Вячеслав Качалин, заместитель генерального директора АО «Группа Оргсинтез»
Обеспечение целостности и сохранности информации – один из ключевых интересов любой компании.
А тот факт, что большинство как производственных, так и бизнес-процессов сегодня оптимизированы ИТ-решениями и, по сути, осуществляются в цифровом пространстве, только усиливает необходимость внедрения систем безопасности. Так, в компании «Группа Оргсинтез» автоматизированы расчеты с потребителями и поставщиками, планирование потребности материалов, управление цехом, качеством продукции, персоналом и ряд других процессов. И чем сложнее информационная структура, тем более уязвимы конфиденциальные данные организации.
Основные проблемы ИБ в российской химической промышленности
Контроль освоения инвестиций
В январе 2016 года Министерство промышленности и торговли РФ утвердило план мероприятий по импортозамещению в отрасли химической промышленности. Нам предстоит минимизировать закупки из-за рубежа и инвестировать в производство внутри страны. Отсюда проблема контроля освоения инвестиций.
Контроль откатов
Непрозрачная схема реализации госзаказов всегда была проблемой в промышленности. Для сотрудничества часто выбираются поставщики товаров, готовые дать взятку или систематически возвращать оговоренный процент от суммы поставки.
Коллеги с биохимического завода делились любопытной историей, когда службе безопасности удалось раскрыть запутанную откатную схему. Сначала все выглядело довольно типично: сотрудник продвигал «своего» поставщика, подделывая цены в предложениях конкурентов. В результате, условия «правильного» поставщика выглядели самыми выгодными, с ним заключался договор, а «помощник» получал вознаграждение. Но позже выяснилось, что эти откаты в крупных объемах брал начальник, просто действовал он руками подчиненного. Схема раскрылась, когда руководитель зашел на личную почту с рабочего компьютера. В ней были письма с неформальными отчетами. Расследование показало, что схема откатов была налажена давно, а подчиненный был вынужден мошенничать, чтобы сохранить свое рабочее место.
Контроль утечек информации
К этой группе относится продажа результатов исследований или данных о технологическом потенциале предприятия, слив конкурентных цен на сырье в рамках тендеров и другой конфиденциальной информации.
В качестве примера приведу одно из российских предприятий по производству хлористого кальция и соды: служба безопасности обнаружила, что сотрудник отдела закупок проявлял большой интерес к технологиям производства. Он активно расспрашивал компетентных коллег о тонкостях и нюансах процессов и скрупулезно изучал внутреннюю документацию предприятия (ситуацию выявила установленная на предприятии DLP). Выяснилось, что специалист собирал «пакет документов», которые планировал передать третьим лицам за вознаграждение.
Или другая история: завод из нефтеперерабатывающего сегмента обязует сотрудников сдавать телефоны в камеру хранения перед началом рабочего дня. В то же время на предприятии настроена политика безопасности, позволяющая отслеживать фотографии, которые люди копируют на внешние устройства, отправляют на почту или пересылают по другим каналам. Несмотря на запрет мобильных устройств, которые сегодня в большинстве своем оснащены фотокамерами, служба ИБ регулярно обнаруживает в перехвате фотографии производственных помещений, лабораторий и технического оснащения предприятия.
Контроль производительности труда офисных сотрудников
Если рабочих можно контролировать по выработке, то оценка продуктивности офисных сотрудников вызывает сложности. Наверное, многим управленцам знакома история, когда человек просит взять на работу помощника, в то время как сам бездельничает. Со мной поделились историей, как менеджер все же нанял человека в помощь, но поставил на контроль работу обоих специалистов. В итоге: выяснилось, что новенький выполнял не только свои задачи, но и обязанности начальника. А последний спокойно читал новости и играл в сети. Разумеется, руководителя уволили, а нового сотрудника повысили в должности.
Контролировать «офисных» сотрудников важно и потому, что они имеют доступ к информационным каналам. А большинство мошеннических схем на предприятиях сегодня обнаруживаются именно благодаря контролю каналов передачи информации. Так, например, служба безопасности завода бытовой химии выяснила, что недавно устроившийся на работу сотрудник был «засланным казачком». Получив доступ к 1С: Торговля и склад, мошенник собирал информацию об учете товаров и денежных средств на расчетных счетах, а также сотрудничестве с контрагентами для их передачи конкурентам. Как рассказывали коллеги, обнаружить это помог «Контур информационной безопасности»: сотрудник пытался сбросить собранные данные на flash-карту, не зная, что система блокирует доступ к неизвестным внешним устройствам. Передача собранных сведений конкурентам нанесла бы немалый урон предприятию. Конечно, мошенник был уволен.
Опыт обеспечения информационной безопасности в АО «Группа Оргсинтез»
Инциденты безопасности на предприятиях разных отраслей промышленности имеют как схожие черты, так и существенные различия. И службы ИБ знают, в каких вопросах нужно держать руку на пульсе. Но без специальных инструментов своевременно обнаруживать все нарушения и вовремя пресекать их невозможно.
В компании «Группа Оргсинтез» мы используем отечественную DLP-систему «Контур информационной безопасности» «Серчинформ», рассматривали так же российские аналоги (Стаффкоп, Фалконгейз, Инфовотч), но по ряду параметров и внутренних задач отдали предпочтение «Контуру». ПО позволяет контролировать информационный периметр предприятия как на уровне сети, так и на уровне каждого отдельного компьютера. Мы мониторим действия сотрудников, каналы связи и конфиденциальные данные. Под управление системой выделены отдельные специалисты: работа с политиками безопасности и аналитика позволяют обнаруживать инциденты еще на стадии их планирования, а значит, пресекать.
При внедрении системы мы ориентировались на важный параметр: корректную работу и отсутствие конфликтов с ИТ-решениями, установленными на предприятии раньше. Обеспечивая информационную безопасность на предприятии, не нужно забывать о непрерывности бизнес-процессов.
К сожалению, большинство игроков рынка химической промышленности находятся сегодня на грани нулевой рентабельности, а большая часть прибыли уходит на восполнение недостатка оборотных средств и ремонт оборудования. Поэтому «выбить» бюджет на инструментарий для обеспечения ИБ на предприятии – задача не из легких. Надеюсь, приведенные выше примеры инцидентов, помогут кому-то из коллег убедить руководство в необходимости работ по ИБ в компании.
Как говорил сэр Уинстон Черчилль «За безопасность необходимо платить, а за ее отсутствие – расплачиваться».