Информационная безопасность: в чем заключается ответственность руководителя

Юрий Другач

Основатель компании StopPhish

Кибербез — это проблема не только команды специалистов, но и всей компании в целом. Один удачный взлом способен обернуться финансовыми потерями, срывом сделок, утечкой клиентской базы и ударом по репутации.

Ошибочно думать, что атаки касаются только корпораций. На деле жертвой может стать любая компания, а «точкой входа» — любой сотрудник или канал связи. Чаще всего бизнес страдает не от «гениального хакера», а от банальной невнимательности. В этой статье для Cyber Media основатель компании StopPhish Юрий Другач рассказал о том, как атакуют бизнес, какая роль директора в обеспечении ИБ, почему важно обучать сотрудников и как руководителю контролировать безопасность в компании.

Как чаще всего атакуют бизнес

Злоумышленники всегда ищут способы украсть важную информацию. Обычно они нападают не на компьютеры, а на людей. Вот самые частые способы, как они проникают в IT-систему:

• Шпионаж за топ-менеджментом. Персонализированные атаки на руководителей: письма с вредоносными ссылками и файлами, взлом мобильных устройств, перехват переговоров. Цель — получить доступ к стратегическим данным или использовать компромат для давления.
• Халатность сотрудников. Пароли «123456», один и тот же пароль для почты и корпоративного портала, открытие подозрительных вложений, подключение личных флешек — всё это удобный вход для злоумышленников.
• Фишинг. Поддельное письмо «от банка» или «от партнёра» с просьбой ввести логин, скачать документ или перейти по ссылке. Человек кликает — данные оказываются у мошенников.
• Удаленное подключение. Работа через домашний Wi-Fi или в кафе без защиты. Такие линии связи легко перехватить.
• Вирусы. «Бесплатные» программы с торрентов, вложения в письмах и мессенджерах - всё это файлы, запуск которых может нанести вред устройству сотрудника или всей сети компании.

Во всех этих сценариях техника играет второстепенную роль. Главная причина — невнимательность сотрудников.

Роль директора в малом бизнесе

Когда речь заходит об информационной безопасности, в малом бизнесе директор играет ключевую роль. Поскольку у таких компаний часто нет отдельного специалиста или целого отдела, руководитель должен лично участвовать в процессе.

Вот что он может сделать:

• Назначить ответственных за безопасность (обычно это ИТ-специалист или внешний подрядчик).
• Утвердить простые правила для сотрудников: надежные пароли, запрет личных флешек, осторожность с письмами.
• Предоставить сотрудникам базовый курс по информационной безопасности. Объяснить риски для организации и способы распознаваний злоумышленников
• Решать, какие задачи делать внутри, а какие отдавать на аутсорс (проверки, обучение, мониторинг).

Роль директора в среднем и крупном бизнесе

Поскольку средний и крупный бизнес имеют больше ресурсов, роль директора здесь становится более стратегической. Вместо того чтобы заниматься оперативными задачами, руководитель должен выстроить эффективную систему безопасности, делегируя часть полномочий. Вот ключевые направления его работы:

• Назначить CISO или vCISO. Это стратег, отвечающий за защиту бизнеса.
• Требовать стратегическую отчётность. Какие риски технические закрыты, какие остались, какой прогресс по обучению сотрудников правилам информационной безопасности.
• Утверждать бюджеты и контролировать соответствие требованиям закона. 152-ФЗ, КИИ, отраслевые регуляторы.
• Раз в год требовать результаты внешних проверок. Аудит, тестовые фишинговые кампании, рассылаемые подразделением информационной безопасности. Одобрите проведение таких киберучений для CISO выпустив соответствующий документ.
• Держать совет директоров и собственников в курсе. Безопасность должна быть частью корпоративной стратегии и начинаться с топ-менеджмента.

Почему обучение сотрудников важно

В России большинство успешных атак происходят не из-за «гениальных хакеров», а из-за ошибок сотрудников. Один невнимательный клик может стоить компании миллионы. Поэтому ключевая задача руководителя — сформировать культуру безопасности. Это делается через короткие тренировки, учебные рассылки и простые правила: не скачивать файлы из сомнительных источников, не использовать один пароль для всего, не обсуждать работу в открытых чатах.

Сколько это стоит

Экономия на информационной безопасности может обернуться огромными потерями, поэтому важно понимать, что это инвестиция в стабильность и будущее бизнеса.

• Для малого бизнеса это десятки или сотни тысяч, для крупного несколько миллионов, десятки или сотни миллионов рублей, если говорить про информационную безопасность в целом.
• Всё зависит от рисков. Если смотреть на потенциальный ущерб, когда компьютер бухгалтера с базой 1C перестает работать и база пропадает навсегда, это может быть критично для малого бизнеса.

Для крупной организации, результат кибератаки может оцениваться в достаточно крупную сумму, например, взлом одной из ведущих российских авиакомпаний оценивается в 2 млрд рублей.

Вопросы, которые должен задавать директор

Эти вопросы — ваш главный инструмент, чтобы не просто следить за безопасностью, а управлять ею. Они помогут вам понять, что уже хорошо защищено, где есть слабые места и куда нужно направить силы:

• Какие данные для нас самые ценные и как они защищены?
• Когда проводилась последняя независимая проверка и что она показала?
• Работают ли резервные копии — можно ли восстановить данные завтра?
• Каков уровень киберграмотности сотрудников в «цифрах»?
• Какие слабые места еще не закрыты и когда это будет сделано?

Заключение

Безопасность это не разовый проект, а постоянный процесс. В малом бизнесе директор вовлечен напрямую, в крупном — работает через службу безопасности. Но в обоих случаях именно руководитель отвечает за то, чтобы сотрудники были обучены, а компания готова к атакам.