Александр, расскажите, что такое СЗИ? Для чего они нужны и что защищают?
СЗИ — это средства защиты информации, которые включают в себя защиту от несанкционированного доступа в систему, защиту от внешнего и внутреннего нарушителя, который может проникнуть в сеть с целью незаконного скачивания информации, удаления данных, восстановления удаленных программ и т.д. Также к средствам защиты информации относится антивирусное программное обеспечение.
О каких актуальных проектах КСБ-СОФТ в этом направлении можете рассказать? Может быть, есть какая-то интересная история?
В 2022 году наша компания заключила контракт на установку СЗИ на компьютеры в городских образовательных учреждениях одного из регионов ПФО.
Лето — горячая пора отпусков и работ по капитальному ремонту в школах. Мы должны исполнить контракт по установке средств защиты. Поэтому сотрудник отправляется на объект для выполнения мероприятий по защите информации, а в школе нет вообще ничего: ни света, ни телефона, ни интернета, ни окон, ни полов. На вахте – сторож. Сотрудник долгое время пытается выяснить, кто и как ему может помочь найти тот самый компьютер для установки на него средств защиты. Сторож оказывает сопротивление: «Я ничего здесь не знаю и не решаю, прекрати меня мучить. Ничьи номера телефонов я не дам. Посмотри, что тут творится: все разворочено, свет выключен, весь инвентарь убран».
Не сумев убедить сторожа дать номер телефона руководства, сотрудник начинает искать всех людей, кто может иметь хоть какое-то отношение к данной организации.
После долгих поисков номера телефона руководителя и обзвона множества людей удается, наконец, связаться с директором. В разговоре руководитель учреждения сообщает, что прямым заказчиком не является, что школьные компьютеры свалены в кучу в одном из кабинетов, а кабинет закрыт на замок. Кроме того, приходить на рабочее место для организации работы отказывается, мотивируя это тем, что вся школа сейчас разгромлена из-за проходящего в ней ремонта.
И это не единичный случай. Этим летом в школах города проходили капитальные ремонты по федеральной программе. В некоторых не было даже полов. Поэтому нашим сотрудникам на объектах приходилось взбираться по строительным лесам, чтобы добраться до кабинета с техникой. А добравшись туда, включать смекалку и решать вопрос с поиском нужного компьютера среди строительного мусора и сваленного школьного инвентаря, а также подачей электричества и подключения техники к сети.
В итоге контракт был исполнен?
Да, в непростых полевых условиях сотрудники контракт исполнили в срок.
С чем был связан отказ директора школы в организации работы по установке средств защиты? Установка СЗИ в образовательном учреждении – это действительно важное мероприятие по защите информации?
С заказчиком был заключен один общий контракт, распространяющийся на все подведомственные организации – детские сады и школы. В каждой школе необходимо было установить СЗИ на один компьютер для доступа к общей информационной системе.
Сегодня руководители образовательных учреждений в большинстве еще не осознали важности мероприятий по обеспечению информационной безопасности, а также не знакомы с законодательными требованиями в области защиты информации. У них есть регламенты по подключению к определенным системам, в которых сотрудники школ и детских садов должны выполнять свою работу и заносить необходимые сведения, но как и зачем выполнять те или иные требования регламента они не знают. То есть сотрудники не осведомлены, кто такие специалисты по информационной безопасности и с какой целью они приходят в организацию. По опыту подобные мероприятия в массе проходят по похожему сценарию.
Какие можно сделать выводы из этой истории?
Нам как специалистам по информационной безопасности хотелось бы, чтобы руководство организаций, в которых мы реализуем проекты по защите информации, а также рядовые сотрудники понимали важность проводимых мероприятий, шли на встречу, помогали с организацией работ, чтобы нам не приходилось тратить время, например, на поиск электриков для подачи с генератора электроэнергии в сеть.
В данном проекте мы попали в крайне затруднительную ситуацию, так как заказчик номеров телефонов и выходов на директоров школ не имеет, а само образовательное учреждение не осознает необходимость установки средств защиты.
Какие могут быть последствия от невыполнения мероприятий по установке СЗИ в школе? Утечка данных, возможный взлом, штраф?
Зачастую сотрудники госучреждений не знакомы с возможными последствиями тех или иных действий в сети. Для них информационная безопасность – это некая абстрактная защита, ради которой они просто исполняют требования законодательства. При этом у них нет ясного понимания, как она реально работает.
В образовательных учреждениях – детских садах и школах – были утечки данных?
На сегодня серьезных утечек из образовательных учреждений в нашей республике не было. Но причина, скорее всего, в том, что школы и детские сады только начинают процессы интеграции в общие системы. Еще несколько лет назад вся информатизация ограничивалась тем, что на одном компьютере была корпоративная почта сотрудников, система 1С, возможно, еще система охраны. Поэтому и риски возможного взлома и утечки данных были низкими.
То есть у сотрудников учреждений низкая грамотность в сфере информационной безопасности?
Правильнее сказать – отсутствие негативного опыта. Эра кибезугроз быстро вошла в нашу жизнь. Профильным специалистам давно известно, как правильно защищать информацию и зачем это делать. Для далеких от этой сферы сотрудников, таких как учителя и воспитатели, регламент защиты свалился как снежный ком на голову. Процесс защиты информации сегодня повсеместен, поэтому осознание, что теперь это наша реальность, пришло быстро, а понимание, как работает механизм защиты и зачем нужно выполнять те или иные действия, не появилось.
Какой вывод вы могли бы сделать из всего сказанного?
В заключение хотелось бы добавить, что обозначенные проблемы очень серьезны и могут привести к рискам взлома и утечки баз данных в организации. Поэтому наши специалисты предлагают сотрудничать в вопросах обеспечения безопасности образовательных процессов с тем, чтобы вместе находить правильные решения.
Беседовала специалист по информационным ресурсам Анна Петренко