Любая статистика в области информационной безопасности (далее ИБ) в Узбекистане - на вес золота. По нашим собственным данным, за последние 5 лет в общем объеме оказанных нами услуг в сфере информационной безопасности доля частного бизнеса составляет всего 8%, для организаций с частичным государственным участием - 11%, оставшиеся 81% приходятся на государственные органы - министерства, государственные монополии, банки. Мы объясняем такую скромную долю частного бизнеса среди наших заказчиков, в том числе, и рядом стереотипов. Приведем самые устойчивые из них и попробуем их развенчать.
Автор статьи - начальник отдела ИБ IT-TEAM SERVICE Узбекистан Антон Ракитский.
Данная статья вышла в информационно-аналитическом журнале сферы связи и информатизации ICTNEWS в номере №2 (148) за 2018 г. под названием «Информационная безопасность в частном секторе». Здесь приводится авторская редакция статьи.
Миф 1 — ИБ это очень дорого. Решения корпоративного класса (всякие DLP и SIEM) действительно могут стоить очень дорого. Но малому бизнесу они часто и не нужны. Вообще миф о дороговизне ИБ во многом связан именно высокими ценами на программное обеспечение/оборудование, в цену которого заложены кроме себестоимости ещё и налоги, пошлины, оплата труда всей цепочки продаж, реклама. Любую сложную систему нужно будет приобрести, установить, настроить, поддерживать, обновлять, в результате получается высокая стоимость владения (TCO - Total Cost of Ownership). Нужны ли дорогие и сложные системы ИБ? Периодические консультации с экспертами по ИБ будут стоить не так дорого и уж в любом случае дадут больший эффект чем приобретение дорогой системы, которая будет лежать в коробке.
Миф 2 — ИБ можно будет заняться, когда есть какая-то инфраструктура, когда бизнес уже "закрутился". В противоположность предыдущему мифу тут наоборот, можно «уйти в минус» если не учесть риски уже на старте. Нужно понимать специфику рынка, в том числе требования регуляторов, нормативную базу, сложившуюся практику, узнать проблемы коллег по цеху. Конкуренты тут помогать не станут, госорганы в лучшем случае проконсультируют в рамках своей сферы. Единственный выход - обратиться к независимым экспертам по ИБ, которые расскажут и подскажут, возможно, несколько «охладят пыл», но зато вы будете знать основные подводные камни, течения, а не терять время и деньги на каждом этапе. Особенно это касается высокотехнологичных стартапов, например платежных систем, где без грамотной консультации можно сразу потерять и деньги и имидж, всё-таки финансовая сфера у потребителя всегда ассоциируется с надёжностью и безопасностью. Кроме эксперта по ИБ, тут возможно потребуется ещё и юридическая поддержка.
Миф 3 — ИБ приносит неудобства и ограничения, а для бизнеса главное - простота и удобство. Отчасти верно, но простота и удобство для клиента не должны обеспечиваться за счет низкого уровня ИБ. На конкурентном рынке (для Узбекистана это такси, платежные системы, службы доставки) любой инцидент с ИБ, связанный с раскрытием данных пользователей, приведет к массовому оттоку клиентов к конкурентам. Озаботиться ИБ нужно до этого, восстановить уже утраченный авторитет вряд ли удастся.
Миф 4 — ИБ это прямые затраты, никакого возврата вложенных инвестиций (ROI Return on investment) не будет. Зато если не заниматься ИБ вообще, то прямые убытки будут уже из-за простоев, и, не дай бог, штрафов и финансовых претензий пользователей. Да, ИБ не даёт возврата вложений напрямую, но если грамотно распорядиться вложениями в эту сферу, то можно подать это как конкурентное преимущество. Многие не знают, но даже уровень доступности сервиса является одним из трёх главных свойств информационной безопасности (конфиденциальность, целостность, доступность классическая триада ИБ). Многие зарубежные хостинги привлекают клиентов уровнем аптайма (99,99% и другое количество девяток). А много ли в Узбекистане компаний, которые могут озвучить уровень доступности сервиса и на этом «повороте» обойти конкурентов? Даже факт проведения экспертизы ИБ можно подать как плюс, ведь конкуренты вопросами безопасности ещё и не начали заниматься. Развитию рынка ИКТ в Узбекистане не мешает сильное и избыточное регулирование в области ИБ и особенно персональных данных (как в РФ). Если организация всерьез займется защитой данных пользователей (история заказов, треки поездок в такси, выписки по счетам) и расскажет, как она это делает, то это только укрепит доверие пользователей. Эту возможность конкурентной борьбы сейчас практически никто не использует.
Миф 5 — Наш бизнес не связан с информационными технологиями, мы неинтересны хакерам. Частный бизнес не понимает, что значительная часть вопросов уже на этапе планирования относится именно к ИБ. Многие ошибочно считают, что если нет инфраструктуры, то нет и рисков безопасности. Но даже выход из строя основного контактного телефона может привести к серьезным убыткам. У кого на этот случай разработан план «Б»? А есть ещё и конкуренты, которые не рады выходу нового игрока на рынок. Они захотят узнать, чем именно вы собрались завоёвывать доверие и быстро внедрят ваши задумки у себя - у них-то процессы уже на ходу. Могут включаться разные технологии - поиск инсайдера, переманивание сотрудников и пр. И тут поможет консультация эксперта. Может быть, от всех бед эксперт и не защитит, но понимание масштаба проблемы позволит трезво оценить ситуацию.
Эксперты и консультанты - те немногие, кто заинтересован, чтобы ваш бизнес развивался, он не продаст вам какую-то программу или «железку» и оставит наедине с ней. От развития вашего бизнеса зависит, будете ли вы привлекать его к работам дальше, рекомендовать коллегам. Эксперт по ИБ, юрист, врач - люди, для которых их профессиональная репутация превыше всего.
Если на ИБ совсем уж не хочется тратить деньги, то можно потратить время и заняться ей самостоятельно. Очень полезно, особенно владельцу бизнеса, пройти любой вводный курс по ИБ чтобы понимать основные термины, принципы управления рисками, нормативы. Сейчас это можно сделать в том числе онлайн и бесплатно.