У 60% российских компаний есть своя стратегия в области информационной безопасности – равно как и у 60% компаний американских, показало исследование аудиторской и консалтинговой сети PricewaterhouseCoopers (PwC). Этот показатель можно толковать по-разному.
Некоторые российские издания считают это достижением – как, например, газета «Известия», которая делает вывод, будто Россия сравнялась с США по уровню кибербезопасности. Другие СМИ, напротив, объявляют этот показатель признаком скверного положения дел.
В частности, газета «Коммерсантъ», анализируя доклад PwC , подчеркивает, что более половины российских компаний (а именно – 56%), по данным исследователей, никак не реагируют на инциденты в этой сфере. Она также напоминает, что при 60% компаний, имеющих соответствующую стратегию, остается 40% таких, которые этой стратегии не имеют. Правда, ни то, ни другое издание (равно как и PwC) не уточняет, насколько эффективна та самая «собственная стратегия», которой обладает 60% российских компаний.
Согласно PwC, наиболее существенными рисками, которые могут возникать в связи с хакерскими атаками, российские компании считают в первую очередь нарушение конфиденциальности данных (это мнение высказали 48% участников исследования), а также нарушение нормального хода деятельности компании (47%). Затем с заметным отставанием идут пункты о снижении качества продукции (27%) и создании угрозы жизни (21%).
Поговорить с «Полит.ру» о проблемах кибербезопасности и о представлениях о том, как именно следует на такие проблемы реагировать, согласился Алексей Раевский, генеральный директор компании Zecurion. По его оценке, руководители российских компаний в целом относятся к проблемам в этой области серьезнее, чем руководители компаний американских, однако зачастую не имеют таких средств и специалистов для ее развития, как их коллеги из США.
«Тут сложно оценивать ситуацию – наверно, у PwC для этого больше данных с учетом их исследований. Но если сравнивать российские компании с американскими в плане стратегии кибербезопасности, то надо сказать, что американским компаниям доступны более продвинутые технологии. У них и средств больше. В то же время, что интересно, порой у них бывает более беспечное отношение к информационной безопасности: они склонны недооценивать риски и доверять всем подряд. У наших же компании в этом вопросе более параноидальный подход.
Так что я бы сказал, что руководители российских компаний в большей степени обеспокоены этим вопросом. Но это совершенно не значит, к сожалению, как вы и говорили, что у нас на обеспечение информационной безопасности выделяются адекватные средства и что этим занимаются адекватные специалисты. То есть реализация понимания необходимости иметь стратегию информационной безопасности чаще всего по сравнению с американскими компаниями отстает.
Если же говорить о том, что, по данным PwC, более половины российских компаний на происшествия в сфере информационной безопасности просто не реагируют, то надо бы уточнить, что в представлении PwC называется реагированием на такие инциденты. Возможно, это просто методический вопрос. Дело в том, что в американкой практике информационной безопасности реагирование на инциденты – это отдельный раздел стратегии. У нас же оно может быть заваулированным и «размазанным» по другим разделам.
Кроме того, в США этой теме уделяется большое внимание, включая такие аспекты, как с точки зрения пиара или с точки зрения законодательной надо отреагировать на случившееся. Там действуют очень высокие штрафы за утечку информации, если при этом утечки коснулись персональных данных. У них информация об утечке может очень серьезно повлиять на бренд, на курс акций на бирже. Поэтому у них реагирование на инциденты обозначает не только тот факт, что если какая-то дыра в безопасности обнаружилась, то ее устранили. У нас ее тоже устраняют, если она обнаружилась и понятно, что это за дыра. Но у нас нет такого реагирования в том смысле, чтобы выпустить пресс-релиз или с регулятором как-то повзаимодействовать.
Думаю, причина различия в том, что в России пока просто нет необходимости в этом. У нас конкуренция не такая сильная, регуляторы не такие жестокие, штрафы не столь высокие – и, в принципе, в том, чтобы вести себя как американские компании в случае подобных инцидентов на сегодняшний момент смысла нет. Возможно, именно это и имелось в виду авторами исследования PwC – потому что глупо было бы предполагать, что после какого-то инцидента, будь то утечка или вирус, у нас просто отформатировали жесткие диски, удалили вирус и продолжают просто сидеть дальше и ждать, что будет.
Нет, естественно, это не так. У нас тоже обновляются антивирусы, программное обеспечение, делаются разные выводы. Но у нас это делается в рамках чисто технического процесса – к этому не привлекаются какие-то юридические службы, не привлекаются пиар-службы. Может быть, именно это имелось в виду, когда говорилось об отсутствии реакции.
С чем может быть связана относительная слабость этой социально-заметной составляющей реакции в России? На мой взгляд, у нас большинство граждан более спокойно относится к вопросам персональных данных, приватности и тому подобных вещей. В принципе, это объяснимо: в США достаточно знать номер социального страхования, чтобы можно было открыть счет, взять кредит, что-то купить, сделать почти угодно. У нас же такого нет – у нас нужно проходить боле серьезную авторизацию. В банк надо приходить физически и с паспортом, просто так счет не откроют, кредит не дадут и кредитную карту не оформят. И, в принципе, у нас общество более коллективисткое в сравнении с более индивидуалистическим обществом западным.
На Западе частная жизни – это «только мое, от всех закрыто» и «никому не трогать». А у нас все же народ жил и в общежитиях, в коммунальных квартирах – и, возможно, это тоже накладывает свой отпечаток. У менталитет в этом плане немного сдвинут в сторону азиатского коллективизма, так что со стороны общества запрос на сведения о том, как борются с проблемами информационной безопасности, не столь высок.
Сейчас ведь в мире наблюдается тенденция наступления государства на интернет, попыток взять его под контроль: ликвидируется анонимность, ликвидируется всякая приватность – спецслужбы по факту имеют доступ ко всему, любой переписке, любой информации. На Западе же по этому поводу идет жесточайшая борьба: активисты выступают за приватность, проводят различные акции в поддержку ее. Там существует мощное движение, которое противостоит этой тенденции. А в России же ей ничего не противостоит: тенденция точно так же существует, но со стороны общества нет никаких движений в этом плане.
Ну, есть приватность – и хорошо. Ну, прослушивают нас – и тоже хорошо. Это отношение еще, похоже, с советских времен осталось: мол, КГБ всех прослушивает, но ничего страшного, все привыкли. Словом, у нас со стороны общества на приватность, конфиденциальность запрос значительно меньше, чем в США или Европе», – сказал Алексей Раевский.
Комментируя сообщения о том, что утром 9 ноября стали недоступны сайт газеты «Ведомости», а затем сайт информационного агентства «Росбалт», новостного интернет-издания Znak.com и сайт газеты The New Times., которые сообщали о «технических проблемах» и «проблемах у хостинг-провайдеров», Алексей Раевский высказал сомнения в том, что происшедшее может быть связано с работой провайдеров.
«В принципе, ссылка на провайдеров звучит странно, потому что тогда бы были проблемы у всех сайтов, которые размещаются у данных провайдеров. Если такого нет, то ссылка на провайдеров непонятна. Я, правда, пока не смотрел, жаловался ли еще кто-то на проблемы у провайдеров. Так что на этот счет у меня информации еще нет. Но, повторю, по идее, если есть проблема у провайдера, то страдают все сайты, которые у этого провайдера хостятся», – объяснил он.
По последним данным, сайты «Ведомостей» и Znak.com перестали работать из-за неполадок, возникших в одном из европейских дата-центров. Об этом заявил информационному агентству РБК генеральный директор компании Group-IB Илья Сачков. Тем не менее, сайт газеты по-прежнему недоступен, а сайт Znak.com к 13.50 мск уже возобновил работу, точно так же как и сайт издания The New Times.
