Как отметил Владимир Наймарк, старший менеджер отдела анализа и контроля рисков, специализирующийся на оказании услуг в области кибербезопасности PwC в России, угрозы предприятию, связанные с ИТ, — это угрозы не только его информационным системам. Необходимо учитывать и множество других способов хищения информации — например, социальную инженерию или простое «физическое проникновение». Поэтому важно понять, кто наиболее вероятный потенциальный противник: «просто хакеры», конкуренты или госструктуры, какая информация, имеющаяся у предприятия, больше всего заинтересует злоумышленников и как они смогут до нее добраться. При этом стоит проверить: возможно, проникновение уже совершилось.
Далее идет разработка стратегии в области информационной безопасности (для того, чтобы стратегия была в поле зрения топ-менеджмента, она должна быть встроена в общую бизнес-стратегию), определяются ключевые показатели, оценивается возврат инвестиций в системы безопасности, внедряются сами системы.
В некоторых странах становится популярной страховка от инцидентов в области информационной безопасности, аналогичная страховке от любых других напастей, но в России она, судя по неофициальным комментариям страховщиков, пока слишком дорогая, в районе 160 тыс. долл. на 1 млн долл. предполагаемых убытков.
Поддержание системы информационной безопасности в рабочем состоянии и ее развитие не должно состоять только в обновлении антивирусных баз и установке новых решений. Необходимо также тренировать персонал службы безопасности и всех остальных. Например, посредством имитаций атак — и чисто технических, и «социально-инженерных».
PwC предлагает услуги по проведению разнообразных «смешанных» атак, тестирующих и технологические решения, и сотрудников на стойкость к взлому и методам социальной инженерии.
Вообще собственные сотрудники, как злоумышленники, так и просто невнимательные, по словам Романа Чаплыгина, директора направления анализа и контроля рисков кибербезопасности, — главный фактор риска для любой компании. На втором месте — компании-контрагенты. Они особенно опасны для крупных организаций, которые от внешнего вторжения защищены неплохо, у них установлены современные решения, персонал обучен не открывать подозрительные файлы и не переходить по неизвестным ссылкам... Однако мелкие контрагенты зачастую средств на информационную безопасности выделяют меньше, и можно подцепить вредоносный код в ходе работы с их сайтами или открыв зараженное письмо. И только на третьем месте — службы разведки конкурентов или спецслужбы (последних, по опросу PwC, боятся в 59% опрошенных компаниях).
При этом Чаплыгин отметил, что, несмотря на рост количества и качества угроз информационной безопасности, на ее обеспечение в последние годы тратится в среднем лишь 3,8% ИТ-бюджетов, которые тоже не растут. В этих условиях действия по предотвращению инцидентов могут оказаться эффективнее обороны как таковой. Например, можно договориться с контрагентами о взаимной проверке бдительности сотрудников. И, конечно, очень многое зависит от вовлеченности в эти мероприятия топ-менеджмента.
Если компьютерное преступление все-таки произошло, у PwC есть подразделение, занимающееся их расследованием — форензикой. Происходит этот термин от английского forensics (то есть forensic science — «наука об исследовании доказательств»). Первоначальное значение слова охватывает все разделы криминалистики, при переводе на русский оно ужалось до криминалистики компьютерной.
Каков этот рынок в России, в PwC не знают, однако пятеро сотрудников российского офиса «последние два года заняты больше чем на 150%», в год они ведут около двух десятков проектов, некоторые из них, с учетом времени собственно судебных разбирательств, тянутся под два года.
В ходе информационно-криминалистических работ сотрудники PwC анализируют информацию на компьютерах заказчика, логи серверов, почтовые отправления. Все действия исследователей фиксируются в соответствии с мировыми стандартами.
А вот будут ли эти доказательства признаны юридически значимыми, зависит пока исключительно от доброй воли судьи.
Как отметил представлявший «расследователей» Антон Замковой, младший менеджер, форензик-финансовые расследования PwC в России, на Западе полиция, если видит, что доказательства собраны надлежащим образом, признает их юридически значимыми и приобщает к делу. Российские правоохранители предпочитают докапываться до истины сами и научились это делать, как говорят в PwC, вполне неплохо.