CC BY
45ЭКОНОМИКА
УДК 338.1
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ: УГРОЗЫ И ВЫЗОВЫ В УСЛОВИЯХ ЦИФРОВИЗАЦИИ
О.В. Гудкова, Я.Г. Тананыкина ФГБОУ ВО «Брянский государственный университет имени академика И.Г. Петровского»
В современных реалиях информация является не только одним из ключевых факторов производства, но и ценнейшим активом любого предприятия. В работе представлена краткая характеристика информационной безопасности предприятия, выявлены ключевые угрозы, с которыми может столкнуться хозяйствующий субъект в условиях цифровизации. Аналитическая часть работы представлена данными о числе утечек информации в период 2006-2019 годы, произведен анализ распределения утечек в России по типу виновников и инцидентам за последний год.
Ключевые слова: информация, конфиденциальная информация (КИ), цифровизация, информационная безопасность, предприятие, угрозы, риски, утечка
Активное расширение масштабов использования информационных технологий и последующая цифровизация изменили структуру социально-экономической системы страны в целом. Эти явления стали не только ключевыми факторами развития и совершенствования современных бизнес-процессов, но и обусловили возникновение новых рисков, сопряженных с функционированием предприятий в новой цифровой реальности.
Актуальность изучения информационной составляющей хозяйствующих субъектов состоит в том, что, зачастую, внедрение информационных технологий в деятельность компаний не взаимоувязано с системой обеспечения информационной безопасности предприятия [1]. Как следствие, подобные действия влекут за собой не только новые информационные угрозы и риски, но и могут стать причиной существенных потерь, в том числе финансовых и репутационных. В этих условиях информационная составляющая, как связующее звено всех функциональных областей деятельности, занимает ключевое положение в вопросе обеспечения экономической безопасности предприятия.
Согласно тексту стандарта ISO 27001 информационная безопасность состоит в «сохранении конфиденциальности, целостности и доступности информации».
На сегодняшний день состояние информационной безопасности предприятий во многом зависит от зарубежных информационных технологий. Компонентные базы и программное обеспечение, техника и средства связи - все это имеет импортное происхождение, что зависимость от геополитических интересов зарубежных стран не только на уровне предприятий, но и на уровне Российской Федерации.
К информационным угрозам относятся «утечка конфиденциальной информации, уничтожение или несанкционированное изменение информации, порча технических средств приема, передачи, обработки и хранения информации» и другие факты нарушения целостности информационных активов предприятия [3]. Условно все действия и события, которые в своей основе нарушают информационную безопасность предприятия, можно разделить на три группы, а именно: разглашение информации, ее утечка и несанкционированный доступ (рисунок 1).
Внедрение информационных технологий не только способствовало качественному улучшению нашей жизни и повышению эффективности осуществляемой деятельности, но и стало причиной появления новых видов угроз. Так, согласно данным исследований эксперт-но-аналитического центра «InfoWatch» российские тенденции схожи с общемировыми: на фоне повсеместной цифровизации число утечек информации демонстрирует ежегодную тенденцию к росту (рисунок 2).
Рисунок 1 - Действия и события, нарушающие информационную безопасность
2006 2007 200В 2003 2010 2011 2012 2013 2014 2015 2016 2017 201Й 2019
^^Мир ^^Роесия
Рисунок 2 - Динамика числа зарегистрированных утечек информации в мире и России в 2016-2019 гг., шт. [4]
В период за 2006-2019 года число несанкционированного доступа в мире увеличилось в 12,5 раз до 2 509 течек за год, в нашей стране, не смотря на более низкие суммарные показатели, темп прироста за этот же период был выше практически в 5 раз. В 2019 году в России было зафиксировано 395 фактов утечки информации. В этих условиях вопрос защиты информационной составляющей деятельности хозяйствующих субъектов приобретает особую актуальность.
Разберемся в основных причинах столь активного роста.
Во-первых, как было сказано раньше, основной предпосылкой выступает увеличившееся число информационных технологий. Очевидно, что сегодня практически невозможно представить нашу жизнь без использования различных видов технологий. Процессы цифро-визации стали неотъемлемым атрибутом двадцать первого века. По данным экспертов КПМГ, 63% представителей крупнейших отечественных компаний имеют программы цифровой трансформации своей деятельности [5]. Вместе с расширением сфер применения подобных ресурсов риски нарушения информационной целостности хозяйствующих субъектов обостряются. По данным InfoWatch, утечка конфиденциальной информации происходит преимущественно по сетевым каналам (65,3% от всей совокупности утечек по состоянию на 2019 год), бумажная документация, как источник утечки, находится на втором месте (19,2%). Значительная доля инцидентов с бумажной документацией обусловлена недостаточным кон-
тролем со стороны ответственных лиц за документами (вплоть до момента их ликвидации). Так, компании, нанимая подрядчиков для утилизации архивных данных, не всегда контролируют конечный результат работы, как следствие, в СМИ периодически пестрят заголовки об обнаружении «свалок» документации.
Во-вторых, большинство случаев по нарушению целостности информационной составляющей предприятия происходят в связи с действиями непосредственно самих работников компании и (рисунок 3). По итогу 2019 года 72,1% от всего числа утечек информации в России произошли по вине непривилегированных сотрудников. Это связано с тем, что такие работники не всегда обладают элементарными знаниями о правилах безопасного обращения с информацией ограниченного доступа, а руководство, со своей стороны, не уделяет данному вопросу должного внимания. К тому здесь сказывается и человеческий фактор, когда сотрудник по ошибке может «слить» данные в сеть, даже не осознавая этого.
Значительная доля инцидентов приходится и на руководство компаний (4,6%). Причина кроется в «традициях» советского периода, когда руководители практически неподконтрольны службам безопасности и имеют исключительные права доступа к информации на предприятии. Причем возникает следующий парадокс: при составлении рисков информационной составляющей в расчет привилегированные сотрудники берутся по остаточному принципу, а основные акценты смещаются на умышленные или случайные действия рядовых сотрудников. Лишь 18,5% утечек информации в 2019 году произошло по вине внешнего злоумышленника, на долю подрядчиков приходится около 3%.
■ Руководитель
■ Системный администратор
■ Непривилегированный сотрудник
■ Бывший сотрудник
■ Подрядчик
■ Внешний злоумышленник
^0,8
Рисунок 3 - Распределение утечек информации в России по типу виновника в 2019 году, % [4]
В продолжение можно сказать, что неквалифицированные утечки составляют более 80% от общего числа (рисунок 4). Причина кроется в том же: недостаточные знания и навыки по работе с информационными технологиями, неосознание важности конфиденциальной информации.
Характерным явлениям для отечественной экономики стало существенное число «квалифицированных» утечек информации по сравнению с общемировыми тенденциями (17,8%). К этой категории относят факты осознанного использования «чужой» информации для извлечения собственной выгоды. Также имеют место быть ситуации, когда сотрудники не всегда осознают, что информация, с которой они работают, является конфиденциальной и принадлежит их работодателю (в том числе, которая создана непосредственно самими сотрудниками предприятия). В результате фиксируются случаи несанкционированного доступа к информационным активам компании.
■ Неквалифицированная (простая) утечка
■ Мошенничество с использованием данных
■ Превышение прав доступа
Рисунок 4 - Распределение утечек в России по типу инцидентов в 2019 году, % [4]
Как известно, на сегодняшний день информация является ключевым фактором производства. В этих условия информационную безопасность предприятия следует считать одним из главных условий устойчивого функционирования на рынке в условиях цифровизации [2]. Более того, от информационной составляющей зависит общий уровень экономической безопасности хозяйствующего субъекта.
На сегодняшний день можно сказать, что основной задачей информационной безопасности должна стать не только защита информационных активов от умышленных воздействий извне, но и проработка с сотрудниками компании работы с внедряемыми информационными технологиями, доведение до работников целесообразности защиты информационных ресурсов предприятия.
Таким образом, подытожив вышесказанное можно сказать, что в условиях цифровизации деятельности компаний наибольшие риски заключаются в наличии «пробелов» в самой информационной безопасности. Из представленных выше данных следует, что ежегодно количество утечек данных лишь растет, что может не только «подорвать» деятельность компании, но и вовсе стать причиной ухода компании с рынка. Можно сказать, что на сегодняшний день основной угрозой информационной составляющей следует считать сотрудников компании, ведь абсолютное большинство утечек происходит по их вине. В этих условиях к вопросу внедрения 1Т-технологий следует подходить с большим вниманием: не стоит останавливаться лишь на факте внедрения их в деятельность предприятия, необходимо также проводить ряд мероприятий по обучению персонала непосредственной работе с такими технологиями, повышать информационную грамотность сотрудников.
Обеспечение информационной безопасности предприятия должно состоять в рационально сочетании мероприятий по обеспечения целостности и защиты информационных активов компании, а также ряде организационных и технических мер. Особое внимание следует уделить разработке эффективных предупредительных мер. Руководству организации следует также постоянно проводить мероприятия по повышению квалификации сотрудников в области защиты информации.
На фоне событий весны 2020 года и введения ряда нормативных поправок по вопросам дистанционного предоставления ряда услуг, стремительного перехода в дистанционный формат работы обостряются риски информационной безопасности предприятий. Вероятно, что в силу активного использования электронных каналов связи и снижения доли бумажного документооборота в компаниях число утечек продолжит увеличиваться. Эффективная система информационной безопасности предприятия должна быть динамична и быстро подстраиваться под изменения окружающей среды. Надежное обеспечение информационной безопасности является одним из условий перехода на модель устойчивого развития не только отдельных хозяйствующих субъектов, но и всей экономической системы в рамках страны.
Список литературы
1. Гудкова О.В., Ермакова Л.В., Мельгуй А.Э. Роль информационных технологий в построении учетно-аналитической системы предприятия // Бюллетень науки и практики. 2016. № 5 (6). С. 116-121.
2. Заракуа А.М., Ермакова Л.В. Развитие электронного бизнеса в условиях цифрови-зации экономики // В сборнике: Учетно-контрольные и аналитические процессы в условиях цифровизации экономики. Москва, 2019. С. 218-223.
3. Ковалева Н.Н., Ермакова Л.В. Цифровая экономика и перспективы ее развития в учетно-аналитической отрасли // В сборнике: Современное состояние и перспективы развития финансово-аналитической науки и практики в цифровом пространстве в России и за рубежом. Межвузовский сборник научных трудов и результатов совместных научно-исследовательских проектов. Москва, 2018. С. 117-122.
4. Официальный сайт экспертно-аналитического центра «InfoWatch». URL: https://www.infowatch.ru/ (дата обращения: 27.09.2020).
5. Стебихова Н.А., Гудкова О.В. Цифровые технологии в жизни граждан России // В сборнике: Вызовы цифровой экономики: условия, ключевые институты, инфраструктура. сборник статей I Всероссийской научно-практической конференции. 2018. С. 45-47.
Об авторах
Гудкова Ольга Владимировна - к.э.н., доцент кафедры таможенного дела и маркетинга, Брянский государственный университет им. акад. И.Г. Петровского. E-mail: oliy-00@mail.ru
Тананыкина Яна Геннадьевна - студентка 5 курса специальности «Экономическая безопасность», Брянский государственный университет им. акад. И.Г. Петровского. E-mail: yana.tananykina.98@mail.ru
UDK 681.3
ENTERPRISE INFORMATION SECURITY: THREATS AND CHALLENGES IN THE CONTEXT OF DIGITALIZATION
O.V. Gudkova, Ya.G. Tananykina
Academician I.G. Petrovskii Bryansk State University
Abstract: in modern realities, information is not only one of the key factors of production, but also the most valuable asset of any enterprise. The paper presents a brief description of the information security of the enterprise, identifies the key threats that an economic entity may face in the context of digitalization. The analytical part of the work presents data on the number of information leaks in the period 2006-2019, and analyzes the distribution of leaks in Russia by type of culprits and incidents over the past year.
Keywords: information, confidential information (CI), digitalization, information security, enterprise, threats, risks, leakage.
References
1. Gudkova O. V., Ermakova L. V., Melguy A. E. the Role of information technologies in building the accounting and analytical system of the enterprise. Bulletin of science and practice. 2016. no. 5 (6). Pp. 116-121.
2. Zarakua a.m., Ermakova L. V. Development of electronic business in the conditions of digitalization of the economy // In the collection: Accounting, control and analytical processes in the conditions of digitalization of the economy. Moscow, 2019. Pp. 218-223.
3. Kovaleva N. N., Ermakova L. V. Digital economy and prospects for its development in the accounting and analytical industry // In the collection: Current state and prospects of development of financial and analytical science and practice in the digital space in Russia and abroad. In-teruniversity collection of scientific papers and results of joint research projects. Moscow, 2018. Pp. 117-122.
4. Official website of the InfoWatch expert and analytical center. URL: https://www.infowatch.ru/ (accessed: 27.09.2020).
5. Stepikhova N. A. Gudkova O. V. Digital technology in the lives of the citizens of Russia // In the collection: Challenges of the digital economy: conditions, key institutions, infrastructure. collection of articles of the first all-Russian scientific and practical conference. 2018. Pp. 45-47.
Author's information
Gudkova O.V. - Candidate of Economic Sciences, associate professor of the Bryansk state university named after academician I. G. Petrovsky, oliy-00@mail.ru.
Tananykina Ya.G. - student majoring in Economic security, of the Bryansk state university named after academician I. G. Petrovsky, yana.tananykina.98@mail.ru
