Культура безопасности "СИДАНКО"
Никишин Михаил
Интервью с ведущим экспертом Международного центра секьюрити риск-менеджмента (ISRMC), экс-начальником отдела по защите информации нефтяной компании "СИДАНКО" Михаилом Никишиным
Работа службы информационной безопасности чаще всего ассоциируется с сетями, компьютерами, защитой от вирусов, установкой различных технических ограничений и иными подобными "направлениями деятельности". И мало кто задумывается над тем, что защита информации - это прежде всего работа с людьми. В статье рассказывается о том, какие подходы использует в работе отдел защиты информации одной из крупнейших нефтяных компаний России - "СИДАНКО".
УК вопрос: Михаил Вениаминович, какое значение имеет информационная безопасность в нефтяном бизнесе в целом и для вашей компании в частности?
МН ответ Мне кажется, с этой точки зрения нефтяной бизнес практически не отличается от любого другого. Дело в том, что в России, на мой взгляд, защите информации уделяется недостаточно внимания в силу совершенно конкретных обстоятельств: уровня развития, уровня понимания задач и понимания, как вообще строится концепция информационной безопасности. Она как Золушка: моет посуду, за всеми убирает, и у людей, на которых она работает, проблем в этом отношении, естественно, пока не возникает.
Однако если взглянуть на нынешнее положение России и осознать, какими темпами страна развивается, то надо быть очень ограниченным человеком, чтобы не понимать: уже в самое ближайшее время новые технологии “выльются” на Россию и “сверху”, и “сбоку”, и перед многими предприятиями встанет очень серьезная проблема. Я думаю, что вступление России в ВТО не за горами, и нельзя жить обособлено при современном уровне развития коммуникаций торговли, в маленьком обособленном мирке, — пусть он и занимает пятую часть суши. Использование открытых каналов потребует определенной защиты, потому что только ленивый не пытается “мониторить” то, что происходит у конкурентов, либо из любопытства, либо для получения конкретных преимуществ.
Приход в Россию западных капиталов означает приход западных компаний, менеджмента и, конечно же, западного аудита, что автоматически предполагает отсутствие схем дублирования, максимальную экономию и минимизацию расходов на “вспомогательные” структуры. Но сократить, например, численность персонала можно лишь тогда, когда есть технологии, которые заменят людей. Либо часового ставить “на каждом километре”, либо применять альтернативные технические средства. Во втором случае, как кажется, потребуется больше средств, но если посмотреть на перспективу, такой вариант окажется существенно дешевле. Но до понимания такого подхода российскому бизнесу нужно еще дожить.
УК вопрос: То есть российские компании до определенного времени не сталкивались с проблемой нарушения информационной безопасности или не предполагают возможных убытков по этой причине?
МН ответ Сталкивались все. Другое дело, что эти потери достаточно сложно подсчитать, поэтому и некий трагизм этих потерь не так очевиден. К тому же мы сейчас меньше зависим от современных технологичных способов управления, чем западные компании. Если у российской компании “рухнет” сервер или что-то произойдет с каналами связи, то потери будут незначительными, а вот если такое произойдет во Франции или США, то считайте, что будущее компании похоронено навсегда. Дело в том, что те, кто находится рядом, быстро подхватят новшества и так же быстро уйдут дальше. Для России пока это не настолько фатально.
Специфика России заключается еще и в том, что информационная безопасность в первую очередь ассоциируется с нарушением конфиденциальности. Но я могу сказать, что это лишь третий по значимости элемент. Существуют еще нарушение работоспособности и нарушение доступности. То есть, во-первых, вы к данным можете просто не добраться, во-вторых, вы можете получить их искаженными, и только в-третьих, вашу информацию может кто-то использовать.
Поскольку мы вышли из полувоенного режима, то многие до сих пор считают, что самый негативный момент наступает, когда у вас что-то прочитали или о вас что-либо услышали. Нет еще понимания того, что документ могут просто изъять, даже не прочитав его, потому что силы и средства направлены на то, чтобы не дать вам работать.
УК вопрос: Если говорить о причинах нарушения режима информационной безопасности, то можно выделить два фактора: технический и человеческий. Как защититься от ошибок сотрудников?
МН ответ Ошибки персонала могут быть умышленными или неумышленными. А умышленные, в свою очередь, делятся на агентурную работу извне и инсайд.
Если говорить о рецептах защиты, то мое искреннее убеждение – в данном случае нет и не может быть стандартных решений. В такой ситуации стандартные решения так же пагубны, как в любом серьезном творческом процессе. Представляете, если, допустим, Микеланджело “вырубал” бы по пять статуй в день? Как только злоумышленник узнает, что происходит, он тут же ищет противоядие. Грубо говоря, если на двери появился новый замок, то сначала смотрят на его марку и модель, а потом — на рекомендации по его вскрытию. Если злоумышленник не знает, с чем имеет дело, то, естественно, он тратит больше времени. А все вопросы, связанные с безопасностью, измеряются одним показателем — временем проникновения злоумышленника к объекту.
Все задачи компании распределяются по нескольким уровням. Самые простые — когда сотрудник “по недомыслию” нарушил определенные установки и вы понесли незначительные потери. Есть проблемы среднего уровня: работник тешит свое самолюбие, начитавшись журналов о хакерах, но не имеет желания вам навредить. И третья категория — люди, которые делают это осознанно, используют специфические методы, причем очень часто скрывают следы содеянного.
Поэтому система безопасности должна быть адекватна тем условиям, в которых она применяется. И конкретных рекомендаций или решений не может быть, должен использоваться комплексный подход. В первую очередь, в компании должны работать специалисты, понимающие все аспекты безопасности, в том числе как проверить человека, не нарушая законодательство. Здесь не нужно шпионить; нужно выявить аномальное изменение в поведении, обладая элементарным набором информации. Надо отличать желание подсчитать чужие деньги от желания обезопасить сотрудников и бизнес. Эта работа очень деликатная. Она прежде всего для людей с высокой нравственностью, потому что они обладают слишком сильнодействующими инструментами. Понятно, что при желании такими инструментами любого человека можно и “за Можай загнать”.
УК вопрос: В некоторых компаниях принято, например, просматривать электронную почту сотрудников, вести аудиозапись переговоровѕ Каково Ваше отношение к таким мерам?
МН ответ У меня подход очень простой. Я стараюсь не применять методы, которые могли бы вызвать негативную реакцию. Уверяю, что ни просмотр почты, ни прослушивание разговоров в “курилке”, по большому счету ни к чему не приведут. При относительно серьезном подходе к делу человек не будет пользоваться доступной и вам электронной почтой.
Во-первых, при современном развитии технологий вы отсылаете в открытый почтовый ящик зашифрованное письмо совершенно конкретному человеку защищенным способом. Это, конечно, можно расшифровать, но служба безопасности с ума сойдет от этих работ, а потом окажется, что мужчина переписывается с замужней женщиной. Во-вторых, система шифровки может уйти на уровень логических фраз: вы пишите “выпей воды”, а это значит “давай встретимся”. Это вам вообще ни один компьютер не расшифрует.
То есть вся эта техническая начинка может защитить только от новичков. Если у вас создана нормальная атмосфера, когда служба безопасности работает не вызывая отторжения, то любой сотрудник компании придет и скажет, если заметит что-то подозрительное. Главное — правильно объяснить людям, что служба безопасности, прежде всего, оберегает их и их бизнес. А значит, дает возможность иметь устойчивый заработок в течение длительного времени.
Но я хочу подчеркнуть, что обеспечивать безопасность должны профессионалы. На мой взгляд, Джеймс Бонд — непрофессионал: для того чтобы работать на ресурсах, которые предоставлены в неограниченных количествах, нужно иметь только крепкие нервы и сильные ноги. В моем понимании профессионал — это человек, который решает задачи, используя подручные материалы, и ему не нужно специального оборудования, которое стоит миллионы долларов. Поэтому мы стараемся внедрять очень простые, но профессиональные решения.
УК вопрос: Не секрет, что современная отечественная система обеспечения безопасности бизнеса выросла из силовых структур. На Западе же, наоборот, безопасность выросла из бизнеса. Поэтому многие подходы значительно отличаются друг от друга. Как вы планируете совмещать эти две культуры в связи со слиянием с BP?
МН ответ Объединенная компания находится в России и в ближайшее время будет работать, используя российский подход и наращивая применение лучшего мирового опыта. И я убежден, что уже через год многое сильно изменится. Дело в том, что российское пространство слишком специфично, чтобы сразу и механически переносить на него заимствованный опыт. Как, например, в России действуют законы? Поэтому пока мы будем работать как раньше, адаптируя западный опыт к российским условиям и соблюдая разумную преемственность. Но мы находимся не в замкнутом пространстве, и чем больше в Россию будет поступать западный капитал, тем чаще именно он будет “заказывать музыку”.
Однако это распространяется не на все случаи: и в России не все так уж плохо, и на Западе не все лучше, чем у нас... Поэтому по мере интеграции лучшего опыта сформируется интеллектуальная элита, состоящая из профессионалов, знающих и менеджмент, и психологию, умеющих мотивировать людейѕ Такое сочетание позволит выстраивать комплексные схемы, ведь полагаться только на технических специалистов в вопросе обеспечения безопасности нельзя.
Специфика российского подхода состоит еще и в том, что в России традиционно придают чрезмерное значение секретности. Например, ставят гриф секретности на такие документы, которые в газетах нужно публиковать.
УК вопрос: Случались ли в вашей компании серьезные потери, связанные с нарушением информационной безопасности?
МН ответ Потерь, к счастью, не было. Самое серьезное нарушение — в компанию удалось запустить компьютерный вирус. Ситуация потребовала нескольких часов напряженной работы нашей службы, но бизнес от этого никак не пострадал. Случаи хищения информации нам не известны. Что касается спама, то это проблема всех компаний, но серьезных проблем со спамом мы не испытываем.
УК вопрос: Какие наиболее актуальные задачи стоят перед вашей службой в настоящее время?
МН ответ В компании завершается этап, связанный с созданием нормативной базы, установкой определенных технических систем. Я считаю главным в этом процессе именно нормативную базу, донесение до сотрудников адекватного смысла информационной безопасности, решение вопросов общей культуры. Ведь если никто не бросает мусор на улице, ее и подметать не надо. А если вы бросаете мусор мимо урны, то обречены содержать огромный штат дворников, современную технику, целую инфраструктуру! То есть решать проблему можно по-разному, но лучшее решение — не создавать проблем.
06.11.2003
Журнал "Управление компанией"