ИБ учиться ? каждому пригодится
Российские и зарубежные эксперты убеждены: для надёжного обеспечения информационной безопасности мало подбирать соответствующих специалистов и регулярно повышать их квалификацию. Грамотно защищать информацию должны уметь все сотрудники кредитно-финансовых организаций и других участников национальной платёжной системы.
ДЕФИЦИТ СПЕЦИАЛИСТОВ
Отец теории постиндустриального общества Дэниэл Белл выделял 3 опорные точки научно-технических революций: изобретение паровой машины (XVIII век), открытия в области химии и электричества (XIX век) и, наконец, создание компьютеров и интернета (XX век). По всей видимости, сегодня мир переживает четвёртую революцию, информационно-коммуникационную. Отметим, что каждому научно-технологическому перевороту соответствует своя «техника безопасности». Правила которой должны знать не только специально подготовленные сотрудники, ответственные за их соблюдение, но и все работники, допущенные до новой техники.
Для нашего времени IT-рывка актуальна информационная безопасность, и, соответственно, важны не только профессионалы в этой области, но и соблюдение правил защиты информации всем персоналом, работающим на компьютерах. Российские и зарубежные эксперты солидарны, что мощная инфраструктура для прорыва на новый уровень информатизации всех сфер общества уже выстроена. Значит, требуется достаточное количество специалистов по информационной безопасности и всеобщее знание основ защиты информации.
Об этом говорили, в частности, участники CNews Forum 2012, проведённого CNews Conferences и CNews Analytics в начале ноября 2012 года. По словам генерального директора компании Ericsson в России Дмитрия Масельского, «Россия, как и весь мир, находится на пороге такого колоссального рывка, что мы ещё даже не можем его осознать». По мнению Антона Левикова, ИТ-директора холдинга «Новард», вопросы информационной безопасности становятся всё более важными, так как в бизнесе растет роль компьютерных систем.
Согласно результатам последнего опроса, проведенного компанией Ponemon Institute среди 56 коммерческих и государственных организации в различных странах мира, на информационную безопасность каждая из них выделила в 2011 году в среднем $8,9 млн – на 6% больше, чем годом ранее. Прогноз таков: рост общей и профессиональной культуры защиты информации будет идти прежними темпами, повысится роль государственного регулирования и качество решений обеспечения ИБ. Тревогу вызывает отставание роста квалификации новых кадров, а также нарастание их дефицита.
Ситуация дефицита специалистов по информационной безопасности остро стоит в России, – отметил Сергей Гордейчик на прошедшем в мае 2012 года II Международном форуме по ИБ Positive Hack Days. Нехватка специалистов связывается с их утечкой за границу и отсутствием единой стратегии развития отрасли. Всё более значимую роль в обеспечении информационной безопасности играют не сами по себе технические средства, а человеческий фактор – умение ими пользоваться. Один из главных аспектов – наличие подготовленных кадров, способных эффективно решать проблемы ИБ, что особенно важно для кредитно-финансовой отрасли и платёжных систем.
На семинаре, посвящённом подготовке кадров для ИБ, проведённом в октябре 2012 года на очередной ежегодной выставке- конференции INFOBEZ-EXPO 2012, были приведены следующие данные. В большинстве обследованных компаний нет отделов информационной безопасности – в силу непонимания их необходимости или «отсутствия средств». В 45% банков проблематикой ИБ занимается всего 1 сотрудник.
Годовая потребность в специалистах по информационной безопасности в масштабе страны оценивается в 5 000 человек в год. Вузами и средними специальными учебными заведениями их выпускается меньше, только 2 000. Но соотношение спроса к предложению по данной специальности в целом по России ещё ниже, составляет 7 резюме на 1 вакансию. По Москве это соотношение меньше, всего 3,2 резюме на 1 вакансию.
ОБУЧЕНИЕ ПЕРСОНАЛА
Одним из эффективных ресурсов обеспечения высокого уровня ИБ организации является работа с персоналом. По оценке зарубежных экспертов, такая работа должна быть неотъемлемой стороной системы обеспечения информационной безопасности. Деннис Девлин, CISO, руководитель службы ИБ из Brandeis University, штат Массачусетс (США), считает: большинство людей делают ошибки прежде всего потому, что не знают, что именно они делают неправильно.
ИТ-специалисты должны не только обучать сотрудников основам ИБ, но объяснять важность выполнения установленных правил. Апелляция к сознательности закрепляет навыки лучше, чем тренинги, позволяет принимать правильные решения в нестандартных ситуациях. Всем сотрудникам должно быть разъяснено, как защищать данные при работе не только на веб-сайте компании и с электронной почтой, но и в социальной сети Facebook, в блогах и микроблоге Twitter. Речь идёт не о праздных забавах в рабочее время, а о разных каналах коммуникаций, донесения до профессионального сообщества, партнёров и клиентов информации в привычных для них форматах. Такое обучение должно проводиться не от случая к случаю, а на постоянной основе.
Генеральный директор компании Prism Microsystems, отвечающий за ИБ, Анант Н. Анант добавляет: «Важно обеспечить постоянное обучение сотрудников выполнению рабочих процедур в соответствии с установленными правилами и организовать обмен опытом по вопросам ИБ, а кроме того, строго следить за соблюдением этих правил. Люди должны знать, что вы смотрите за ними, в этом случае они с большей вероятностью будут соблюдать надлежащий порядок».
По мнению Дж. Стюарта, CSO (руководителя службы безопасности) компании Cisco, нельзя не учитывать тот факт, что любопытство – природное качество человека. Различные приложения и гиперссылки всегда будут вызывать желание открыть их, и никакие самые совершенные меры безопасности не способны предотвратить ущерб, если пользователи невежественны.
Многие сотрудники, не обладая достаточными знаниями и опытом, не готовы к действиям в высокодинамичной рабочей среде с высокой степенью риска и открытости. Они также, как правило, не имеют представления о технических аспектах безопасности и не испытывают желания ликвидировать этот пробел в своих знаниях. Именно поэтому сотрудники служб ИБ должны активно разъяснять пользователям их роль в защите как себя, так и организации в целом. Кроме того, активное участие сотрудников в решении вопросов ИБ следует поощрять, тогда как нарушители установленных правил должны отвечать за свои проступки.
Михаэл Танджи, CSO компании Kyrus Tech, Inc., занимающейся вопросами ИБ, в том числе по заказам Министерства обороны США, считает, что самая большая проблема ИБ – мы сами. Результатов не добиться, пока все не поймут: нужно принять необходимость изменить себя. И здесь важнейшим условием успеха выступает выработка единой терминологии. Совершенно необходимо анализировать ситуации, возникающие в сфере ИБ, на объективной основе, хотя часто дело обстоит наоборот. Псевдонаучный подход создает у людей впечатление, будто бы ИБ – нечто вроде астрологии, и тем самым отталкивает их.
В руководстве Торговой палаты США по информационной безопасности Internet Security Essentials for Business 2.0 отмечается, что человеческий фактор является одной из самых серьезных угроз для ИБ. Сотрудники, пренебрегающие мерами безопасности, фактически открывают доступ хакерам в систему организации. Неважно, идет ли речь о чтении электронного письма из спама, загрузке программы или письма из ненадежного источника, или отправке важной конфиденциальной информации на адрес, сфабрикованный мошенниками.
ПРАВИЛА ДЛЯ ВСЕХ
В этой связи в руководстве по организации ИБ Федерального агентства США по связи (FCC) указывается, что одной из важнейших задач является подготовка персонала к распознаванию так называемого «социального инжиниринга». Это методы проникновения в защищённые системы как через интернет, так и при телефонных контактах, основанные на учёте индивидуальной психологии.
Пусть ограничения на использование интернета сотрудниками на рабочем месте широко варьируются от бизнеса к бизнесу. Следует стараться, чтобы правила, устанавливаемые руководством банка или иной финансовой организации и службой ИБ, предоставляли сотрудникам максимальную степень свободы. Эта свобода им необходима, чтобы быть продуктивными. Короткие перерывы для веб-серфинга или решения личных вопросов онлайн, как доказано на практике, позитивно влияют на повышение производительности труда.
В то же время, установленные правила поведения нужны для того, чтобы все сотрудники представляли, в каких границах нужно держаться, чтобы не подвергать риску ИБ и одновременно не нанести ущерба эффективности работы своей организации.
К числу этих правил можно отнести:
- предоставление перерывов в работе для веб-серфинга, которые должны быть ограничены разумным количеством времени и определёнными типами действий;
- если в организации используется какая-либо система фильтрации интернет-трафика, сотрудники должны иметь чёткие представления о том, как и почему контролируются их действия в сети, какие типы сайтов попадают в разряд нежелательных согласно установленным правилам;
- правила поведения на рабочем месте должны быть ясными, краткими и легко выполнимыми. Сотрудники должны чувствовать себя комфортно при выполнении как личных, так и профессиональных задач онлайн, без необходимости прибегать к умозаключениям, является ли то или иное их действие правомерным.
Персональная информация, собранная из социальных сетей или размещенная на web-сайтах, также может быть использована мошенниками для создания различных уловок и введения сотрудников в заблуждение. К таким источникам информации, прежде всего, относятся профили пользователей в LinkedIn, Facebook, а также сообщения в Twitter и им подобных интернет-ресурсах.
Подготовка по вопросам ИБ должна обеспечивать понимание сотрудниками уязвимостей и угроз для бизнес-операций, осуществляемых при использовании компьютера в корпоративной сети. Программа подготовки также должна включать в себя обучение ИТ-пользователей вопросам политики безопасности, процедурам и методам оперативного и технического контроля, необходимым для поддержания должного уровня ИБ.
Пользователи должны:
- понимать и соблюдать правила и процедуры ИБ;
- пройти соответствующую подготовку по правилам обращения с системами и приложениями, к которым они имеют доступ;
- своевременно обновлять программное обеспечение и приложения с целью устранения угроз ИБ;
- чётко знать, какие действия они могут предпринять, чтобы лучше защитить служебную информацию.
Эти действия включают в себя: надлежащее использование паролей, резервное копирование данных, организацию надёжной антивирусной защиты, сообщение о любых подозрительных инцидентах или нарушениях правил ИБ.
Также необходимо четкое определение того, что считается конфиденциальными данными. Как правило, к конфиденциальной информации относятся следующие данные, которые должны обрабатываться с соблюдением мер предосторожности:
- различные идентификационные номера (например, номера карточек социального страхования, водительского удостоверения и т.п.);
- финансовая информация (номера банковских счетов, номера кредитных карт);
- медицинские документы;
- информация о медицинской страховке;
- информация о зарплате;
- логины и пароли.
ОБЕЗОПАСИТЬ «ЧЕЛОВЕЧЕСКИЙ ФАКТОР»
Следует сознавать, что утечки информации о клиентах, служебной информации о банке, финансовой организации способны привести не только к потере общественного доверия к компании, но также могут иметь самые разрушительные последствия для бизнеса, сопоставимые по масштабам со стихийным бедствием.
Для противодействия подобным угрозам работникам службы ИБ необходимо выделять значительное количество времени и ресурсов, в том числе – на соответствующую подготовку других сотрудников. Следует, c одной стороны, выявлять потенциальные уязвимости бизнес-среды в целом, с другой – фиксировать стандартные процедуры и действия, выполняемые каждым сотрудником в течение рабочего дня.
Подготовка по вопросам ИБ сотрудников, поступивших на работу в кредитно-финансовую организацию или другую организацию платёжной системы, играет весьма важную роль. Подобную подготовку необходимо проводить не только сразу после приема их на работу, но периодически повторять не реже одного раза в год.
В ходе повседневной деятельности не следует пренебрегать такими простыми, но эффективными мерами, как выпуск ежемесячных информационных бюллетеней по вопросам ИБ, срочных сообщений о новых видах угроз, в том числе вирусных, и даже плакатов по актуальным проблемам безопасности и защиты персональных данных. Все эти меры в совокупности способны обеспечить рабочую среду устойчивостью к внешним и внутренним угрозам.
Ещё раз подчеркнём: во многих случаях наибольшую угрозу для финансовых организаций представляет собственный персонал. Поэтому основные мероприятия по предотвращению негативного воздействия «человеческого фактора» должны обязательно включать повышение компетентности сотрудников в вопросах ИБ. До них должны доводиться результаты описания бизнес-процессов, инвентаризации, а также классификация информации по степени её конфиденциальности.
Особое значение имеет организация полномасштабной работы по контролю за соблюдением сотрудниками правил и процедур ИБ, позволяющей на ранних этапах выявлять нарушителей потенциальных и применять меры дисциплинарного взыскания по отношению к нарушителям реальным.
Обеспечить защиту информации как одного из главных активов кредитно-финансовых и иных организаций национальной платёжной системы позволяет комплекс различных мер. Лучшее дополнение организационных мероприятий и технических средств защиты информации – соответствующие знания, умения и навыки сотрудников. Кроме компетентности в вопросах информационной безопасности, в их повседневной работе должны проявляться также личная ответственность и привычка автоматически соблюдать установленные правила.
.png)