Представьте, что у вас дома стали пропадать какие-то предметы, появляться чужие вещи, в ванной - чья-то зубная щетка, на кухне - грязная посуда. Такое впечатление, что в вашей квартире живёт кто-то ещё, но этого нового жильца вы не видите. Очень неприятная ситуация. А ведь именно так часто происходит в киберпростанстве. По оценкам Verizon для 68% всех взломов требуется целый месяц или более, чтобы их обнаружили сами жертвы. Т.е. злоумышленники могут чуть ли не годами хозяйничать в вашей инфраструктуре, а вы об этом даже и не будете знать. И это всё по итогам анализа американского и западноевропейского киберпространства, у нас в Узбекистане ситуация может быть ещё более впечатляющая.
Ещё интересные цифры:
- Большинство успешных взломов происходит за считанные минуты и даже быстрее.
- 76% всех взломов были финансово мотивированы.
- 28% всех успешных взломов были совершены с помощью инсайдеров.
- 4% пользователей кликнут по любой ссылке из полученного письма, несмотря ни какие предупреждения.
Результаты этих исследований читайте в «2018 Data Breach Investigations Report» от Verizon. Полные версии отчётов можно загрузить на сайте Verizon или на нашем канале в Telegram.

Сотрудник ITTS Антон Ракитский принял участие в визите рабочей группы проекта ОБСЕ в Гаагу и Амстердам (Нидерланды) и Брюссель (Бельгия).

Участие в работе группы также принимали:
Чрезвычайный и Полномочный Посол Республики Узбекистан в Королевстве Бельгия, глава миссий при ЕС и НАТО Хакимов Д.
Председатель комитета по вопросам инновационного развития, информационной политики и информационных технологий Олий Мажлиса Республики Узбекистан Абдуллаев И.
Сотрудники Мининфокома, МИДа, МВД и других заинтересованных ведомств.

Встреча в Гаагском центре стратегических исследований.
С принимающей стороны встречу вёл заместитель директора центра Майкл Радемайкер (Michel Rademaker). Сам центр является частной коммерческой организацией - обществом с ограниченной ответственностью.
Основными направления исследований в центре являются:
1. Глобальные тренды в промышленной экономике
2. Тренды в безопасности и экономике в части доступа к ресурсам, необходимым для ИКТ - металлы, материалы, технологии.
3. Тренды в информационной безопасности.
Одной из инициатив центра является создание глобальной комиссии по стабильности в киберпространстве (Global Commission on the Stability of Cyberspace), целью которой является формирование международного права и в киберпространстве, помощь в организации работы центров реагирования на компьютерные инциденты (CERT), укрепление доверия между участниками комиссии.
Особо подчёркивается, что все участники организации не должны каким-то образом участвовать в организации атак на инфраструктуру выборов и референдумов.
Также руководство центра представило делегации игру, специально созданную по заказу министерства обороны Нидерландов для отработки позиции в киберпространстве. По сути, игра является настольным вариантом таблицы, в которой по вертикали распределены базовые способности (функции), а по горизонтали - стратегические функции. На пересечении выставляются конкретные меры обеспечения безопасности, а потом ещё на каждую меру выделяется определённый виртуальный бюджет. Цель игры - активизировать диалог между всеми игроками и выработка общих приоритетов в области кибербезопасности.

Сайты организации и инициатив:
The Hague Centre for Strategic Studies
Global Commission on the Stability of Cyberspace

На следующий день состоялась встреча в Гаагской конференции по международному частному праву. Приём делегации осуществил лично генеральный секретарь организации Кристоф Бернаскони (Christophe Bernasconi).
Основными задачами конференции является международной взаимодействие в областях:
1. Семейного права.
2. Усыновления детей, борьбы с похищением детей.
3. Коммерческого права и деловых вопросов.
В ходе беседы было отмечено, что увеличивается роль информационных технологий в области частного права, например всё шире внедряется технология электронного апостиля. Таким образом, формирование и проверка апостиля становится значительно оперативнее, повышается уровень защиты и доверия к нему.
Участниками Гаагской конференции являются 82 страны и весь Евросоюз. Узбекистан членом конференции пока не является, но присоединился к трём её конвенциям.

Сайт организации HCCH
Профиль Узбекистана на сайте конференции

В тот же день состоялась встреча в штаб-квартире компании VEON в Амстердаме. Холдинговая компания контролирует телекоммуникационные активы и работает в 10 странах мира, в Узбекистане под брендом Beeline.
Состоялся краткий диалог с представителем топ-менеджмента компании, исполнительным директором по комплаенсу Джошуа Дрю (Joshua Drew). Своё видение обеспечения ИБ представили руководитель направления по информационной безопасности VEON Марио Прокопио (Mario Procopio) и главный юрисконсульт VEON Дэнис Лоу (Denis Low).

Сайт организации VEON

Также была организована встреча с The Hague Security Delta (HSD), которую представил Берт Фескенс (Bert Feskens). Это некоммерческая организация ставящая целью поиск решений проблем безопасности и объединяющая государственный сектор, частные предприятия и научно-образовательное сообщество.
Организация использует подход «Access to ...» («Доступ к ...»)
1. Доступ к знаниям, поддержка талантливых учёных, работа с ВУЗами для подготовки востребованных специальностей по ИБ.
2. Доступ к капиталам для развития профильных стартапов.
Берт Фескенс отметил, что Нидерланды испытывают большой дефицит в специалистах по информационной безопасности, поэтому HSD прилагает особые усилия в подготовке таких специалистов.
Во встрече также принимала участик сотрудник Нидерландского национального центра кибербезопасности Нинке Стегинк (Nynke Stegink). Она, в частности поделилась практикой взаимодействия в случае атак на критическую инфраструктуру других стран с территории Нидерландов и наоборот. Такое взаимодействие и запросы, как правило, идут по линии Европола для стран Евросоюза и Интерпола - для всех остальных. В Нидерландах есть постоянно действующий совет по кибербезопасности на уровне правительства.

О глобальном форуме по кибер-экспертизе Global Forum on Cyber Expertise (GFCE) рассказал генеральный секретарь этой организации - Дэвид ван Дурен (David van Duren).
Цель организации - обмен опытом между международными организациями, НКО и частными компаниям в сфере ИБ. Для этого:
1. Формируется и постоянно пополняется пул участников форума.
2. Разрабатывается инструментов повышения эффективности организации (доклады, отчёты, методики).
3. Осуществляется обмен опытом между специалистами.
4. Создание базы лучших практик и инициатив в области ИБ.

Сайты организаций:
Global Forum on Cyber Expertise
The Hague Security Delta
The National Cyber Security Centre (NCSC)

В Брюсселе состоялась встреча в министерстве иностранных дел Бельгии. Один из докладов сделал Михаэль Аэнденхоф (Michael Aendenhof) - сотрудник отдела кибердипломатии бельгийского МИДа. Оживлённое обсуждение вызвал сам термин «кибердипломатия», были даны несколько определений. Общий их смысл - взаимодействие и, вероятно, агрессивная политика других стран не должна провоцировать эскалацию конфликта, недопущение перехода к вооруженной конфронтации. А для снижения напряженности применяются все возможные меры в рамках того же киберпространства - это и есть кибердипломатия.
С отдельным докладом выступила заместитель директора центра кибербезопасности Бельгии Федра Клоунер (Phedra Clouner). Сам центр подотчётен напрямую премьер-министру Бельгии и видит свои цели так:
1. Для граждан - информировать и предупреждать.
2. Для компаний - помогать и содействовать.
Центром налажена работа по повышению осведомлённости населения о киберугрозах, создан специальный сайт https://safeonweb.be/en для простых пользователей с советами и решением типовых проблем, в простой и доступной форме рассказываются основы ИБ, приводятся реальные случаи из жизни граждан. Широко применяется оповещение граждан через плакаты, баннеры, рекламу на транспорте. В том числе граждан призывают включиться в борьбу с фишингом (обманное заманивание на вредоносный сайт) и информировать центр обо всех полученных подозрительных письмах.
На этой и других встречах не раз отмечалось роль одного из важнейших документов для Евросоюза - директивы NIS (NIS Directive). Её действие распространяется на операторов инфраструктурных сервисов (электроэнергия, связь, медицина) и операторов информационных сервисов (Microsoft, Google, Amazon). При этом в Бельгии ещё многие организации дополнительно проходят сертификацию по международному стандарту по ИБ ISO 27001.
При поддержке центра на уровне Бельгии создана коалиция по кибербезопасности (Cyber Security Coalition), которая объединяет частный сектор, госсектор и академическое сообщество для объединения усилий и обмена опытом в обеспечении ИБ.

Сайты организаций:
Centre for Cyber security Belgium
Директива о мерах общего порядка по безопасности сетей и информационных систем в Евросоюзе (NIS Directive)
Сайт повышения осведомлённости бельгийцев о проблемах ИБ
Cyber Security Coalition

Затем состоялась встреча со специалистами компании Microsoft.
Мацей Суровиец (Maciej Surowiec) рассказал о новых угрозах, в частности целевом фишиге, когда злоумышленники готовят письма-ловушки, которые подготовлены персонально исходя из поведения человека в социальных сетях - вероятность что человек поверит такому письму значительно выше, чем в случае массовой рассылки. Также продемонстрирована работа роботизированного перевода на разные языки в реальном времени.
Джессика Цукер (Jessica Zucker) рассазала о предложениях Microsoft в части обеспечения безопасности выборов и предвыборных кампаний. Также были озвучены приоритеты компании в области информационной безопасности:
1. Право на частную жизнь как основополагающий принцип.
2. Кибербезопасность. Необходимо придерживаться концепции «Предполагайте взлом», т.е. считать любою систему уязвимой, соответственно готовиться к этому.
3. Комплаенс или соответствие требованиям. Необходимо соотвествовать целому ряду стандартов и требований - ISO 27001, директиве NIS, отраслевым стандартам по ИБ.
4. Прозрачность - желание доказать заказчикам, что разрабатываемые решения не имеют недокументированных возможностей и не будут обращены против пользователей.
Также Microsoft присоединился к The Cybersecurity Tech Accord - документу, подписанному крупнейшими компаниями в мире, созданному для обеспечения защиты прав граждан в киберпространстве, повышению его стабильности и устойчивости.
Симона Аутолитано (Simona Autolitano) рассказала об основах законодательства Евросоюза в сфере кибербезопасности.

Сайты организаций:
The Cybersecurity Tech Accord

В тот же день состоялась встреча в Европейской службе внешних действий (European External Action Service - EEAS), которую вёл руководитель киберсектора Виктор Станиецки (Wiktor Staniecki).
Сотрудники европейского внешнеполитического ведомства дали своё видение термина «кибердипломатия» и кратко поделились опытом организации взаимодействия в киберпространстве с членами. Также принимающей стороной была отмечена довольно высокая роль Будапештской конвенции о компьютерных преступлениях (Convention on Cybercrime).

Сайты организаций и инициатив:
Будапештская конвенция о компьютерных преступлениях
European External Action Service

Общие наблюдения:

1. Несмотря на дефицит кадров и общую подвижность норм законодательства и требований в области кибербезопасности, практически на всех встречах было отмечено, но госорганы достаточно чётко понимают распределение ответственности. Как говориться, каждый знает своё манёвр.
2. Другим важным фактором успешной организации работ является высокое положение служб обеспечения ИБ в вертикали власти. В случае Нидерландов центр кибербезопасности подчиняется министерству безопасности и юстиции, а в Бельгии и вовсе - премьер-министру.
2. Во всех странах действует несколько организаций по объединению усилий в области кибербезопасности, как на уровне страны, так и на уровне Европы, а иногда и международном уровне. При этом, при включении своих делегатов в эти организации практически всегда назначается конкретное физическое лицо, а не должность или подразделение в профильных ведомствах.
3. Европейские коллеги отмечают острый дефицит в специалистах по информационной безопасности. При этом они (в частности HSD) предлагают дополнительную поддержку таких специалистов, создание для них благоприятных условий, программу обучения и грантов.
4. Хорошей практикой считается массовое осведомление всех граждан о проблемах в киберпространстве. Это становится таким же элементом культуры, как напоминание о соблюдения чистоты, раздельного сбора мусора, гигиены. Подобным же образом ведётся работа и с сотрудниками, которые работают в различных информационных системах. Для них существуют различные регулярные инструктажи, памятки, инструкции действий, по аналогии с планом действий при пожаре.

SWIFT включил нашу компанию в свой список поставщиков услуг по кибербезопасности (Directory of cyber security service providers).
Таким образом, компания IT-TEAM SERVICE стала первой и пока единственной в Узбекистане, получившей одобрение такой известной и авторитетной организации.
При включении в этот список SWIFT особое внимание обращает на:
- опыт и навыки в сфере кибербезопасности;
- стратегический подход в сфере услуг по информационной безопасности;
- хорошую репутацию и наличие рекомендаций от заказчиков в финансовом секторе.

ITTS оказывает услуги в области информационной безопасности, а применительно к SWIFT - консультирует в части соответствия стандарту SWIFT Customer Security Controls Framework.

SWIFT - крупнейшая международная межбанковская система передачи информации и совершения платежей. Услугами SWIFT пользуются более 11000 организаций из более чем 200 стран, ежедневно через SWIFT проходит в среднем 28 миллионов платежей на общую сумму свыше 5 триллионов долларов.

Сейчас очень часто используют термин «кибербезопасность», вряд ли кто-то из тех, кто его употребляет, сможет объяснить, что он означает. Предлагаем его определение по версии The National Initiative for Cybersecurity Careers & Studies (NICCS) в переводе ITTS:
«Кибербезопасность - деятельность или процесс, возможность или способность, в соответствии с которыми информационные или телекоммуникационные системы и хранящаяся в них информация защищена от повреждения, несанкционированного использования или извлечения выгоды от их использования.
Расширенное определение: Стратегии, политики и стандарты в отношении безопасности и операций в киберпространстве, охватывающие весь спектр мер по снижению угроз, снижению уязвимости, сдерживанию, международному взаимодействию, реагированию на инциденты, устойчивости, политики восстановления и действий, включая операции с компьютерными сетями, гарантирование информации, а также правоохранительные, дипломатические, военные и разведывательные миссии, если они связаны с безопасностью, стабильностью глобальной информационной и коммуникационной инфраструктуры.»
Ну и сразу уточним, что же такое «киберпространство», т.к. только на это пространство и распространяется «кибербезопасность». Итак:
«Киберпространство - взаимозависимая сеть инфраструктур информационных технологий, включая интернет, сети телекоммуникаций, компьютерные системы и встроенные процессоры и контроллеры».
Проще говоря, бумажные носители информации не являются частью киберпространства. Но только в том случае если они не являются частью ИТ-инфраструктуры. Так, например, перфокарты для древних ЭВМ уже формально являются частью киберпространства.

Информационная безопасность в соответствии с самым свежим стандартом ISO/IEC 27000:2018
«3.28 Информационная безопасность - сохранение конфиденциальности, целостности и доступности информации.
Примечание: Также могут быть дополнительно включены и такие свойства как аутентичность, подотчестность, неотказуемость и достоверность.»
Термины с приставкой «кибер» в этом стандарте не встречается ни разу.

Вывод - все что касается безопасности информации - называется «информационная безопасность». Всё что касается безопасности ИТ-инфраструктуры и информации хранящейся в ней - «кибербезопасность».

Как только появляется новая технология, IT-сообщество начинает разбирать ее преимущества и крайне редко заостряет внимание на рисках и информационной безопасности. Но не в этот раз. Антон Ракитский (CISO «IT-TEAM SERVICE») и Маргарита Гринблат из ICTNEWS решили разобраться, какими слабостями обладают новые технологии и какой вред могут нанести.

Данная статья вышла в информационно-аналитическом журнале сферы связи и информатизации ICTNEWS в номере №5 (151) за 2018 г. под названием «Цифровая изнанка: безопасность технологий». Здесь приводится редакция статьи, подготовленная экспертом ITTS.

Опытные пациенты, покупая новое лекарство, всегда читают аннотацию. И не столько разделы «Показания к применению», но и особенно внимательно «лекарственные взаимодействия» и «побочные эффекты». Так и у всех современных информационных технологий есть такие побочные эффекты и лежат они часто в области безопасности. Только потребители этих новых технологий совершенно не задумываются об этом.
Косвенным подтверждением высоких рисков новых технологий является крайне медленное и неохотное внедрение любых новшеств в критической инфраструктуре - энергетика, управление технологическими процессами сложных производств, все эти сферы часто работают на оборудовании и технологиях 20-30 летней давности.
Интернет вещей (англ. Internet of Things, IoT), концепция, о которой все говорят последние годы, имеет оборотную сторону именно благодаря особенности типа «установил и забыл». Именно так все устройства - камеры наблюдений, роутеры, сетевые хранилища, смарт-тв, пылесосы, холодильники и им подобные один раз настраиваются и потом годами работают. При этом практически никто их не обновляет, часто на них остаются все пароли и настройки «по-умолчанию». Ведь если злоумышленник проникнет на ваш компьютер и начнёт его использовать в своих целях, то рано или поздно вы его заметите по замедлению работы или сработает антивирус. В мире IoT устройство предоставлено само себе, про него вспомнят, только если оно перестанет работать. Короче - взлом в области интернета вещей совершенно незаметен пользователю. Именно это используется криминалитетом, разведывательным сообществом и многими другими. Такое устройство может следить и за пользователем, и становится управляемым ботом, частью ботнета и через него организуются распределённая атака на отказ в обслуживании (DDoS). Кстати, именно интернет вещей эволюционирует в так называемый «умный город». Т.е. все проблемы бесхозных бытовых устройств остаются, только переходят на глобальный уровень.
Big Data или большие данные пока скорее воспринимается как инструмент «на вырост», реально работающих проектов с использованием больших массивов данных в Узбекистане совсем немного. Но и тут, если понять буквально название технологии и начать сохранять всё подряд для будущего анализа, то можно сильно навредить себе - создать готовую полную базу данных, которую рано или поздно украдут. Накапливая данные для последующего анализа нужно её максимально обезличивать, маскировать. Так, например, если служба такси хочет анализировать, из каких районов в определённое время поступает больше всего заказов, то совсем необязательно хранить номера телефонов и точные адреса всех клиентов - для реального анализа это не понадобится. А злоумышленникам персонализированная информация как раз может быть очень кстати - можно будет проанализировать поведение конкретного человека, во сколько он уходит из дома и куда едет.
Мобильные приложения (особенно банковские) часто разрабатываются сторонней компанией, которая работает в рамках технического задания. Соответственно, если вопросы ИБ не были с самого начала чётко прописаны, то исполнитель реализует только требуемый функционал. Если это не предписано техническим заданием, то программисты вряд ли будут включать в код программы различные защитные механизмы, фильтровать вводимые данные, а просто ограничатся минимально достаточным функционалом. В итоге заказчик может за собственные деньги купить себе ещё одну брешь в защите - в виде мобильного приложения. Другая проблема - для работы мобильного приложения нужны сервера, которые обеспечат его связь с основными системами предприятия (АБС для банка), увеличивается количество серверов, ПО, всё это необходимо поддерживать, стоимость владения системой возрастает. А если система сбоит (не была рассчитана нагрузка, уволился ключевой программист, расторгнут договор с разработчиком), то наносится ещё и удар по репутации.
Облачные вычисления и хранение данных. Пожалуй, единственный случай, когда опасность применения технологии сильно переоценивается. Вернее всё это уже давно и широко используются для личных целей. Службы электронной почты, обмена сообщениями и им подобные давно имеют облачную природу. А вот бизнес, особенно госорганы, их применяют очень неохотно. Но и тут, на наш взгляд, риски оцениваются не совсем правильно. Многие опасаются утечки данных, а нужно принимать в расчет ещё и уровень отказоустойчивости облачных платформ. Обязательно нужно удостовериться, какой уровень доступности заявлен поставщиком. Справедливости ради стоит отметить, что поставщики облачных сервисов стараются поддерживать эти показатели на высоком уровне. Но практика показывает, что и тут может случиться неожиданный форс-мажор. Совсем недавний пример - облачные сервера Telegram в один и тот же момент времени попали и под действие блокировок в РФ и частично вышли из строя из-за сбоя электропитания в датацентре.
Блокчейн. Существует шутка, что просто упоминание технологии блокчейн в контексте деятельности компании сразу повышает её капитализацию на 50%. Действительно, в какой-то момент новости об этой технологии неслись из каждого утюга. Она воспринимается как панацея от всех бед. При этом часто слабые стороны технологии не рассматриваются вовсе. Это и высокая энергоёмкость технологии, требующая в разы больше расхода энергии по сравнению с традиционными методами - это особенно плохо вяжется с увлечением «зелёной» энергетикой, модой на энергосбережение. При небольшом числе участников системы и вовсе теряется основное преимущество системы - защита от поддельных транзакций. Получается, что на практике блокчейн имеет узкую область применения и не настолько универсален, как это казалось сначала. При этом сама технология весьма сложна во внедрении и в буквальном смысле основана на высшей математике, а конкретные реализации алгоритмов, как и любое другое программное обеспечение, может содержать уязвимости.

Новые технологии и концепции появляются постоянно. На подходе искусственный интеллект (англ. artificial intelligence - AI), дополненная реальность (англ. augmented reality - AR). Какие угрозы они несут пока сложно даже представить.

Но вернёмся к давно зарекомендовавшим себя информационным системам. Если высшее руководство не задумывается об ИБ, то может получить «нож в спину» с самой неожиданной стороны. Не раз в нашей практике встречались случаи, когда сотрудники, не получившие должное вознаграждение за выполненные работы удаляли базу данных, файлы, а работодателю заявляли: «базу сожрал вирус». Т.к. никаких особых мер ИБ на предприятии не было, то руководству приходилось принимать такие оправдания и объяснения. Ещё реальный пример, руководство организации тянуло с выделением средств на обновление парка компьютерной техники, администратор отключил сервер автоматизированной бухгалтерии (1С) и сказал всем, что сервер сломался и нужен ремонт или покупка нового компьютера. Это уже шантаж и саботаж со стороны своих же сотрудников, руководитель может об этом догадываться, но доказать что-то не может, т.к. вопросами ИБ он не хотел заниматься.

Пожалуй, единственный совет для всех руководителей, предпринимателей, владельцев бизнеса - при внедрении новых технологий заслушивать все стороны, привлекать в рабочую группы и команду специалистов по ИБ - штатных или внешних, а лучше и тех и других. Да, они могут тормозить прогресс, сгущать краски, отговаривать, но успеха в ИТ можно добиться только разумным компромиссом функциональности и безопасности. Жить и работать с учётом требований ИБ очень непросто, а без ИБ - просто невозможно.

Любая статистика в области информационной безопасности (далее ИБ) в Узбекистане - на вес золота. По нашим собственным данным, за последние 5 лет в общем объеме оказанных нами услуг в сфере информационной безопасности доля частного бизнеса составляет всего 8%, для организаций с частичным государственным участием - 11%, оставшиеся 81% приходятся на государственные органы - министерства, государственные монополии, банки. Мы объясняем такую скромную долю частного бизнеса среди наших заказчиков, в том числе, и рядом стереотипов. Приведем самые устойчивые из них и попробуем их развенчать.
Автор статьи - начальник отдела ИБ IT-TEAM SERVICE Узбекистан Антон Ракитский.
Данная статья вышла в информационно-аналитическом журнале сферы связи и информатизации ICTNEWS в номере №2 (148) за 2018 г. под названием «Информационная безопасность в частном секторе». Здесь приводится авторская редакция статьи.

Миф 1 — ИБ это очень дорого. Решения корпоративного класса (всякие DLP и SIEM) действительно могут стоить очень дорого. Но малому бизнесу они часто и не нужны. Вообще миф о дороговизне ИБ во многом связан именно высокими ценами на программное обеспечение/оборудование, в цену которого заложены кроме себестоимости ещё и налоги, пошлины, оплата труда всей цепочки продаж, реклама. Любую сложную систему нужно будет приобрести, установить, настроить, поддерживать, обновлять, в результате получается высокая стоимость владения (TCO - Total Cost of Ownership). Нужны ли дорогие и сложные системы ИБ? Периодические консультации с экспертами по ИБ будут стоить не так дорого и уж в любом случае дадут больший эффект чем приобретение дорогой системы, которая будет лежать в коробке.
Миф 2 — ИБ можно будет заняться, когда есть какая-то инфраструктура, когда бизнес уже "закрутился". В противоположность предыдущему мифу тут наоборот, можно «уйти в минус» если не учесть риски уже на старте. Нужно понимать специфику рынка, в том числе требования регуляторов, нормативную базу, сложившуюся практику, узнать проблемы коллег по цеху. Конкуренты тут помогать не станут, госорганы в лучшем случае проконсультируют в рамках своей сферы. Единственный выход - обратиться к независимым экспертам по ИБ, которые расскажут и подскажут, возможно, несколько «охладят пыл», но зато вы будете знать основные подводные камни, течения, а не терять время и деньги на каждом этапе. Особенно это касается высокотехнологичных стартапов, например платежных систем, где без грамотной консультации можно сразу потерять и деньги и имидж, всё-таки финансовая сфера у потребителя всегда ассоциируется с надёжностью и безопасностью. Кроме эксперта по ИБ, тут возможно потребуется ещё и юридическая поддержка.
Миф 3 — ИБ приносит неудобства и ограничения, а для бизнеса главное - простота и удобство. Отчасти верно, но простота и удобство для клиента не должны обеспечиваться за счет низкого уровня ИБ. На конкурентном рынке (для Узбекистана это такси, платежные системы, службы доставки) любой инцидент с ИБ, связанный с раскрытием данных пользователей, приведет к массовому оттоку клиентов к конкурентам. Озаботиться ИБ нужно до этого, восстановить уже утраченный авторитет вряд ли удастся.
Миф 4 — ИБ это прямые затраты, никакого возврата вложенных инвестиций (ROI   Return on investment) не будет. Зато если не заниматься ИБ вообще, то прямые убытки будут уже из-за простоев, и, не дай бог, штрафов и финансовых претензий пользователей. Да, ИБ не даёт возврата вложений напрямую, но если грамотно распорядиться вложениями в эту сферу, то можно подать это как конкурентное преимущество. Многие не знают, но даже уровень доступности сервиса является одним из трёх главных свойств информационной безопасности (конфиденциальность, целостность, доступность   классическая триада ИБ). Многие зарубежные хостинги привлекают клиентов уровнем аптайма (99,99% и другое количество девяток). А много ли в Узбекистане компаний, которые могут озвучить уровень доступности сервиса и на этом «повороте» обойти конкурентов? Даже факт проведения экспертизы ИБ можно подать как плюс, ведь конкуренты вопросами безопасности ещё и не начали заниматься. Развитию рынка ИКТ в Узбекистане не мешает сильное и избыточное регулирование в области ИБ и особенно персональных данных (как в РФ). Если организация всерьез займется защитой данных пользователей (история заказов, треки поездок в такси, выписки по счетам) и расскажет, как она это делает, то это только укрепит доверие пользователей. Эту возможность конкурентной борьбы сейчас практически никто не использует.
Миф 5 — Наш бизнес не связан с информационными технологиями, мы неинтересны хакерам. Частный бизнес не понимает, что значительная часть вопросов уже на этапе планирования относится именно к ИБ. Многие ошибочно считают, что если нет инфраструктуры, то нет и рисков безопасности. Но даже выход из строя основного контактного телефона может привести к серьезным убыткам. У кого на этот случай разработан план «Б»? А есть ещё и конкуренты, которые не рады выходу нового игрока на рынок. Они захотят узнать, чем именно вы собрались завоёвывать доверие и быстро внедрят ваши задумки у себя - у них-то процессы уже на ходу. Могут включаться разные технологии - поиск инсайдера, переманивание сотрудников и пр. И тут поможет консультация эксперта. Может быть, от всех бед эксперт и не защитит, но понимание масштаба проблемы позволит трезво оценить ситуацию.

Эксперты и консультанты - те немногие, кто заинтересован, чтобы ваш бизнес развивался, он не продаст вам какую-то программу или «железку» и оставит наедине с ней. От развития вашего бизнеса зависит, будете ли вы привлекать его к работам дальше, рекомендовать коллегам. Эксперт по ИБ, юрист, врач - люди, для которых их профессиональная репутация превыше всего.
Если на ИБ совсем уж не хочется тратить деньги, то можно потратить время и заняться ей самостоятельно. Очень полезно, особенно владельцу бизнеса, пройти любой вводный курс по ИБ чтобы понимать основные термины, принципы управления рисками, нормативы. Сейчас это можно сделать в том числе онлайн и бесплатно.