Информационная безопасность в мире цифровой экономики
Цифровая экономика стремительно вытесняет старый уклад во всех сферах деятельности современного общества. Трансформируется частная жизнь и рабочие места, появляются новые профессии и инструменты взаимодействия. В эпоху столь масштабных преобразований всё большую актульность принимает проблема информационной безопасности в организациях. Исполнительный директор АЭТП Илия Димитров и заместитель директора Академии Информационных Систем Игорь Елисеев прокомментировали вопрос становления цифровой экономики и основные аспекты обеспечения ИБ в современных компаниях.
Благодаря цифровой экономике повышается эффективность всех отраслей за счет использования информационных технологий; качественно и количественно увеличиваются возможности совершения через компьютер практически всех операций, среди которых предоставление/получение различных услуг и выполнение транзакций. Однако, помимо ряда преимуществ, цифровая трансформация несет и определенные риски. Жизненно важные интересы субъектов (государства, юридических и физических лиц), участвующих в процессах автоматизированного взаимодействия, как правило, заключаются в том, чтобы определенная часть информации, касающаяся их экономических, политических и других сторон деятельности, конфиденциальные коммерческие и персональная данные были бы постоянно легко доступны и в то же время надежно защищены от неправомерного использования. Искажение или фальсификация, уничтожение или разглашение определенной части информации, равно как и дезорганизация процессов её обработки и передачи, наносят серьезный материальный и моральный урон. Таким образом, крайне остро встаёт вопрос обеспечения информационной безопасности как различных госструктур, так и персональных данных и коммерческих организаций.
Становление цифровой экономики
"Россия должна использовать предоставленный ей шанс стать лидером в сфере развития цифровой экономики"
Омбудсмен по цифровой экономике, исполнительный директор Ассоциации электронных торговых площадок (АЭТП) Илия Димитров о становлении цифровой экономики
Сегодня мы находимся на пороге четвертой промышленной революции или Индустрии 4.0, которую характеризуют три базовые составляющие: все в «цифре», новые материалы и новые системы управления. Совокупность этих элементов определяет переход к цифровой экономике. Следует отметить, что революция в любой системе предполагает широкомасштабные качественные изменения, требующие отказа от предыдущего состояния. Поэтому очень важно понимать, что цифровая экономика — это не простая автоматизация производственных процессов, а кардинальные структурные изменения, затрагивающие, в том числе, отношения между участниками системы.
В основу цифровой экономики заложены большие данные. По своей сути — это прогностическая экономика. Мы с вами вступаем в новую эру, когда выпуск той или иной продукции будет максимально индивидуализирован. Нас ждет изменение модели потребления, где ценность определяется реализацией в товаре индивидуальных потребностей. Другими словами, если сегодня конвейер выпускает тысячу типовых стульев, то завтра, в следствие соответствующей трансформации, каждый стул будет произведен в строгом соответствии с индивидуальными предпочтениями потребителя. Цифровая экономика также видоизменяет принципы конкуренции. Борьба идет не столько за передел существующих рынков, сколько за формирование новых, где конкурируют не товары и технологии, а системы управления, опирающиеся на цифровые платформы.
К слову, на сегодняшний день, в мире есть три основных направления для развития экономики будущего: американский – «digital economy», китайский – «интернет экономика» и наш – «цифровая экономика». В основу североамериканской стратегии заложен постулат о том, что в связи с неуклонным увеличением объемов информации ее (и это совершенно справедливо) необходимо соответствующим образом охранять. Поэтому они предлагают всем присоединиться к американской системе защиты данных. Однако в этом случае придется отдавать свои персональные данные под опеку США, на что Россия и Китай, обладающие собственными профильными технологиями, не пойдут.
Модель «интернет экономики», в свою очередь, во многом напоминает американский подход и подразумевает присоединение других стран к китайской технологической платформе.
Россия предлагает свой вариант создания цифровой экономики. Следует отметить, что на сегодняшний день Российская Федерация является мировым лидером по объему торгов, совершенных в формате B2B и B2G. По данным статистики за 2016 год в денежном эквиваленте он составил более 650 млрд долларов США. Это приблизительно 1,2 млн. поставщиков и заказчиков. Почти все сделки осуществляются в электронном виде. Наряду с этим, Россия поступательно наращивает обороты трансграничной электронной торговли, особенно после подключения к данному процессу Белоруссии и Казахстана. В частности, в рамках Таможенного союза в прошлом году объем торгов, совершенных в электронной форме в денежном эквиваленте достиг 900 млрд долларов США. В ближайшей перспективе будет преодолена планка в один триллион долларов США.
Следует сказать, что многие ведущие эксперты сходятся во мнении, что именно электронная торговля может стать главным драйвером для развития цифровой экономики. Более того, данная позиция отмечена в опубликованной в феврале 2017 года программе развития экономики под названием «Стратегия Роста», которая была разработана Столыпинским клубом.
В заключение, можно сказать, что на сегодняшний день все страны в части прогресса в сфере цифровой экономики находятся приблизительно на одном уровне. Кто-то показывает хорошие результаты в области B2C, кто-то лидирует в секторах B2B и B2G. И если общемировой расклад сил, в общем и целом, одинаков, то понимание конечной цели и средств для ее достижения – разное. Именно поэтому Россия должна использовать предоставленный ей шанс стать лидером в сфере развития цифровой экономики.
Обеспечение безопасности рабочей среды
"В целях формирования культуры информационной безопасности нужно регулярно проводить тренинги и семинары по повышению осведомленности работников, а корпоративные службы ИБ должны быть максимально открыты для взаимодействия с коллегами из других подразделений"
Заместитель директора Академии Информационных Систем Игорь Елисеев рассказал о минимально необходимом наборе знаний сотрудников в сфере информационной безопасности и о компетенции современных служб ИБ в организациях
Минимально необходимый набор знаний по ИБ каждого сотрудника компании
Современные сотрудники должны знать элементарные правила цифровой гигиены:
- регулярно обновлять ПО и антивирусы;
- не открывать непонятные вложения;
- не переходить по ссылкам в письмах от неизвестных адресатов;
- не пользоваться сайтами с сомнительной репутацией;
- применять отдельные ноутбуки (планшеты) для работы и развлекательного серфинга в интернете;
- не вставлять в ПК непроверенные внешние носители информации и прочее.
Перечислить все правила невозможно, в виду их огромного количества. Для неискушенных сотрудников главное – понимать, что цифровой мир полон угроз, исходящих из непроверенных источников информации, поэтому всегда лучшее решение – это минимизация рисков. В случае сомнений следует обращаться к специалистам из департаментов, ответственных за ИБ и ИТ. Цена поспешных или непродуманных действий весьма велика: от утечек личных пользовательских данных до реального финансового ущерба или утраты ценной информации.
Академия Информационных Систем рекомендует компаниям организовать для своих рядовых сотрудников периодический тренинг под общим названием «Повышение осведомленности персонала в вопросах информационной безопасности» продолжительностью от нескольких часов до одного дня, на котором специалисты в доступной форме будут излагать слушателям, как меняется цифровой мир, какие угрозы в нем появляются и какой свод основных правил цифровой гигиены актуален на текущий момент. Также можно запустить онлайн корпоративный ресурс, на котором в формате Q&A (Questions&Answers – вопросов и ответов) максимально доступным языком будут описаны наиболее распространенные виды компьютерных угроз, способы их распознавания и нейтрализации.
Компетенции современных служб информационной безопасности в организациях и вызовы службам будущего
Современные службы ИБ обязаны быть не просто технически подкованными в области защиты информации, но и прекрасно разбираться в смежных дисциплинах. В первую очередь, в правовых вопросах применения ИТ и ИБ, бизнес-менеджменте, управлении проектами и т.д. Только благодаря такой междисциплинарной компетентности они будут услышаны руководством компании и смогут получить необходимые ресурсы для развития. Разумеется, чем выше должностной уровень сотрудника, тем большими компетенциями он должен обладать.
Универсальный рецепт по уровню и направленности профессиональной подготовки сотрудников служб вывести невозможно, многое зависит от профиля деятельности и размеров компании. Но есть законодательные требования, обязывающие, к примеру, сотрудников служб ИБ, занимающихся внедрением и эксплуатацией криптографических средств, пройти курсы профессиональной переподготовки по направлению «Информационная безопасность». Аналогичные требования могут вскоре появиться для ИБ-специалистов, обеспечивающих защиту промышленных систем АСУ ТП (автоматизированные системы управления технологическими процессами). Поскольку почти каждая организация в нашей стране является оператором персональных данных, сотрудникам служб ИБ желательно закончить курсы по организации защиты ПДн, которые регулярно обновляются по мере выхода новых нормативных документов. Зачастую на эти курсы приходят не только «безопасники», но и юристы, и сотрудники кадровых служб, желающие расширить свои профессиональные знания. В целом, направление обучения (по тем или иным средствам защиты информации) зависит от того, какие решения эксплуатируются у заказчика.
Появление новых специальностей официально утверждается федеральными образовательными стандартами (ФГОС). На сегодняшний день по направлению «Информационная безопасность» действует 5 специальностей, подготовка по которым проходит в различных вузах:
- «Компьютерная безопасность»,
- «Информационная безопасность телекоммуникационных систем»,
- «Информационная безопасность автоматизированных систем»,
- «Информационно-аналитические системы безопасности»,
- «Безопасность информационных технологий в правоохранительной сфере».
К сожалению, на практике образовательные стандарты иногда отстают от потребностей работодателей, поэтому в последние годы на рынке труда появилась масса профессиональных стандартов, которые служат ориентиром для подготовки будущих специалистов. Переход к модели цифровой экономики дает новый стимул к получению знаний, связанных с аналитикой, большими данными, машинным обучением, интернетом вещей, дополненной реальностью.
В целях формирования культуры информационной безопасности в современных компаниях нужно регулярно проводить тренинги и семинары по повышению осведомленности работников, а корпоративные службы ИБ должны быть максимально открыты для взаимодействия с коллегами из других подразделений при возникновении вопросов и проблемных ситуаций.
Читайте также:
ПодписатьсяНа DEF CON продемонстрировали обман аппаратной двухфакторной аутентификации
Аппаратные токены считаются одним из наиболее надежных вариантов для защиты двухфакторной аутентификации, в отличие от ненадежных SMS-сообщений с одноразовыми кодами, которые можно перехватить самыми разными способами. Даже компания Google уже начала отказываться от использования SMS и ратует за использование токенов.