Синхронно с распространением новых технологий в телекоммуникациях повышается актуальность вопросов информационной безопасности со стороны бизнеса.
Превращение информации в товар повлекло за собой повышение риска ее потери, кражи и даже подмены. Поэтому для сохранения корпоративных тайн компаниям приходится прибегать к различным инструментам обеспечения информационной безопасности. Однако смена парадигмы развития телекоммуникационной отрасли привела к появлению новых рисков и соответственно инновационных подходов их предупреждения и устранения.
По данным исследования 2006 Global Information Security Survey, на информационную безопасность компании тратят в среднем более 10% своих IT-бюджетов.
По мнению экспертов отечественного телекоммуникационного рынка, украинский бизнес зачастую даже не рассматривает всерьез необходимость подобных финансовых затрат. «Если за рубежом выбирается один интегратор, который несет ответственность за установку, обслуживание и безопасность систем, то у нас выбираются десять разных с наиболее дешевыми услугами, и у них при этом нет желания заниматься обслуживанием», – рассказывает Александр Данченко, генеральный директор группы компаний ЗАО «Датагруп». К тому же во многих украинских компаниях внедрение коммуникационных сервисов производится без наличия IT-стратегии. Совместное исследование издания CIO и PricewaterhouseCoopers показало, что только 37% компаний в мире имеют разработанную стратегию информационной безопасности, а 24% планируют создать таковую в текущем году.
Тем не менее использование новых технологий только заостряет для заказчика вопрос безопасности. Решение данной комплексной задачи охватывает вопросы аутентификации и авторизации пользователей, защиту от атак, перехвата информации и многое другое. «Однако следует понимать, что использование алгоритмов шифрования при построении тоннелей доступа не дает 100% защиты, и профессиональному хакеру не составит большого труда взломать или блокировать работу такой сети», – предостерегает Виктор Чемеровский, ведущий специалист отдела новых технологий компании «Монис». Так, весной 2005 г. произошла утечка данных порядка 700 тыс. вкладчиков сразу четырех банков США, среди которых оказался даже Bank of America. А летом того же года компания CardSystems Solutions объявила об утечке записей с более 40 млн. кредитных карт. Причинами подобных нарушений могут быть как действия служащих компаний, так и внешние атаки хакеров.
В то же время эксперты акцентируют внимание на том, что современные системы защиты корпоративной информации должны интегрироваться со средствами физической защиты. Подобная конвергенция проявляется на примере создания интеллектуальных замков, телекамер и целых систем контроля доступа, которые могут подключаться к телекоммуникационным сетям. Помимо этого, для защиты информации широко применяются технологии виртуализации. В 2004 году «Утел» начал предоставлять услуги хранения и защиты данных на базе своего дата-центра, который размещается в стенах хорошо охраняемого прочного здания. С помощью технологий виртуализации здесь создаются серверы, на которых размещается бизнес-информация, доступ к которой имеют лишь клиенты, знающие пароль. Подобный механизм эффективен в случае недоверия руководства к своему персоналу.
Человеческий фактор
Угрозы, исходящие от персонала самой компании, представляют для корпоративной безопасности не меньшую опасность, чем внешние атаки. «Проблема зачастую продиктована непомерно высокой ролью IT-директора в процессе выбора систем и решений. При этом риск заключается в том, что реальная бизнес-потребность остается на втором плане», – продолжает Александр Данченко.
Среди регионов планеты существует ряд отличий в отношении менеджмента информационной безопасности. К примеру, в США и Китае организация и контроль безопасности коммуникаций возлагаются преимущественно на IT-директора и его команду. В европейских странах к ним присоединяются также первые лица компании (CEO, президент). Кроме того, примерно треть всех организаций и предприятий имеют в своем штате должность начальника информационной безопасности, который отвечает за все процессы и отчитывается перед руководством.
В опубликованном компанией Secerno исследовании значится, что 41% работников компаний имеют доступ к информации, не являющейся обязательной для выполнения их прямых обязанностей. А 56% персонала вообще не имеют ограничений по использованию служебных данных. Поэтому краеугольным камнем во избежание утечки ценной информации является тщательный подход к кадровой политике. Всего лишь одна оплошность, допущенная человеком, ответственным за работу телекоммуникационных сервисов, может свести к нулю эффект от потраченных на их приобретение и наладку средств.