Родина слышит. Как утекает информация из сибирских компаний

Одно их самых важных условий реализации цифровой экономики – обеспечение безопасности в цифровом пространстве. Сегодня она оставляет желать много лучшего. Рискуют все: и владельцы крупного бизнеса, и рядовые граждане.

IT-специалисты делят все угрозы в виртуальном пространстве на две группы: внешние и внутренние. Внешние – это вирусы и вредоносные программы, попадающие в наши компьютеры извне. А вот внутреннюю угрозу может представлять любой сотрудник, вольно или невольно допустивший утечку информации из компании или другую ошибку.

Реальная угроза

«Интернет вещей, всё больше внедряемый в нашу жизнь, ставит вопросы безопасности на новый уровень», – говорит доцент кафедры информационной безопасности СГУГиТ Евгений Попантонопуло. Ведь если раньше вирус, попавший в компьютер, грозил гибелью только железу, то теперь сбой, к примеру, в программе «умный дом» может открыть электронный замок ворам, вывести из строя бытовую технику, устроить в доме пожар или потоп.

Ещё страшнее, если такие сбои происходят на опасных производствах – в шахтах, на предприятиях, где работают со взрывчатыми веществами. В медицинском учреждении это может привести к отключению аппаратуры жизнеобеспечения и гибели больных. Сбой в программе оборонного предприятия – риск для военной безопасности страны.

«Поэтому, – продолжает Евгений Попантонопуло, – нельзя экономить на системах безопасности».

Сегодня на первом месте среди киберугроз – вредоносные программы. 65% из них проникают в систему по вине человека. Дело в том, что разработчики вирусов – не только хорошие программисты. Они в совершенстве владеют навыками социальной инженерии и маскируют свои разрушительные продукты под предложения, от которых сложно отказаться. Мало кто устоит перед соблазном открыть письмо, в котором рассказывается, как выиграть миллион или как излечиться от всех болезней. «Один клик мышкой со стороны рядового работника – и сервер предприятия обрушен», – предсказывает последствия таких действий Евгений Попантонопуло.

Достаточно одной секунды

Резидент Новосибирского Академпарка Даниил Бориславский рассказал о результатах исследований, проведённых специалистами его компании. Так вот, ущерб от кликанья на спам в фирме, где работают
200 человек, составляет порядка 1,5 млн руб. в месяц. «Утечки инсайдерской информации растут», – констатирует Даниил Бориславский.

Главные виновники утечек – недобросовестные сотрудники, которые вместо работы занимаются ерундой: смотрят Ютуб, путешествуют по соцсетям, играют в игры, пьют чай и курят. «Если человек тратит на работу 80% рабочего времени, то это – очень хороший работник, – объясняет Даниил Бориславский. – Большинство тратит на работу от силы 25% рабочего времени».

Продвинутые IT-компании предлагают директорам предприятий программы безопасности, которые позволяют и следить за сотрудниками, и блокировать внешние угрозы. Но стоят такие программы дорого. Руководители жалеют денег на них.

Ещё одна проблема в сфере интернета вещей – дефицит кадров. Сегодня инженер по IT-безопасности должен быть не только хорошим программистом, но и психологом, и юристом. «В законодательстве много нюансов. Осуществляя конт-роль, важно не выйти за рамки, установленные на правовом поле. Иначе это будет шпионаж. И да, контроль за персоналом – абсолютно законная процедура», – утверждает IT-специалист Геннадий Жиловский.

Евгений Попантонопуло предлагает проводить с сотрудниками на предприятиях учения по информационной безопасности – такие же, как в социалистические времена проводили по гражданской обороне. Отрабатывая ситуации учебной тревоги, люди должны понять, что нельзя писать пароль от компьютера на корпусе монитора, открывать сомнительные письма, «флудить» в мессенджерах, особенно про работу. «Для того чтобы инсайдерская информация из вашей компании утекла вашим конкурентам, достаточно одной секунды», – предостерегает специалист.

На работе личной жизни – нет!

Адвокат Новосибирской коллегии адвокатов Ольга Картушина:

– Работодатель имеет полное право контро-лировать, на что его работник тратит служебное время и как использует профессиональное оборудование. Но есть нюансы. Например, электронная почта относится к персональным данным, и вторжение в личную переписку является незаконным действием. Но при этом работодатель может установить на служебные компьютеры программу, ограничивающую доступ к личным ресурсам. Совсем другое – корпоративная почта, заведённая на сервере компании. Её владелец бизнеса может контролировать когда угодно.

В любом случае, если на предприятии установлены подобные системы контроля, работник должен быть предупреждён об этом в момент трудоустройства. Это должно быть прописано в служебной инструкции и в согласии на обработку персональных данных.

Смотрите также:

• Четыре из пяти: нужна ли жителям НСО четырёхдневная рабочая неделя? →
• Кем теперь работают те, кто в детстве мечтал стать космонавтом? →
• Защитники труда. Работа в России глазами специалиста →