5 ключевых проблем в сфере информационной безопасности
Сегодня ни у кого нет сомнений, что вопрос информационной безопасности требует повышенного внимания. Так, по результатам исследования PWC, средний ущерб крупных организаций от кибератак составляет около $5 млн долл. В связи с этим обеспечение защиты информации становится особо приоритетной задачей, в которую бизнес инвестирует все больше ресурсов.
Автор: Алексей Янковский, директор по информационным технологиям Group DF, «Дело»
- Отсутствие единого государственного органа, который бы в масштабах страны координировал связанные с информационной безопасностью и IT вопросы в целом. К чему это приводит? Во-первых, нет единой государственной стратегии развития в сфере информационной безопасности. Это не позволяет выстроить эффективную систему защиты информации и сдерживает развитие системы управления IT и электронного правительства. В результате законопроекты и программы, инициированные разными госорганами, как правило, не скоординированы. Во-вторых, деньги могут быть израсходованы неэффективно. В третьих, отсутствуют ответы на базовые вопросы. Например, почему нет единой концепции использования электронной подписи? Какие стандарты для электронной подписи будут использовать в Украине — национальные либо международные?
- Система национальных стандартов защиты информации безнадежно устарела. Она оторвана от бизнес-практики, не гарантирует финансово обоснованных и надежных мер защиты. В Украине для технической защиты информации применяется так называемая "Комплексная система защиты информации", согласно которой систему нужно один раз построить, потом специальные организации проверяют ее и выдают сертификат о безопасности. Предполагается, что после этого система остается неизменной. Однако на практике это не работает. В других странах есть специальные отраслевые стандарты по защите бизнеса в области информационной безопасности, в том числе для энергетических предприятий, финансовых учреждений, СМИ. Руководства по обеспечению непрерывности вещания СМИ при чрезвычайных ситуациях являются стандартной мировой практикой. В Украине таких стандартов нет, исключение — банковский сектор, в котором идеология безопасности "спущена" Национальным банком. В США, Канаде, Великобритании и ряде других странах есть отдельные руководства для малого бизнеса, которые определяют, как предпринимателю правильно выстроить кибербезопасность бизнеса.
- Отсутствие обмена деталями кибератак на государственные организации и частный бизнес. В результате — невозможность их детального исследования. У нас практически никто не обменивается информацией об атаках. Никто не говорит друг другу: нас атаковали с этого сервера, давайте посмотрим, что там происходит, внесем его в черный список. Только в рамках международных платежных систем начинается обмен информацией о том, с какого сервера осуществлялась атака на интернет-банкинг, откуда производятся DDoS-атаки. Недавно на базе Государственной службы специальной связи и защиты информации Украины была создана команда реагирования на киберугрозы (CERT). Был организован координационный центр для предупреждения случаев нарушения информационной безопасности, однако этого недостаточно. Нужны отраслевые центры, которые будут реагировать на кибератаки, специфические для разных отраслей — медиа, энергетика, телекоммуникации и пр. Нужны CERT для армии и МВД.
- Использование нелицензированного программного обеспечения. Высокое количество зараженных вирусами и неправильно сконфигурированных систем, с помощью которых проводятся DDOS-атаки. По оценкам экспертов, в Украине есть тысячи зараженных и неправильно сконфигурированных систем, которые используются при атаках на другие компании.
- Отсутствие процесса эффективного публичного обсуждения государственных инициатив в области информационной безопасности среди экспертов отрасли. Это проблема, потому что специалисты в государственных органах не всегда имеют достаточно компетенций и знаний для реализации мер по обеспечению кибербезопасности.
Построение эффективной системы управления информационной безопасностью в масштабах страны — это не вопрос одного дня, недели или месяца. Тем не менее, нужно с чего-то начинать. Я бы выделил четыре первоочередные задачи.
Tweet