Как организовать здоровый периметр безопасности предприятия
Разумный
подход против чуйки
подход против чуйки
Если раньше типичный образ директора по безопасности на предприятии ассоциировался с выходцем из органов на пенсии, то сегодня это другое амплуа. Он должен быть прозорливым и сведущим, как и раньше, но к уму и скорости реакции прибавились серьезные компетенции в цифровой и физической безопасности. О работе на стыке профессий и об обеспечении периметра защиты собственника — Игорь Бедеров.
справка о госте редакции
Игорь Бедеров
Руководитель отдела специальных разработок АО «Технопарк Санкт-Петербурга», основатель и владелец компании «Интернет-Розыск». Член Международной полицейской ассоциации (IPA), Координационного совета Негосударственной сферы безопасности РФ (КС НСБ РФ), редактор портала КС НСБ «Хранитель», сооснователь частного клуба руководителей и специалистов служб безопасности Петербурга и Ленобласти «СБ-Питер». Создатель аналитических продуктов для предупреждения и расследования преступлений, совершаемых с помощью информационно-телекоммуникационных технологий, ведущий эксперт по безопасности компании T.Hunter.
— Как служба безопасности формирует защищенный цифровой контур?
— Во многих российских компаниях существует огромный зазор, когда служба безопасности замыкается на генеральном директоре, хотя она должна замыкаться на собственнике, потому что отстаивает его интересы. Директор — это операционная деятельность, он может быть заменен в любой момент, если работает неэффективно.
Операционное руководство может в любой момент переиначить деятельность компании, увести платежные документы на другое юрлицо, забрать клиентскую базу либо просто клиентам объявить: «Все, ребята, мы с этой компанией больше не работаем, будем теперь работать с компанией „Ромашка“ с тем же руководящим составом».
Бенефициар вправе провести аудит. Из последних кейсов — в нескольких компаниях после аудита мы увидели 300−400 млн рублей доказанного ущерба, нанесенного за год руководством. Реально эти цифры выше: минимум 10−15% оборота ушло в карман недобросовестных руководителей.
— Есть ли специфика создания цифровой безопасности в зависимости от отрасли и профиля компании?
— В России цифровое право пока не развито, грамотных юристов с такой специализацией мало. И цифровые активы, которые не всегда понятны, могут иметь большое значение. Судья видит какой-то сайт и не всегда понимает, что он может стоить миллиарды. С «Газпромом» все понятно: у него активы — вышки и производство. А то, что «Фейсбук» может стоит в 120 раз дороже, чем активы «Газпрома» в пересчете на стоимость акций, мы относим к миру фантазий. Нужно определить структуру цифровых активов и закрепить ее документально — от экспертной оценки стоимости до стратегии защиты. И она, безусловно, будет зависеть от сферы деятельности компании. Не бывает двух одинаковых схем даже в рамках одной отрасли.
— Как себя обезопасить от современного промышленного шпионажа?
— Промышленный шпионаж в России лишен флера романтики голливудских фильмов, когда люди собирают из шредера документы секретных переговоров. У нас все прозаичнее: получение информации через правоохранительные органы по движению денежных средств в компании, ее контрагентов, чтобы выяснить, какие контракты существуют, сколько на них зарабатывают, с тем, чтобы предложить более выгодные условия. Такая недобросовестная форма конкуренции в 99% случаев осуществляется у любого более-менее успешного бизнеса. Это такой махровый промышленный шпионаж со взятками и нарушением банковской тайны.
“
Нужно определить структуру цифровых активов и закрепить ее документально — от экспертной оценки стоимости до стратегии защиты.
Работают и методы конкурентной разведки, когда анализируются рынки, тенденции, поле вокруг компании — то, что публикуют сотрудники. Это делается профильными программами, которые позволяют собирать и обрабатывать большие массивы данных. Такого бардака с доступом к секретной корпоративной информации, как в России, наверное, нигде нет.
— Из чего состоит личная цифровая безопасность собственника?
— Самым простым способом организации слежки и получения конфиденциальной информации является перевыпуск сим-карты топа или бенефициара. Перевыпуск позволяет получить доступ к соцсетям, почте, банк-клиенту, мессенджерам. Путем долгих боданий с операторами сотовой связи мы пришли к интересной формуле: необходимо написать заявление о запрете перевыпуска сим-карты без вашего личного присутствия. Далее — у сотовых операторов, по аналогии с банком, можно внедрить персональный код. По-моему, в крупных городах эту функцию уже тестируют.
Частая ошибка — оформление сим-карты на юрлицо. У злоумышленника возникает огромное количество возможностей, потому что перевыпустить сим-карту, оформленную на юрлицо, гораздо проще. Достаточно иметь доверенность на фирменном бланке с печатью организации.
Дальше у нас возникает периметр, связанный с использованием личного компьютера. Как правило, злоумышленники взламывают его с помощью отправки вирусов — через мессенджеры, соцсети или электронную почту.
Во-первых, в браузере нельзя хранить пароли. Браузер предполагает возможность хранить наши авторизационные сессии в кешированном виде, чтобы не вводить логин и пароль каждый раз при входе в соцсеть или в электронную почту, — это файлы куки. Их воруют, расшифровывают и получают наши авторизационные сессии. Лучше использовать внешние менеджеры паролей — KeуPass, LаstPass и иные.
“
Частая ошибка — оформление сим-карты на юрлицо. Достаточно иметь доверенность на фирменном бланке с печатью организации.
Если мы считаем, что нас могут прослушать через СОРМ, то речь идет уже о внедрении средств дополнительной шифрации на телефоны. Например, шифруем отправляемую информацию PGP-ключом, делаем свой мессенджер — все индивидуально. Азы я в целом обозначил.
— Правда ли, что легко отслеживаемые и защищенные каналы в каждой стране разные? Например, в Америке не стоит пользоваться гуглом, а в России — Яндексом?
— Любые сервисы, которые расположены на территории страны, априори могут быть уязвимы к коррупционной составляющей, когда доступы к ним получают через правоохранительные органы за деньги. Поэтому даже в разведке существует правило, что в стране пребывания нельзя пользоваться теми сервисами, которые в ней зарегистрированы.
— Как обезопасить себя от ненужных контактов?
— Необходимо верифицировать свои контакты через приложения, которые проверяют звонящего абонента — является ли звонок виртуальным, через IP-телефонию, через сети GSM. Есть приложения, которые проверяют электронную почту — существует ли она, использовалась ли для вредоносной активности, спама, фишинга, привязана ли к «Госуслугам».
Если нам рекомендуют перейти по ссылке, в голове должен срабатывать триггер: ее необходимо проверить. Директор одного конструкторского получил якобы от контрагента электронное письмо, которое он открыл и зашифровал содержимое серверов организации. Данные и проекты их устройств потом продавались в даркнете.
— Как должна работать защита цифрового контура компании?
— Контур бывает внутренний и внешний. Внутренний — это мониторинг действий сотрудников, который как правило осуществляется при помощи систем DLP (Data Leak Prevention) или систем внутреннего логирования. Они позволяют понимать, чем занят в рабочее время сотрудник: находится ли он за рабочим столом, в каком приложении сидит, активно ли оно.
Системы выявляют утечки конфиденциальной информации: сначала мы вносим образцы конфиденциальной информации — договоры, списки клиентской базы, патенты, секретные разработки, персональные данные, а дальше система мониторит, чтобы информация не выходила за пределы защищаемого контура, будь она в картинке, фотографии или архиве.
“
Информационная безопасность — это часть экономической безопасности предприятия.
Внешний контур безопасности анализирует и защищает все точки проникновения, узлы, торчащие наружу в интернет. Как правило, для этого используется песочница, sandbox. Она позволяет проанализировать активность пользователя и определить, является ли она злонамеренной. Например, пользователь пытается делать инъекции кода в наш сайт, чтобы протестировать его уязвимость. Такого пользователя песочница локализует, и вся его активность блокируется в рамках контура.
— Должно ли обеспечение безопасности находится в одних руках?
— Информационная безопасность — это часть экономической безопасности предприятия. Соответственно, должен быть общий безопасник, который способен контролировать все. Но многим безопасникам, которые с компьютером на вы, отдать защиту цифрового кода проблематично.
Необходим человек, который может наладить процессы, который способен контролировать все процессы — и физической охраны, и технических средств, и информационной безопасности. Уже есть прецеденты, когда информационная безопасность стала руководить общей службой безопасности. Например, Дмитрий Мананников — специалист по информационной безопасности прежде всего, а потом уже — руководитель СБ. Сейчас он директор по безопасности всего «Озона».
— Как организовать контур физической безопасности? Сначала личной, а потом корпоративной?
— Личная безопасность начинается с безопасного поведения. Важным контуром здесь является деловая репутация компании и ее руководителя. Для того, чтобы купить дешевле какой-то актив, часто проводятся информационные атаки — против компании или собственников.
Физическая безопасность зависит от коммерческой деятельности предприятия. Хранение, пути вноса и выноса продукции, пожарная безопасность, охрана труда должны рассчитываться, исходя из требований эффективного производства. Все регулярные тренинги по пожарной безопасности и охране труда должны происходить с участием СБ.
— Занимается ли служба безопасности проверкой контрагентов?
— Работа по мониторингу и перепроверке внешних и внутренних контрагентов важна. Правда, методика проверки часто хромает — как контрагентов, так и персонала. Многое делается на основании абстрактной «чуйки». Я пытался добиться от специалистов по безопасности внятного объяснения, what does it mean — «чуйка», но так его и не получил. Методику они сформировать, к сожалению, не могут.
Сегодня есть тренд на автоматизацию работы службы безопасности именно потому, что нет методики: люди работают медленно, плохо, неэффективно. Многие проверки передают контрагентам, и это правильно. Экономисты справляются с проверкой контрагентов в разы лучше безопасников.
— Должен ли безопасник взаимодействовать с рабочими для профилактики стачек и подобных мероприятий?
— Безусловно. Стачки рождаются от непонимания деятельности руководящего состава. Когда люди все понимают, когда деятельность прозрачна и понятна, вопросов не возникает. Это и на уровень государства можно экстраполировать.