"Утечки и крайности"

С одной стороны «у нас секса нет», с другой стороны «смерть шпионам» — именно такие две крайности наблюдаются на практике в деле борьбы с утечками конфиденциальной информации. Недооценка риска утечек или же их излишняя демонизация.Вместо того, чтобы по науке оценить стоимость соответствующего риска, на многих предприятиях принято шарахаться от правого уклона к левому: расценивать утечки конфиденциальной информации либо как безобидные, либо как фатальные.Позвольте привести два примера из практики автора.Первый случай рассказал автору один работник аудиторской компании. Аудит ИБ заказала фирма средних размеров, при этом директор, он же владелец контрольного пакета, намекнул, что отчёт ему нужен не «для галочки» (т.е. не только для продажи акций, убеждения инвесторов, выхода на биржу и т.п.). Заключение аудиторов он будет читать.Специалисты обследовали предприятие и нашли, что в плане безопасности гайки затянуты по самое «не балуй». Всё просматривалось, прочитывалось, записывалось и хранилось вечно. Каждый чих — под роспись и протокол, каждая мельчайшая коммерческая тайна — с грифом, номером и спецучётом в спецжурнале. Тут тебе и организационные процедуры, и технические средства, и правовые «подпорки». Утечек действительных и потенциальных консультанты не нашли. Но их удивило то обстоятельство, что принятые меры защиты оказались совершенно неадекватны ценности защищаемой информации.Написать об этом в отчёте аудиторы не решились, рассудив, что директор-владелец может обидеться. Если он ввёл тотальную слежку, то неспроста. Прикинуть цену рисков у него ума хватило бы и без внешних консультантов. Значит, дело не в рисках. А в чём? Очевидно, в чувстве хозяина.В данном случае, как и в ряде других, утечки информации — всего лишь предлог для закручивания гаек, установления жёсткой вертикали и демонстрации разности социального положения работников. То есть, построения иерархии в коллективе. Все процедуры, формально относящиеся к информационной безопасности, тут направлены не на безопасность, а на удовлетворение тщеславия «безопасников», а также на поддержание принятых социальных ритуалов.В подобных случаях безопасность подменяется на власть, на пальму вожака, который сидит в генах любого человека (мужчины, во всяком случае). И лучше ему поперёк дороги не становиться.В чём-то противоположная история произошла на одном предприятии в Рязани в 2003 году. Директор предприятия полагал, что конфиденциальной информации у него нет, и утечек поэтому бояться не надо. И не тратил денег на защиту. То, что ценные данные в хозяйстве всё-таки были, обнаружилось, как в той сказке про договор царя с водяным. Несправедливо уволенный работник прихватил с собой всю чёрную бухгалтерию лавки. После чего предложил директору её купить, обещая в противном случае «отнести туда, где за неё не дадут ни копейки». Вот тогда-то задним умом и сообразили про необходимость защиты.Где-то между двумя этими крайностями и располагается действительная цена риска вашей утечки.У автора сложилось впечатление, что недо- или переоценка риска утечки происходит вовсе не в результате оценки риска. Оценка как таковая не проводится вовсе. Она попросту подгоняется под ответ. То есть, первичны тут меры, которые желает или не желает принять начальник. А для обоснования этих мер (их отсутствия) привлекаются утечки (их невозможность).Другая пара крайностей состоит в абсолютизации технических мер защиты или  уповании на организационные. Здесь ровно та же история: каждый начальник делает то, что умеет и любит. Одному нравится «работа с людьми», другой предпочитает послушную технику непослушным работникам. То есть, лечение определяется не болезнью, а любимым лекарством доктора.История, которая иллюстрирует бюрократический подход к утечкам, в своё время увиденная на одном крупном предприятии в Подмосковье, произвела на автора такое сильное впечатление, что он даже описал её в квазистихотворной форме, в стиле «вредных советов»Чтобы искючить утечки,Есть надёжный старый способ:Для работы в ИнтернетеНадо допуск выдавать.Пусть придут в Отдел ЗащитыИ распишутся в журнале.Гарантирует лояльностьЭтот древний ритуал.Иллюстрацию же противоположного подхода — абсолютизацию технических мер — можно увидеть в каждом втором офисе. Чего стоят многочисленные советы шифровать диски с контрафактным ПО или замуровывать в стенки сервера с таковым. «Нет тела — нет и дела», — полагают технари, в то время как подобные преступления легко доказываются вообще без исследования компьютеров, одними лишь показаниями свидетелей.Думаю, мало кого из читателей надо убеждать, что любая крайность — это плохо. Вопрос не в том, как избежать крайностей, а в том, как найти золотую середину. Золотой она называется именно потому, что критерием являются деньги, то есть прибыль. Оптимальная степень затягивания защиты должна вычисляться из максимализации прибыли минус стоимость рисков.И тут мы натыкаемся на сложность: как оценить убытки от утечек? В многочисленных сообщениях о западных утечках фигурируют какие-то астрономические (по нашим меркам) суммы. Средняя величина ущерба выводится на уровне 180 долларов в расчёте на одну запись (а средняя утечка — это тысячи записей).А в немногочисленных сообщениях прессы о российских утечках размер ущерба, как правило, не приводится. Но по обстоятельствам дела можно догадаться, что он близок к нулю. Штраф за нарушение порядка обработки персональных данных (ст.13.11 КоАП), предупреждение, обязанность перезаключить договоры с клиентами, а то и просто увольнение виновника (стрелочника) — вот и весь типичный ущерб от утечки по-русски. Что касается ущерба деловой репутации, то коллеги-бизнесмены ничуть не осудят своего товарища генерального директора за то, что сэкономил денежек на защите данных. Мнение же клиентов имеет решающее значение в высококонкурентной экономике, а в России степень конкуренции невысока, в некоторых отраслях вообще нулевая.Из этого обычно и делают неверный вывод, что «русские утечки не влекут ущерба». На самом деле всё несколько сложнее. Конфиденциальную информацию можно поделить на два класса: ту, которую надо защищать в интересах предприятия и ту, которую положено защищать по различным законам, распоряжениям властей, традициям, отраслевым требованиям и договорам с более крупными компаниями. Российская специфика в том, что эти две категории пересекаются между собой значительно меньше, чем в развитых странах, где вопрос «шашечки или ехать» не столь актуален.Защищать от утечек следует то и другое — и «своё», и «обязаловку». Правда, во втором случае иногда удаётся ограничиться «бумажными» мерами.Да, оценить будущий ущерб от утечки непросто. Но некоторые руководители превращают эту непростую задачу в нерешаемую, поручая оценку рисков подразделению информационной безопасности или безопасности. Ни те, ни другие не имеют отношения к бизнесу, как правило, не имеют понятия, что для прибыльности полезно, а что нет. И смотрят на работу исключительно со своей точки зрения. Часто это позиция держиморды: всё запретить, всех построить. Зачем и ради чего — такого вопроса безопасникам лучше не задавать.Степень защиты информации должен определять экономист или финансист. А подразделение ИБ — лишь исполнять.Иллюстрирующая это история произошла в 1999 году в одной среднего размера успешной компании в Москве, которая занималась поставкой расходных материалов. Начальник отдела ИБ взялся производить оценку рисков, чтобы обосновать бюджет на защиту. По поводу возможных утечек он подумал, подумал и написал в соответствующей графе «0», подразумевая, что никакую из имеющейся информации враги не смогут использовать во вред. На счастье, ему удалось уговорить финансового директора посмотреть сделанную оценку рисков. Тот, дочитав до упомянутой оценки, удивился. И заявил: «Если информация с моего ноутбука попадёт в лапы конкурентов, то мне в лучшем случае придётся уехать далеко на запад, а в худшем — не менее далеко на восток. Лавочку при этом можете закрывать. Ни одного заказа от этих трёх клиентов больше не будет (а они делают нам приблизительно 96,5% выручки). Так что прочие компьютеры как хотите, но мой ноут надо защитить по высшему разряду.»ИБ-шник был крайне удивлён. Он понятия не имел, что в его хозяйстве присутствует настолько критичная информация. «Что это за данные? Почему я о них не знал?» «А вам и не положено знать, - был ответ. - Не скажу, даже не просите». «Но хотя бы в каких файлах оно находится?»После ответа на последний вопрос оказалось, что критичная для финдиректора информация вовсе не локализована на диске его ноутбука, а иногда ещё путешествует по сети. Пришлось потрудиться, защищая «то, не знаю, что». Зато бюджет на информационную безопасность был выделен щедро. Ещё бы, стоимость риска оказалась порядка стоимости всего предприятия.Итак, любая крайность — это очевидно неправильное решение. Но поиск точки баланса на коромысле «свобода-безопасность» или «защищённость-стоимость» или «риски-лояльность» может стоить существенно дороже, чем закрыть глаза на указанную неправильность. Николай Федотов, компания InfoWatch     fnn@fnn.ru