Чем грозят российскому бизнесу утечки конфиденциальной информации: интервью Рустэма Хайретдинова
Экспертный Совет "DLP-Эксперт" готовит первую в России масштабную конференцию по борьбе с утечками конфиденциальных данных. Мероприятие состоится 5-6 ноября в Holiday Inn Виноградово. На конференции ведущие мировые эксперты в области DLP (Data Leakage Prevention), поставщики решений по защите от утечек, профессионалы по компьютерной безопасности и юристы в области защиты данных и расследования инцидентов впервые в истории соберутся вместе, чтобы обсудить различные сценарии решения проблемы и попытаться выработать возможные пути решения. Об актуальности проблемы утечки конфиденциальных данных и современных тенденциях повышения информационной безопасности компаний в беседе с корреспондентом ИА REGNUM рассказал заместитель генерального директора компании InfoWatch, член Экспертного Совета "DLP-Эксперт" Рустэм Хайретдинов.
ИА REGNUM: Г-н Хайретдинов, обрисуйте цель создания Экспертного Совета "DLP-Эксперт"...
Цель создания Экспертного Совета была впервые обозначена примерно год назад: есть такая область информационной безопасности, как защита от внутренних угроз, и российская эйфория трехлетней давности, когда считалось, что достаточно найти какое-нибудь хорошее технологическое решение, прошла. После этого создалось ощущение, что защита от инсайдеров далеко не техническая проблема, а некий долгий и трудный процесс. В контентном плане то, что можно было почерпнуть из открытых источников, очень сильно разнилось с тем, что мы слышали в разговорах друг с другом. В открытых источниках присутствовало 2 основных тренда. Первый тренд - угрозы существуют, они такие ужасные, и приводилось множество примеров о том, как тяжело живется американским компаниям, которые теряют данные сотрудников или клиентов. Второй тренд - большой информационный поток со стороны производителей программного обеспечения, которые предлагали свои решения как решение этой проблемы. Между двумя этими трендами пролегала огромная методическая пустота, заполнить которую не могли ни производители, ни аналитики, которые занимались исследованиями угроз.
В частных беседах офицеры по информационной безопасности российских компаний высказывали свой серьезный, проработанный опыт, который начался не с возникновения DLP-рынка, а многолетний опыт борьбы с информационными угрозами. С другой стороны, российская пресса начала высказывать некоторые сомнения в том, что такая угроза вообще существует. В России практически нет публично обнародованных инцидентов, нет оглашения приговоров, подтверждающих, что тот или иной инсайдер что-то украл. Поэтому разительный контраст между официальным (открытым) контентом и частным опытом породил желание каким-то образом сконцентрировать опыт, распределенный по участникам процесса защиты своих компаний, и тиражировать и распространить его на другие компании. Ведь не секрет, что бытует мнение, что угрозы утечки конфиденциальной информации не существует, ее придумали производители программного обеспечения, чтобы продавать свои продукты. Идея создания Экспертного Совета состоит в том, чтобы беседа о методической проблеме велась не устами аналитиков и производителей средств защиты, а устами тех, кто данные методики разрабатывает, внедряет, модифицирует - офицеров информационной безопасности отечественных компаний самых разных отраслей экономики. В настоящее время Экспертный Совет готовит Первую в России масштабную конференцию по борьбе с утечками конфиденциальных данных DLP (Data Leakage Prevention) Russia 2008, на которой ведущие мировые эксперты в области DLP (Рич Могул - Gartner, Мани Туласи - Visa, Поль Дюжанкур - Kroll Ontrack и др.), поставщики решений по защите от утечек, профессионалы по компьютерной безопасности и юристы в области защиты данных и расследования инцидентов впервые в истории соберутся вместе, чтобы обсудить различные сценарии решения проблемы и попытаться выработать возможные пути решения. Мы приглашаем представителей российского бизнеса принять участие в этой конференции 5-6 ноября в Holiday Inn Виноградово.
ИА REGNUM: Кстати, а чем грозят российскому бизнесу утечки конфиденциальной информации?
Российскому бизнесу утечки конфиденциальной информации грозят двумя вещами. Во-первых, правоохранительные органы уже в ближайшее время будут отслеживать утечки в связи с введением в действие Закона о персональных данных, в связи с требованиями, изданными во ФСТЭК, ФСБ по персональным данным. И судебная практика на эту тему становится все более зрелой. Уже и прецеденты, и опыт появляется у наших судебных инстанций в подобного рода делах. На организуемой Экспертным Советом конференции DLP Russia 2008 одной из центральных тем для обсуждения экспертами и участниками станет именно юридическая практика защиты конфиденциальной информации и внедрения DLP систем.
Вторая, несколько менее важная по российской специфике сторона, вопроса - это финансовые потери от утечки конфиденциальных данных. Конечно, утечка информации о деталях будущей маркетинговой кампании, стратегических планах предприятия представляет опасность для бизнеса, однако масштабы ущерба довольно трудно оценить с финансовой точки зрения. Поэтому данный аспект сегодня является второстепенным для российских компаний. Однако в будущем мы пойдем по стопам западных стран, с их подходом к информационной безопасности как к элементу revenue assurance для бизнеса.
ИА REGNUM: Проблема закрытости темы утечек конфиденциальной информации в России. Надо ли с этим бороться и как?!
Хороший вопрос! Для России действительно существует проблема негласного табу на обсуждение реальных инцидентов в конкретных компаниях. Просто пока у нас нет законодательной базы для того, чтобы компании оглашали информацию об утечках, и пока ее нет, эта тема будет находиться в таком закрытом состоянии. Надо ли добиваться публичного оглашения данной информации? Сейчас пугает громадное количество информации о раскрытии фактов утечек на западе - оно не вызывает ничего кроме чувства нервозности у специалистов и рядовых сотрудников компаний. Я не уверен, что это хорошая инициатива - предавать информацию об утечке широкой огласке. Другое дело, если речь идет о принятой на западе практике уведомления клиентов компаний (в основном банковской отрасли), чьи конфиденциальные данные были скомпрометированы в результате произошедшего инцидента. Это дает пострадавшим возможность предпринять какие-либо дополнительные шаги по защите чувствительной информации. Более подробно о требованиях и стандартах, предъявляемых к предприятиям банковского сектора в Европе и в России, можно будет узнать на конференции DLP Russia 08 из первых рук - от Мани Туласи, менеджера по информационной безопасности компании Visa, регион СЕМЕА.
В текущем же состоянии российские компании и их клиенты живут достаточно комфортно, каждая компания выбирает для себя определенную линию поведения - кто-то использует факты утечки для того чтобы показать, что компания открыта, социально ответственна, борется с утечками. А кто-то закрывает эту информацию - все зависит от бизнеса компании.
ИА REGNUM: Как наиболее эффективно бороться с утечками конфиденциальной информации?
Эта проблема с одной стороны очень серьезная, с другой - требующая системного и гибкого подхода. Основной фактор в процессе защиты конфиденциальных данных - это осознание того, что наряду с техническими методами защиты должны применяться и организационные меры. В противном случае эффективность всего "предприятия" будет под большим вопросом. Под организационными мерами подразумевается, во-первых, работа с персоналом - тренинги о защите конфиденциальной информации, разработка системы мотивации, поднятие корпоративного духа сотрудников и проч. Решать проблему утечек информации в компании нужно очень аккуратно, чтобы, с одной стороны, добиться эффективного решения проблемы, а с другой не развивать у сотрудников комплекс "тотального контроля". Нужно одновременно прививать руководству доверие к сотрудникам, потому что во многих организациях сейчас имеет место кризис доверия, и при этом воспитывать в сотрудниках корпоративную социальную ответственность. Сегодня в России с социальной ответственностью слабовато, но некоторые компании все-таки пытаются этим заниматься.
Кроме того, необходим также глубокий анализ всего процесса обращения информации внутри компании. Необходимо определить объекты защиты (что защищаем), типы угроз (от чего защищаем), процедуры реакции на инциденты, ответственных за них. Четко прописать юридические аспекты (ответственность сотрудников), но для этого необходима юридическая экспертиза. Например, если та или иная информация в компании считается конфиденциальной, должны быть разработаны специальные политики, определяющие действия, которые тот или иной сотрудник уполномочен с этой информацией совершать. Может ли он вносить в данный документ изменения или имеет права только на его чтение? Может ли бухгалтер отправлять тот или иной документ куда-либо еще кроме, скажем, налогового органа? То есть путь документа в компании должен четко контролироваться - это одна из важнейших организационных мер обеспечения безопасности секретных данных в компании!
В то же время разработчики DLP систем, таких, как решения по защите данных от утечки российской компании InfoWatch, предлагают клиентам необходимый технический инструментарий для обеспечения процесса защиты. Весь спектр технических возможностей представленных на российском рынке систем защиты конфиденциальной информации будет рассмотрен экспертами в технических мастер-классах конференции DLP Russia 08.
ИА REGNUM: Кстати, о конференции. В финале мероприятия заявлена дискуссионная тема "Можно ли спастись от утечек данных?". А как бы вы сами ответили на этот вопрос?
Ответ ДА! Компаний, успешно решающих у себя такие проблемы, уже несколько сотен и очень хорошо, что на конференции их представители будут говорить наравне с производителями DLP систем.