«В России сильно недооценены риски от пробелов в информационной безопасности»
В школе, на уроках ОБЖ нам рассказывали, как сохранить жизнь и здоровье в случае опасности. С развитием технологий угрозы стали подстерегать нас не только в реальном мире, но и в цифровом пространстве. О том, что такое информационная безопасность, как не потерять бизнес из-за кибератак и что делать, если вы столкнулись с мошенниками, рассказал директор компании СофтМолл Сергей Туманов.
Справка
- Туманов Сергей Андреевич, директор ООО «СофтМолл».
- Родился 27 июня 1987 г. в Томской области.
- В 2009 г. окончил Томский государственный университет систем управления и радиоэлектроники по специальности «Информационная безопасность телекоммуникационных систем».
- С 2009 г. по 2011 г. работал аналитиком в ЗАО «Инфосеть-С».
- С 2011 г. по 2019 г. работал в ФГУП «НТЦ „Атлас“», где прошёл путь от ведущего инженера до руководителя центра компьютерной безопасности. С 2019 г. – директор ООО «СофтМолл».
- С 2012 г. также работает преподавателем в Новосибирском государственном техническом университете и Новосибирском государственном университете.
- Член Общероссийской общественной организации малого и среднего предпринимательства «Опора России».
- Член Новосибирского регионального общественного военно-патриотического движения «Защитник».
Про IT-бизнес
– IT – это очень широкая область. Например, есть компании, которые разрабатывают софт. Есть те, кто производит «железо»: компьютеры, серверы, системы хранения данных. Есть телекоммуникационное направление, связь – всё это тоже IT. Каждое из них имеет свою специфику.Если говорить про наш бизнес, то он относится к сфере системной интеграции и информационной безопасности. Суть его в том, что мы проектируем, внедряем и поддерживаем различные инфраструктуры: начиная от телекоммуникационных систем до системы центра обработки данных. Также мы обеспечиваем информационную безопасность всех этих систем.
– Оно имеет ряд особенностей. Во-первых, мы сами железо и софт не разрабатываем, а внедряем уже готовые решения, то есть являемся интеграторами. Во-вторых, то, что касается именно информационной безопасности (ИБ) – это бизнес лицензируемый. Лицензия выдаётся Федеральной службой по техническому экспертному контролю (ФСТЭК) и Федеральной службой безопасности (ФСБ) России.
– Да, бизнес этот непростой. К компаниям, которые им занимаются, предъявляются очень серьёзные требования.Ещё одна особенность сферы информационной безопасности состоит в том, что нашу работу оценивает и контролирует не только заказчик, но и федеральные службы, которые я назвал. Если мы сделаем что-то неправильно, они могут отозвать лицензию и наложить штраф. Также некоторые аспекты нашей работы регулируются федеральным законом.
– IT-специалисты отвечают за автоматизацию процессов. Задача же безопасника– сделать эти процессы безопасными. Это и есть главное отличие.Кстати, часто айтишники и безопасники находятся как бы в оппозиции. Объясню на примере. Задача айтишника – сделать так, чтобы всё работало более оперативно. К тому же, от его работы в компании всегда видна польза: кнопочек меньше стало, согласования быстрее проходят. Безопасник же начинает создавать препятствия: ставит пароли, устанавливает систему, из-за которой компьютер медленнее работает, всяких кнопочек тоже становится больше. То есть складывается впечатление, что безопасник ставит преграды для работы пользователей и IT-специалистов. В действительности же он делает всё, чтобы защитить компанию от кибератак и, как следствие, потери информации и денег.
Про особенности информационной безопасности в России
– Основная причина – отсутствие зрелости. Другими словами, у нас люди ещё до конца не осознают потенциальные риски, которые может принести киберпреступность.Я бы не сказал, что Россия отсталая страна в сфере информационной безопасности, но до самого высокого уровня мы пока не дошли. Например, компании, которые напрямую не связаны с IT, допустим, промышленные предприятия, агрохолдинги, уверены, что их бизнес не подвержен компьютерным атакам. Но это не так. Сегодня практически любая организация становится жертвой киберпреступников.
– Первое: надо понять, какая информация есть в организации и степень её конфиденциальности. Второй момент: если в компании бизнес-процессы автоматизированы, нужно оценить, насколько критична их остановка в случае кибератаки. В-третьих, понять, у кого будет доступ к этой информации, будет ли она размещаться в интернете. На основе этих трёх факторов уже можно внедрять соответствующую систему защиты.
– Внедрение системы информационной безопасности на предприятии – это задача, которая требует специальных навыков, потому лучше не заниматься самодеятельностью, а воспользоваться услугами специалистов.
– Обычно это три категории клиентов. Первые – те, у кого уже что-то произошло. Вторые – те, кто знают, что у кого-то из партнёров или конкурентов случилась подобная ситуация. Третьи – те, кто обязан это делать по закону.
– К сожалению, да. Во-первых, этому способствуют низкие штрафы. Допустим, в Европе наказание за утечку персональных данных – 20 миллионов долларов, а у нас 50 – 70 тысяч рублей, максимум 300 тысяч. Второй момент – вход на многие международные рынки требует обязательного подтверждения соответствия стандартам управления информационной безопасностью. В России пока этого нет.Сегодня у нас лишь некоторые организации уделяют должное внимание этому вопросу. Например, государственные компании: в них руководителю, допустившему утечку информации, грозит уголовная ответственность. Или финансовые организации, для которых пробелы в информационной безопасности чреваты утечкой денег.Также в этот список входят компании и госкорпорации стратегического назначения с критической инфраструктурой (инфраструктура, важная для национальной безопасности, — прим. авт.), нарушения работы в которых будут иметь очень серьёзные последствия.Все остальные работают на авось. В общем, России в этом вопросе ещё есть куда расти.