CC BY
40
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ КАК НЕОТЪЕМЛЕМАЯ ЧАСТЬ СОВРЕМЕННОГО МИРА
М.Е. Листопад, д-р экон. наук, доцент С.Е. Коротченко, магистрант Кубанский государственный университет (Россия, г. Краснодар)
Аннотация. данная статья посвящена рассмотрению информационной безопасности в экономической системе. Изучение взаимосвязанного решения защиты информации от ее разрушения и несанкционированного обращения с нею. Проведен анализ системы обеспечения информационной безопасности экономических субъектов. Обозначены ключевые критерии развития системы обеспечения защиты информации и направления по её усовершенствованию. Показано, что информационная безопасность, обеспечиваемая подсистемой защиты информации, достигается на основе осуществления комплекса мероприятий.
Ключевые слова: информация, защита, данные, безопасность, население, угрозы, методы, стратегия развития.
За последние годы человечество полностью стало зависеть от автоматизированных систем управления, незащищенность которых каждый день ставит под угрозу множество жизней. Ответственные за сохранность и эксплуатацию таких систем вкладывают большие средства, в безопасность, применяя самые современные и эффективные методы защиты от противопожарной системы и службы охраны до видеонаблюдения и датчиков движения. Все эти меры позволяют повысить уровень защиты критически важных систем и узлов от преступников и простых граждан. Все люди становятся подвержены влиянию всех систем защиты и являются неотъемлемой их частью. При этом известно, что производительность труда и прибыль компании увеличивается за счет эффективного функционирования информационных бизнес-процессов. Становятся проще многие процессы - управление запасами, планирование, реакция на любые рыночные изменения. Повышается надежность оборудования и удобство его обслуживания. При этом вся эта информационная взаимосвязанность, означает, что служба охраны и системы видеонаблюдения, охраняющие процесс от внешнего вмешательства, становятся все менее эффективными. Компьютерные сети, оставаясь физически изолированными, перестали быть изолирован-
ными информационно. Видеонаблюдение не спасает от проникновения в информационную сеть, управляющую технологическим процессом, особенно если та соединена с внешним миром. Следовательно, человечество слишком сильно зависит от автоматизированных систем, которые пронизывают все сферы нашей деятельности. И уязвимость этих систем для кибератак может в любую минуту поставить мир на грань катастрофы, поэтому развитие информационной безопасности (ИБ) неизбежно.
Обеспечение информационной безопасности является, неотъемлем процессом при реализации системы экономической безопасности. В наши дни благополучный бизнес подразумевает владение данными обо всех инновационных разработках, о маркетинговых и финансовых стратегиях конкурентов и их плана, о состоянии рынка, а так же о тенденциях развития науки и техники в различных областях [1].
По данным Сбербанка в России за прошлый год ущерб от потери данных составил порядка 500 млрд. рублей. За 2015 год было выявлено около 30 тыс. попыток неправомерного списания средств на сумму свыше 5 млрд. рублей. За последние два года специалисты обозначили 10-кратное увеличение случаев в этой отрасли.
За 9 месяцев 2016 года по данным Сбербанка было совершено более 60 больших хакерских атак, при этом за 2015 год их было около 50.
По данным информационно-аналитического агентства InfoWatch за первые 6 месяцев 2016 года было зарегистрировано более 700 инцидентов утечки конфиденциальной информации в мире, при этом в прошлом году в аналогичный период их было не более 600. По данным исследования «Лаборатории Касперского» за прошлый год с внешними киберугроза-ми столкнулись около 98 % отечественных компаний, при этом в 2014 году этот показатель был в районе 95 %, три из десяти компаний понесли ущерб и потеряли секретные данные.
С каждым годом растут потери от кибе-ратак. Так, например, для предприятия среднего и малого бизнеса ущерб от одной атаки (убытки от простоя, упущенные выгоды и возможности, оплата специалистов по информационной безопасности) в 2015 году составил 800 тыс. рублей при этом в 2016 году эта сумма уже достигает 900 тысяч.
За первое полугодие 2016 года внешние атаки стали причиной 30 % утечек данных (плюс 10 % в отличие от аналогичного периода 2015 года).
Во всем мире, учитывая масштабы возникшей проблемы, с каждым годом происходит тенденция роста на расходы фирмы по обеспечению информационной безопасности. По данным специалистов J'son & Partners Consulting в прошлом году рынок услуг и продуктов в секторе информационной безопасности вырос на 15 % и составил 50 млрд. рублей (темп роста IT сектора в России составил 10 %). Однако, рынок ИБ занимает около 5 % от всего IT-рынка в нашей стране.
При развитии и обеспечении информационной безопасности необходимо учитывать не только программные и технические средства защиты данных от злоумышленников, но и работу с персоналом. Отношение и компетентность сотрудников играет одну из важнейших ролей в кибер-безопасности. Так, например, по данным
компании Zecurion наибольшие потери компания терпит не от взломанных систем защиты или не правильной политики в области ИБ, а от человеческого фактора. В итоге благодаря отсутствию компьютерной грамотности, халатности, случайных ошибок, социальной инженерии или умышленной кражи данных происходит слив и разглашение конфиденциальной информации. При этом даже если необходимо провести внешнюю атаку всегда используют работающий персонал. Та как сотрудники имеют полный доступ к данным, знают, где они хранятся и могут свободно перемещаться по территории предприятия и знают её ценность. Одной из самых популярных ошибок согласно исследованию Zecurion является выбрасывание бумажных документов с секретной информацией в мусорные корзины (так делают 70 % персонала). На втором месте по распространённости некомпетентность в области ИБ (60 %), потом следует скачивание данных и перенос на новое рабочее место (55 %), около 40 % сотрудников сообщают пароли от своих рабочих мест, 30 % работаю с конфиденциальными данными дома и 10 % отправляю письма не знакомым адресатам [2].
Очень часто обычного предупреждения о неэффективности защиты данным является недостаточным. Например, большинство сотрудником отечественных компаний используют собственные мобильные устройства (смартфоны, планшеты, умные часы) в служебных целях (или наоборот). При этом для сотрудника и для работодателя это очень удобно, выгодно и эффективно, но при этом на каждого накладывается дополнительные угрозы и риски. Так, в рамках исследования проведенного «Лабораторией Касперского» в нашей стране каждый третий сотрудник использует свое мобильное устройство в корпоративных целях. Однако, каждый пятый обеспокоен защитой данных и сохранность конфиденциальной информации, в случае если злоумышленники получат к ним доступ. По результатам опроса 25 % россиян признались, что хранят конфиденциальные данные на своем телефоне.
В данном случае очень важно применять все доступные средства защиты информации. При этом необходимо обеспечить и продумать такое программное и аппаратное обеспечение, что бы сотрудникам он не мешал выполнять свои должностные функции и в жизненном обиходе, а работодатель был спокоен и уверен в защите данных компании [3].
Важность проверки защищенности данных в компании является неотъемлемой частью даже не зависимо от наличия квалифицированного персонала или отдела по ИБ на предприятии. В настоящее время стала развиваться структура не зависимой оценки информационной безопасности или BugBounty программы (за нахождение бреши в системе безопасности присуждается денежное вознаграждение) сумма отчислений которых колеблется от 100 до 2 млн. долларов за уязвимость.
Защита персональных данных для субъектов и объектов рынка стала одной из главных. И обеспечить такую систему защиты за счет автоматизированных средств и программного обеспечения крайне тяжело. Поэтому востребованность квалифицированных специалистов в отрасли ИБ увеличивается с такой же скоростью, с которой развиваются информационные технологии.
Однако возникает необходимость получения современного и актуального образования и дальнейшего трудоустройства, которая заключается в известной проблеме «не берут на работу, потому что нет опыта, а опыта нет, потому что не берут на работу ...» и так до бесконечности. Аргументом выступает то, что диплом не дает привилегий для молодого специалиста, при этом к моменту выпуска большая часть знаний уже не актуальна, тем более в сфере ИБ [4].
Одним из эффективных и успешных выходов из сложившейся ситуации является самообразование. Необходимо постоянно изучать тенденции развития 1Т сектора и всех его отраслей в рамках обеспечения информационной безопасности.
Есть четыре важных элемента в любом плане нарушения целостности информационной безопасности:
1. Сдерживание и восстановление - ответ на инцидент должен включать в себя план восстановления и, при необходимости, процедуры для ограничения ущерба;
2. Оценка рисков - необходимо анализировать и контролировать процесс формирования системы защиты. Важно учитывать специфики отдельно взятых элементов всей системы информационной безопасности. При этом иметь структуру оценки угроз и рисков, как для отдельных лиц, так и для компаний в целом;
3. Уведомление о нарушениях - информирование людей о качестве нарушения информационной безопасности может стать важной частью управления инцидента, но это не является самоцелью. Необходимо определить приоритетность оповещения и уполномоченных в этом лиц. Важно сообщать обо всех нарушениях третьим лицам (правоохранительные лица, средства массовой информации, банки) которые помогут решить ряд проблем;
4. Оценка и ответ - необходимо не только решить проблему и остановить её действие, но и выяснить причину. После этого нужно поменять политику и протоколы по обеспечению информационной безопасности и сформировать алгоритм действий во избежание повторения данного нарушения.
Практика показывает, что защищённость системы информационной безопасности предприятия более приспособлена к угрозам, чем любые государственные структуры. Это характеризуется заинтересованностью компании в обеспечении защиты своих данных и данных своих клиентов. Так как одним из ключевых для компании является репутация и статус, а так же сохранение базы данных от прямых конкурентов. Следовательно, обеспечение политики по защите данных организации и сохранение конкурентных преимуществ становится базовым принципом функционирования субъектов предпринимательской деятельности [5].
Простые шаги позволяющие снизить няем расширения для браузеров, и перериск похищения информации: стаем заходить на подозрительные сайты и
1. Устанавливать и обновлять про- ссылки и не открываем письма на элек-граммное обеспечение безопасности; тронной почте от незнакомых адресатов.
2. Не открывайте неизвестные элек- Все эти меры предостерегают нас от взло-тронной почты, не посещать неизвестные ма и несанкционированного использова-сайты, а так же не нажимать на подозри- ния личных сведений. Но все это, возника-тельные ссылки или вложения; ет, лишь тогда когда уже произошел взлом
3. Создавать смарт-пароли; или кража данных. При этом необходимо
4. Обучать сотрудников компьютерной уже со школьной скамьи вести профилак-грамотности; тические и практические лекции по ин-
5. Составить план на случай непредви- формационной безопасности [6]. денных обстоятельств; Таким образом, обсуждение информа-
6. Упрощать процесс обработки, хране- ционной безопасности является неотъем-ния, создания и транспортировки инфор- лемой частью всех людей. А необходи-мации. мость изучения данного сегмента в совре-
Со временем каждый человек на своем менном мире является очень актуальной. опыте учится справляться с угрозами по Поэтому важно изучать не только теоре-защите свой персональных данных. С каж- тические аспекты информационной безо-дым разом придумываем все более слож- пасности, но и подкреплять её практиче-ные и сложные пароли, начинаем исполь- скими элементами из жизни. зовать антивирусные программы, приме-
Библиографический список
1. Фофанов Н.А. Задачи инвестиционной привлекательности и информационной безопасности при формировании политики транспарентности компании Экономика и управление: анализ тенденций и перспектив развития. 2016. № 27. С. 233-236.
2. Юнкерова Ю.И. Современные методики оценки информационных рисков Проблемы современной экономики (Новосибирск). 2013. № 16. С. 93-98.
3. Королев М.И. Неопределенность бизнес-среды и безопасность фирмы Вестник Волгоградского государственного университета. Серия 3: Экономика. Экология. 2011. Т. 3. № 1. С. 20-24.
4. Королев М.И. Проблема безопасности в теории фирмы: развитие и противоречия Вестник Волгоградского государственного университета. Серия 3: Экономика. Экология. 2012. № 1. С. 53-58.
5. Дорожкин А.В., Ясенев В.Н. Информационная безопасность как инструмент обеспечения экономической безопасности хозяйствующего субъекта Экономика и предпринимательство. 2015. № 5-1 (58-1). С. 812-816.
6. Бакулин В.М. Современные информационно-коммуникационные технологии в региональной системе обеспечения безопасности подвижных объектов, функционирующих в труднодоступных районах России Власенко М.Н., Региональная экономика: теория и практика. 2013. № 27. С. 58-63.
7 Дорожкин А.В., Ясенев В.Н. Информационная безопасность как инструмент обеспечения экономической безопасности хозяйствующего субъекта Экономика и предпринимательство. 2015. № 5-1 (58-1). С. 812-816.
8. Имамвердиев Я.Н. Модель ситуационного управления информационной безопасностью электронного правительства Информационные технологии. 2014. № 8. С. 24-33.
9. Костин Г.А., Серова А.Г. Системный подход в системе управления информационной безопасностью государственного учреждения Экономика и управление. 2015. № 3 (113). С. 48-51.
10. Голобородько А.Ю. Государственная культурная политика в контексте укрепления национальной безопасности современной России (от сущностных смыслов к приоритетным направлениям) Власть. 2016. № 2. С. 112-118.
11. Горелик С.Л., Ляпер В.С. Информационная безопасность в системах электронных услуг Современные проблемы науки и образования. 2014. № 4. С. 217.
12. Костин Г.А., Серова А.Г. Системный подход в системе управления информационной безопасностью государственного учреждения Экономика и управление. 2015. № 3 (113). С. 48-51.
13. Козунова С.С., Бабенко А.А. Автоматизация управления инвестициями в информационную безопасность предприятия Вестник компьютерных и информационных технологий. 2015. № 3 (129). С. 38-44.
INFORMATION SECURITY AS AN INTEGRAL PART OF THE MODERN WORLD
M.E. Listopad, doctor of economic sciences, associate professor S.E. Korotchenko, graduate student Kuban state university (Russia, Krasnodar)
Abstract. the article is devoted to consideration of information security in the economic system. The study of interrelated decisions the protection of information from destruction and unauthorized handling. The analysis of the system of ensuring information security of economic subjects. Outlines the key criteria for the development of the system ofprotection of information and direction to improve it. It is shown that information security provided by information security subsystem is achieved through the implementation of complex measures.
Keywords: information protection, data security, population, threats, methods, strategy development.
