понедельник, 27 июня 2011 г.

Переоценка ценностей


В силу сложившегося в России отношения к нематериальным активам и очевидных сложностей расчета окупаемости ИБ-проектов, утечки информации видятся многим как чуть ли не единственный толчок, способный вытрясти из бизнеса хоть какие-то деньги на построение системы защиты. Особенно часто приходится слышать пример, связанный с утечкой клиентской базы. Люди, его приводящие, выставляют утечку клиентской базы в свете катастрофы вселенского масштаба: "все клиенты уйдут к конкурентам, продажи резко упадут, бизнесу - конец, хотите избежать - надо срочно что-то делать, дайте денег миллион евро, это куда дешевле чем потеря бизнеса".

Некоторым особо "неверующим" демонстрируют графики котировок акций иностранных компаний с резким снижением после объявления об утечке данных, тыча пальцем в точку падения и заглядывая в глаза с вопросом "вы же так не хотите"? И бизнесмены, скрипя бумажником, нехотя отслюнявливают красноватые купюры. При этом ни у кого не возникает вопрос, почему вдруг от компании, успешно ведущей бизнес и привлекательной для клиентов не только ценовой политикой, но и спектром предлагаемых товаров и услуг, выгодными условиями сопровождения сделок, имеющей надежную репутацию хорошего бизнес-партнера, после утечки этой злосчастной базы клиенты разбегутся к конкурентам как тараканы? И даже если так, то как это проверить - использовать потолочные метрики, сравнивать с другими аналогичными (преимущественно западными) случаями или самим создать искусственную утечку и считать отток?

В тех странах, где для компаний, разместивших акции на фондовой бирже, обязанность раскрывать информацию об утечках установлена законодательно, здорово помогают котировки. Те, кто мало-мальски знаком с фондовым рынком, знают, что основным фактором, влияющим на котировки акций, является "настроение инвесторов". Хорошее настроение - котировки вверх, рыночная капитализация растет, плохое - все наоборот. И если сообщить инвесторам (тем, кто держит акции или хочет их приобрести) об утечке, то настроение у них, понятное дело, не улучшится. Но ведь их настроение может ухудшится и от многих других факторов. Да и потом - получается, что защищаемым активом в конечном итоге является не информация, а имидж и репутация, на которые влияют не только утечки информации.

В нашей стране такой обязанности нет, да и фондовый рынок у нас - не чета западному. Как же посчитать величину ущерба? Именно таким вопросом и задалась одна знакомая мне фирма. Имитировать ситуацию с утечкой они не стали, а вместо этого - включили в ежегодный опросный лист, рассылаемый контрагентам, работающим более 5 лет и "делающим" 70% от суммарного объема выручки, вопрос вроде "Какие факторы повлияли бы на пересмотр наших отношений", среди вариантов ответа, помимо бизнес-факторов, был вариант "Утечка данных об условиях и объемах сделок с вашей компанией". Лишь 1,5% респондентов отметили этот пункт вместе с остальными: вот он, вклад утечек информации в риск потери "имиджа и репутации". Пересчитав пункты на деньги, получилось, что возможные потери от утечки составят менее 0,5% от годового оборота компании, а в пересчете на чистую прибыль - цифры, внимание на которые можно просто не обращать.

При этом, 60% всех опрошенных указали, что им периодически звонят фирмы-конкуренты и предлагают аналогичный сортамент по более низкой цене, но доверия к таким "деятелям" нет никакого: во-первых потому, что упоминание текущих бизнес-партнеров в борьбе за потребителя свидетельствует об определенном уровне жульничества, а во-вторых - эта "замануха" скорее всего будет временной, поскольку компания, работающая "в рынке", не может существовать на предлагаемых условиях торговли. Именно поэтому контрагенты следуют народной мудрости "старый друг лучше новых двух" но, благодаря таким предложениям, постоянно "прессуют старичка" по ценовой политике.

Стоит ли в этой компании хранить клиентскую базу как зеницу ока? Очевидно, нет - защищать можно, но не больше, чем все остальное. Конечно, есть много других компаний, занимающихся другими видами бизнеса, для которых риски потери репутации при утечке клиентской базы куда выше, чем для среднестатистического торговца. Да и у последнего, помимо этой базы, есть куда более критичная бизнес-информация - например, сведения по работе с должниками или стратегические планы развития. Однако нужно понимать, что утечка информации и ее использование в корыстных целях - это, как говорится, "две большие разницы". Безусловно, любая утечка - это удар по имиджу и репутации компании и, вполне возможно, ущерб от частичной потери этих бизнес-качеств будет весьма ощутим. Особенно, если дело касается информации о физических лицах - пресловутых "персональных данных". Последний пример компании SONY показал, что последствия ухудшения настроений инвесторов могут быть очень серьезными и затронуть не одну компанию, а целую отрасль (в данном случае пострадали компании, имеющие отношение к "облачным" вычислениям).

Тем не менее, в большинстве случаев сама по себе утечка не приводит к материализации страшных фантастических картин, воображаемых воспаленным мозгом ИБ-шника и подогреваемых community. Даже если вдруг такая неприятность случится и данные "утекут", при грамотно разделенных массивах информации и правильно разграниченном доступе к ним, объем утекших данных может оказаться хоть и большим, но совершенно бесполезным с точки зрения дальнейшего использования, а потому - не представляющим никакой коммерческой ценности. При таком раскладе утечка будет лишь номинальным свидетельством наличия определенных проблем в безопасности некоторых процессов, которые, безусловно, надо "подрихтовать". Для этого ИБ-шник должен помочь бизнесу определить критичную информацию, спрогнозировать последствия ее утечки и правильно обосновать необходимость разделения объемов информации и оптимизации процессов ее обработки, при этом ему нужно не только хорошо разбираться в предметной области, но (хотя бы немного) ориентироваться и в менеджменте организации, и в финансах, и в юриспруденции.

Это - в теории. В действительности же, увы, все бывает совсем наоборот. Бизнес идет по пути наименьшего сопротивления и, чтоб не париться, определяет всю (или совсем не ту) информацию как очень важную и критичную, а самоустранившийся от предыдущего этапа ИБ-шник считает вероятность ее утечки и яростно защищает все, что можно, тем, что дают. Все утечки имеют только одно объяснение - слабость системы защиты ввиду отсутствия должного финансирования. И поскольку любая утечка в России никогда не была катастрофой - в таком гипертрофированном компромиссе интересов бизнес и безопасность, как северный и южный полюс, способны долго сосуществовать в одной бизнес-системе. Как долго просуществует в таком виде сама система - ИБ-шнику, по большому счету, без разницы, кто бы что не говорил.

10 комментариев :

  1. Читал как-то, что пугалки эффективны только с одним типом ЛПР из четырех существующих.

    ОтветитьУдалить
  2. Они вообще неэффективны, если дело не касается бабла. Причем не опосредованного.

    ОтветитьУдалить
  3. У каждого человека есть свой предел. И на мой взгляд "безразличие" человека, отвечающего за информационную безопасность, начинается со стены непонимания и легкомысленности руководства компании. А какой должна быть реакция у специалиста, который разработал весь пакет документов, предложил оптимальные варианты защиты, но в результате его труды пустили на черновики и даже пойманная с копией базы данных "для домашних работ" тетя Маша, например, из бухгалтерии отделалась легким ай-йа-йай?

    ОтветитьУдалить
  4. А вот у меня на этот счет - иная позиция. Самое главное для ИБ-шника - не вешать нос. Он должен быть как доброкачественная опухоль на видном месте бизнеса: вроде, и лишний "отросток", а с другой стороны без него - никак. И какое может быть непонимание и легкомысленность со стороны руководства компании, когда компания платит ему зарплату?

    Другое дело, что ИБ-шник, понимая, что бизнес ни черта не смыслит в предметной области, а переломить принятые нормы очень тяжело и муторно, сам "подстраивается" под бизнес и становится "свадебным генералом". И всем хорошо - вот только к ИБ это не имеет никакого отношения.

    И очень плохо, если предел человека иссякает после пары шлепков по носу и разочарований. Надо работать дальше. И прежде всего - над самим собой.

    ОтветитьУдалить
  5. Вопрос то не в зарплате и далеко не всегда в ее размере. Хотя... в данном случае размер имеет значение:))))

    Так вот, вопрос не столько в количестве "шлепков по носу" и качестве разочарования, сколько в том, что система должна быть единой, цельной, когда руководство понимает зачем ему нужен специалист по ИБ, действительно понимает.
    Идти против системы напрямую очень рискованно, она может сожрать и не заметит. Другое дело "подстроится" и постепенно вносить коррективы, малыми дозами. И опять таки даже в этом случае руководство должно Иб-шника поддерживать.
    В противном случае это свидеться к простой охране, к-я сидит на входе и проверяет пропуска.

    Если сократить мысль, то она такова: все кто сидит в одной лодке должны грести в одном направлении, чтобы происходило то самое движение и развитие как компании так и каждого конкретного индивида.

    ОтветитьУдалить
  6. Спасибо 152-му, многие руководители повернулись лицом к ИБ благодаря ему. Хотя штрафы смешные, но сам факт - обеспечение ИБ-требование ЗАКОНА, а о размере штрафа можно скромно помолчать. Ну и не пытаться сделать все и сразу.

    ОтветитьУдалить
  7. Екатерина, развитие общества складывается из персонального развития индивидов, его составляющих. Это как некий коллективный разум, чей интеллект определяется суммарным объемом знаний всех его элементов. И задача ИБ-шника как раз и заключается в том, чтобы стать центром этого разума по своим компетенциям, и прокинуть нейроны во все остальные его составляющие.

    А зарплата... Если контора ее платит. то рано или поздно возникнет вопрос - зачем? И если ИБ-шник не сможет этого внятно объяснить, то вряд ли он будет иметь шансы на продолжение банкета. Некоторые идут на хитрую уловку: объясняют на непонятном ИБ-шном языке, "загружая" бизнес. А тот, в свою очередь, чтобы не заморачиваться, соглашается, продолжает платить, но при этом не ИБшник, ни тем более бизнес так и не понимают - зачем?

    ОтветитьУдалить
  8. Сергею:

    > Спасибо 152-му, многие руководители повернулись лицом к ИБ благодаря ему.

    Я бы сказал - спасибо регуляторам, ибо с законами сами знаете как :) Но вот "повернулись лицом" ИМХО это громко сказано. Повели ухом, возможно...

    ОтветитьУдалить
  9. >Повели ухом, возможно...

    Нужно использовать любое телодвижение, глядишь за ухом и остальное потянется, если конечно подтолкнуть.

    ОтветитьУдалить