Новости

Иллюзии безопасности

Виталий ИсаковЭксперт по безопасности бизнеса и оптимизации бизнес процессов
В ходе анализа защищенности бизнеса от угроз безопасности в различных сферах: будь то IT-безопасность, оценка лояльности персонала, эффективности работы службы безопасности компании и прочих, я часто сталкиваюсь с истовой убежденностью руководителей и/или собственников организации в собственной безопасности, а иногда и неуязвимости.

(Примеры в статье приведены из реальной практики, названия компаний - вымышлены).

Это может происходить от непонимания сути угроз как самой фирме, так и ее руководству, от нежелания заниматься тем, что малопонятно, от делегирования вопросов корпоративным специалистам по безопасности: «у меня есть специальный сотрудник – это его головная боль, он знает, что надо делать, а мне лишь докладывает результаты».В результате у руководства, собственников или безопасников появляется ряд «иллюзий» касаемо состояния дел в компании.

Наиболее часто встречающиеся я постарался обобщить:

1. «Иллюзия уникальности»

Некоторые считают, что выстроенная ими схема работы, сама компания – уникальны и неповторимы, и им благоволит сама Судьба, они – заговоренные. Есть талисман, приносящий удачу, что бы они ни делали, всюду будет способствовать удача. Если несчастье с кем и может произойти, то не с ними и бизнесом. Этот список можно продолжать еще долго. Таким образом, надеясь на свое везение, сотрудники часто забывают об элементарных осторожностях или страховках.Или наоборот: все схвачено, всюду есть свои люди, которые вовремя «маякнут», подскажут, что беда пришла, помогут ее отвести. И тоже идут напропалую.В итоге находится кто-то более удачливый, более сильный, кто-то с лучшим покровителем.Директор ООО «Семга» свято верил в успех бизнеса, занимался оптовой торговлей и лесом. Смог пережить и подняться в 90-е, не раз ходил «на грани». Бизнес был не совсем чистый, но руководитель имел большой опыт работы, команду верных единомышленников, с которыми проработал более 15 лет. Считал - раз бизнес выжил одним из немногих, то он удачлив и бизнес выстроил уникальный. Все угрозы знает, легко с ними справится, тем более что рядом – друзья и соратники.Его младший партнер, считая, что заслуживает большего, в сговоре с рядом сотрудников компании, через третьих лиц передал бухгалтерскую информацию, указывающую на серьезные финансовые нарушения в налоговую. Выездная проверка подтвердила данные факты. Материалы были переданы в органы внутренних дел. В результате ООО «Семга» доначислили налоги на общую сумму порядка 15 млн. рублей. Младший партнер, пока шло разбирательство, перетянул к себе сотрудников ООО «Семга» и основных поставщиков и клиентов.

2. «Иллюзия незаметности»

Особенно характерна для сегмента компании, связанного с IT-безопасностью. «Моя компания совсем не заметна на фоне других в Интернете. Кому мы можем быть интересны из киберпреступников, ведь есть потенциальные жертвы с куда большими деньгами / ресурсами / информацией,…». Логика есть. Но те, кто так считают – не учитывают, что злоумышленников в Интернете сотни тысяч. Зачастую атака на информационную инфраструктуру компании начинается с банального автоматизированного сканирования портов или случайного заражения части инфраструктуры вредоносным программным обеспечением. И только когда проникновение произведено и специальное программное обеспечение сообщит хозяину, что уже получило доступ к системе дистанционного банковского обслуживания, АТС компании (звонки легко можно монетизировать), иной значимой информации, или информационным ресурсам компании, используемым для создания бот-сети или майнинга криптовалюты – только тогда подключается человек.К сожалению, надежда на собственную незаметность на фоне других компании часто приводит к существенным финансовым и иным потерям.

3. «Иллюзия неуязвимости»

Частично перекликается с первой иллюзией и наиболее явно проявляется, когда дело касается защиты информационной инфраструктуры компании. Суть заключается в том, что человек абсолютно (или почти абсолютно) уверен, что угроз для него и бизнеса нет, либо они малосущественны, а любые недружественные действия будут успешно пресекаться. Я часто слышу буквально следующее: «У нас в компании все отлично, системщики (администраторы, программисты, компьютерщики, безопасники) все контролируют. Они обучены и оснащены всем необходимым…». Правда, при беседе с теми самыми специалистами оказывается, что они либо работой перегружены, либо пытаются доказать необходимость внедрения решений по безопасности, но от руководства встречают только непонимание и слова «ну ты же и так деньги получаешь хорошие, вот и придумай, как сделать все бесплатно», либо просто не имеют необходимых компетенций.В результате у руководства создается иллюзия, что все хорошо, проблем нет, защита работает «на отлично», но они не замечают или не хотят замечать даже появившиеся проблемы до тех пор, пока те не наберут критическую массу. И такую иллюзию руководители активно создают сами.Весьма интересным является то, что зачастую указанные заблуждения руководители /собственники не осознают. Они просто считают, что все хорошо или не хотят задумываться о проблемах безопасности. Потом, после проверки компании и обсуждения результатов становится ясно, почему вопросам безопасности не уделяется должное внимание.

РЕКОМЕНДАЦИИ

Основная рекомендация – стараться быть всегда начеку.Один мой хороший знакомый описал 3 заповеди разведчика, которые можно применить к бизнесу:

Хотите протестировать свою информационную систему на защиту от кибератак? Проконсультируйтесь со специалистом прямо сейчас!

Контакты Виталия Исакова, компания «ЛОГАСОФТ БЕЗОПАСНОСТЬ»:

Вернуться к новостям