Почему не стоит экономить на корпоративной безопасности

Ужасные последствия
Понятие «корпоративная безопасность» включает много составляющих. Это и физическая безопасность, в том числе и охрана сотрудников компании и ее имущества; и защита коммерческой тайны, интеллектуальной собственности компании; и предупреждение внутренних конфликтов в компании, конкурентная разведка и внутренняя контрразведка; и различные меры технической и физической защиты, и экономическая безопасность. «Это только ключевые составляющие корпоративной безопасности, а еще ведь есть множество других, подчас незаметных мер и действий, которые предпринимают компании, чтобы обеспечить комплексную безопасность всего бизнеса, – поясняет аналитик ИХ «ФИНАМ» Анатолий Вакуленко. – Если компания хочет нормально и спокойно работать, долго существовать на рынке, то она должна уделять внимание всем аспектам безопасности, ничего не упуская из виду. Даже самые, казалось бы, незначительные события, конфликты, обиды сотрудников, могут привести к катастрофическим последствиям для компании, если их вовремя не заметить и не заняться их решением».

Руководитель управления маркетинговых исследований «Лаборатории Касперского» Александр Ерофеев отмечает, что все большее значение приобретает один из аспектов корпоративной безопасности. «Если говорить об абстрактном понятии корпоративной безопасности, то оно включает в себя любые действия, организационные процессы, а также поддерживающие их структуры, которые снижают различные риски для бизнеса. Для современного бизнеса корпоративная безопасность предполагает не только физическую и внутреннюю безопасность. По мере того, как компании все больше осваивают цифровые технологии, возникает еще одно, новое измерение – цифровая безопасность, которую в более узком смысле можно назвать IT-безопасностью. В этом случае приходится иметь дело со специфическими рисками и угрозами, количество которых пропорционально возрастает при одновременном снижении физических рисков», – подчеркивает эксперт.
Например, по данным «Лаборатории Касперского», российские компании и ведомства все чаще становятся объектами целевых кибератак. Причем сейчас наиболее выражены атаки против различных государственных структур, а также научно-исследовательских институтов. Атаки, связанные с промышленным шпионажем, относительно редки, а информация о них остается без публичного оглашения.
Еще одна уязвимость – оборудование. По данным опроса, проведенного EMC, компании, которые сталкивались с потерей данных в течение последнего года, называют наиболее частой причиной отказ аппаратной составляющей ИТ-систем (у 68% компаний в России). Второй и третьей по частоте причинами утраты данных становились их повреждение и перебои в электропитании. «Названные в опросе причины действительно входят в шорт-лист основных объяснений порчи/потери данных в компаниях разного размера, работающих во всех отраслях экономики. Техническая составляющая безусловно важна для обеспечения безопасности, и речь идет не только о защите данных. Техническая (аппаратная) составляющая безопасности обеспечивает ее комплексность, помогает обеспечению других аспектов безопасности, способствует успешному ведению бизнеса, помогает существенно сократить расходы на безопасность», – уверен Анатолий Вакуленко.
Александр Ерофеев также считает, что техническая составляющая играет важную роль в сфере корпоративной безопасности. «Однако в данном случае нужно задаться вопросом, почему произошли такие отказы? Когда речь идет об информационных угрозах, важным элементом любой кибератаки является нарушение работы оборудования или программ. Безопасность – это не устранение последствий, а снижение рисков. Действовать на опережение более эффективно, чем устранять последствия инцидентов», – заявляет эксперт.

Размер вложений
Сколько же средств следует вкладывать в корпоративную безопасность компаниям? Точной формулы расчета нет. Генеральный директор консалтинговой группы «ДСТС Финанс Консалтинг» Дмитрий Цибизов называет следующую цифру – не больше 10% бюджета. «Эти расходы оправданны, поскольку в XXI веке самую высокую ценность имеет информация, и ее сохранение – большая забота руководства любой компании. Существенное значение для компании имеют риски от использования нелицензионного ПО, поэтому крайне желательно использовать либо лицензионные программы, либо их бесплатные аналоги», – отмечает эксперт.
Анатолий Вакуленко полагает, что в каждом конкретном случае расходы компаний на безопасность могут составлять разные суммы. Это зависит и от вида бизнеса, которым занята компания, и от ее размера, и от тех реальных или потенциальных угроз, которые способны разрушить ее бизнес. «Примерные расходы на безопасность составляют до 30% прибыли компании. Такие расходы в большинстве своем экономически оправданы, потому что в противном случае убытки и/или ущерб компании будет несравнимо большим, чем средства, израсходованные на обеспечение корпоративной безопасности, – рассуждает аналитик. – Кроме того, последующее исправление ситуации, возмещение ущерба и создание «с нуля» более совершенной системы корпоративной защиты может обойтись компании еще дороже, чем если бы такая система у нее была и работала. Поэтому не стоит скупиться и лучше с самого начала создания бизнеса вкладываться в корпоративную безопасность, сначала небольшими суммами, а потом, по мере роста компании, вкладывая больше средств и делая безопасность комплексной».
Александр Ерофеев предлагает посмотреть на мировую практику: общие расходы на информационную безопасность (ИБ), включая траты не только на приобретение ПО, но и на обучение сотрудников, внедрение разных процессов и многое другое, обычно составляют до 10% от всех ИТ-расходов. «Как правило, речь идет о нескольких процентах. Однако надо понимать, что эти расходы должны определяться двумя вещами. Прежде всего, общим состоянием дел с ИБ в компании и тем, насколько велики риски, связанные с потерей информации, а также различными киберугрозами, – поясняет Александр Ерофеев. – Кроме того, необходимо учитывать и то, насколько токсична киберсреда, в которой приходится вести бизнес. В России киберсреда весьма проблемная. Это связано, прежде всего, с тем, что большинство руководителей компаний недооценивают риски, связанные с ИБ, и ставят физическую безопасность бизнеса выше информационной. Естественно, что в таких условиях всегда найдутся достаточно хорошо разбирающиеся в IT нечистые на руку «предприниматели», готовые с помощью мошенничества завладеть корпоративной информацией или денежными средствами».

С распростертыми объятиями
Один из элементов корпоративной безопасности – лицензионное программное обеспечение.
«Используя его, вы избегаете возможных судебных преследований со стороны его владельцев и разработчиков, которые неминуемо последовали бы, если бы ПО было «пиратским». То есть при использовании лицензионного ПО у вас нет конфликта с правоохранительными органами и законом. Кроме того, такое ПО лучше защищает ваши данные, чем если бы вы пользовались нелицензионным софтом, который может не только некорректно работать, ставя под угрозу ваш бизнес, но и похищать у вас информацию, передавая ее конкурентам», – отмечает Анатолий Вакуленко.
Координатор некоммерческого партнерства поставщиков программных продуктов (НП ППП) по Самарской области Владимир Серпухов считает, что зачастую предприятия используют контрафактное ПО либо по незнанию, либо из желания сэкономить.
«Но наличие контрафактного ПО на коммерческом предприятии – повод для правоохранительных органов для предъявления претензий. Эти претензии со стороны правоохранительных органов, как минимум, вызывают потерю компьютеров на срок экспертизы, а максимум – компьютеры теряются навсегда, – предупреждает Владимир Серпухов. – Понятно, что если изымаются базы данных за 10 лет, то предприятию становится очень неуютно».
Директор макрорегиона Волга Microsoft в России Кирилл Семенихин
сообщает о результатах исследования о рисках использования нелегального ПО и о том, насколько о них осведомлены компании. Главные риски: критический сбой системы одного или нескольких бизнес-процессов, потеря или повреждение ценных или конфиденциальных данных и непредвиденные расходы на установку лицензионного ПО.
«Как мы выяснили, большинство наших потенциальных заказчиков не до конца понимают и знают степень всех тех рисков, которые они несут, если они используют нелицензионное или неправильно лицензированное ПО.  Это и юридические последствия, и проблемы с проведением аудита и сертификации, и финансовые потери (штрафы, конфискация компьютеров), а также потеря репутации и потеря доверия инвесторов», – рассказывает Кирилл Семенихин.
Впрочем, для тех компаний, которые решили перейти на лицензионное ПО, предлагается простой механизм. Во-первых обратиться к партнерам производителей ПО, то есть к фирмам, которые специализируются на продаже и поддержке лицензионных программ для компьютеров. «Вам нужно обратиться, сообщить о своих потребностях. И будет установлено программное обеспечение на то количество компьютеров, которое требуется заказчику. Вас примут с распростертыми объятиями. Никакого дальнейшего преследования не последует, – уверяет представитель ООО «Ризотек», официального дистрибьютора фирмы «1С», Лариса Гилинская.
«В первую очередь нужно попросить провести аудит программного и аппаратного обеспечения, которое вы используете. Вам помогут составить спецификацию и подберут под вас программу лицензирования, – поясняет Кирилл Семенихин. – И еще один ключевой момент. Зачастую аудит может выявить, насколько качественный дистрибутив у вас стоит. Microsoft не требует перебивания ключей на продукт. Это означает, что если у вас установлен продукт действительно с качественного дистрибутива, вам не нужно удалять его с компьютера и ставить лицензионный. Потому что вы уже приобрели право на его использование».  
Руководитель управления маркетинга «Лаборатории Касперского» в России Олег Гудилин также заявляет, что «Лаборатория Касперского» приветствует инициативу тех компаний, которые переходят на использование лицензионного ПО. «Мы как вендор не занимаемся реализацией своей продукции непосредственно конечным пользователям, – разъясняет эксперт. – Однако любая компания может обратиться в нашу службу клиентской поддержки и получить список авторизованных партнеров, работающих в разных регионах страны, чтобы избежать обращения к ненадежным посредникам, которые реализуют пиратское ПО».

Анатолий Вакуленко, аналитик ИХ «ФИНАМ»:
– В последнее время стали расти репутационные риски, когда потребители интересуются, насколько ответственно вы ведете свой бизнес: сокращаете ли вредные выбросы, достаточно ли оплачиваете труд работников, соблюдаете ли права инвалидов, женщин, подростков, соблюдаете ли технику безопасности, и лицензионное ли ПО вы используете у себя в компании. Если используемое вами ПО – пиратское, то вы рискуете лишиться части клиентов, что может губительно сказаться на вашем бизнесе. Поэтому лицензионное ПО – это не только безопасно, но и выгодно, и компании, строящие свой бизнес на длительный период, заботящиеся о своей безопасности, должны использовать только лицензионное ПО.

Олег Гудилин, руководитель управления маркетинга «Лаборатории Касперского» в России:
– В последние годы происходит постепенное формирование цивилизованной культуры использования программного обеспечения. Ужесточение борьбы с пиратством, безусловно, дало результаты. Любой предприниматель, выбирающий пиратское ПО, должен осознавать, каким рискам он подвергает таким образом свой бизнес. Лицензионный продукт дает такие преимущества, как качество, надежность, квалифицированная техническая поддержка, доступность обновлений антивирусных баз, без которых невозможно обеспечить полноценную защиту компьютера. Если вдуматься, когда речь идет о защите корпоративных данных, просто глупо использовать для этой цели взломанную версию защитного решения, ведь степень защиты при этом не только не увеличится, а наоборот, появляется дополнительный риск.