Рассмотрим ТОП-5 проблем, с которыми сегодня сталкиваются компании при обеспечении кибербезопасности.
1. Отсутствие системного подхода
Основная проблема ИБ в РФ — это несистемный подход к защите своих активов. Работа в части ИБ начинается после возникновения инцидента или после публикаций в средствах массовой информации. После этого несколько месяцев идет активная работа, которая потом плавно сворачивается до следующего взлома. Сюда же можно отнести неумение оценить стоимость своих информационных активов, желание сэкономить на использовании Open Source-продуктов и, конечно же, заблуждения типа «Мы никому не интересны, нас никто не будет взламывать». Целенаправленно, возможно, никто взламывать вас не будет, а вот в автоматическом режиме — вполне себе возможно. Данная проблема не относиться к банковской отрасли, где есть четкие и жесткие стандарты ИБ, а также к ряду крупных компаний.
2. Неосведомленность или халатность простых пользователей
Вторая вечная проблема — это простые пользователи. Несмотря на все меры обеспечения ИБ, рядовые сотрудники продолжают совершать непреднамеренные ошибки. Должностные инструкции, инструктажи и прочие организационные мероприятия слабо на это влияют. Спасение только в использовании технических средств и их правильной настройке. Можно сколько угодно штрафовать сотрудников за использование личных флэшек, на которых они приносят червей-шифровальщиков, но вот если отключить возможность подключения незарегистрированных носителей, то это будет надежнее. Данная проблема решается только глобально на уровне всей компании. Топ-менеджмент должен подавать пример аккуратного обращения с данными, а рядовые сотрудники должны понимать, как их халатные действия могут сказаться на окружающих их коллегах. Ну а пока в компании не сформирована культура ИБ на рядовом уровне — спасение будет только в технических мерах.
3. Нехватка специалистов
Вообще, специалисты есть, но существует одна большая проблема: есть или высокооплачиваемые, узкопрофильные специалисты, или много начинающих специалистов без глубоких знаний. А вот специалистов среднего уровня, которые одинаково хорошо разбираются как в технических средствах, так и в организационных мерах — очень мало, и они все очень быстро стараются перейти на узкопрофильную работу, где задачи и обязанности менее обширны, а денег за знания и опыт платят больше. Отсюда как раз и произрастает кадровый голод. Выход тут только один — насыщение рынка начинающими специалистами. Это приведет к увеличению количества крепких середняков, на которых и держится ИБ в большинстве компаний.
4. Отсутствие бюджета
При желании даже с ограниченным бюджетом можно творить чудеса. Но тут есть два граничных фактора: наличие компетентных сотрудников по ИБ и адекватное управленческое звено, которое формирует общую политику и дух бережного отношения к информационным активам. Если этих двух факторов нет, то чудес ждать не стоит. По этому пункту, в самом тяжелом положении находится малый и средний бизнес. Денег на современные системы безопасности у них обычно нет, а среднюю зарплату по рынку они платить не всегда в состоянии. И вот тут как раз начинаются всякие ухищрения: системный администратор и специалист по ИБ — это один и тот же человек, который больше занят по своему основному профилю, а ИБ у него отходит на второй план. Или в компании начинают развертывать разные Open Source, при этом забывая увеличить штат специалистов по ИБ. В итоге на бумаге решения по защите есть, но по факту они не сопровождаются и нет процессного подхода к управлению средствами ИБ.
5. Управленческая некомпетентность
Зачастую хорошие и технически грамотные специалисты по ИБ выбиваются в руководители, однако навыков в части экономики, планирования и бюджетирования работы подразделений у них хронически не хватает. Обычно это проявляется в неумении оценить стоимость активов и как следствие расставить правильные приоритеты. Высший менеджмент, в свою очередь, рассматривает ИБ как статью расходов, а не часть своих бизнес-процессов, что не позволяет сформировать обратную связь между бизнесом и безопасностью. Вот тут как раз начинается непонимание того, что и как надо защищать, что в итоге приводит к перерасходу бюджета, утечке специалистов в другие компании и многому другому. Важно помнить, что ИБ и ИТ — это как две руки одного человека и ими надо пользоваться согласованно, синхронно под управлением одной головы (высший менеджмент).