Защита информации в интернете: проблемы и пути их решения

44
Фото © shutterstock.com
Фото © shutterstock.com
Многие компании часто не осознают реальность виртуальной угрозы, и их защита ограничивается блокировкой почтового спама и компьютерных вирусов. Если раньше опасный вирус можно было найти только на сайтах с контентом 18+, то сегодня подхватить «заразу» можно сразу же при подключении к интернету. Несмотря на то, что вирусы научились блокировать работу целых корпораций, нередко становясь «героями» новостей, они не являются единственной угрозой информационной безопасности компании.

Хакерские атаки, DDоS-атаки, потеря данных в результате поломок «железа» или действий третьих лиц могут существенно повлиять на рабочий процесс, поэтому вопрос защиты информации в интернете становится сегодня как никогда актуальным.

Для чего нужна защита информации в интернете

Американская компания Internet Security Alliance провела исследование, касающееся виртуальных угроз. В результате выяснилось, что атакам в интернете подвергается каждая третья небольшая фирма и только каждая шестая крупная. Данные компании Yankee Group подтверждают, что лишь 40 % предприятий малого бизнеса стремятся всерьез обезопасить важную информацию при работе в сети интернет, при этом половина из них крайне нерегулярно обновляет средства защиты, желая сэкономить. Такое халатное отношение к киберугрозам может обернуться серьезными финансовыми потерями.

Чем выше степень использования информационных технологий в бизнес-процессах, тем больше внимания нужно уделять IT-инфраструктуре. Вопрос виртуальной безопасности должен быть частью общей стратегии компании, все мероприятия по защите информации в интернете необходимо проводить регулярно. Как правило, подразделения, занимающиеся обеспечением охраны виртуальных данных, довольно часто допускают следующие ошибки:

1. Перестраховаться полностью.

Абсолютно вся документация подвергается шифрованию, сотрудникам ограничен доступ к всемирной сети, установка любого ПО происходит только после одобрения системного администратора. В данном случае обеспечивается 100%-ная защита информационных технологий, однако все бизнес-процессы компании становятся крайне инерционными из-за тотального контроля и огромных расходов на поддержание безопасности.

2. Действовать наудачу.

Любой сотрудник и даже посетитель офиса может с легкостью получить доступ ко всей документации или сейфам, на компьютерах отсутствует элементарная защита от вирусов, для входа в корпоративную сеть не нужно вводить персональные данные или же они известны каждому. Такая самонадеянность чревата потерей не только клиентской базы, которую могут украсть конкуренты, но и финансовых средств на незащищенных банковских счетах.

Чтобы не впадать в подобные крайности, необходимо найти баланс, который обеспечит защиту информации в интернете и не пробьет заметную брешь в корпоративном бюджете. Конечно, не каждый руководитель компании знаком с тонкостями информационной безопасности, поэтому ему нужно прислушиваться к советам начальника IT-службы. Чтобы найти подходящий продукт, необязательно выбирать самый дорогой, поскольку он может не обеспечить необходимого вам результата. Уточните у руководителей подразделений их пожелания к системе защиты информации. Только на основе всех рекомендаций и мнений можно сформулировать основные требования и выбрать подходящее программное и аппаратное обеспечение.

Перечень предприятий, которым обязательно необходимы средства защиты информации в интернете:

  • Финансово-кредитные организации.
  • Коммерческие и государственные учреждения, имеющие подключения к сетям общего пользования.
  • Территориально-распределенные компании.
  • Организации, предоставляющие внешний доступ к своим ресурсам информации.
  • Операторы связи.

Этот список может быть увеличен. Однако довольно часто компании сталкиваются с протестом сотрудников, считающих, что эффективность работы в сети существенно снизится в связи с подключением системы виртуальной безопасности. Если вы делаете выбор в пользу полноценной защиты информации в интернете, это не должно повлиять на другие рабочие процессы.

Все IT-угрозы можно разделить на четыре группы в зависимости от того, насколько велика вероятность их наступления и насколько ощутимыми для компании могут оказаться последствия:

  1. Высокая угроза – большой ущерб. Регулярное создание бэкапов поможет нейтрализовать возможные риски.
  2. Высокая угроза – небольшой ущерб. Как правило, последствия такой угрозы не влияют на деятельность компании.
  3. Низкая угроза – большой ущерб. В данном случае рекомендуется заблаговременно приобрести страховку с достаточным покрытием.
  4. Низкая угроза – небольшой ущерб. Такие последствия остаются практически незамеченными.

Угрозы внешние и внутренние

Статистика российских виртуальных угроз показывает, что 98 % отечественных компаний хотя бы раз подвергались внешней атаке, 87 % стали жертвами внутренних угроз (заражение через уязвимые программы, действия недобросовестных сотрудников, утечка данных и пр.). Если говорить о глобальных масштабах, то 90 % организаций во всем мире хотя бы раз подвергались различного рода кибератакам. Во всех случаях последствия таких виртуальных угроз были достаточно ощутимыми и принесли немалые убытки.

Система защиты информации в сети Интернет позволяет эффективно устранить основные причины потери ваших корпоративных сведений, среди которых можно выделить:

  • перехват информации третьими лицами;
  • подделку сведений об авторе;
  • модификацию информации;
  • несанкционированное подключение к серверу компании или линиям телефонной связи;
  • маскировку под авторизованного пользователя, что обеспечивает право доступа к корпоративной сети;
  • копирование файлов после того, как система защиты была взломана;
  • ввод новых пользователей;
  • ошибки в способах хранения архивных данных;
  • внедрение компьютерного вируса;
  • ошибки сотрудников, работающих в сети;
  • несовершенство корпоративной операционной системы и ПО.

Кибератаки могут преследовать различные цели:

1. Хищение информации.

Несомненно, ваши корпоративные сведения весьма интересны конкурентам, в особенности коммерческая тайна, персональные данные сотрудников, клиентская база и т. п. Способов перехвата информации может быть множество. К примеру, вредоносная программа может подменять популярные приложения, работающие в фоновом режиме, копируя у них описания файлов, пиктограммы и даже размеры файлов. Также внедренное ПО похищает и подменяет на компьютерах сотрудников пароли, историю браузера, контактную информацию клиентов и пр.

2. Ликвидация сведений.

Вредоносное ПО уничтожает системные данные без возможности их восстановления. Нейтрализовать последствия такой угрозы помогут регулярные бэкапы.

3. Денежное воровство.

В данном случае вредоносное ПО отслеживает и похищает денежные переводы через системы дистанционного банковского обслуживания.

4. Причинение финансового вреда компании.

Для организации, осуществляющей продажи с помощью интернета, выход сайта из строя означает существенные финансовые потери. Для того чтобы «положить» сайт, применяются DDoS-атаки.

5. Причинение вреда репутации фирмы.

Для того чтобы нанести вред имиджу компании, сначала необходимо взломать сайт. Дальнейшие действия хакеров зависят от выбранного способа причинения ущерба репутации:

  • размещение на сайте компании ссылок, перейдя по которым пользователи получают вирус;
  • добавление вредоносного баннера;
  • публикация политически ориентированного сообщения.

6. Хищение цифровых сертификатов IT-компаний.

Подобное хищение существенно подрывает доверие пользователей к IT-организациям, имеющим свои публичные центры сертификации, что может впоследствии привести к сворачиванию бизнеса.

Для защиты от каждой из перечисленных кибератак применяются различные способы. В России самую высокую эффективность показывают:

  • антивирусное ПО (его используют около 60 % компаний). Тем не менее, порядка 26 % предприятий игнорируют даже такие элементарные средства защиты информации в интернете. Как правило, этим «грешат» небольшие фирмы, стремящиеся сэкономить;
  • контроль регулярности обновления ПО (53 %);
  • управление приложениями (38 %).

Способы защиты информации в интернете

К сожалению, даже самым опытным IT-специалистам, в арсенале которых актуальнейшие системы безопасности, далеко не всегда оказывается по силам предотвратить кибератаки. Лишь 20 % подобных угроз могут быть остановлены службой виртуальной защиты. Причина заключается в том, что огромная доля потерь данных происходит по вине некомпетентных сотрудников компании. Бороться с этим можно при помощи постоянного повышения компьютерной грамотности персонала и установки пакетов антивирусного программного обеспечения с файерволом (защитой от сетевых угроз).

Однако если большинство бизнес-процессов в вашей организации проходят в интернете, стандартные методы защиты не смогут обеспечить должный уровень безопасности. Чтобы оценить, входит ли ваше предприятие в эту группу риска, необходимо ответить на несколько вопросов:

  • Компания работает в IT-секторе?
  • Большинство бизнес-процессов организации связаны с IT-инфраструктурой?
  • На серверах компании находятся большие массивы персональных или коммерческих данных?
  • Доход вашей организации выше выручки отраслевых конкурентов?
  • Ваша компания имеет дело с данными, требующими сертифицированной защиты?
  • Вы отказались от найма сотрудника, отвечающего за информационную безопасность, поскольку затраты на его услуги достаточно высоки?

Если хотя бы по одному из пунктов вы дали положительный ответ, значит, вашей организации нужна особая защита информации при работе в сети Интернет. Зачастую для этого приходится привлекать внешних консультантов (экспертов в IT-сфере, юристов), которые будут отслеживать соответствие внедряемых проектов виртуальной безопасности формальным требованиям закона и надзорных органов.

Вот минимальный список компонентов, необходимых для защиты компаний малого и среднего бизнеса:

  • Межсетевой экран (файервол), в задачи которого входит защита от взлома компьютера и от несанкционированной передачи данных.
  • Антивирусная защита.
  • Антиспам для электронной почты.
  • Система предотвращения вторжений (IPS) – программное или аппаратное средство, защищающее от несанкционированного доступа к сетевой инфраструктуре или конкретным сервисам.
  • URL-фильтрация – средство, ограничивающее доступ к определенным веб-ресурсам.
  • Защита удаленного доступа (в том числе беспроводного) при помощи создания защищенного канала подключения.
  • Система централизованного управления – комплекс программ, которые позволяют из одной консоли управлять всеми сервисами, обеспечивающими информационную безопасность.

Даже этих стандартных инструментов и способов защиты информации в сети Интернет достаточно для поддержания необходимого уровня безопасности в головном офисе и в филиалах компании, затраты при этом минимизируются. Экономии можно достичь и при использовании услуг внешних провайдеров, которые предлагают систему сетевой защиты за абонентскую плату (иначе говоря, покупать ПО не нужно, им можно пользоваться удаленно).

Однако это не поможет избежать утечки информации по вине сотрудников. Они могут действовать умышленно, продавая вашу клиентскую базу конкурентам, или непреднамеренно, ненароком выдав коммерческую тайну во время телефонного разговора с друзьями. Чтобы минимизировать эту угрозу, необходимо постоянно проводить работу с персоналов в двух направлениях:

  • разъяснение (объяснительная беседа на следующие темы: специфика коммерческой тайны, деятельность информационных потоков компании, меры предосторожности при работе за компьютером и т. д.);
  • повышение лояльности (различные мотивирующие мероприятия).

Даже если сотрудники компании знают о рисках утечки информации, но при этом недостаточно лояльны, вероятность подобной угрозы возрастает. Однако и высокая лояльность, сопряженная с плохой осведомленностью, может привести к негативным последствиям, поскольку снижается эффективность работы. Поэтому так важно учитывать все эти риски при налаживании бизнес-процессов фирмы.

Мнение эксперта

Защиту информации в интернете отдали на аутсорсинг

Владимир Некрасов,
генеральный директор компании Contour Components, Москва

Я сразу поставил перед системным администратором задачу максимально упростить инфраструктуру предприятия. При этом многие процессы делегированы аутсорсинговым компаниям. Однако мы контролируем функциональность и уровень безопасности. К примеру, почтовый сервер нашей компании хостится у надежного американского провайдера. На аутсорсинг переданы и другие распределенные системы: трекер ошибок, система управления проектами и пр. Кроме того, мы поручили провайдеру не только обязанность защиты информации в интернете, но и обязательства по резервному копированию и по бесперебойной работе нашей сети. Таким образом, нам удалось существенно сократить штат сотрудников IT-отдела и трудозатраты, а безопасность компании ничуть не снизилась.

Вообще, усложнение IT-структуры не всегда увеличивает надежность всей системы в целом. Зачастую простые организационные меры, например, предоставление доступа по VPN (англ. virtual private network – виртуальная частная сеть) к корпоративной сети только тем сотрудникам, которым интернет необходим для работы, заменяет сложные процедуры разграничения прав доступа и мониторинга активности пользователей.

4 совета как дополнительно защитить информацию в интернете

  1. Не только офисным компьютерам необходимы средства защиты. Ваши сотрудники в рабочее время используют свои мобильные телефоны и планшеты, которым тоже необходимо обеспечить безопасность. Подключаясь к корпоративной сети через Wi-Fi, эти устройства могут стать объектами угроз.
  2. На всех компьютерах должен быть установлен лицензионный корпоративный антивирус, который необходимо регулярно обновлять.
  3. Для сотрудников следует провести обучение безопасной работе в интернете, поскольку довольно часто злоумышленники фальсифицируют популярные сайты (например, сайты банков), посещение которых может обернуться установкой вредоносного ПО, вируса или потерей средств банковского счета.
  4. При составлении IT-бюджета нужно руководствоваться следующим правилом: стоимость средств защиты информации в интернете не должна превышать размер возможных убытков при наступлении подобных рисков. Исходя из этой рекомендации, объем финансирования в информационную безопасность на предприятиях малого и среднего бизнеса должен составлять около 2-6 тысяч рублей на каждое рабочее место. Этих средств будет достаточно для приобретения стандартного пакета антивирусных программ. Кроме того, в бюджет необходимо заложить зарплату сотрудников IT-отдела. Дополнительно вы можете приобрести межсетевой экран (хотя он обычно входит в комплект антивирусного ПО) и систему контроля содержимого, которая обеспечивает безопасность электронной почты.

Проблемы защиты информации в интернете и пути их решения

К таким проблемам можно отнести:

  • утечку данных;
  • разглашение конфиденциальной информации;
  • отказ информационных систем, что исключает возможность работать с клиентами;
  • рост накладных расходов.

Последствия возникновения первых трех проблем оказываются достаточно катастрофичными, что в итоге может привести к гибели бизнеса. Чтобы предотвратить подобные риски, необходимо внимательно изучить «врага» и понять, как можно избежать появления таких угроз.

1. Утечка информации.

Причинами утечки данных могут быть повреждения носителей информации (жестких дисков, компакт-дисков, флеш-накопителей и пр.), внедрение вирусов в корпоративную сеть или хакерские атаки.

Для решения этой проблемы необходимо предпринять следующие шаги:

  • провести оценку степени важности и защищенности всей имеющейся в компании информации;
  • регулярно проводить резервное копирование всех файлов, в особенности содержащих сведения особой важности;
  • оборудовать каждое рабочее место и корпоративную сеть пакетом антивирусных программ и регулярно обновлять их;
  • обеспечить защиту информации от различного рода злоумышленников и хакеров при помощи специализированных аппаратных и программных средств.

Утратившая актуальность информация должна перемещаться в архив, где сохранность таких данных необходимо регулярно проверять.

Мнение эксперта

Подключение к интернету при помощи Wi-Fi – потенциальная угроза для компании

Евгений Гриханов,
руководил IT-отделами группы компаний «Теплоимпорт» и рекламной группы «Витрина А», Москва

Сегодня меры по обеспечению информационной безопасности в нашей компании находятся в стадии разработки. Основная задача, поставленная перед IT-отделом, – это организация регулярных процедур резервного копирования и обновления пакетов антивирусных программ. Мы стремимся снизить расходы на резервное копирование путем запрета на хранение информации, относящейся к категории повышенной важности, на локальных компьютерах. Поэтому на всех устройствах (в том числе планшетах, ноутбуках и мобильных телефонах) сейчас настраивается синхронизация данных с серверами.

Для нашей компании недопустимо осуществлять подключение к интернету через Wi-Fi-соединение, поскольку в этом случае любой выход в сеть может привести к хакерским атакам и потерям данных. Если на вашем предприятии настроено такое подключение, необходимо создать требования к работе с использованием технологии Wi-Fi.

Технология Bluetooth также может стать реальной угрозой потери данных во время передачи с помощью личных мобильных телефонов. Все устройства оборудованы картами памяти, на которые можно скопировать корпоративную информацию, относящуюся к коммерческой тайне. Если сотрудники используют телефон для выхода в сеть, подобный вид подключения создает канал утечки данных и позволяет хакерам войти в информационную систему компании. В данном случае рекомендуется применять те же методы защиты информации в интернете, что и для Wi-Fi-соединения.

2. Несоблюдение политики конфиденциальности.

В России и в западных странах существуют два диаметрально противоположных подхода к обеспечению виртуальной безопасности. Западные компании предпочитают страховать работающий сервер от рисков потери данных, российские для этой цели приобретают сервер для резервного копирования. Однако оптимальным выбором все же будет баланс между этими подходами: одновременное страхование рисков и вкладывание средств в развитие инфраструктуры безопасности.

Несоблюдение политики конфиденциальности подразумевает передачу важной информации как третьим лицам (как правило, конкурентам), так и внутри компании (к примеру, уровень заработной платы, будущих проектов, планов по сокращению персонала и т. п.). В данном случае лучше всего ограничить доступ к сведениям особой важности и не провоцировать сотрудников. Рядовой персонал подразделений должен владеть только той информацией, которая необходима ему для работы. Это не только поможет качественно организовать деятельность людей, но и позволит быстро определить источник утечки и нейтрализовать возможные последствия.

Для защиты информации, представляющей особую ценность (например, коммерческая тайна, база клиентов и т.п.), применяется метод шифрования данных. Даже получив доступ к этим сведениям, третье лицо не сможет с ними ознакомиться, не имея ключа расшифровки.

Однако не стоит впадать в крайности. Если запретить копирование всей информации, подобная «секретность» лишь навредит бизнесу, поскольку повлечет за собой демотивацию сотрудников и замедление всех бизнес-процессов. Существует специальное ПО, которое помогает контролировать копирование данных на внешние носители и протоколирует действия пользователя с внешними устройствами. Кроме того, такие программы отслеживают все подключения внешних устройств к компьютеру.

Периодические обновления паролей также способствуют поддержанию высокого уровня безопасности. Если пароль сложный и представляет собой хаотичный на первый взгляд набор комбинаций, многие пользователи записывают его на листочке и хранят в доступном месте (иногда в виде стикера на экране компьютера). С такой халатностью помогает бороться периодический контроль службы IT-безопасности.

3. Поломка информационных систем.

Информационные системы могут выйти из строя в результате наступления следующих событий:

  • поломка оборудования или отказ программного обеспечения;
  • прекращение или затруднение работы сетей передачи данных;
  • внедрение вирусных программ в информационные системы.

Решить эти проблемы призвана установка дублирующего оборудования, которое сможет принять на себя все необходимые задачи в полном объеме. Кроме того, нелишним будет внедрение информационных систем, автоматически подключающихся при выходе из строя основного блока. Мощность резервного оборудования должна рассчитываться исходя из сроков, необходимых для восстановления работоспособности главной системы. При этом коллектив IT-отдела обязан на практике отточить свои действия в подобных внештатных ситуациях, поэтому рекомендуется периодически проводить проверки готовности сотрудников в нерабочее время. Четкость и слаженность деятельности персонала, а также грамотная настройка резервного оборудования помогут минимизировать время простоя и быстро восстановить работоспособность основных систем.

4. Увеличение накладных расходов.

Любая компания стремится уменьшить основные расходы без потери эффективности работы. К таким тратам можно отнести и стоимость услуг провайдера, предоставляющего доступ в интернет. Многие сотрудники нередко используют корпоративную сеть в личных целях, например, для скачивания больших объемов информации. Снизить расходы поможет лимитирование трафика для персонала. Увеличение возможно только в случае обоснования работником этой потребности. Нелишним будет регулярный контроль использования средств связи.

Как создается система защиты информации в интернете

Для того чтобы выработать стратегию защиты корпоративной информации, руководителю IT-службы необходимо определить круг ключевых мероприятий. Некоторые из них проводятся единоразово, другие же относятся к периодическим. Кроме того, в список подобных мероприятий обязательно должна быть включена разъяснительная работа с персоналом.

К разовым мероприятиям можно отнести:

  • приобретение и установку пакета антивирусного ПО;
  • покупку и настройку оборудования, необходимого для резервного копирования;
  • внедрение средств шифрования информации, предназначенной для топ-менеджеров;
  • приобретение и установку ПО, контролирующего доступ к ключевым данным.

Работоспособность всех систем и устранение неполадок в кратчайшие сроки должны обеспечиваться службой IT-департамента. Для этого назначается отдельный сотрудник или подразделение.

К периодическим мероприятиям следует отнести:

  • проверку степени защиты информации в интернете, которую необходимо доверить сторонним консультантам. Рекомендуется проводить подобный аудит не реже одного раза в год;
  • периодические контроль и тестирование системы резервного копирования, а также способности автоматического восстановления работоспособности в случае неполадок. При проведении такой проверки необходимо отключить основное оборудование в рабочее время и отследить, не снижается ли эффективность деятельности сотрудников и информационных системы при включении резервных устройств. Если показатели ниже положенных, следует выявить проблемные места и устранить их в кратчайшие сроки. Рекомендуется проводить такую проверку не реже одного раза в квартал;
  • обучающие семинары для сотрудников IT-подразделения и других отделов, которые имеют доступ к информации;
  • мотивационные мероприятия для IT-персонала. Если работа IT-департамента налажена эффективно, а информационная система работает без сбоев, большую часть времени сотрудники этого отдела проводят расслабленно. Из-за этого может сложиться ощущение, что люди бездельничают, поэтому нет необходимости в дополнительном стимулировании. Однако это далеко не так. Руководитель должен разработать четкие критерии премирования IT-специалистов, которые зависят от эффективности работы информационных систем и удовлетворенности сотрудников других подразделений работой IT-персонала.

Таким образом, процесс обеспечения безопасности и защиты информации в интернете – это постоянная системная работа, которая не может проводиться разово или время от времени. Только структурный подход поможет надежно сохранить корпоративные сведения особой важности от виртуальных и других видов угроз.

Основные виды защиты информации в интернете можно условно разделить на несколько групп:

  1. Средства аппаратного (или технического) характера.
  2. Программные меры защиты.
  3. Средства, которые относятся к смешанному виду.
  4. Меры организационного или административного характера.

К средствам аппаратного (или технического) характера можно отнести разные устройства: электронные, механические, электромеханические. Их объединяет возможность обеспечить защиту информации при помощи специального оборудования. Работа этих устройств основывается на двух принципах: препятствие проникновению или маскировка информации в случаях, когда доступ был открыт. К достоинствам аппаратных средств можно отнести их надежность, независимость от субъективных факторов и устойчивость к модификациям. Тем не менее, подобные устройства обладают достаточно высокой стоимостью, что делает их установку на каждое рабочее место, имеющее доступ к информации, крайне затратным мероприятием. К минусам также можно отнести громоздкость (большие габариты и масса) и отсутствие гибкости.

Программные меры защиты позволяют контролировать доступ, проводить идентификацию пользователей, тестировать контроль системы защиты, шифровать данные и удалять остаточную информацию (к примеру, временные файлы). К достоинствам таких видов защиты информации в интернете можно отнести:

  • гибкость;
  • надежность;
  • универсальность;
  • простоту установки;
  • способность к модификации;
  • способность к развитию.

Однако программные средства не имеют достаточной защиты перед случайными или преднамеренными изменениями. Кроме того, они используют большую часть ресурсов файл-сервера и рабочих станций. При подключении к сети программные средства могут ограничивать ее функциональность. К недостаткам можно также отнести зависимость подобной защиты от типа компьютера и подключенных к нему устройств.

Средства смешанного типа сочетают в себе свойства первой и второй групп видов защиты информации в интернете.

Меры организационного или административного характера подразумевают работу с персоналом и учреждение правил активности в интернете, а также контроль их соблюдения.

Поскольку каждый вид этих средств обладает своим набором достоинств и недостатков, для обеспечения полноценной защиты рекомендуется применять их в комплексе, встроив в систему IT-безопасности.

К способам, обеспечивающим дополнительную IT-безопасность, также относятся:

  • шифрование информации. При помощи специалистов по криптографии достигается необходимая секретность особо важных сведений компании;
  • аутентификация. Перед подключением к корпоративной сети все пользователи должны проходить процедуру обязательной идентификации. Однако за секретностью сведений, обеспечивающих доступ, нужен тщательный контроль, поскольку работники довольно часто хранят пароли в ненадлежащем месте или делятся ими с коллегами;
  • система одноразовых паролей. Эта система не обеспечивает доступ к устройству, для этого предназначена аутентификация. Одноразовые пароли необходимы лишь в тех случаях, когда пользователю нужно подключиться к месту хранения важной информации.

Любая корпоративная сеть должна иметь межсетевые экраны (или брандмауэры – firewalls), которые устанавливают в разрыв всех соединений внутренней сети с глобальной. В их задачи входят распознавание и подключение зарегистрированных сотрудников, а также классификация сетевой активности для фильтрации вредоносного трафика и организации полноценной работы в интернете для легальных пользователей.

Для обеспечения безопасности транслируемой информации используется технология виртуальных частных сетей (VPN). Она помогает защитить сведения от искажения, уничтожения или просмотра третьими лицами. Существуют различные методы защиты информации в сети Интернет, используемые в этой области. Это разграничение трафика и его шифрование, которое помогает сохранить пользовательский IP-пакет, не допуская его прочтения, искажения или подмены третьими лицами.

Исходя из всего вышеперечисленного, можно сделать вывод о том, что защиту информации в интернете помогут обеспечить разнообразные аппаратные средства, а также:

  • средства мониторинга сетей;
  • средства анализа и моделирования информационных потоков;
  • качественные антивирусные программы;
  • архивирование и дублирование данных;
  • резервное копирование;
  • анализаторы протоколов;
  • организационные и административные меры, которые помогают предотвратить физический доступ посторонних к информации компании.

Если размеры вашего предприятия не подразумевают выделение обособленного IT-подразделения, можно воспользоваться услугами сторонних компаний, которые не имеют внутренних интересов и могут профессионально настроить эффективную систему информационной безопасности. Проведение аудита в этом случае лучше доверить другому консультирующему агентству, чтобы избежать субъективных оценок.

И не стоит забывать о том, что даже при наличии эффективно выстроенной системы защиты информации, главную угрозу представляют некомпетентные сотрудники. Обязательно информируйте персонал о том, что сведения, с которыми им предстоит работать, относятся к собственности компании, поэтому предприятие имеет полное право наказать виновных в их утечке. Меры наказания зависят от важности и объема похищенных сведений. В некоторых случаях достаточно выговора, а в некоторых последствиями могут быть увольнение и даже обращение в полицию. В случае увольнения сотрудника по собственному желанию необходимо обеспечить своевременную дополнительную защиту тех сведений, к которым он имел доступ, иначе важная информация «уйдет» вместе с человеком.

Защита информации при работе в сети Интернет является частным случаем управления рисками. Для того чтобы оценить и минимизировать последствия потери важных сведений, необходимо:

  1. Провести анализ событий, приведших к утрате или хищению информации.
  2. Оценить финансовые потери, возникшие вследствие утечки сведений.
  3. Спрогнозировать вероятность возникновения аналогичных событий в течение рассматриваемого периода (обычно год или более).

Теперь можно оперировать полученными в цифрах показателями. При перемножении данных из пунктов 2 и 3 итоговый результат дает цену риска до проведения мероприятий по защите информации, которые помогают снизить вероятность возникновения виртуальных угроз. Таким образом, появляется возможность рассчитать отдачу от проекта по предотвращению подобных ситуаций. Формула расчета выглядит следующим образом:

(Вдо – Впосле) х П = О.

Критерий Вдо – это вероятность до проведения мероприятий по защите информации при работе в сети Интернет, критерий Впосле – это вероятность после, П – потери, О – отдача на проект.

Если итоговая цена проекта превышает стоимость отдачи, вкладывать в его реализацию финансовые средства нет необходимости. В данном случае оптимальным выбором будет страхование возможных рисков. По итогам расчетов можно определить приоритетные проекты, отдача от которых будет максимальной.

Однако финансовая выгода не должна быть приоритетной при принятии решения. При оценке проектов необходимо опираться на здравый смысл. Здесь весьма показательным может быть пример инновации, предложенной менеджером российского отделения крупной американской компании. Данный сотрудник получил повышение за свой проект, благодаря которому вынос носителей информации (дискет, CD и DVD) из офиса стал невозможен. Однако никто из руководителей не принял во внимание тот факт, что важные корпоративные сведения могут быть отправлены по электронной почте или по другим интернет-каналам, не встречая никаких препятствий.

Технологии защиты информации в интернете после ее публикации

Защита информации в интернете, выложенной для всеобщего обозрения, является приоритетной задачей для тех компаний, которые зарабатывают на ее продаже (фотобанки, фирмы, предлагающие аудио- и видеофайлы). Однако объектами подобной защиты могут быть не только права на интеллектуальную собственность. В качестве примера можно привести историю российской компании, которая налаживала производство снэков в момент становления этого сегмента рынка. Во время поиска инвесторов для массового выпуска сухариков на сайте предприятия появилась подробная информация о технологических этапах производства, наглядная эффективность которого была необходима для демонстрации потенциальным инвесторам. Однако этими сведениями воспользовались конкуренты, которые на их основе создали линию по изготовлению снэков. Они сумели быстро выйти на рынок, а компания, которой принадлежала идея, так и не смогла найти инвесторов.

Таким образом, защите должна подлежать вся информация, являющаяся результатом интеллектуальной деятельности (базы данных, выложенные на сайте фирмы, полезные модели, промышленные образцы, секреты производства (ноу-хау), товарные знаки, коммерческие обозначения, фирменные наименования и т. д.). В статье 1225 Гражданского кодекса РФ можно найти полный список охраняемых объектов интеллектуальной собственности.

Обеспечить стопроцентную защиту некоторым объектам (например, идее) практически невозможно. Однако именно уникальность идеи должна охраняться в первую очередь. Выходом в данной ситуации будет сокрытие подробной информации, касающейся конечной реализации данного объекта интеллектуальной деятельности. В качестве примера можно привести историю предпринимателя из Калининграда, разработавшей уникальную технологию выращивания клубники в домашних условиях. На сайте http://zarabotok-dengi.ru он подробно описал эффективность своего метода, его результаты, объем вкладываемого труда и необходимого финансирования. Однако наиболее полную информацию, касающуюся данной технологии выращивания клубники, можно узнать только на диске, приобрести который и предлагает предприниматель.

Юридическая защита информации.

Правовой защите информации в интернете до публикации на сайте должны подлежать не только товарный знак, полезная модель или промышленный образец, но и стилистические элементы образа фирмы. К примеру, составляющими стратегии охраны интеллектуальной деятельности компании McDonald’s являются зарегистрированные товарные знаки стилизованной буквы М и слогана «Вот что я люблю».

Для литературных произведений, публикуемых на сайте, существует процедура регистрации в Российском авторском обществе, которая помогает защитить интеллектуальные права. Однако в некоторых случаях закон разрешает без согласия правообладателя и без выплаты вознаграждения использовать размещенную на сайте информацию, обязательно указав имя автора и источник заимствования. Подробнее об этих ситуациях можно прочесть в Гражданском кодексе РФ (ст. 1273-1280). К таким примерам можно отнести цитирование в научных или информационных целях, а также случаи цитирования отрывков из произведения в качестве иллюстраций.

Для подтверждения исключительного права используется знак охраны товарного права ©, публикация которого должна проводиться с указанием года написания произведения и названия компании. Такой знак должен ставиться в конце относящегося к объектам интеллектуального права произведения и внизу каждой страницы сайта. Если указывается только временной отрезок, это может затруднить определение даты первого опубликования. В таком случае подтвердить возможное нарушение первенства вашего авторского права будет весьма проблематично.

Для зарегистрированных товарных знаков используется значок ®, предназначенный для демонстрации посетителям сайта прав на данное обозначение.

Технические средства защиты данных от копирования.

Способы защиты информации в сети Интернет должны стать предметом обсуждения руководителя компании и ответственного за IT-безопасность сотрудника. Как правило, эти технологии широко известны и не требуют значительных финансовых инвестиций. К ним можно отнести:

  • запрет кэширования (сохранения информации в буфер обмена);
  • запрет копирования элементов страницы;
  • запрет выделения текста и его копирования с помощью клавиш Ctrl + C и Ctrl + V;
  • ограничение функции сохранения картинки;
  • защита от копирования модальными окнами;
  • кодировка исходного кода страницы.

Кроме того, защитить собственность в интернете помогает технология нанесения на электронное изображение так называемых водяных знаков. В качестве примера можно привести электронный каталог тортов кондитерской «Алтуфьево», изображения которых защищены таким образом. Нанеся на фотографии авторских кондитерских изделий свой логотип, заходящий на картинку, компания обезопасила их от копирования конкурентами. К данному способу защиты собственных снимков прибегают и цветочные интернет-магазины.

Нередко изображения публикуются в интернете в низком разрешении. Такие графические объекты теряют свою привлекательность для копирования и последующего профессионального использования. К примеру, агентство Fotobank выкладывает свои фотографии с низким разрешением для ознакомления. Если заинтересовавшееся лицо желает получить изображение с высоким качеством, ему необходимо приобрести это фото с надлежащим разрешением у агентства.

Также отделу IT-безопасности поручается разработка системы антихакерской защиты информации в интернете. В данном случае размер инвестиций в проект должен учитывать ценность размещаемых в сети сведений. Размер бюджета может варьироваться от 1000 рублей до нескольких миллионов долларов США. Однако стоит признать факт того, что и специалисты по IT-безопасности, и хакеры владеют примерно одинаковым объемом знаний о способах и методах защиты информации в сети Интернет, поэтому ваш сайт в любой момент может оказаться под угрозой.

Как подготовить информацию к публикации на сайте

Алгоритм надлежащей работы с информацией должен быть отражен во внутренних документах компании. В них следует подробно прописать, какие сведения относятся к категории конфиденциальных, каковы основные этапы, предваряющие непосредственную публикацию на сайте, какими категориями данных оперируют в компании и какие группы лиц владеют правом доступа к ним.

По степени конфиденциальности информацию можно разделить на две группы:

  • общедоступные сведения;
  • сведения, доступ к которым ограничен для большинства сотрудников компании.

Конечно же, защите подлежит только вторая группа данных, обеспечение доступа к которым также является обязанностью сотрудника IT-отдела. Для персонала и для клиентов фирмы уровни доступа должны быть различными. К примеру, информация о структуре предприятия, его внутренние нормативные документы и список контактов являются закрытыми сведениями, которые не стоит доверять широкому кругу лиц. Для облегчения разделения уровней доступа весь персонал компании можно распределить по следующим группам:

  • руководители высшего звена, имеющие доступ ко всей информации;
  • начальники отделов, которым разрешен доступ к профильным и общим сведениям;
  • все остальные сотрудники, которым доступны общие данные.

Клиентам для просмотра на сайте предоставляются сведения о стоимости продуктов и проводимых акциях. Если руководитель не хочет, чтобы эта информация была доступна конкурентам, необходимо сделать авторизацию для потребителей. Регистрация может осуществляться при первой покупке на сайте или в процессе диалога с менеджером по продажам.

Рекомендуется определить и прописать в нормативных документах алгоритм согласования информации для размещения на сайте компании. В качестве примера можно привести следующий порядок:

  1. Подготовка сведений ответственным сотрудником PR-отдела.
  2. Проверка информации руководителем юридического отдела и последующее согласование с начальником того подразделения, к которому относятся эти данные.
  3. Признание особой ценности информации специалистами юридического и финансового отделов.
  4. Утверждение публикации генеральным директором.

Что делать в случае кражи информации с сайта

Похищение сведений, представляющих особую ценность для компании, обескураживает. Однако не стоит впадать в панику и переживать по поводу возможного несовершенства вашей системы защиты информации в интернете. При наступлении рисков подобного рода нужно сохранять хладнокровие и следовать четкому алгоритму действий.

В первую очередь необходимо собрать доказательства похищения информации. Если вы обнаружили изображения с вашего сайта на наружной рекламе, сфотографируйте их и приобщите свидетельские показания третьих лиц. Затем следует обратиться к компании или лицу, совершившему данные противоправные действия, и попытаться решить вопрос в претензионном порядке. В случае отказа или отсутствия договоренностей о решении в досудебном порядке обращайтесь в суд. Однако этап подачи искового заявления стоит предварить анализом, который покажет соотношение ценности похищенной информации и цены судебных издержек. Если защита ваших прав потребует значительных временных и финансовых расходов, которые окажутся несоизмеримо больше «стоимости» украденных сведений, целесообразнее отказаться от обращения в суд.

Судейское решение может понадобиться в следующих случаях:

  • Похищение информации привело к существенным потерям.
  • Вами руководит желание создать прецедент, который отвадит других возможных воров.
  • Вы планируете получить компенсацию ущерба или иную выгоду.

Примером третьей причины обращения в суд стала история российского интернет-ресурса. Его зарегистрированный адрес стал названием передачи на телевидении, анонсирование которой было предметом активной рекламной кампании. Владельцы сайта оказались перед выбором: предъявить претензии редакции канала или обернуть эту ситуацию в свою пользу. Второй вариант оказался предпочтительнее, поэтому руководство ресурса обратилось в телекомпанию с предложением выкупить право на использование товарного знака сразу после выхода передачи в эфир. После этого дилемма возникла у редакции телеканала: потерять значительные средства, вложенные в рекламную кампанию новой передачи, или согласиться на сделку по приобретению за весьма приличную сумму. В результате телекомпания купила права на использование товарного знака, а интернет-ресурс получил существенную компенсацию и бесплатную ТВ-рекламу своего названия.

Важная новость для подписчиков!

Информация об экспертах

Евгений Гриханов, бывший руководитель IT-отделов группы компаний «Теплоимпорт» и рекламной группы «Витрина А», Москва. Был директором по IT ОАО «Московский жировой комбинат» и логистической компании Relogix. Имеет пятилетний опыт организации и проведения тендеров. Компания I. Q. Property Management (IQPM) образована в ноябре 2006 года. Занимается управлением складской недвижимостью. Ценностью компании являются сотрудники, интеллектуальные решения и процедурный подход к управлению.

Владимир Некрасов, генеральный директор компании Contour Components, Москва. Сфера деятельности: информационные технологии. Форма организации: ООО. Численность персонала: 40. Стаж генерального директора в должности: с 2005 года (с момента основания компании).

Читайте в ближайших номерах журнала "Коммерческий директор"
    Читать>>>


    Ваша персональная подборка

      Подписка на статьи

      Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

      Рекомендации по теме

      Школа руководителя

      Школа руководителя

      Проверьте свои знания и приобретите новые

      Записаться

      Самое выгодное предложение

      Самое выгодное предложение

      Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

      Живое общение с редакцией

      Выбор редактора

      Дайджест самых нужных статей

      Шеф-редактор журнала «Коммерческий директор» Амина Атавова

      Главный редактор журнала «Коммерческий директор»
      Амина Атавова.

      Читать сейчас




      © 2011–2016 ООО «Актион управление и финансы»

      Журнал «Коммерческий директор» –
      профессиональный журнал коммерсанта

      Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции журнала «Коммерческий директор». Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

      
      Яндекс.Метрика
      • Мы в соцсетях
      Зарегистрируйтесь на сайте и документ Ваш! Это бесплатно и займет всего минуту!

      Вы сможете бесплатно скачать документ, а также получите доступ к сервисам на сайте для зарегистрированных пользователей:

      • методики, проверенные на практике
      • правовая база
      • полезные подборки статей
      • участие и просмотр вебинаров

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль