Триллионами долларов в год исчисляются совокупные прямые убытки и упущенная прибыль компаний, ставших жертвами киберпреступников. К сожалению, информационную безопасность нельзя купить за деньги: сколь бы совершенным ни было программное обеспечение для защиты данных, оно не спасет, если в политике безопасности есть изъяны, а сотрудники беспечны и невнимательны. Бруно Драмон, вице-президент компании Check Point Software, являющейся одним из мировых лидеров в области обеспечения интернет-безопасности, поделился с нами рекомендациями, которые помогут минимизировать потери от возможных кибератак.
Насколько серьезна проблема киберпреступности?
Сегодня мы видим, что все больше хакеров переходят от идеологических целей — кому-то что-то доказать — к целям финансовым: заработать деньги. Объем мирового рынка киберпреступности превышает объем мирового рынка наркоторговли. Это триллионы долларов в год. Например, в прошлом году в ряде европейских стран была проведена атака Eurograbber с целью получить доступ к клиентским счетам банков. Атака поражала как компьютеры, так и мобильные устройства. Хакерам удалось таким образом украсть более 36 млн. с 30 тыс. корпоративных и частных счетов. Это только один из множества примеров, а ведь банки считаются одними из самых защищенных структур.
Что является самым тонким местом в IT-системах компаний с точки зрения безопасности?
Трудно выделить какие-то самые уязвимые точки. Сегодня очень важны и строение инфраструктуры, и политика безопасности компании. Пожалуй, наиболее тонкое место — это отдельный сотрудник, который не понимает, зачем нужна вся эта безопасность или как с ней взаимодействовать. Допустим, я помощник CEO, и хакеры хотят получить какие-то внутренние документы моего шефа. Мне на почту приходит письмо — не от контрагента, не от другого сотрудника — с какой-то информацией, которая может показаться мне важной или не важной, но в любом случае безобидной. Одним кликом на ссылку в письме я, сам того не зная, предоставляю доступ ко всем внутренним документам компании, и хакеры получают над ними контроль. Такое происходит постоянно. Поэтому сегодня ключевым элементом безопасности должны стать инвестиции в образование сотрудников, а также интегрирование в IT-систему компании политики безопасности. Существует множество инструментов, которые позволяют поддерживать безопасность на высоком уровне, но и у злоумышленников появляются все новые инструменты, поэтому поддержка безопасности должна быть непрерывным процессом.
В своих выступлениях вы часто упоминаете про 3D-безопасность. Расскажите, что это такое.
В продолжение своей мысли скажу, что безопасность — это не только технологии. Если у вас стоит самое лучшее ПО, но нет соответствующей политики в компании, то это ПО окажется бесполезным. Вы должны объяснить сотрудникам, что нужно делать, чтобы защитить бизнес. Должны быть инструкции, с которыми все обязаны ознакомиться. Вы должны объяснить, откуда могут начаться атаки — а сегодня они могут начаться откуда угодно. Итак, ключ — политика безопасности: как вы ее внедряете, как определяете. Самое главное — научить людей взаимодействовать с ней. Большинство просто не обращают на это внимания или ограничиваются тем, что, однажды сформировав правильную политику, не актуализируют ее. 3D-безопасность — это технология, политика, люди. Точнее, политика, люди, технологии — именно в таком порядке.
Допустим, я хочу обезопасить свой бизнес. С чего мне начать?
Первое, что вы должны сделать как предприниматель, — найти компанию-интегратора, которая сможет предоставить вам необходимый сервис: построить IT-инфраструктуру, внедрить в нее актуальные технологии безопасности, обеспечить поддержку системы. Вы не можете просто взять себе технологию какой-то компании — например, нашей — и эффективно внедрить ее. Нужен интегратор с опытом, с сертификатами.
Второй шаг — нужно определиться с вашей политикой безопасности. Вы должны решить, что вы хотите разрешить вашим сотрудникам, а что — запретить. Могут ли они из дома работать во внутренней системе компании? Допустимо ли использовать мобильные технологии для доступа к системе? И так далее. Все зависит от того, как вы понимаете вашу безопасность, безопасность ваших клиентов и ваших поставщиков. Это ключевые моменты. Также нужно убедиться в том, что ваши сотрудники знают, какая у вас политика безопасности, и понимают правила взаимодействия с нею.
Если все продумано и решено, гарантирована ли стопроцентная безопасность?
Вопрос философский. Невозможно гарантировать полную безопасность, чем бы вы ни занимались. Вас может сбить машина, когда вы будете переходить дорогу на зеленый свет. Что вы можете сделать, так это минимизировать риски. IT-безопасность — это постоянный вызов как для производителей ПО, так и для бизнеса. Технологии развиваются очень быстро, хакеры ищут новые возможности для атак, мы придумываем новые технологии, чтобы их предотвратить. Важно именно предотвращать, а не просто отвечать на атаку. Здесь все зависит от совместной работы производителей ПО друг с другом и с клиентами. К сожалению, злоумышленники делают то же самое — объединяются и постоянно делятся друг с другом информацией. Должно быть комплексное решение, сложная система, которая сможет защитить вас от любого типа атаки с помощью разных методов защиты. Система, которая может предугадывать атаки. Отдельные решения сегодня не работают — они, скорее всего, просто не смогут вас защитить должным образом. Современные атаки слишком сложны для них, и если вы решите установить у себя несколько отдельных решений, то с большой вероятностью упустите из виду какое-то слабое звено в своей системе. Кроме того, поддержка отдельных решений в конечном счете обходится дороже.
Мишенью злоумышленников обычно становятся крупные корпорации. Нужно ли беспокоиться малому бизнесу?
У крупных компаний есть ресурсы, чтобы поддерживать безопасность на должном уровне. Но малые и средние предприятия часто выступают контрагентами крупных корпораций, поэтому им тоже необходимо поддерживать высокие стандарты безопасности, чтобы крупные партнеры могли доверять им свою информацию. По моим наблюдениям, сознательность предпринимателей растет. Четыре года назад картина была совершенно иной. Я как-то столкнулся с человеком, который рассуждал о безопасности игровой приставки. Я заинтересовался — не специалист ли он в этой области? Оказалось, нет, это был обычный человек. Мы видим, что все больше людей начинают заботиться о своей компьютерной безопасности. С развитием мобильных технологий потенциальной жертвой хакеров стал каждый человек.
Бруно Дармон
Имеет степень магистра компьютерных наук университета Paris VI, a также степень бакалавра математики высшей школы Ecole Superieure de Physique, de Chimie et de Biologie de Paris. До прихода в Check Point возглавлял созданную им компанию Diva Microsystems, добившуюся статуса ведущего реселлера Sun Microsystems во Франции. В компании Check Point Software начал карьеру в 1999 году с разработки программы по работе с крупными заказчиками в странах Европы, Ближнего Востока, Азии и Африки. В 2002 году к этому списку присоединились США. В 2004 году был назначен вице-президентом компании по региону ЕМЕА.
Check Point Software
Компания основана в 1993 году в Израиле. Специализируется на обеспечении интернет-безопасности, является единственным в мире поставщиком средств обеспечения полной безопасности Total Security для сетей, данных и конечных узлов, объединенных единой средой управления. В штате компании — 2200 сотрудников. Все компании из списка Fortune 100 и 98% компаний из списка Fortune 500 используют продукцию Check Point. Акции компании котируются на нью-йоркской бирже NASDAQ. Выручка компании в 2011 году — $1,24 млрд.
Беседовал Алексей Упатов
