Лев Матвеев: «Доверие к коллективу – это важно, но безопасность бизнеса важнее»

Подавляющее большинство компаний ежегодно фиксируют инциденты внутренней безопасности: утечки информации, боковые и откатные схемы, промышленный шпионаж. Это серьезно истощает бизнес, особенно в кризис. Как правильно выстроить защиту, которая не окажется еще одной строчкой расходов, а будет экономически целесообразна рассказал председатель совета директоров «СёрчИнформ» Лев Матвеев. В конце прошлого года Герман Греф в ответ на масштабную утечку данных Сбербанка высказался, что он ошибочно строил отношения с сотрудниками на доверии. И заявил, что ужесточает меры контроля в банке. Считаете, это правильно? Лев Матвеев: Нужно понимать, что скрывается за фразой «строил отношения с сотрудниками на доверии». Доверять можно ближайшему окружению — людям, с которыми работаешь бок о бок ежедневно. Но доверять людям, которых не знаешь, — это идеализм, который может погубить любую компанию. В организации, где работает больше 50 человек, как ни крути, будут интриги, найдутся недобросовестные работники, способные на саботаж, слив информации или стремящиеся заработать на чужих данных. Со временем мотивация может упасть или сложатся непростые жизненные обстоятельства, работников могут подкупить конкуренты и так далее. Поэтому ужесточение мер я, безусловно, поддерживаю. Правда, непонятно, что именно глава Сбербанка имел в виду. Если планируется отключить интернет на устройствах или контролировать, чтобы люди вовремя на работу приходили — это не построение системы внутренней безопасности. А что вы подразумеваете под мерами безопасности? Лев Матвеев: Чтобы обеспечить защиту от инсайдеров, нужно комплексно внедрить всего три меры: поставить систему защиты от утечек информации и корпоративного мошенничества на все ПК, поставить ответственных и знающих людей обслуживать эту систему, обеспечить юридическое оформление программы, чтобы защитить интересы компании и клиентов в суде. Вы сами как бизнесмен считаете, что важнее — безопасность или бизнес-процессы? Лев Матвеев: Это вопрос из разряда: «Что важнее: поесть или попить?» Нельзя строить бизнес-процессы, не позаботившись о безопасности. Но в то же время безопасность не должна мешать бизнес-процессам: наверняка будет что-то тормозить, но не должна стопорить, нужно находить баланс. Был у меня в практике пример: крупный банк ввел правило, что все сотрудники, включая топ-менеджмент, могут пользоваться рабочей почтой только из офиса. В итоге все использовали личную некорпоративную почту, а это еще опаснее, сотрудники и партнеры были недовольны, началась путаница в процессах. Сегодня есть защитные инструменты для удаленной работы. СБ просто было проще «все запретить». Я согласен, бывают и перегибы со стороны сотрудников: когда, находясь вне офиса, они заявляют, что не хотят включать VPN — это баловство. Но когда сотрудники не имеют доступа к корпоративной почте, находясь в командировке — это вредительство. Это подход вахтера — «проще не пущать». Так бизнес не делается. Раз заговорили об удаленной работе. В нынешней ситуации с массовым переходом бизнеса на дистанционный формат, на чем стоит сфокусироваться? Лев Матвеев: Нужно учитывать, что компании переходят на «удаленку» экстренно, на фоне кризиса. И если нет опыта работы в таком формате, то дистанционный доступ к корпоративным ресурсам могут организовать «кое-как», лишь бы работало. Плюс дома возрастают риски простой человеческой халатности. В результате закрытая рабочая информация может оказаться на виду у друзей, знакомых — всех, кто имеет доступ к компьютеру. Нынешняя ситуация — действительно серьезный вызов для любого бизнеса, у большинства компаний нет возможностей закупить «железо» и программы для информационной безопасности, нанять ИБ-специалистов. Здесь мы решили поддержать компании и предложили помощь. В течение месяца бесплатно предоставим консультации ИБ и ИТ-специалистов, предоставим DLP-систему для контроля сотрудников на удаленке, наши ИБ-специалисты будут следить за событиями безопасности в корпоративной сети, анализировать их и предоставлять компаниям отчеты, расследовать инциденты. Наших мощностей хватит на 50 компаний, кто первым оставит заявку. Если говорить о регулярных мерах обеспечения безопасности бизнеса, то какие шаги вы бы назвали основными? Лев Матвеев: Владелец должен не бояться увидеть реальное положение дел в компании. Я часто слышу от собственников «да у нас все нормально» и готов порадоваться за этих людей. Но задача бизнесмена — видеть риски и не прятать от них голову в песок. Провести диагностику состояния ИБ в компании можно в течение месяца. И сделать это можно бесплатно. Полнофункциональный триал на месяц — с помощью инженеров, специалистов внедрения — покажет, есть ли проблемы. Но нужно понимать: большой красной кнопки «исправить все проблемы» нет. Принимать решение — что делать с выявленными инцидентами и нарушителями — должен будет собственник или ответственный за безопасность сотрудник. По шагам это выглядит так. Первое: назначить работника, ответственного за безопасность. Второе: провести ИБ-диагностику, пробное внедрение защитных решений. Третье: принять по итогам тестирований управленческие решения: закрыть «дыры» в безопасности, если необходимо — внести изменения в бизнес-процессы. Назначить штрафы/выговоры/провести воспитательные беседы с нарушителями. Четвертое: проводить эту работу постоянно. Сотрудники приходят и уходят, меняются их жизненные обстоятельства, меняются доступы к информации и многое другое. Обеспечение безопасности — постоянный процесс. Расскажите об инцидентах, которые больше других запомнились вам из практики клиентов. Лев Матвеев: Мои «топ-3» — это инциденты, связанные с фирмами-боковиками, прямым финансовым ущербом компании и кражей персональных данных клиентов или сотрудников. Фирмы-боковики — это, мне кажется, национальный русский спорт. Недобросовестные сотрудники, желая нажиться на работодателе, открывают конкурентную фирму и уводят туда клиентов. С помощью DLP в проектно-архитектурной компании обнаружили черновик с уставом сторонней компании. Расследование показало, что специалист вместе с двумя коллегами открыл конкурентную фирму и уводил клиентов, предлагая им услуги на более выгодных условиях. При этом все трое не увольнялись с текущей работы, ведь поток клиентов им обеспечивал нынешний работодатель. Собственные сотрудники наносят компаниям и прямой финансовый ущерб. Один из нетривиальных примеров: с металлургического производства воровали трубы. Компания теряла на этом 6-7,5 млн рублей в месяц. Схему раскрыли, когда система обнаружила дубликаты накладных: одну на три, другую — на четыре трубы. Через КПП провозили четыре, одну сгружали по дороге и до клиента доезжало три трубы. Слив персональных данных также частый инцидент. Случай, который мне запомнился, примечателен тем, что компания не «спустила дело на тормозах», а подала на сотрудника-нарушителя в суд. В «Акадо-Екатеринбург» сработала политика безопасности по копированию персональных данных на внешнее устройство — флешку. Анализ информации в почте и мессенджерах показал, что сотрудник действовал совместно с подрядчиком и планировал продать данные. Виновники были осуждены на два года условно. За десяток лет работы в ИБ-отрасли у нас скопилось множество подобных кейсов — 50 лучших были представлены в прошлом году в серии образовательных конференций Road Show SearchInform. Вы используете собственную систему в компании? Лев Матвеев: Мы, естественно, используем все наши продукты. Увы, но даже у нас были инциденты с попытками слива данных конкурентам, хотя все работники знают о том, что умеют наши решения. Научные исследования показали, что контроль улучшает дисциплину и даже производительность труда сотрудников (подробнее можно почитать о так называемом Хоторнском эксперименте), но в то же время сотрудники постепенно привыкают к мониторингу и начинают думать, что их не контролируют. Так что повторюсь: защита данных и компании — процесс постоянный. Чтобы защитить компанию, мы используем комплексный подход к безопасности: продукты, обеспечивающие внешнюю защиту (антивирусы, файрволы и прочие) + продукты для защиты внутреннего периметра (DLP-систему, SIEM, FileAuditor, DataBase Monitor). Также для предупреждения рисков и решения некоторых кадровых вопросов мы используем инновационную разработку — ProfileCenter. Это решение, которое профилирует сотрудников — составляет их психологические портреты. Ну и в заключение не могу не задать вопрос о стоимости внедрения. Сколько придется вложить компании с сотней сотрудников, например? Лев Матвеев: Я обычно привожу пример, что на защиту DLP-системой компания потратит деньги, соразмерные стоимости чая, кофе в офисе и новогоднего корпоратива. Но если вы хотите конкретных цифр, то бессрочная лицензия обходится от 7 до 20 тысяч рублей на один ПК. Цена зависит от объема закупки, количества контролируемых каналов и так далее. Например, для ста ПК контроль всех каналов обойдется в чуть более 20 тысяч рублей за один ПК. В организации с 5 тысячами ПК — цена за один ПК составит чуть более 7 тысяч. Кроме того, для небольших компаний мы предлагаем услугу ИБ-аутсорсинга — в нее входит внедрение ПО, услуги аналитика и, при необходимости, аренда сервера.

Лев Матвеев: «Доверие к коллективу – это важно, но безопасность бизнеса важнее»
© BFM.RU