Информационная безопасность и удобство для бизнеса конфликт интересов

Алексей Плешков
Начальник отдела защиты информационных технологий, "Газпромбанк" (Открытое акционерное общество)

Основа бизнеса любой организации - это совершение собственником целенаправленной деятельности по использованию объектов, на которые распространяются его права владения (пользования и распоряжения), в целях получения максимальной прибыли, дохода или иных полезных результатов с учетом минимизации возможных рисков в условиях, обеспечивающих стабильность и устойчивость функционирования организации в целом.

Таким образом, парадигма деловой деятельности кредитно-финансовой организации (далее - КФО) определяется комбинацией следующих двух обстоятельств:

1. влияние факторов эффективного ведения бизнеса (качество предоставления услуг, обеспечение доступности критически важных сервисов, квалификация и лояльность специалистов на местах, эффективность управления и т.д.);
2. группа рисков, отрицательно воздействующих на состояние активов (репутационный риск, риски соответствия, ликвидности, техногенные и операционные, в том числе риски, связанные с обеспечением режима информационной безопасности).

Исходя из этого, при прочих равных обстоятельствах, эффективное развитие бизнеса будет наблюдаться в той организации (у того собственника), который старается минимизировать накладные расходы и за счет этого (как одной из составляющих) увеличить свой доход в краткосрочной перспективе при условии сохранения рисков на приемлемом уровне. Большинство собственников бизнеса в своей практике руководствуются эмпирическими знаниями, полученными в результате предыдущего опыта работы, и предпочитают необходимым решениям те, которые они считают правильными, забывая о том, что не всегда эти два понятия совпадают. Именно поэтому на практике нередки случаи, когда собственник бизнеса, руководствуясь основным для него принципом минимизации накладных расходов, не обладает достаточным уровнем знаний в высокотехнологических областях, одной из которых, несомненно, является сфера обеспечения информационной безопасности. Следовательно, он не отдает себе отчета в необходимости финансирования развития технических средств защиты информации или внедрения режима обеспечения информационной безопасности в организации, повышает риски информационной безопасности и увеличивает вероятность реализации угроз за счет отказа от принятия организационных и технических мер.

Именно поэтому во многих (надо отметить, что не во всех!) сферах бизнеса в России до настоящего времени формально не развит институт защиты конфиденциальной и/или какой бы то ни было информации. Это направление (по описанным выше причинам) считается неприоритетным, развитие его происходит точечно, не системно и связано по большей части с периодическими внутренними или глобальными внешними всплесками, например с изменениями федерального законодательства.

Схема обеспечения ИБ в кредитно-финансовой сфере

В противовес этому необходимо отметить тот факт, что в кредитно-финансовой сфере уже на протяжении многих лет действует отлаженная и регулируемая схема обеспечения ИБ. Положения серии стандартов СТО БР ИББС "Обеспечение информационной безопасности организаций банковской системы Российской Федерации", рекомендованных Центральным банком РФ для внедрения в организациях кредитно-финансовой системы РФ, описывают подходы к обеспечению ИБ внутри КФО, содержат наборы требований к основным автоматизированным системам, персоналу, документированию и организации управления ИБ на всех уровнях. Постоянно совершенствуя математические модели и учитывая в них актуальные тенденции в мировой и отечественной практике обеспечения ИБ, разработчики стандартов СТО ИББС выстраивают универсальную схему, нормативно "сверху" воздействуют на неоптимально составленную систему управления информационной безопасностью на местах и позволяют развивать направление защиты информации в КФО даже в сложный и неоднозначный период экономического спада.

Но даже, казалось бы, в выстроенной и контролируемой с точки зрения информационной безопасности среде КФО зачастую возникают ситуации, "поднимающие со дна" извечный конфликт между бизнесом и безопасностью, в данном случае информационной безопасностью.

Необходимость совместить в одном решении желаемый бизнес-пользователями уровень удобства и комфорта сталкивается с потребностью в обеспечении достаточного (приемлемого) уровня информационной безопасности. Подразделения, ответственные за информационно-технологическое сопровождение и развитие, выступая на стороне бизнес-пользователя, отстаивают позицию максимального комфорта для пользователя при работе с системой, процессом и/или сервисом, что зачастую связано с неприемлемым с точки зрения бизнеса уровнем обеспечения информационной безопасности. К сожалению, природа непринятия уровня ИБ носит не только технический характер.

К примеру, сетевые многопользовательские информационные системы работают с учетными данными пользователей, такими как имя учетной записи для входа в систему и соответствующий ей пароль для аутентификации. Наличие у пользователя персонального значения аутентификации предполагает необходимость обеспечения конфиденциальности этого пароля. Проведение периодических мероприятий по поддержанию уровня конфиденциальности пароля (в том числе периодическая смена в соответствии с парольной политикой организации) в долгосрочной перспективе приводит к снижению сложности пароля и стремлению обеспечить максимальное удобство и комфорт для пользователя, что, в свою очередь, повышает риск компрометации персональных идентификаторов злоумышленником. В данном случае риски тем выше, чем больше количество систем, предполагающих ввод и периодическую смену пароля, чем больше количество пользователей, работающих в системе, чем чаще происходит смена пароля. Эффективным технологическим решением для снижения рисков компрометации в данном случае явилось бы фактическое уменьшение числа процедур ввода учетных данных пользователем за счет внедрения систем класса "Single Sign On" или "Simple Sign On". Равно как и развертывание иерархии удостоверяющих центров, предполагающее выпуск персональных сертификатов и хранение данных пользователей на внешних персональных носителях информации (floppy-disk, e-token, chip card и т.д.).

Все перечисленные способы предполагают выделение средств для развертывания сервисной инфраструктуры и обеспечения совместимости указанных способов аутентификации с развернутыми ранее автоматизированными системами - компонентами технологических процессов КФО. Это обстоятельство зачастую является неприемлемым для текущего уровня развития организации. Поэтому в КФО применяются как организационные меры (выпуск распоряжений о необходимости соблюдения парольной политики, проведение периодических аудитов и применение административных санкций к выявленным нарушителям), так и технические ограничения.

Услуга "Клиент-Банк"

Другим показательным примером может являться технологическая схема подключения потребителей - клиентов КФО - к услуге "клиент-банк". Выделение отдельного автоматизированного рабочего места с выполнением требований режима безопасного доступа к нему на стороне клиента вместе с применением технологии коммутации каналов (дозвон по модему) для подключения клиента к серверу системы "клиент-банк" на стороне КФО (при выполнении прочих условий, необходимых для организации юридически значимого документооборота между двумя юридическими лицами) до недавнего времени обеспечивало достаточный с точки зрения ЦБ РФ уровень информационной безопасности и минимизировало возможные риски для обеих сторон. Развитие Интернет-ориентированных технологий и всеобщая мобилизация общества сделала малоэффективным, а иногда просто неприемлемым использование статических правил доступа к серверам системы "клиент-банка". Использование аналоговых модемов отошло на второй план по сравнению с удобными и быстрыми устройствами доступа в Интернет. Производители современных рабочих станций и мобильных устройств не закладывают в штатную комплектацию системы floppy-дисководы, считая их "пережитком прошлого". Указанные факторы обеспечивают высокий уровень удобства для потребителя услуг (в данном случае клиента системы "клиент-банк") и усложняют процесс обеспечения информационной безопасности для обеих сторон, что в конечном итоге повышает стоимость услуги для клиента КФО. Таким образом, возникает риск снижения конкурентоспособности услуги на рынке и отток потребителей, готовых купить у КФО данную услугу, в организацию, готовую предложить более удобные и гибкие технические решения по минимальным ценам. В данном случае собственник КФО в праве снизить жесткость требований по обеспечению информационной безопасности (установить лимит приемлемого риска) и, приняв часть возникающих рисков, тем самым повысить уровень удобства и комфорта для потребителя услуги.

Ключевым фактором для бизнеса, построенного на предоставлении услуг потребителям, является его конкурентоспособность на рынке. Классическая бизнес-модель, предполагающая первоначальное снижение уровня накладных расходов, возложенных на клиента, с целью возврата в обозримом будущем вложенных обеими сторонами средств и получения КФО прибыли, часто идет в разрез с выполнением требований по обеспечению информационной безопасности. Эскалация данного вопроса обостряет противоречие безопасности и бизнеса, требует принятия руководящего решения и в большинстве случаев не предполагает поиск компромиссного варианта, поскольку тесно связана с материальной составляющей. В данном случае, как и приведенном ранее примере, именно собственник бизнеса определяет приемлемый вариант с точки зрения существующих и возникающих рисков для основных активов КФО.

Из приведенных для КФО примеров становится понятным, что в любой организации, в которой присутствует подразделение, ответственное за обеспечение информационной безопасности, в ходе осуществления основной деятельности для достижения целей бизнеса может возникнуть конфликт: противоречие положений и требований по информационной безопасности и приоритетных направлений развития бизнеса организации.