Держим ушки на макушке?

«Иногда создается впечатление, что безопасность информации не будет обеспечена, даже если компьютер поместить в подземный бункер и выставить охрану»

Вячеслав Медведев, ведущий аналитик отдела развития, компания «Доктор Веб»

1. Причин очень много. Дефицит средств. Малому и среднему бизнесу невозможно купить и поддерживать всю инфраструктуру, необходимую для обеспечения современной безопасности.

Мифы. Например, многие думают, что, купив некий правильный продукт, можно обеспечить стопроцентную защиту вне зависимости от ИТ-грамотности сотрудников.

Незнание основ ИТ-безопасности, назначения и возможностей ИБ-продуктов специалистами компаний. В большинстве случаев выбор закупаемых решений происходит на основании мифов и личных предпочтений ответственного сотрудника.

Недостаточная подготовка ИТ-специалистов. Это и недостатки учебной литературы, и массовые пропуски занятий в связи с тем, что студенты работают вместо учебы, и недостатки учебных планов. ИТ-специалисты очень часто не умеют презентовать руководству необходимые меры безопасности, их этому не учат.

2. Нет как такового дефицита «специалистов вообще». Есть дефицит специалистов, имеющих опыт и квалификацию, и есть дефицит компаний, готовых за эти квалификацию и опыт платить. В результате создается ситуация, когда, достигнув определенного потолка, специалист начинает поглядывать за рубеж.

Специфика работы специалиста в области ИБ такова, что ему нужно постоянно развиваться и отслеживать новые тренды. На момент выпуска студента из вуза то, что он проходил на младших курсах, имеет теоретическую, но уже отнюдь не практическую ценность. Именно поэтому хороший специалист в области ИБ должен увлекаться своей работой, любить эту тематику и интересоваться ею. Естественно, такими качествами обладают не все профильные выпускники.

Другая проблема – узкий рынок. Низкая платежеспособность населения не дает развиться мелкому бизнесу, интересные проекты крайне тяжело вывести на самоокупаемость (кстати, это еще и причина того, почему тормозит импортозамещение).

И еще одна проблема, тесно связанная с предыдущей, – дефицит менеджеров. Тех, кто может эффективно организовать работу, довести идею до коммерческой окупаемости, вывести компанию на мировой рынок. Очень грустно, что постоянно говорят о необходимости выпуска «программистов» и очень мало инициатив по подготовке менеджеров самого разного профиля.

3. Киберугрозы страшны всем. Даже компаниям, профессионально занимающимся кибербезопасностью. Изощренный фишинг, неизвестные уязвимости, ошибочные обновления, привносящие уязвимости, утечки паролей в сети Интернет, временной лаг между обнаружением новой вредоносной программы и началом ее детектирования продуктами безопасности – это повседневная реальность.

Иногда создается впечатление, что безопасность информации не будет обеспечена, даже если компьютер поместить в подземный бункер и выставить охрану, запрещающую к нему приближаться. Злоумышленники все равно найдут, как снять данные. Вопрос в стоимости этих данных.

«Большинство руководителей ИБ знают дорогиx высококвалифицированных специалистов. Их сложно нанимать – велика вероятность испортить отношения между компаниями»

Алексей Трипкош, руководитель отдела консалтинга в области информационной безопасности компании «ЛАНИТ-Интеграция» (входит в группу ЛАНИТ)

1. Исторически информационная безопасность в России рассматривалась бизнесом как расходное подразделение. Это связано прежде всего с тем, что топ-менеджеры развивали свой бизнес во времена, когда зависимость от ИТ была не так велика, а значит, и ущерб бизнесу с этой стороны был не сильно ощутим.

По мере увеличения зависимости и потенциального ущерба (иногда реального) функции информационной безопасности передавались ИТ-подразделениям как дополнительная нагрузка. При этом требования со стороны российского законодательства и лучших практик выполнялись по принципу «итальянской забастовки».

Когда бизнес все-таки почувствовал значимость информационной безопасности и начал искать квалифицированный персонал, самым логичным решением было обратиться к профессионалам из силовых структур. На тот момент они были (до сих пор являются) безусловными экспертами в этой области. Однако они не всегда были знакомы с бизнес-процессами, что вызывало определенные сложности с донесением до руководства необходимости информационной безопасности, ее ценности и общего вклада в бизнес.

Все это привело к тому, что на текущий момент отлаженными процессами ИБ и квалифицированным персоналом могут похвастаться в основном компании enterprise-уровня и государственные органы, причем не все. Сейчас мы находимся на этапе, когда руководителями ИБ становятся люди с компетенциями, как профессиональными, так и менеджерскими, поэтому согласование бюджетов и найма проходит быстрее и более успешно. Отсюда тренд на поиск достойных кандидатов, однако на рынке нет достаточного количества кадров.

2. Дефицит вызван исключительно повышением спроса. Высокими темпами развиваются информационные технологии, а вместе с ними и средства информационной безопасности. Это ведет к увеличению объема компетенций, специализации экспертов ИБ, появляются новые вендоры с новыми продуктами, классами решений и подходами. Весь этот рынок требует квалифицированных профессионалов.

Невозможность найти необходимого профессионала связана прежде всего с тем, что на рынке действительно мало специалистов. Большинство руководителей ИБ знают высококвалифицированных специалистов, которые довольно дорогие. Их сложно нанимать – велика вероятность испортить отношения между компаниями. Этому способствуют узкий рынок основных игроков и тематические конференции. Поэтому многие соглашаются брать людей с базовыми навыками и развивать необходимые компетенции.

Вузы выпускают специалистов с базовыми навыками, потому что сами преподаватели в основном теоретики, а не практики (это больше касается региональных учебных заведений). Редкий преподаватель или вуз сотрудничает с интеграторами, консалтинговыми компаниями или вендорами. Зачастую практические работы держатся только на энтузиазме преподавателей. В Москве и в крупных городах ситуация менее печальная.

3. Киберугрозы несут риски, связанные с репутационным или прямым ущербом, но как компания, занимающаяся проектами по информационной безопасности, мы следим за трендами и понимаем, насколько можем быть подвержены киберугрозам. Плюс ко всему, работая с вендорами и тестируя различные решения, мы можем определить полезность того или иного продукта. Некоторые из них мы внедряем. Иными словами, киберугрозы страшны, но мы минимизируем или нейтрализуем риски, связанные с этими угрозами.

«Чаще всего компании задумываются об улучшении уровня ИБ уже после того, как прецедент случился, а организация понесла серьезные финансовые или репутационные потери»

Тарик Альхаурани, директор по развитию бизнеса KYOCERA Document Solutions Russia

1. Кибератаки по-прежнему остаются одной из главных угроз для мировой экономики, считают эксперты ВЭФ. При этом не все организации уделяют достаточно пристальное внимание киберрискам, несмотря на то что киберугрозы с каждым днем становятся все сложнее.

К сожалению, менеджмент часто недооценивает риски современных киберугроз. Руководству бывает сложно оценить привлекательность идеи ежегодно выделять довольно большой бюджет, который, как может показаться, не принесет ощутимой выгоды. Чаще всего компании задумываются об улучшении уровня информационной безопасности уже после того, как прецедент случился, а организация понесла серьезные финансовые или репутационные потери.

2. Интерес к ИБ в зарубежных странах очень высок и продолжает расти, а соразмерно с этим возрастает спрос на ИБ-специалистов на рынке труда. В погоне за ценными кадрами компании готовы переманивать их из любых уголков планеты, предоставляя работу, визу и вид на жительство.

3. Как мы видим, хакеры придумывают все новые и новые изощренные способы, как получить выгоду от кибератак на компании.

Мы стараемся опережать любые угрозы: внедряем современные ИБ-технологии и рассказываем сотрудникам о киберрисках. Какими они могут быть? Какие правила информационной безопасности следует соблюдать? Как избежать кибератак? Что делать, если сотрудник заподозрил киберугрозу?

Корпорация KYOCERA выделяет немалые бюджеты на многоуровневую киберзащиту всей сети компаний, так как обеспечение информационной безопасности – это показатель надежности компании, ее партнеров и клиентов, о которых мы всегда заботимся.

«Чтобы отрасль двигалась вперед, нужны драйверы. Важно, чтобы на ИБ выделялись бюджеты, велась образовательная работа»

Татьяна Игуменшева, директор по маркетингу компании Attack Killer

1. Основная причина такого отношения – ограниченность ресурсов, которые могут пойти на обеспечение информационной безопасности. Особенно сильно это чувствуется в компаниях малого и среднего бизнеса, где функции директора по технологиям выполняет один человек (часто собственник), а выделенного департамента ИБ вообще нет.

Как показывает практика, такие организации начинают задумываться о кибербезопасности только после первого инцидента, когда на собственном опыте впервые видят разрушительные последствия кибератак на бизнес.

До некоторого времени злоумышленники действительно не так много внимания уделяли малому бизнесу, но сейчас ситуация меняется: по данным глобального исследования, в 2018 году уже почти половина компаний сегмента СМБ стала жертвой как минимум одной кибератаки. Это связано с тем, что, с одной стороны, взламывать крупные корпорации все сложнее, а с другой – киберпреступность становится массовым видом быстрого нелегального заработка. Поэтому, вероятно, даже небольшим компаниям придется больше внимания уделять обеспечению защиты.

2. Отрасль ИБ во всем мире развивается следом за информационными технологиями. В России исторически сложилось так, что кибербезопасностью занимаются представители спецслужб: именно у этой категории специалистов сконцентрировано больше всего экспертизы.

Более того, ситуация осложняется тем, что сегодня в России очень слабое образование по ИБ – вузов, качественно обучающих таких специалистов, единицы. Поэтому не накоплено кадрового резерва, как, например, в экономической или юридической сфере, и говорить о наличии подушке специалистов, из которых можно выбирать лучших, не приходится.

При этом нельзя сказать, что работа по развитию отрасли не ведется. Становление отрасли – довольно сложный процесс, особенно с учетом огромных территорий нашей страны: если в столицах есть профильное образование и курсы повышения квалификации, то в регионах дефицит компетенций чувствуется еще острее, ведь угрозы кибербезопасности растут экстерриториально. Чтобы отрасль двигалась вперед, нужны драйверы. Важно, чтобы на ИБ выделялись бюджеты, велась образовательная работа. Аналогичный путь некоторое время проходили и ИТ-компании, например, доказывая необходимость автоматизации. Сейчас такой путь проходит и отрасль информбезопасности.

«Основными виновниками утечки в большинстве случаев становятся не киберпреступники, а собственные сотрудники или сотрудники партнерских компаний»

Василий Хасанов, заместитель технического директора DIS Groupvasil

1. Конечно, существуют компании, где вопросам безопасности уделяется недостаточно внимания. Однако среди наших заказчиков – крупные банки, телеком-компании и т.п. В них я не вижу такой тенденции. Наоборот, мы видим движение и серьезный интерес в зачастую новых областях. Так, несколько лет назад вопросами промышленного обезличивания данных практически никто не занимался. А сейчас мы видим огромный интерес к этой теме.

2. Технологии очень быстро развиваются. Появляются новые типы данных. Объемы данных и их использование на различных устройствах растут лавинообразно. Данные играют все более значимую роль для бизнеса и становятся одним из его основных активов. Соответственно, растет количество задач ИБ. Появляется все больше задач, которые оказываются на стыке различных подразделений и областей ответственности – ИБ, ИТ, подразделений, ответственных за Data Governance, Compliance и риск-департаментов. Ведь важно, с одной стороны, обеспечить максимальную доступность данных для сотрудников. С другой – должный уровень конфиденциальности и безопасности.

3. Компании, с которыми мне приходится работать, имеют очень серьезную экспертизу в области информационной безопасности. Они уделяют должное внимание защите от киберугроз.

Кроме того, все больше и больше внимания начинает уделяться не только защите периметра, но и происходящему внутри него.

Связано это с тем, что основными виновниками утечки в большинстве случаев становятся не киберпреступники, а собственные сотрудники или сотрудники партнерских компаний.

«К сожалению, большинство компаний работает по реактивному принципу: сейчас пока сэкономим, посмотрим, что будут делать лидеры отрасли»

Владимир Кремер, руководитель отдела страхования финансовых рисков, AIG в России

1. Основная причина заключается в том, что подавляющее большинство компаний пока не понимает серьезность последствий киберрисков для своего бизнеса – не включили, не оценили эти риски в своей матрице риск-менеджмента.

Ну и, как это обычно бывает, пока что-то не случится, риска нет. Недавно я разговаривал со страховым брокером одной крупной российской технологической компании, которая отказывается покупать полис Cyber! Объясняют это тем, что риск им до конца не понятен, поэтому лучше они подождут, пока другие компании из отрасли начнут покупать это страхование. Почему-то они забывают о множестве уже случившихся киберинцидентов с известными российскими компаниями: вирусы-шифровальщики, сбои онлайн-оборудования, раскрытие персональных данных и т.д.

К сожалению, большинство компаний работает по реактивному принципу: сейчас пока сэкономим, посмотрим, что будут делать лидеры отрасли...

Но есть и совершенно другие примеры, когда компании, не связанные с ИТ-индустрией, но зависимые от компьютерных систем, прекрасно осознают масштаб потенциальных убытков от перерыва деятельности в связи с отказом системы и уже сейчас думают об организации страхования – у нас целый ряд таких запросов в работе.

Для многих покупку полиса делают обязательной заказчики, объясняя это необходимостью минимизации рисков для себя в случае киберинцидента. Для большинства западных заказчиков это единственный способ нанять российского подрядчика. Нередко компании приобретают полисы в рекламных целях – многие потребители озабочены рисками сохранности своих данных, и наличие страхования позволяет сделать услугу более привлекательной для них.

2. По нашему мнению, дефицита специалистов нет – есть дефицит хороших и недорогих специалистов. Если серьезно, то на самом деле наши вузы выпускают большое количество таких специалистов, однако в связи с тем, что информационная безопасность – сложная предметная область (в ней и математика, и юриспруденция, и ИТ, и криминалистика, и многое другое, кроме того, многие еще проходят сложную и дорогую профессиональную сертификацию), такие специалисты стоят дорого, и многие компании (даже те, которым такой специалист реально нужен) по ряду причин не готовы открывать соответствующую позицию.

Кроме того, не исключено, что часть специалистов переходит на «темную» сторону – молодые люди любят быстрые результаты, а на «светлой» стороне развитие, особенно в крупной компании, обычно занимает продолжительное время.

3. Киберугрозы страшны для любой компании. Очень важно понимать, что абсолютно любая компания, маленькая или большая, ИТ или не ИТ, розница или медицинская компания, или нефтегазовая, или производитель продукции, – для всех современных компаний киберугрозы представляют опасность, потому что все они используют компьютерные системы, а отказ компьютерной системы приводит к остановке или существенному затруднению ведения операционной деятельности.

Взломать можно абсолютно любую систему, вне зависимости от уровня ее сложности, защищенности, даже атомные станции взламывают. Это своеобразная гонка вооружений, такие угрозы будут постоянно расти, поэтому так важно об этом помнить. Какие-то компании готовы тратить деньги только на превентивные меры безопасности, но есть и другие, которые осознают, что о последствиях свершившихся инцидентов тоже нужно подумать – необходим полноценный риск-менеджмент, который включает в себя и страхование.

«Часто на должность системных администраторов берут не очень квалифицированных людей, которые могут только поддерживать простые сети. Это приводит к тому, что данные компаний растут, а хранятся абы как и без паролей»

Виталий Лазарев, предприниматель

Как правило, бизнес растет спонтанно и скачкообразными темпами, и там, где вчера требовался Wi-Fi-роутер за 2000 рублей, сегодня уже есть запрос на какую-то структуризацию сети, контроль и управление данными. Растет понимание того, что для компании необходим ИТ-специалист, который сможет дать им адекватное оборудование для решения их задач.

Часто на должность системных администраторов берут не очень квалифицированных людей, которые могут поддерживать простые сети, но речи о полном развитии сетевой инфраструктуры и баз данных не идет. Это все и ведет к тому, что данные компаний растут, а хранятся абы как и без паролей. Порой даже ничего не нужно взламывать, так как такие системы успешно ломаются сами! И данные (а значит, и деньги) растворяются в воздухе.

Чем это может быть вызвано?

• Экономией на специалистах – когда руководитель целенаправленно берет низкокачественного специалиста или дешевое оборудование, дабы сэкономить здесь и сейчас.
• Лень/незнание того, «как делать надо», у системного администратора. Такой будет говорить своему руководителю о выполненных работах и рассказывать, как в компании все хорошо с ИТ-инфраструктурой.
• «Нам скрывать/терять нечего» – когда руководители компании попросту считают, что ничего не произойдет и никаких рисков нет. За свою практику я видел, что лишь иностранные и крупные российские компании беспокоятся о безопасности своих данных. Все остальные, так или иначе, относятся халатно к защите своих данных. Я считаю, что это недопустимо, так как всегда есть вероятность, что кто-то решит взломать вашу сеть и украсть ваши данные и данные ваших клиентов.

«Быстро стать специалистом по ИБ нельзя, а подготовка в вузах по этому направлению пока не соответствует реальным требованиям бизнеса»

Константин Рензяев, генеральный директор CorpSoft24

1. В нынешних условиях бизнесмены стараются сэкономить на всем, и поначалу инженер по информационной безопасности кажется не самым нужным сотрудником. Но однажды столкнувшись с проблемами в сфере ИБ (будь то DDoS-атака, вирус-шифровальщик или кража данных), руководство компании резко меняет свое мнение и в спешном порядке начинает искать способы защиты. При этом сразу же возникает проблема с поиском грамотного специалиста!

2. Достаточно проанализировать информацию с рекрутинговых сайтов, чтобы увидеть общую картину. Сегодня спрос превышает предложение, к тому же наблюдается явный дефицит толковых и высококвалифицированных сотрудников. И это комплексная проблема.

По большому счету специалистом по ИБ может стать как сетевой, так и инфраструктурный инженер, но (!) для него нет хороших курсов и базы для переподготовки. Отличной школой являются интеграторы, но подготовка требует времени, да и выращивают там специалистов «под себя». В то же время хакеры-самоучки не отличаются дисциплинированностью и никогда не пойдут работать по стандартному графику с 8 до 18.

Отмечу, что быстро стать специалистом по ИБ нельзя, а подготовка в вузах по этому направлению пока не соответствует реальным требованиям бизнеса.

3. Киберугрозы представляют опасность даже для самой защищенной компании. В случае когда зловреды (устоявшийся термин в этой среде, иначе – вредоносные программы) не имеют возможности проникнуть в компанию по внешним каналам, их постараются «внедрить» через сотрудников!

Я знаю историю одного пентеста, когда вторгнуться извне не удалось, но был придуман довольно хитрый план. Через социальные сети была выбрана сотрудница компании, и ей отправили огромный букет цветов, записку с информацией об отправителе и флешку с «сюрпризом». Затем сотрудница вставила флешку в несколько компьютеров, так как открыть на своем не смогла. Таким нетривиальным способом зловреды достигли своей цели.

«Экономика России довольно молодая, инвестирование в ИБ идет с большой задержкой и по времени, и по объемам, если сравнивать с западными компаниями»

Яков Гродзенский, руководитель направления информационной безопасности компании «Системный софт»

1. У многих представителей бизнеса нет четкого понимания угроз ИБ и последствий их реализации, не зря именно в России придумана поговорка «пока гром не грянет, мужик не перекрестится». Кроме того, сама по себе экономика России довольно молодая, инвестирование в ИБ идет с большой задержкой и по времени, и по объемам, если сравнивать с западными компаниями.

2. С одной стороны, дефицит специалистов по ИБ связан с отсутствием желания инвестировать в отрасль, в этом случае функции обеспечения ИБ перекладывают на ИТ-специалистов.

С другой стороны, в ряде вузов обучение информационной безопасности носит сугубо теоретический характер, а обучение прикладным решениям вендоров достаточно дорогое и далеко не все выпускники могут себе его позволить.

Тем не менее положительный тренд все-таки есть: спрос на ИБ-специалистов, безусловно, выше предложения.

«Со всей уверенностью могу сказать, что наша система государственного образования в отрасли не может покрыть спрос рынка»

Алексей Гришин, руководитель отдела по информационной безопасности «Аладдин Р.Д.»

1. Информационная безопасность – затратная часть бюджета, которая ограничивает бизнес-процессы компании и не приносит прямую финансовую выгоду. Поскольку любой бизнес стремится к скорости и прибылям, проекты ИБ будут оставаться далеко не на лидирующих позициях.

Информационные системы с эффективными ИБ-решениями внедряются лишь в том случае, когда финансовая стабильность компании высока, а ее основная задача – не выживание на рынке, а формирование доверия целевой аудитории вокруг предлагаемых ей продуктов. К сожалению, в России бизнес строится по схеме быстрого получения выгоды, поэтому продуманные и сильные решения в сфере информационной безопасности – редкость.

2. Дефицит ИБ-специалистов вызван в первую очередь проблемами образования и подготовки новых кадров. Я участвую в образовательных проектах в сфере ИБ уже десятый год и со всей уверенностью могу сказать, что наша система государственного образования в отрасли не может покрыть спрос рынка. Причин слабой подготовки кадров вузами много, основными, на мной взгляд, являются следующие:

• ИБ – быстро модифицирующаяся область, и учебные программы всегда запаздывают на один – три года относительно реальности, так как преодолевают бюрократические процессы, постоянное обновление лабораторных классов и «дообучение» педагогов.
• Непривлекательная заработная плата в образовательных учреждениях для молодых специалистов. Зарплата за час младшего аналитика в ИБ или специалиста по обратной разработке программного обеспечения в 4-20 раз больше, чем заработная плата преподавателя по аналогичной дисциплине. Логично, что молодому специалисту заниматься обучением неинтересно и неприбыльно.
• Традиционный образовательный подход неэффективен при обучении текущего поколения. Отсутствие возможности выбирать курсы, ограниченность в способе подачи материала, отсутствие возможности самореализации и неактуальность образовательных курсов быстро отбивают у студентов желание учиться и развиваться в достаточно сложной и многогранной сфере ИБ.

«Многие современные руководители относятся к безопасности как к досадной необходимости, на которую всегда жаль тратить время и силы»

Илья Тимофеев, руководитель направления «Информационная безопасность» Академии АйТи

1. Системная работа по этому направлению часто идет вразрез с нашим традиционным подходом к бизнесу, а особенно в быстро меняющихся условиях. К сожалению, многие современные руководители относятся к безопасности как к досадной необходимости, на которую всегда жаль тратить время и силы, тем более планировать бюджеты и контролировать их выполнение.

Ситуация может измениться в двух случаях: если компания или часть ее бизнеса уже пострадали от реализации тех или иных угроз ИБ, или если основной актив компании – информация, информационные системы и сервисы.

Для решения первой проблемы, как правило, вводится должность CISO (ИБ-директора), закупаются дорогие системы защиты информации, резервирования, создаются или усиливаются ИБ-службы, нанимаются специалисты, порой даже обучаются все сотрудники.

Во втором случае невнимание к вопросам безопасности и несистемный подход – прямая угроза существованию бизнеса, поэтому руководители занимаются обеспечением безопасности своей компании с самого начала. Как правило, это ИТ и телеком-компании, финансовые институты, цифровые медиа, а также относительно молодые, быстро растущие компании периода уберизации, с основным каналом продаж через веб, мобильные приложения, социальные сети.

2. Причин несколько. На поверхности – тот самый несистемный подход к обеспечению ИБ, который мы обсуждаем. Иногда руководителю кажется, что сегодня специалисты по ИБ в штате затратны и не нужны, а завтра «гром грянул» и возникает срочная необходимость найти самого лучшего специалиста в этой сфере.

Вторая причина: потребности рынка труда и подготовка специалистов вузами – процесс адаптивный, налаживаемый. Однако в случае с подготовкой ИБ-специалистов скорость изменения требований к ним на рынке такова, что немногие учебные заведения успевают менять свои программы, совершенствовать их под новые реалии, перестраивать учебный процесс.

Наконец, это недостаточное внимание к переподготовке уже работающих в компании ИБ-специалистов. Штатные сотрудники, знающие специфику бизнеса изнутри, порой не могут решать усложняющиеся вопросы обеспечения кибербезопасности ввиду недостаточной квалификации. Выстроенная политика, управление процессами обеспечения информационной безопасности должны учитывать и задачи обучения, так как это приведет к снижению дефицита подходящих кадров и системной работе.

«Задачи по ИБ компании закрывают специалистами смежных специальностей»

Илхом Назаров, Heads and Hands

Традиционное отсутствие внимания к информационной безопасности в России связано с низким уровнем автоматизации и цифровизации сервисов и услуг, а значит, и низким уровнем риска для компаний. В то же время ситуация уже выглядит иначе для таких передовых сфер, как финансы, телекоммуникация, софтверная разработка, а в последние два года стандарты ИБ стали внедряться в строительстве и медицине.

На рынке нет как широкого спроса на специалистов ИБ, так и стандартов, по которым можно было бы подготовить таких специалистов для дальнейшего трудоустройства. Задачи по ИБ компании закрывают специалистами смежных специальностей: разработчиками, тестировщиками и системными администраторами, службой безопасности.

Наша компания занимается разработкой сложных веб и мобильных сервисов, нагруженных ИТ-систем. Поэтому мы сталкиваемся с проблемами ИБ и киберугрозами как в собственных производственных процессах, так в процессах наших клиентов. Чаще приходится решать задачи хранения персональных данных, защиты от DDoS- атак и пиковых нагрузок, защиты от взлома систем управления, утечки или фальсификации операционных данных.

«Для минимизации рисков необходим комплексный подход к информационной безопасности, равномерно охватывающей технологический и административный уровни и перекрывающий все потенциальные возможности несанкционированного доступа к данным и их использования»

Вячеслав Логушев, директор направления ИТ-сервиса и аутсорсинга компании X-Com

1. Проблемы ИБ малого и среднего бизнеса связаны чаще всего с банальной экономией на профильных специалистах: если технические средства защиты компания еще может себе позволить, то содержание в штате профильного специалиста, а то и целой команды, часто оказывается не по карману.

Вариант передачи функции обеспечения безопасности корпоративных данных на аутсорсинг сторонней сервисной компании обычно даже не рассматривается в силу специфики менталитета и ряда других причин. В крупных компаниях халатность в обеспечении безопасности информационных активов может стать угрозой самого существования бизнеса, вследствие чего они вынуждены привлекать для их защиты штатных экспертов. Но даже им отсутствие системного мышления мешает создать надежную систему ИБ: обеспечивая надежную технологическую защиту, они нередко оставляют без должного внимания безопасность на административном уровне.

В итоге узким местом системы становится пресловутый человеческий фактор. Свидетельство тому – ряд громких инцидентов, связанных с утечками персональных данных и информации о движении средств по счетам клиентов одного из крупнейших банков страны. Авторитетные ИБ-эксперты сходятся во мнении, что получить столь полную информацию злоумышленники не могли без участия недобросовестных сотрудников кредитной организации. Для минимизации этих рисков необходим комплексный подход к информационной безопасности, равномерно охватывающей технологический и административный уровни и перекрывающий все потенциальные возможности несанкционированного доступа к данным и их использования.

2. Главная причина, на мой взгляд, связана с отсутствием в нашей стране отлаженной системы подготовки и повышения квалификации таких специалистов. Выпускники технических университетов обладают сильной теоретической базой, но не способны применять ее при решении прикладных задач. Практические навыки им может дать работа в команде разработчика, интегратора или заказчика систем информационной безопасности, но войти в нее вчерашнему студенту бывает непросто. Решению этой проблемы сегодня способствует сложившаяся коллаборация образования и бизнеса. Лидеры российского рынка, следуя примеру западных коллег, развивают собственные учебные программы на базе крупнейших технических университетов страны, формируя кадровый резерв из наиболее талантливых выпускников.

«Страшны не киберугрозы, а ущерб от них»

Алексей Майоров, руководитель направления информационной безопасности компании Bell Integrator

1. Мое мнение, что руководство таких компаний не обладает достаточным уровнем зрелости менеджмента и пытается экономить «на спичках». И такая ситуация в конце концов приводит к крупным утечкам критичной информации и убыткам на большие суммы.

2. К сожалению, на рынке мало специалистов, имеющих реальный опыт практической информационной безопасности. И стоят они дорого. Но если компания хочет минимизировать риски причинения себе крупного ущерба, нужно потратиться.

3. Страшны не киберугрозы, а ущерб от них. В нашей компании руководство уделяет пристальное внимание проблемам информационной безопасности, использует соответствующие организационные и технические меры по защите конфиденциальной информации. Поэтому риски утечки минимизированы до приемлемой величины.

«Пока не поменяется отношение к культуре информационной безопасности, где защита важных данных и все, что с ней связано, не будут стоять на первом плане, некоторое отставание направления от реальных потребностей будет ощущаться»

Борис Меркулов, инженер по облакам и информационной безопасности Linxdatacenter

1. Главная причина: несформировавшаяся общая культура информационной безопасности (ИБ). Это проблема не только нашей страны, о чем регулярно свидетельствуют новости о масштабных информационных утечках по всему миру, которые происходят в самых крупных и авторитетных компаниях и организациях. Их основная причина – человеческий фактор.

Все как в жизни: пока какая-то проблема не коснулась нас непосредственно, она «виртуальна», думать о ее вероятности и работать в направлении профилактики возможных последствий многим руководителям некогда. Перемена в отношении происходит, только когда какой-то инцидент с реальными финансовыми или репутационными последствиями случается либо с самой компанией, либо рядом с ней – взломали кого-то из партнеров, конкурентов и т.д.

Мне кажется, определенные перемены в этом направлении сегодня наблюдаются, но скорость их наступления не соответствует темпам развития киберугроз. ИТ проникают во все сферы жизни, пропорционально растут и связанные с прогрессом риски – вопросы информационной безопасности перемещаются на первый план не только в корпоративном секторе, но и в сфере повседневной жизни каждого из нас. И именно с этого сегодня следует начинать общую работу по изменению отношения к ИБ в целом, эти вопросы должны проясняться с детства, закладываться в человека на уровне привычки, которую далее люди практикуют как в своей жизни, так и на работе.

2. Комплекс причин. Спрос растет, хороший специалист по ИБ без работы сегодня не останется, и платить ему будут соответствующим образом. Другое дело, что у профессии специалиста по информационной безопасности нет такой популярности, как, например, у разработчика софта – молодые люди в восьми случаях из 10 выберут путь разработчика ПО, а не инженера по ИБ. Здесь меньше «романтики», работа более рутинная, требующая вдумчивого анализа, монотонная, незаметная, хотя и чрезвычайно полезная.

Вузы в принципе уделяют внимание информационной защите, но пока рынок труда и запросы абитуриентов будут диктовать свои условия, им будет трудно выпускать на рынок достаточное число профильных специалистов. Повторюсь, пока не поменяется отношение к культуре информационной безопасности, где защита важных данных и все, что с ней связано, не будут стоять на первом плане, некоторое отставание направления от реальных потребностей будет ощущаться.

3. Сегодня киберугрозы касаются абсолютно всех – частных лиц, государственных структур и бизнеса. Другое дело, что ИТ-компании по своему профилю более осведомлены о реальности тех или иных сценариев в области ИБ и лучше к ним готовы, чем рынок и государство в целом. Наши дата-центры в этом плане обладают всем необходимым для гарантий целостности защитного периметра и всех критически важных данных для нас, наших клиентов и конечных пользователей, предоставляемых ими сервисов.

«Вопросы информационной безопасности активно обсуждаются как на государственном уровне, так и на уровне многочисленных профильных конференциях для корпоративных клиентов»

Антон Мейнцер, главный архитектор информационных систем Консорциум «Кодекс»

На государственном уровне информационная безопасность носит скорее декларативный, бумажный характер – защита персональных данных, обновление различных российских стандартов на криптографию, ограничение доступа к тем или иным данным, а также сертификация и аттестации объектов. На бумаге всё очень красиво, а на практике… На государственном уровне, там, где нужна реальная информационная безопасность применяются опробованные временем технологии – компьютеры надёжно изолируются от различных коммуникаций, железная дверь на входе, информация передаётся на бумажных носителях или по специализированным, закрытым сетям связи. Сотни компаний работают на этом рынке, аттестуют объекты, проверяют код на не декларированные возможности, устанавливают сертифицированные файерволы и средства VPN. Услуги их дороги, а реальный результат вызывает вопросы.

Если с этой же позиции подходить к безопасности на негосударственных предприятиях, то ничего хорошего не получится. Потому-что, информационная безопасность – это не аттестат на сегмент компьютерной сети или сертификат на отечественное ПО, а комплекс мер, направленный на поддержание целостности, доступности и конфиденциальности информации, разработанный специалистами в соответствии с концепцией развития ИТ-инфраструктуры компании. Современная компания, которая не планирует своё развитие в плане информационных технологий на ближайшие 3-5 лет уже проиграла на рынке своим конкурентам, которые планируют развитие сегодня.

То есть, понятие информационной безопасности неотделимо от стратегического развития компании, которое будет включать в себя технологии и информационные ресурсы используемые и создаваемые в ближайшей перспективе.

Такой стратегический подход требует значительных вложений в ИТ-инфраструктуру, в части информационной безопасности, в специалистов, что в настоящий момент позволить себе может далеко не каждая компания. На мой взгляд, это является основным препятствием системного подхода к данным вопросам. Информационные технологии только-только начинают восприниматься серьёзно топ-менеджментом организаций. Вчера автоматизация касалась бухгалтерии, а сегодня, если у компании есть сайт, CRM, документооборот, то вроде, как и цифровизация завершена!

Информационную безопасность обычно обеспечивает системный администратор или группа администраторов. Развитие ИТ-инфраструктуры предприятия идёт «от потребностей бизнеса» – то есть деньги выделяются на вполне конкретные программные продукты, сервера, периферию и слабо согласовано со стратегией развития компании в целом.

Бурное развитие информационных технологий в последние десятилетия не позволяют ВУЗам адекватно и быстро перестраивать учебную программу и готовить специалистов в области ИБ. Если с академическими предметами, математикой, физикой, всё более-менее неплохо, то в АйТи ситуация меняется ежегодно, ежемесячно и учебные заведения просто не способны готовить выпускников нужного уровня.

На сегодняшний день, любая компания находится под постоянным пристальным вниманием агрессивных информационных систем извне. Корпоративные сайты сканируются на уязвимости, и если их защита недостаточна, то внедряется вредоносный код. Электронная почта сотрудников атакуется рассылками спамеров, рассылаются вирусы и троянские программы. Эти процессы происходят автоматически, с минимальным участием людей и их цель – заразить компьютеры вашей локальной сети, превратить их в ботнет, сеть зомби-компьютеров. Хакеры с использованием социальной инженерии атакуют сотрудников посредством социальных сетей и мессенджеров. Постоянная борьба «меча» и «щита», средства нападения и защиты не даёт ни одной компании расслабиться и почувствовать себя в безопасности!

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

Copyright © Системный администратор