоциации независимых разработчиков ПО ISDEF (Independent Software Developers Forum).

– В каком формате нужно прописать обязанности? Если на законодательном уровне, то какой документ будет регулировать техническое обеспечение?

– Можно обойтись без больших законов о зоне ответственности ИБ-специалистов, но вот на уровне компании этот вопрос должен быть прописан максимально четко. Например, что утечка конфиденциальных данных через email, облако или иной цифровой путь – ответственность ИБ-специалиста. А если физически преступники унесли из организации серверы, то это уже зона ответственности не ИБ-руководителя, а IT-руководителя: почему данные были не зашифрованы? И для инфраструктурной безопасности важно развивать культуру цифровой гигиены. Нельзя работать на личных компьютерах дома – это как на автобусной остановке стоять с деньгами, торчащими из кармана.

– Касается ли это личных смартфонов, которые сегодня используются как рабочий инструмент для деловых переписок через Telegram и WhatsApp?

– С телефоном сложнее, но вполне реально. У нас менеджеры не могут зайти на корпоративные ресурсы ни со смартфона, ни с планшета. Потому что контролировать доступ к корпоративным сервисам можно только на ноутбуках. Согласно правилам безопасности, все должно идти через email. Особенно пересылка конфиденциальных данных, поскольку доступа к электронной почте со смартфона нет.

Но здесь есть нюансы – можно с компьютера «приаттачить» файл в WhatsApp и получить копию документа на свой мобильный телефон. Поэтому все слабые места нужно прописывать в регламенте и вводить ограничения на использование сервисов. Это неудобно, но позволит предотвратить утечку. Мы, кстати, выпустили фичу по распознаванию попытки фотографирования экрана компьютера. А другой функционал – водяные знаки, которые выводятся на экран, – остановит многих инсайдеров от желания его фотографировать.

ЦЕНТРЫ БЕЗОПАСНОСТИ

– Какие нужны конкретные шаги, алгоритмы, чтобы сформировать надежную защиту, набрать ИБ-специалистов, а не просто айтишников или силовиков?

– В этом вопросе есть ряд трудностей. Надо повышать квалификацию персонала либо применять аутсорсинг, если речь идет о небольших компаниях. Профильная ИБ-фирма, как наша, занимается только безопасностью, а значит, имеет нужную экспертизу. Для небольших структур, филиалов корпораций есть смысл консолидировать ИБ-специалистов в одном месте, создавая свой центр информбезопасности.

Тогда с этих людей можно спрашивать при потере информации.

Меня возмущает, когда медикам ставят в вину утечку данных. Главврач должен лечить, а не заниматься информационной безопасностью

А имеющийся в больнице сисадмин не может обеспечить полноценную защиту, потому что это не его профиль. Поэтому необходим единый центр ИБ для организаций здравоохранения, который позволял бы в том числе обслуживать и частные клиники. Такие центры нужны во всех крупных госструктурах и частных корпорациях.

Но нужен баланс кнута и пряника. Чтобы они могли заплатить небольшие деньги и воспользоваться внешней услугой защиты, и в то же время было понимание, что при несоблюдении мер безопасности их настигнет штраф.

Карательные меры без обеспечения защитных мер я не приветствую. Ребенок обязан чистить зубы, но если у него нет пасты, то наказывать его за отсутствие должной гигиены глупо. Сначала нужно предоставить материальную базу.

– Но бизнес далеко не ребенок и должен быть ответственным.

– Безусловно, и есть яркие примеры безответственности – персонал отелей, офисных центров, которые у посетителей сканируют паспорта при регистрации. Потом недобросовестные сотрудники продают эти сканы в интернете за деньги. Нужно обязать каждый отель поставить себе мини-DLP-систему, которая будет отслеживать уходы во внешнюю среду. Цена вопроса – 300-400 тыс. рублей в год. Если будет риск попасть на штраф в 10 млн рублей, то компании будут страховаться внедрением систем защиты. Никто ведь не считает, что пожарные извещатели нужно ставить после первого возгорания.

– То есть, по аналогии, контролем должна заниматься специальная надзорная служба?

– Необходимо создать новое ведомство, условно говоря, Росинфобезнадзор. В текущей ситуации, когда много желающих нанести вред России, эта проблема становится гораздо актуальней.

СОЮЗ БЕЗОПАСНИКА С АЙТИШНИКОМ

– Какую динамику в развитии информбезопасности вы наблюдаете за последние годы? Насколько изменился профиль этой специальности?

– Профессиональный уровень ИБ-сотрудников сильно повышается. «Айтишники-аналитики» постепенно сменяют людей в погонах. Сейчас во многих вузах есть кафедра информационной безопасности, но точно этим должны заниматься не гуманитарии, а технари, не обязательно айтишники. ИБ-сотрудник должен уметь хорошо анализировать информацию, сопоставлять данные – это главное.

– В своих учебных программах вы рассказываете, как эффективно взаимодействовать IT-специалистам и безопасникам компании между собой?

– Отдельного модуля обучения по этой теме нет. Компании обычно внутри определяются с тем, как найти общий знаменатель между IT и ИБ, у которых изначально разное целеполагание. Хорошо, когда IT-служба сообщает о своих действиях в ИБ-отдел. Не сообщили – штраф, потому что манипуляции в инфраструктуре могут сильно влиять на безопасников. Сообщать – в общих интересах, оба отдела работают на благо бизнеса.

И многое остается в зоне неформального общения. Например, ИБ-специалист подходит к айтишнику и говорит: «Я вижу у тебя прокол. Давай вы исправите и оставим это между нами. Если через неделю не будет результата, то придется доложить руководству». При этом в каждой ИБ-службе должен быть айтишник.

«ЦИФРОВОЙ АТТАШЕ ДОЛЖЕН БЫТЬ СЕЙЛОМ»

– Для развития экспорта высоких технологий создается должность цифрового атташе. Насколько эффективна будет для отечественных компаний его помощь при взаимодействии с потенциальными зарубежными заказчиками?

– Сама идея, безусловно, правильная, но насколько верно она будет реализовываться, пока нет понимания. Неясно, по какому принципу будут отбирать цифровых атташе и какой у них бэкграунд. Это не согласовывали с игроками IT-рынка.

По идее, это должны быть не государственные сотрудники, поскольку им предстоит работать на бизнес. Значит, в отборе кандидатов мы тоже должны принимать участие, будучи, условно, работодателями

Также не очень понятна их мотивация. Мы считаем, что цифровые атташе должны получать свои 1-2% от принесенных контрактов. Другой важный момент – наличие у них административных рычагов влияния на посольства. Все-таки у МИДа нет KPI по экспорту отечественных IT-решений.

В моем понимании цифровой атташе – это хороший топовый корпоративный сейл с бэкграундом. У него должны быть возможности, связи в конкретной стране, где он прожил 5-10 лет. В том числе посольский ресурс, чтобы проводить там ивенты, организовывать встречи компаний.

Если говорить об экспорте IT комплексно, то в рамках комитета по экспорту РУССОФТ мы сформулировали предложения и создали дорожную карту по развитию экспорта. Ее задача – обеспечить комплексное, а не точечное продвижение отдельных продуктов. Мероприятия карты позволят двигать IT-отрасль целиком, и компании-экспортеры смогут не только пользоваться адресной поддержкой, но и двигаться в общем потоке, «прогретом» программой продвижения Made In Russia. В дорожной карте прописаны предложения в части финансов, налогов, субсидий, маркетинга российских продуктов. Но главное – озвучена потребность в создании центров для работы непосредственно в интересующих нас странах. За пандемию поняли, как важны личные встречи. Центры нужны для обеспечения комфортных рабочих мест для сотрудников компаний-экспортеров, коворкингов и инфраструктуры для размещения представителей российских компаний.

Денис Кунгуров