Бизнесу нужен ресурс, который защитит от утечек
Вчера, 12 марта, прошло заседание комитета по информационным технологиям, где одним из спикеров выступил Алексей Мунтян. Он обсудил тему безопасности компаний и личных данных с коллегами и журналистами.
Алексей Мунтян говорил о том, как правильно реагировать на кражу персональных данных (ПДн), и приводил примеры утечек ПДн в РФ в 2022-2023 гг. Лидером в этом списке стало "СберСпасибо" с утечкой 52 млн ПДн, второе место занял "Спортмастер" - 46 млн ПДн, третье место досталось "СДЭК" за троекратную утечку информации (26 млн ПДн + 25 млн ПДн + 100 тыс. ПДн).
https://www.comnews.ru/content/230160/2023-11-15/2023-w46/1008/oborot-n…
Алексей Мунтян считает, что создание государственной площадки может занять очень много времени и сил, при этом можно получить не совсем ожидаемый результат. "Если брать частную инициативу, то такие платформы уже существуют, но с привлечением внешней экспертизы. Обычно такие платформы создаются от трех до шести месяцев", - рассказал он и также отметил, что сейчас тот самый интересный период, когда компании понимают, что эти платформы очень выгодно промоутировать.
Алексей Мунтян пояснил, что под идеей создания портала для повышения осведомленности бизнеса в области информационной безопасности (ИБ) он имеет в виду инструмент, где компании малого и среднего звена, а также микробизнес смогут получать жизнеспособные реалистичные практики, с помощью которых получится минимизировать риски утечки ПДн. Он рассказал корреспонденту ComNews, что портал может быть как государственным, так и созданным группой компаний с поддержкой со стороны государства, а также может быть и гибридным - государственным ресурсом с отсылкой к практикам частных организаций.
Модели управления для повышения осведомленности бизнеса в области ИБ
Алексей Мунтян ответил корреспонденту ComNews, что в формате государственной модели частная компания может быть владельцем портала для повышения осведомленности в области ИБ, так как на правовой основе имеется механизм частно-государственного партнерства, однако заметил, что вряд ли государство захочет полностью делегировать управление в частные руки.
Генеральный директор компании-интегратора в области ИБ iTPROTECT Андрей Мишуков считает, что нет особой разницы, кому принадлежит портал о повышении осведомленности в области ИБ: частным компаниям или правительству. Он полагает, что наиболее эффективен будет тот, кто представит пользователям максимально доступную и при этом подробную информацию и чей продукт будет удобен в использовании.
Заместитель генерального директора российского разработчика систем защиты от угроз ИБ "Гарда" Рустэм Хайретдинов отметил, что в сфере отечественной кибербезопасности частные компании и государственные приблизительно одинаково эффективны.
Эксперт центра продуктов Dozor ГК "Солар" Руслан Добрынин считает, что для успеха создания единого портала для повышения осведомленности в области ИБ нужно, чтобы профильное ведомство при максимальном вовлечении всего экспертного сообщества разработало единый подход к ИБ и полностью описало ее онтологию.
Руководитель отдела технологической экспертизы ГК Softline Денис Чигин отметил, что повышение осведомленности - это мера, в первую очередь направленная на снижение влияния человеческого фактора на вероятность инцидента ИБ. "Утечка конфиденциальной информации, соответственно, относится к этому логическому множеству, поэтому мера окажет положительное влияние и на этот аспект, но не целенаправленно", - говорит он.
Создание единого портала
Эксперт ИБ-компании Angara Security считает, что успех единого портала для повышения осведомленности ИБ скорее будет зависеть от редакционной политики сильных партнеров в сфере кибербезопасности, которые смогут делиться практической экспертизой и продвижениями, чтобы обеспечить стабильный прирост аудитории на портале. "В любом случае дополнительные "точки касания" позволят повысить уровень киберграмотности пользователей сервисов, сотрудников компаний и государственных организаций и привести к снижению количества утечек информации из-за человеческого фактора", - отметили они.
Руководитель направления центра компетенций по информационной безопасности компании "Т1 Интеграция" Валерий Степанов высказал мнение, что создание единого портала для повышения осведомленности в области ИБ может значительно снизить риски утечки информации, поскольку подобный ресурс поможет пользователям и сотрудникам компаний получить актуальную информацию по потенциальным угрозам и атакам и, как следствие, предостеречь их от возможных рисков компрометаций.
Руслан Добрынин считает, что необходимость просветительской деятельности в области ИБ очевидна давно и подобный портал будет очень полезен всем участникам рынка. "Конечно, он поможет уменьшить риски утечек информации. Но возможная техническая сложность создания такого портала и серьезные финансовые вложения в его реализацию и поддержку - далеко не главные затруднения, с которыми предстоит столкнуться его авторам", - отметил Руслан Добрынин.
Он считает, что любые начинания в этом направлении упрутся в фундаментальную проблему: на российском рынке не существует единого комплексного подхода к ИБ, единой хорошо описанной онтологии этой сферы, которую (это самое важное) принимают все заметные игроки. "Грубо говоря, наш рынок до сих пор не определился с понятиями: терминологией, классами, подходами и т.д. В сфере ИБ мы существуем в состоянии некоторого хаоса. Безусловно, существуют и государственные стандарты, и нормативные акты, но относятся они к конкретным классам решений, а вот межклассовая логика и связи фактически отсутствуют. Понятия "событие", "инцидент", да и любые другие, каждый вендор определяет по-своему, часто даже и внутри одного вендора разные продукты осознают эти сущности по-разному. На сегодня эта проблема выглядит нерешаемой без государственного участия", - сказал Руслан Добрынин.
Рустэм Хайретдинов считает, что основной вектор атак на цифровые системы - воздействие на пользователей этих систем (фишинг, манипулирование, шантаж, подкуп и т.д.). "Поэтому, чем больше люди будут знать, как себя уберечь от этого, что делать в конкретных случаях, тем безопаснее будут цифровые системы", - отметил он.
Важные детали
Андрей Мишуков обращает внимание, что при создании единого портала важно помнить не только про его наполнение, но и об аудитории, до которой важно донести, что предназначенные сведения интересны и необходимы.
Директор дирекции кибербезопасности компании по ИТ-аутсорсингу и разработке ПО IBS Олег Босенко также говорит про пользовательскую принадлежность людей на портале. Он считает, что у портала может быть три разновидности: для специалистов по ИБ, для работников организаций и для простых граждан. Олег Босенко отметил, что в общем случае повышение осведомленности позволит снизить риск утечки информации и иных нарушений на 20-30% как минимум, а по мере повышения грамотности в ИБ обычных работников организаций и в целом гражданского общества, эффективность атак киберпреступников можно снизить на 50%-60%.
Валерий Степанов считает, что сложность создания портала зависит не только от его целевой функции, которая закладывается на старте работ, но и от аудитории, для которой он предназначен. "Наибольшая трудность заключается в актуальном содержании информации в связи с изменением угроз и технологий действий киберпреступников. Немаловажный фактор при создании портала - учет психологического портрета аудитории, для которой он создается", - отметил Валерий Степанов.
Он предполагает, что время создания портала будет зависеть от планируемого функционала. Валерий Степанов говорит, что на создание подобного портала может уйти несколько месяцев и техническое обслуживание может быть сложным в связи с тем, что потребует постоянного обновления контента и наличия компетентных профильных специалистов. "Последнее особенно актуально на фоне кадрового дефицита специалистов ИБ", - отметил он.
Рустэм Хайретдинов рассказал журналисту ComNews, что основные положения противодействия манипуляциям, сценарии реакции на них и другие материалы для подобного портала уже многократно описаны, нужно лишь собрать их в одном месте и категоризировать. "Вряд ли это потребует много времени, несколько месяцев будет вполне достаточно", - считает он.
Андрей Мишуков полагает, что сроки и сложность создания портала для повышения осведомленности в области ИБ целиком зависят от технологий, которые будут в нем применяться, а также контента и количества специалистов, которые будут заниматься разработкой и управлением. "С учетом этих факторов, такие проекты могут занять от месяца до года", - отметил он.
Ведущий аналитик "СерчИнформ" Леонид Чуриков отмечает, что большинство компаний обучают сотрудников основам ИБ при помощи письменных материалов и регламентов, которые, ко всему прочему, они должны изучать самостоятельно, а иные компании вообще не обучают сотрудников киберграмотности. "Мы более трех лет проводим обучение вопросам ИБ, и наши курсы построены совершенно иначе. Основной упор мы делаем на интерактивность, разбираем актуальные кейсы и отраслевую специфику. Все обучение проводится в формате вебинаров. Это позволяет в режиме реального времени отвечать на вопросы участников и выстраивать индивидуальное обучение с учетом уровня подготовки группы", - отметил Леонид Чуриков.