В России активно развивается широкополосный интернет. К сети ежедневно подключаются миллионы неквалифицированных пользователей – это почва для распространения эпидемии «червей». По нашим оценкам, в московских домовых сетях скорость заражения новичка равняется одной-двум минутам. Рядовые пользователи ПК обычно не устанавливают дополнительных средств защиты, а возможностей встроенных в Windows межсетевых экранов недостаточно для того, чтобы предотвратить внедрение в компьютер сетевого «червя» – программы, содержащей вредоносный код. В результате «черви» проникают в сотни тысяч компьютеров и ожидают команды на исполнение кода от злоумышленников. Группы таких компьютеров, в фоновом режиме выполняющих программы-«черви», получили в среде IT-специалистов название «зомби». По нашим подсчетам, одна из крупнейших «армий зомби» насчитывала полгода назад примерно 990 тысяч компьютеров. Как только злоумышленник дает команду, «черви» с зараженных компьютеров начинают рассылать паразитные пакеты данных в адрес целевых серверов, чтобы забить у них каналы связи либо исчерпать ресурсы производительности и тем самым парализовать работу. Кроме того, «армия зомби» может использоваться для рассылки почтового спама. В результате именно такого типа атаки летом 2004 года без интернета остался весь юг России.
Минувшим летом южные регионы России на продолжительное время остались без доступа к интернету в результате хакерской атаки на крупнейшего местного провайдера – Южную телекоммуникационную компанию. Это лишь один из многочисленных примеров нарастающей зависимости общества от информационных систем.
Ключевой элемент в борьбе с рисками в IT-инфраструктуре – это корпоративная культура информационной безопасности, которая позволяет значительно снизить уровень угроз. К сожалению, судя по тому, что можно наблюдать в крупнейших российских компаниях, процесс формирования корпоративной культуры в России находится на зачаточном уровне: сотрудники не обладают достаточной информацией, чтобы оценить риски, связанные с поведением на рабочем месте. Например, во многих компаниях сотрудники пользуются флэш-накопителями, совершенно не задумываясь о том, что это противоречит корпоративным правилам. Просто потому, что их не поставили в известность о существовании таких правил. Сегодня отечественные компании в основном пытаются защититься от внутренних утечек информации, в связи с этим наблюдается всплеск интереса к решениям DLP (Data leakage prevention).
Страховщики не всегда могут предложить оптимальные для клиента условия страхования. Не только потому, что не хотят, но и потому, что не располагают полным объемом информации о рисках и стратегических целях компании-страхователя. Базовые страховые продукты, которые продвигают СК, строятся до знакомства с потребностями конкретного страхователя. Как правило, клиентам СК предоставляется несколько модификаций страхового полиса с предложением выбрать наиболее приемлемый вариант. То есть выбор возможен только из того, что предлагает страховщик. Однако насколько бы ни был широк спектр страховых услуг СК, реальные нужды потенциального клиента не могут быть предугаданы и предусмотрены страховщиком в полной мере. Использование же неэффективного шаблона для системы страхования с множеством пробелов не позволит полноценно компенсировать убытки, а в этом случае расходы на страхование оказываются неоправданными. В качестве примера, иллюстрирующего выбор неоптимального перечня рисков, подлежащих страхованию, можно привести ЗАО «Европейские технологии и сервис», владельца «Трансвааль-парка». Общество подало в суд иск о выплате страхового возмещения в связи с обрушением 14 февраля 2004 года крыши здания, в котором располагался аквапарк.
Нередко страхователь при заключении договора не учитывает конфликт интересов. Страховая компания – коммерческое предприятие, которое преследует вполне конкретные экономические цели, и в первую очередь – максимальную прибыль. Поэтому страховщики стремятся предложить клиенту избыточную страховую защиту, которая позволит получать от него большие страховые премии. В рамках этой стратегии страховые компании стараются навязать клиентам более доходные для себя виды страхования, чтобы компенсировать убыточность других видов. Очевидно, что такой подход не соотносится с интересами предприятия-страхователя, цель которого – покрыть максимум рисков по минимальной цене. Решением проблемы может стать самостоятельное выявление и оценка рисков самим предприятием. Если сотрудники компании недостаточно компетентны, чтобы своими силами определить уровни франшиз и диапазоны лимитов ответственности по видам страхования, то в этом им могут помочь независимые сюрвейерские компании или страховые брокеры.
