Обзор подготовлен
Более 40% сотрудников готовы продать секреты фирмы
Проблема защиты корпоративных данных от утечек вызывает беспокойство у представителей бизнеса и государственных организаций во всем мире. Россию она также не обошла стороной, о чем свидетельствуют многочисленные сообщения об утечках информации. Но, к сожалению, в подавляющем большинстве случае отношение к защите конфиденциальных данных в российских компаниях оставляет широкий простор для деятельности злоумышленников.
О состоянии обеспечения защиты от утечек данных в российских организациях можно судить уже по одному тому, что государственной думой рекомендовано перенести на один год вступление в силу ответственности за нарушение закона "О персональных данных". Впрочем, если отсрочку еще можно списать на недоработки в самом законе, а также на отсутствие отраслевых стандартов в области защиты персональных данных, то результаты прямых исследований защищенности российских организаций от утечек информации возможностей для двоякого толкования не оставляют.
Согласно данным "Софтинформ", в ходе проведенного этой компанией опроса среди более четырех сотен сотрудников российских организаций, 47,4% опрошенных сообщили о том, что в их организации система защиты от утечек информации не используется. Еще 24,7% респондентов сообщили о своей неосведомленности по данному вопросу, и только 27,9% ответили, что в их организации есть система защиты от утечек.
Используют ли в вашей организации систему защиты от утечек информации?
Источник: "Софтинформ", 2009
Впрочем, использование технических средств защиты от утечек является необходимым, но недостаточным условием успеха в борьбе с ними. В случае, если в организации никто не отвечает за информационную безопасность, ни одна система защиты от утечек не будет эффективной. К сожалению, согласно исследованиям "Софтинформ", более половины респондентов сообщили о том, что в их организациях нет специального отдела, ответственного за обеспечение информационной безопасности. В 34,8% случаев за информационную безопасность не отвечает вообще никто, а в 32,6% эта обязанность ложится на плечи ИТ-отдела, который должен выполнять ряд других немаловажных задач, а потому нередко отодвигает решение проблем, связанных с безопасностью данных, на задний план. Аналитики "Софтинформ" подчеркивают, что именно с создания специального структурного подразделения, ответственного за информационную безопасность, российские организации и должны начать борьбу с утечками данных.
Кто отвечает за вопросы информационной безопасности в организации?
Источник: "Софтинформ", 2009
Еще одной ключевой проблемой для российских организаций является ограничение доступа к конфиденциальным данным для сотрудников, которые по роду своей деятельности не имеют необходимости в доступе к ним. В ходе проведенного "Софтинформ" опроса только 30,6% респондентов сказали, что не имеют доступа к конфиденциальной информации. Из остального числа сотрудников 32,6% оценили конфиденциальную информацию, к которой они имеют доступ, как малоинтересную за пределами организации, а 26,9% - как действительно серьезные сведения. Руководители 9,9% опрошенных не знают о том, что их сотрудники имеют доступ к конфиденциальным сведениям.
Имеете ли вы на работе доступ к конфиденциальным данным?
Источник: "Софтинформ", 2009
Таким образом, можно констатировать печальный факт, заключающийся в том, что в российских организациях сложился благоприятный климат для деятельности инсайдеров – сотрудников, готовых умышленно организовывать утечки корпоративных конфиденциальных данных. Положение вещей усугубляется еще и тем, что сотрудники выражают готовность делиться корпоративными секретами.
Сотрудники готовы распространять конфиденциальные данные
Более четверти всех сотрудников российских организаций, участвовавших в исследовании, использовали служебную конфиденциальную информацию в своих личных целях. При этом потенциально их могло быть еще больше: 8,9% опрошенных сообщили о том, что просто не имели возможности использовать служебные конфиденциальные данные в личных целях, но были бы совсем не против так поступить. Еще 13,4% респондентов никогда не имели доступа к подобного рода информации. Правда, стоит отметить, что все-таки немногим более половины опрошенных отрицают использование ими корпоративных сведений в личных целях.
Использовали ли вы в личных целях служебную информацию?
Источник: "Софтинформ", 2009
Экономический кризис, сказавшийся на снижении заработной платы работников и на росте числа уволенных из организаций сотрудников, судя по всему, сказался также и на их отношении к продаже конфиденциальной информации для пополнения своего личного бюджета. В ответ на предложение продать конфиденциальную информацию конкурентам своего текущего работодателя твердое "нет" обещают сказать только 19,2% опрошенных работников. Еще 25,1% допускают, что расскажут о данном инциденте начальству, видимо, надеясь таким способом повысить свою ценность как работника в его глазах. Большинство же (43,7%) будет действовать соответственно обстоятельствам, то есть, в зависимости от того, сколько денег конкуренты предложат за нужную им информацию. А 12% готовы рассказать все совершенно безвозмездно.
Если конкуренты вашего работодателя попросят продать им секреты, как вы поступите?
Источник: "Софтинформ", 2009
В случае увольнения работники, как свидетельствует исследование "Софтинформ", также совсем не против заняться торговлей информацией, полученной у бывшего работодателя. 33,6% респондентов согласны продать подобную информацию, "если предложат хорошие деньги". Еще 15,7% сами готовы обратиться к конкурирующим с их бывшим работодателем компаниям с предложением о продаже информации. При этом 7,5% опрошенных работников выразили обеспокоенность возможными последствиями подобной торговли данными ("А вдруг поймают?"). Еще 43,2% просто отказались участвовать в подобных сделках.
Если вас уволят, станете ли вы продавать конфиденциальную информацию, к которой имели доступ на работе?
Источник: "Софтинформ", 2009
Таким образом, более трети работников в российских организациях являются потенциальными инсайдерами, готовыми при наличии благоприятных обстоятельств организовать утечку конфиденциальной корпоративной информации. А, как уже было продемонстрировано выше, таких обстоятельств долго ждать не придется.
Утечки замалчивают
Положение в области защиты конфиденциальных данных в целом по стране можно назвать критическим, и остается только удивляться сравнительно небольшому числу крупных утечек, случившихся за последний год: ведь при подобном халатном отношении к собственной информационной безопасности и готовности сотрудников раздавать конфиденциальную информацию даже без получения денежной компенсации их могло быть гораздо больше. Впрочем, учитывая давнюю традицию замалчивать проблемы вместо того, чтобы говорить о них открыто, можно предположить, что о большинстве утечек широкой общественности просто неизвестно.
Безусловно, в условиях нестабильной кризисной экономики большинство российских организаций не готовы к расходам на построение серьезных систем обеспечения информационной безопасности. Однако можно ожидать, что по мере стабилизации ситуации в экономике и выхода ее в фазу роста ситуация с защитой от утечек информации в России изменится в лучшую сторону.
Александр Иванов
Дмитрий Огородников:
Проекты в области ИБ стали более качественными и грамотными
На вопросы CNews отвечает Дмитрий Огородников, директор департамента информационной безопасности "Энвижн Груп".
CNews: Каковы ваши прогнозы относительно развития ситуации на российском рынке ИБ в 2010 году?
Дмитрий Огородников: На мой взгляд, экономическая ситуации в стране и в мире еще далека от стабильности, поэтому допускаю, что нас ждут дальнейшие потрясения. Такие ожидания заставляют заказчиков беречь свои бюджеты. В разрезе нашей отрасли это особенно чувствуется. Некоторые аналитики предсказывали, что бюджеты по ИБ будут сохраняться до последнего, но практика показала, что все расходы на ИТ сокращаются пропорционально.
