Фобии IT-аутсорсинга. Фобия вторая
То, что у поставщика IT-услуг якобы нет реальной ответственности перед заказчиком, мы уже обсудили. На очереди фобия №2:
Передача информационных систем на сопровождение стороннему провайдеру услуг повышает риск утечки конфиденциальной информации, в том числе, сведений, содержащих коммерческую тайну.
70% инцидентов в области информационной безопасности и утечки конфиденциальной информации связаны с человеческим фактором, а 30% - с техническими аспектами дела.
Давайте начнем с персонала. Совершенно очевидно, что сотрудники заказчика и провайдера услуг по своим человеческим качествам совершенно одинаковы. И в том, и в другом случае имеет место одинаковая вероятность утечки информации: все люди могут иметь слабости или дурной умысел.
Но есть и сдерживающие факторы. Одним из них является ответственность, которую несет сотрудник предприятия за разглашение коммерческой тайны или конфиденциальной информации.
В соответствии с п. 2 ст. 67 Гражданского кодекса РФ участники хозяйственных обществ обязаны не разглашать конфиденциальную информацию. А статья 183 Уголовного кодекса РФ предусматривает уголовную ответственность за сбор, использование и распространение сведений, составляющих коммерческую тайну.
Понятно, что, применяя эти статьи, злой умысел предотвратить сложно, но наказать за халатность или небрежность можно.
Правда, ответственность возникает лишь в том случае, если работодатель надлежащим образом проинформировал сотрудника, что такое конфиденциальная информация, как ей пользоваться, и чего делать нельзя. Когда человек ознакомился с правилами и регламентами в отношении конфиденциальной информации, он может быть привлечен к административной и даже уголовной ответственности.
Конечно, в юридической практике много тонких моментов. Я не юрист и не ставлю перед собой задачу осветить юридические аспекты работы с конфиденциальными сведениями. Но еще раз отмечу, что сотрудник может быть привлечен к ответственности, если все правила и регламенты на предприятии неукоснительно выполняются.
Но много ли предприятий могут с уверенностью сказать, что это так?
Ситуация, когда сотруднику предприятия была доступна конфиденциальная информация, которую он обнаружил на столе другого сотрудника, и не был проинформирован, что эта информация конфиденциальна, совсем не редкость. И, если случилась утечка именно таких данных, то привлечь к ответственности сотрудника уже нельзя. Таким образом, этот весомый рычаг воздействия на персонал часто не работает. Скорее всего, сотрудник будет уволен — и это всё.
Т.е. если сотрудник получил доступ к конфиденциальным данным из-за того, что правила информационной безопасности не работают, то уголовная ответственность ему не грозит. А это расслабляет. И таких «расслабленных» сотрудников на предприятиях-заказчиках больше, чем у провайдеров услуг.
Что может предпринять заказчик в случае утечки информации по вине провайдера услуг?
Во-первых, предъявить финансовые претензии. Соглашения о неразглашении (NDA – Non Disclosure Agreement) подписываются еще до заключения контракта, а когда подписан контракт, то там четко прописываются все санкции за возможные утечки информации. И юридическое лицо будет нести серьезную материальную ответственность, если данные уйдут на сторону. Поэтому провайдер услуг даже больше, чем заказчик, заинтересован в соблюдении порядка использования конфиденциальной информации.
Поэтому и контроль за соблюдением процедур информационной безопасности у провайдера услуг более тщательный и дотошный, чем у заказчиков. Без этого невозможно само существование бизнеса IT-аутсорсинга. Неспроста мы слышим в новостях о прохождении провайдерами услуг сертификации на соответствие требованиям стандарта ISO 27001, в котором собраны лучшие практики и рекомендации в области информационной безопасности.
Нормальной практикой является политика открытости в области процедур информационной безопасности со стороны сервис-провайдера. Служба информационной безопасности заказчика должна иметь возможность проверить правила и процедуры сервис-провайдера и при необходимости потребовать внести необходимые изменения.
Второе — сотрудники провайдера, занятые в поддержке информационных систем заказчика, своей личной подписью подтверждают, что они ознакомлены, и обязуются выполнять правила обращения с конфиденциальной информацией заказчика. Таким образом, на них ложится юридическая ответственность за обеспечение сохранности конфиденциальной информации.
Поэтому и уровень исполнения сотрудниками сервис-провайдера процедур и регламентов информационной безопасности отличается в лучшую сторону, если сравнивать с сотрудниками заказчика.
В результате, когда услуги оказывает сервис-провайдер, имеет место ответственность с "двойным уровнем защиты": на уровне ответственности юридического лица и на уровне ответственности сотрудников сервис-провайдера.
Теперь давайте рассмотрим ситуацию с обеспечением технической защищенности корпоративных данных от внешних угроз.
Иногда у руководителей предприятий потенциальных заказчиков услуг IT-аутсорсинга возникает опасение, что, когда информация хранится на серверах внешнего дата-центра, контроль над ней утрачивается, а риски утери конфиденциальных сведений повышаются.
Сейчас встретить предприятие, которое не было бы подключено к интернету, практически невозможно. Таких единицы, и это – организации, в информационных сетях которых обрабатываются данные, попадающие под категорию "государственная тайна". В этом случае должна быть обеспечена так называемая "гальваническая" развязка этих сетей от сетей общего пользования – таким образом данные физически изолируются от сетей общего пользования. Во всех других случаях у предприятия есть подключение к интернету – без общения с партнерами и заказчиками вести бизнес невозможно.
Выход в сети общего пользования предполагает применение соответствующих технических средств защиты информации. Технологии защиты информации и в промышленных дата-центрах, и в серверных комплексах заказчиков во многом одни и те же. Только, сразу отмечу, в дата-центрах эти технологии применяются значительно шире. Соответственно, если технологии информационной безопасности эффективны и актуальны, они обеспечивают необходимую защищенность данных и на территории заказчика, и в дата-центре провайдера услуг. А финансовая мотивация заставляет провайдера услуг поддерживать уровень технических средств защиты информации на высоком уровне.
Но в этом контексте необходимо отметить, что ряд технологий в области информационной безопасности, применяемых в промышленных дата-центрах, может быть просто недоступен предприятиям-заказчикам.
К примеру, DDoS-атаки чаще всего работают по принципу «забить канал». Очевидно, что входящий канал к заказчику имеет меньшую пропускную способность, чем канал дата-центра, и уже в силу этого заказчик более уязвим. Кроме того, на стороне телеком-провайдеров есть встроенные средства обнаружения и отражения DDoS-атак. Заказчик может запросить такую услугу для себя у телеком-провайдера, но стоимость ее будет для одного заказчика очень и очень немаленькой — это дорогие решения.
Таким образом, данные могут быть защищены одинаково хорошо и в дата-центре, и на территории заказчика, но доступность информационных систем в случае размещения в дата-центре будет значительно выше, а стоимость средств защиты — скорее всего, ниже.
Резюмируя сказанное, отмечу, что, как видно из приведенных выше примеров, опасения, что "передача на сопровождение информационных систем стороннему провайдеру услуг повышает риск утечки конфиденциальной информации, в том числе, сведений, содержащих коммерческую тайну" не имеют под собой серьезных оснований.