ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ НА СОВРЕМЕННЫХ ПРЕДПРИЯТИЯХ

INFORMATION SECURITY IN MODERN ENTERPRISES

Angelina Kulbey

 Student, Taxation and Financial Accounting

Russia, Kaliningrad

Julia Statsurina

Associate Professor of the Department of Finance, Taxation and Financial Accounting

Russia, Kaliningrad

АННОТАЦИЯ

Рассмотрены вопросы эффективной организации информационной безопасности на современных предприятиях. Анализ статистических данных показал, что каждый день одна российская компания подвергается атакам злоумышленников, что приводит к репутационным и финансовым потерям. Сложность поддержания приемлемого уровня защиты в компаниях связана с уходом многих иностранных поставщиков программного обеспечения, а также со слабой политикой защиты конфиденциальной информации в российских компаниях. Результаты исследования позволили сформулировать ряд рекомендаций, применив которые, современные предприятия смогут существенно улучшить защиту своих данных.

АBSTRACT

The issues of effective organization of information security at modern enterprises are considered. Analysis of statistical data has shown that every day one Russian company is attacked by intruders, which leads to reputational and financial losses. The difficulty of maintaining an acceptable level of protection in companies is associated with the departure of many foreign software vendors, as well as with the weak policy of protecting confidential information in Russian companies. The results of the study allowed us to formulate a number of recommendations, using which modern enterprises will be able to significantly improve the protection of their data.

Ключевые слова: экономическая безопасность, информационная безопасность, конфиденциальная информация, ИТ- технологий, утечка информации

Keywords: economic security, information security, confidential information, OT-technologies, information leakage

Экономическая безопасность любого предприятия состоит из финансовой, технологической, правовой, силовой, кадровой, экологической и информационной безопасности.

Ввиду повсеместного внедрения и использования в хозяйственной деятельности современных компаний ИТ- технологий и Интернета, особенно остро встает задача защиты от такой внутренней угрозы работы компании, как утечка информации.

Обращаясь к данным статистики и наиболее резонансным случаям утечки данных в последнее время, можно выделить следующие случаи.

В марте 2024 года в результате атак на внутреннюю систему сети ортопедических салонов «Ортека» в свободном доступе оказались данные сотен тысяч клиентов компании.

Подобный инцидент произошел в начале 2023 года с российской страховой компании «БАСК» [1].

Оказавшись в свободном доступе, личные данные, в частности мобильные номера и адреса, попадают в руки мошенников, что негативно сказывается на имидже пострадавшей компании.

Используя полученные данные, злоумышленники способны проникать в инфраструктуру организации, совершать кражу и обнародование внутренней информации, коммерческих тайн, секретов производства и т.д., нанося тем самым финансовый ущерб.

В случае, если была совершена хакерская атака на автоматизированные системы управления технологическими процессами предприятия, это неизбежно приводит к серьезным финансовым потерям вследствие внесенных изменений в технологические процессы или вывода из строя производственных станков и конвейеров.

По количеству утечек строк данных в 2023 году лидировала ИТ-отрасль (4,1 млрд строк), второе место заняла сфера услуг (218,6 млн), на третьем месте сектор ретейла (187,4 млн) [2].

За 2023 год в публичный доступ попали внутренние данные около 400 отечественных компаний - каждый день в результате кибератак происходила как минимум одна утечка данных [2].

По данным статистики, информация с личных компьютеров утекает в свободный доступ у каждого девятнадцатого сотрудника.

Утечка данных наносит не только финансовый и репутационный ущерб компаниям, но и грозит им ответственностью.

Так, возросли суммы штрафов для организаций, допустивших случаи хищения внутренней информации. Более того, в Государственной Думе в начале 2024 года приняла в первом чтении законопроекты об административной и уголовной ответственности за утечки персональных данных.

Приведенные факты повышают необходимость улучшения системы информационной безопасности в современных организациях.

Безусловно, работа по совершенствованию механизма должна проводиться как с сотрудниками, так и с программным обеспечением на предприятии.

Специалистам по безопасности в организациях рекомендуется внедрить положение о коммерческой тайне и защите персональных данных [3]. Необходимым является соблюдение работниками таких правил как запрет на пересылку конфиденциальной информации через публичные почты, запрет на разглашение информации в социальных сетях, запрет на хранение конфиденциальной информации на смартфонах, запрет регистрации на сайтах корпоративной почты и т.д.

Специалисту по безопасности следует регулярно проверять наличие email-адресов компании в базах утечек.

Хорошей практикой является использование решений класса PAM (Privileged Access Management), которые позволяют обеспечить создание, использование и хранение надежных паролей, их смену по расписанию или после каждого сеанса работы.

Обезопасить компанию от целевых атак - задача сложнее.

Поскольку у целевых атак на базы данных компаний, в большинстве случаев, есть заказчик, как правило, конкурирующая организация, то, в случае успеха, пострадавшая организация может понести потери, способные вывести ее с рынка [4].

Защитой от хакерских атак могут служить антивирусы, сетевые экраны, специализированные средства защиты, такие как «Attack Killer», «Qrator».

Использование программных продуктов от различных производителей значительно усложняет задачу злоумышленников.

Стоит отметить, что многие иностранные компании, предлагающие продукты для защиты программного обеспечения, покинули российский рынок и оставили пользователей без обновления ранее приобретенных программ [5-6]. В качестве примера можно назвать компанию «Cisco».

Очевидный шаг для российских компаний в таких условиях – импортозамещение. Уже сейчас успешно показали свою работу такие отечественные системы безопасности как «InfoWatch ARMA», разработанные для промышленных предприятий.

Холдинг «Росэлектроника» завершила разработку уникальной системы «Форпост», позволяющей отражать до восьми миллионов кибератак в сутки.

В крупных отечественных компаниях широко применяются решения «Газинформсервиса», такие как «Efros CI» и линейка продуктов «Ankey».

Многие устройства, работающие через Интернет, так называемые «интернет-вещи» лишены какой-либо внутренней системы защиты от вредоносных атак. Для подавляющего большинства оборудования, которым можно управлять удаленно, не разработано соответствующее защитное обеспечение.

Сейчас именно такие устройства представляют источник повышенной опасности. Компаниям, применяющим в своей работе автоматизированные системы, рекомендуется периодически проводить аудит с привлечением независимых компаний, а также проводить подбор подходящего программного обеспечения, например, «InfoWatch Automation System Advanced Protector».

Заключение

Исследовав современное состояние информационной безопасности российских компаний, можно сделать вывод о многократной возросшей угрозе утечки конфиденциальной информации и необходимости разработки комплекса мер по минимизации данных угроз.

Каждому предприятию рекомендуется создание правил работы с информацией, назначение ответственного за информационную безопасность специалиста, своевременный переход на отечественные защитные программы, а также использование возможностей внешнего аудита компьютерных систем.

Предложенные рекомендации помогут избежать финансовых и репутационных потерь, а также мер административной ответственности за утечку персональных данных.

Список литературы:

1. Новая утечка – пострадала сеть ортопедических салонов ОРТЕКА [Электронный ресурс]. – Режим доступа: https://spb.vedomosti.ru/press_releases/2024/03/01/novaya-utechka--postradala-set-ortopedicheskih-salonov-orteka (дата обращения 07.03.2024).
2. Утечки данных в России [Электронный ресурс]. – Режим доступа: https://www.tadviser.ru/index.php_%D0%B2_%D0%A0%D0%BE%D1%81%D1%81%D0%B8%D0%B8(дата обращения 07.03.2024).
3. Назарова О.Г., Довыденко В.А. Утечка информации как угроза экономической безопасности предприятия // Экономика. Социология. Право. –2020. – №2 (18). – С. 606–612.
4. Иремадзе Э. О., Заремба А. И. Основы информационной безопасности // Скиф. – 2022. –№5 (69). – С. 17–25.
5. Чесноков А.Д. Информационная безопасность // StudNet. – 2022. – №1. С. 67–89.
6. Швыряев П.С. Утечки конфиденциальных данных: главный враг внутри // Государственное управление. Электронный вестник. – 2022. –№91. – С. 58–79.