Любая статистика в области информационной безопасности (далее – ИБ) в Узбекистане – на вес золота. По нашим собственным данным, за последние 5 лет в общем объеме оказанных нами услуг в сфере информационной безопасности доля частного бизнеса составляет всего 8%, при этом доля организаций с частичным государственным участием – 11%, а оставшийся 81% услуг приходится на государственные органы – министерства, государственные монополии, банки. Мы объясняем такую скромную долю частного бизнеса множеством факторов, в том числе рядом стереотипов. Именно о них и будем говорить сегодня.
МИФ №1. ИБ – это очень дорого.
Решения корпоративного класса (DLP, SIEM и т. п.) действительно могут стоить очень дорого. Но малому бизнесу они часто и не нужны. Вообще миф о дороговизне ИБ во многом связан именно с высокими ценами на программное обеспечение/оборудование, в цену которого заложены кроме себестоимости еще и налоги, пошлины, оплата труда, реклама. Любую сложную систему нужно приобрести, установить, настроить, поддерживать и обновлять, в результате чего выходит достаточно высокая стоимость владения (TCO – Total Cost of Ownership). Нужны ли такие дорогие и сложные системы ИБ? Периодические консультации с экспертами по ИБ будут стоить не так дорого, и уж в любом случае дадут больший эффект, чем приобретение дорогой системы, которая будет лежать в коробке.
МИФ №2. ИБ можно будет заняться, когда есть какая-то инфраструктура, когда бизнес уже «закрутился».
В противоположность предыдущему мифу тут, наоборот, можно «уйти в минус», если не учесть риски уже на старте. Нужно понимать специфику рынка, в том числе требования регуляторов, нормативную базу, сложившуюся практику, узнать проблемы коллег по цеху. Конкуренты тут помогать не станут, а госорганы в лучшем случае проконсультируют в рамках своей компетенции. Единственный выход – обратиться к независимым экспертам по ИБ, которые расскажут и подскажут, а также, возможно, несколько «охладят ваш пыл», но зато вы многое узнаете о подводных камнях и не будете терять время и деньги на каждом этапе. Особенно это касается высокотехнологичных стартапов, например, платежных систем, где без грамотной консультации можно сразу потерять и деньги, и имидж – финансовая сфера у потребителя всегда ассоциируется с надежностью и безопасностью. Кроме эксперта по ИБ, тут, возможно, потребуется еще и юридическая поддержка.
МИФ №3. ИБ приносит неудобства и ограничения, а для бизнеса главное – простота и удобство.
Отчасти верно, но простота и удобство для клиента не должны обеспечиваться за счет низкого уровня ИБ. На конкурентном рынке (для Узбекистана это рынки такси, платежных систем, служб доставки и т. п.) любой инцидент с ИБ, связанный с раскрытием данных пользователей, приведет к массовому оттоку клиентов к конкурентам. Поэтому озаботиться вопросами ИБ нужно заранее, так как восстановить уже утраченный авторитет вряд ли удастся.
МИФ №4. ИБ – это прямые затраты, никакого возврата вложенных инвестиций (ROI – Return on investment) не будет.
При этом, если не заниматься ИБ вообще, то прямые убытки будут уже из-за простоев и, не дай бог, штрафов и финансовых претензий пользователей. Да, ИБ не дает возврата вложений напрямую, но если грамотно распорядиться вложениями в эту сферу, то можно подать это как конкурентное преимущество. Многие не знают, но даже уровень доступности сервиса является одним из трех главных свойств информационной безопасности (конфиденциальность, целостность, доступность – классическая триада ИБ). Многие зарубежные хостинги привлекают клиентов уровнем аптайма (99,99% и другое количество девяток). А много ли в Узбекистане компаний, которые могут озвучить уровень доступности сервиса и на этом «повороте» обойти конкурентов? Даже сам факт проведения экспертизы ИБ можно подать как плюс, ведь конкуренты вопросами безопасности еще и не начинали заниматься. Развитию рынка ИКТ в Узбекистане не мешает сильное и избыточное регулирование в области ИБ, и особенно персональных данных (как в РФ, например), поэтому, если организация всерьез займется защитой данных пользователей (история заказов, треки поездок в такси, выписки по счетам) и расскажет, как она это делает, то это только укрепит доверие ее клиентов. Эту возможность конкурентной борьбы сейчас практически никто не использует.
МИФ №5. Наш бизнес не связан с информационными технологиями, мы неинтересны хакерам.
Частный бизнес не понимает, что значительная часть вопросов уже на этапе планирования относится именно к ИБ. Многие ошибочно считают, что если нет инфраструктуры, то нет и рисков безопасности. Но даже выход из строя основного контактного телефона может привести к серьезным убыткам. У кого на этот случай разработан план «Б»? А есть еще и конкуренты, которые не рады выходу нового игрока на рынок. Они захотят узнать, чем именно вы собрались завоевывать доверие потребителей и быстро внедрят ваши задумки у себя – у них-то процессы уже на ходу. При этом могут использоваться разные технологии – поиск инсайдера, переманивание сотрудников и пр. И тут уже поможет консультация эксперта. Может быть, от всех бед и проблем он и не защитит, но понять и увидеть их масштаб поможет точно. Эксперты и консультанты – это те немногие, кто заинтересован в том, чтобы ваш бизнес развивался, они не продадут вам просто так какую-то программу или «железку» и не оставят наедине с ней. От развития вашего бизнеса зависит, будете ли вы привлекать их к работам дальше и рекомендовать коллегам. Эксперт по ИБ, юрист, врач – люди, для которых их профессиональная репутация превыше всего. Если на ИБ совсем уж не хочется тратить деньги, то можно потратить время и заняться ею самостоятельно. Владельцу бизнеса будет очень полезно пройти вводный курс по ИБ, чтобы понимать и знать основные термины, принципы управления рисками, а также требования и нормативы.
Антон Ракитский,
эксперт по информационной
безопасности IT-TEAM SERVICE