Угрозы экономической безопасности коммерческой организации

Среди ученых значительное внимание информационной безопасности уделяется Р. Калюжным, Г. Почепцовым, Б. Кормичом, П. Жарковым. Иностранные публикации представлены такими авторами как Панар И., Тер-Акопов А., Ярчкин В. и др.

Угрозы ИБ – это совокупность условий и факторов, создающих опасность жизненно важным интересам компании в информационной сфере [1]. Исследование эволюции, причин возникновения угроз, их характеристик, особенностей влияния на корпоративные сети и информационные ресурсы способствует разработке эффективных мер их защиты, направленных на обеспечение нормальной хозяйственной деятельности [4, 7]. Управление ИБ зависит от глубины прогноза социально-экономических последствий опасных ситуаций и своевременного планирования и выполнения определенного ряда мероприятий и защитных мер [8].

Хотя сегодня руководители практически всех с компаний постепенно наращивают свой потенциал в решении краткосрочных задач [1], связанных с проблемой обеспечения ИБ, при этом они не уделяют должного внимания проблемам, решение которых целесообразно разрабатывать уже сейчас для снижения угрозы ИБ в будущем. Прежде всего ощущается потребность в создании надежной архитектуры ИБ.

Скорость и сложность динамики источников угроз ИБ растет с годами колоссальными темпами. И без того непростая ситуация в сфере ИБ осложняется влиянием рынков новых ИТ, количество которых стремительно растет, длительной нестабильностью в экономике и политике, оффшорной деятельностью многих промышленных компаний и усилением нормативных требований в сфере ИБ.

Анализируя мировые современные процессы видно невооруженным глазом, что значение информации в обществе быстро растет. Продвижение интересов России в мировом сообществе ставит перед ней важную, или возможно даже и необходимую задачу – занять прочные позиции во всех сферах общественной жизни, в том числе и в информационной.

Появление новых ИТ открывает перед компаниями не только невиданные возможности, но и подвергает их потенциальным угрозам с неизвестных ранее источников [1, 7, 10]. Облачные компьютерные технологии по-прежнему являются главным источником инноваций в современной информационной среде: за последние несколько лет количество компаний, которые используют облачные вычисления, увеличилось почти вдвое. Тем не менее 38% таких компаний не приняли никаких действий по снижению рисков утечки информации, в частности не обеспечили более строгого надзора за управлением контрактами с провайдерами, которые предоставляют услуги по облачной обработке данных, или по применению методов шифрования [9].

В современном мире информация определяется как движущая сила и доминирующая отрасль, которая ставит перед собой задачу внедрения передовых информационных технологий во все сферы общественной деятельности. По этой причине вопрос информационной безопасности занимает важное место в системе обеспечения национальной безопасности как одной отдельно взятой страны, так и во всем мире в целом. Исследованием информационной безопасности занимается ряд как отечественных, так и зарубежных исследователей, а также большое количество государственных и негосударственных научных учреждений, исследовательских и аналитических центров.

Иначе говоря, будучи составной частью национальной безопасности, информационная безопасность должна восприниматься как состояние защищенности государства от внешних и угроз в сфере обращения информации. Поэтому информационная безопасность большинством ученых воспринимается как состояние, которое противостоит угрозам извне и внутренним угрозам, но при условии, что все эти угрозы направлены внутрь государства.

Поскольку агрессия в большинстве случаев в современном мире направляется именно «изнутри определенных государств и направлена в другие государства или глобальное общества в целом, то анализируя понятие «национальная безопасность» под влиянием глобальных процессов, Б. А. Кормич отмечает, что это понятие «теряет свой государственный или блочный характер, превращаясь в глобальное явление» [4, с. 135]. Поэтому, с одной стороны, становится очевидным, что такое утверждение в полной степени соответствует действительности, но в то же время, очевидной является также и возможность применения термина «национальная» к глобальной (общемировой) безопасности.

Интересный взгляд на понятие «информационная безопасность» имеет известный исследователь Калюжный Р.А., который считает, что информационная безопасность – это вид общественных информационных правоотношений относительно создания, поддержания, охраны и защиты желаемых для человека, общества и государства безопасных условий жизнедеятельности, специальных правоотношений, связанных с созданием, хранением, распространением и использованием информации [3, с. 18].

Если рассматривать вопрос с точки зрения государственного подхода, то информационная безопасность направлена на обеспечение реализации национальных интересов с помощью всего арсенала средств, имеющихся в распоряжении. В этом смысле можно сказать, что высший смысл политики информационной безопасности – свободное развитие и процветание общества.

Данные показывают долю населения, которая имеет доступ к интернету и, следовательно, являются потенциальными «жертвами» кибератак и киберпреступлений. Также можно предположить, что такое частотное распределение может коррелировать с динамикой реализаций кибератак и киберпреступлений, однако, как и любое предположение, оно требует дополнительной проверки, каким бы не было это очевидным предположение. Также косвенным образом подобную корреляционная зависимость подтверждает распределение весовой доли проникновения в интернет географическими регионами.

Также, много государственных структур (налоговые, антимонопольные, правоохранительные органы т. п) при выполнении ими своих функций получают от различных организаций значительное количество информации, что формирует различные механизмы интернет-преступности.

Как известно, интернет уже давно разделился на общедоступную часть, то есть «видимую» часть (это совокупность сайтов, на которые мы можем выйти с помощью поисковых систем, например Яндекс или Google) и «невидимую сеть» (или «глубокую паутину» – «Deep Web»), попасть в которую можно, только зная конкретные адреса и через специальный браузер. По мнению разных авторов, к видимому интернету принадлежит около 20-30 % содержимого всей сети. Самые смелые источники указывают другую цифру – не более 50 %. Таким образом, можно утверждать, что невидимый интернет – это основная часть ресурсов, доступных онлайн. Как видно из представленных данных, достаточно большая часть информации по причине отсутствия классификации и невозможности учета приносит неучтенные потери для предприятий. В первую очередь, это финансовые, кадровые, экономические и другие виды потерь.

Одним из механизмов использования «теневого» интернет является Tor-механизм, сайты с его использованием имеют шифрованные имена с доменным именем опиоп. Именно Tor создал крупнейшую луковичную сеть, в которой нет правил, законов и стран.

Существует много видов уголовных правонарушений, связанных с использованием компьютеров [1], в рамках которых имеет место хищение денежных средств: атаки хакеров на банки или финансовые системы; мошенничества, связанные с переводом «электронных» денег; мошенничества с банковскими пластиковыми картами и др.

В банковской системе также появились «новшества»: на смену скимминга пришел новый вид кражи денег с банковских карт. Согласно названию этой технологии «Шим» (shim – тонкая прокладка) вместо традиционных громоздких накладок на щель приемника пластиковых карт банкоматов (скиммеров) в шимминге используется очень тонкая и гибкая плата, которая внедряется через эту щель внутрь банкомата и практически незаметна.

Сейчас основным документом, регулирующим вопросы международного сотрудничества в борьбе с киберпреступностью, есть «Конвенция о киберпреступности» [4]. Конвенция устанавливает меры, которые должны принять страны на национальном уровне по правонарушений против конфиденциальности, целостности и доступности компьютерных данных и систем; правонарушений, связанных с компьютерами; правонарушений, связанных с распространением детской порнографии, и правонарушений, связанных с нарушением авторских и смежных прав [4].

Для эффективной борьбы с киберпреступностью нужна система мер и реализация соответствующей государственной политики в этой отрасли. Одни лишь новые законы не способны противостоять росту IT-преступности. Нужен комплекс мероприятий, направленных не только на развитие правоприменительной базы, но и на повышение уровня грамотности граждан, судебных и правоохранительных органов. Одна из главных задач – это организация плодотворного взаимодействия с правоохранительными органами в сфере борьбы с киберпреступностью, а также оказание помощи компаниям, пострадавшим от кибератак.

В качестве примера рассмотрим обеспечение экономической безопасности национального фармацевтического рынка. Существование соответствующих законов и подзаконных актов требует их выполнения соответствующими заинтересованными сторонами и создает законодательную основу для мониторинга безопасности и связанных с этим действий. Министерство здравоохранения рекомендует интегрировать ключевые элементы фармацевтического рынка национальной политики путем разработки законодательной базы. Наставления СРА, таких как ЕМА и FDA, требуют от отчитываться об изделиях медицинского назначения, которые случаются во всех странах, где продается их продукция [1, с.11].

ЕМА и FDA предъявляют строгие требования относительно осуществления надзора за безопасностью зарегистрированных лекарственных средств, которые производятся в фармацевтической отрасли. ЕМА и FDA требуют от ПТЛ проводить пострегистрационные исследования по безопасности и внедрять мероприятия по минимизации риска лекарственных средств и продукции с высокой степенью риска и актуальными проблемами безопасности. ЕМА также требует от ПТЛ наличия квалифицированного персонала, ответственного за фармацевтический рынок (КПФН). Принципы отчетности, связанные с использованием изделий медицинского назначения, изложенные в MEDDEV 2.12/1 rev. 740 (система присмотра за изделиями медицинского назначения) и MEDDEV 2.12/2 rev. 241 (пострегистрационные клинические дальнейшие исследования), где прописано стандартный подход, что соответствует принципам SG2 надзора за изделиями медицинского назначения Специальной группы по глобальной гармонизации (СГГГ).

Условия безопасности фармацевтического рынка в Российской Федерации предполагают:

1. Усилена роль МИНЗДРАВА как центрального органа исполнительной власти в сфере охраны здоровье относительно осуществления фармацевтического рынка в лечебном процессе и контроля за выполнением положений приказа.
2. Урегулированы взаимоотношения между всеми государственными структурами по вопросам осуществление надзора за безопасностью лекарственных средств.
3. Осуществление надзора за безопасностью всех лекарственных средств, включая биологические (вакцины и препараты крови) и другие препараты [3, с.34].
4. Усовершенствованы формы представления информации о побочных реакциях/отсутствии эффективности лекарственных средств и привлечено к процессу информирования о побочных реакциях лекарств всех медицинских работников (врачей, медицинских сестер, фельдшеров, акушеров, провизоров, фармацевтов) и потребителей лекарств или их представителей.
5. Усиленно требования относительно осуществления фармацевтической политики в учреждениях здравоохранения и на уровне управлений здравоохранения путем усовершенствования государственной статистической отчетности [2, с. 4].
6. Усиленно требования относительно осуществления фармацевтического рынка со стороны заявителя/производителя лекарств путем обязательного создания системы рынка (элементами которого является наличие лица, ответственного за документирование процедур, создание и ведение баз данных) и системы управления рисками, совершенствование структуры и наполнения регулярно обновляемых отчетов по безопасности, проведение пострегистрационных исследований по безопасности и эффективности лекарств.
7. Проведения аудита системы заявителя.
8. Задекларировано политики прозрачности и информирования по вопросам фармацевтического рынка.

Таким образом, оценка государственного регулирования в вопросах обеспечения экономической безопасности национального фармацевтического рынка является важным фактором мониторинга состояния системы здравоохранения в Российской Федерации в целом.

1. Абрамов А. В., Панасенко С. П., Петренко С. А. VPN-решения для российских компаний // Конфидент. 2001. № 1.
2. Астахов А. М. Аудит безопасности информационных систем. Конфидент. 2003. № 2.
3. Ахметов К. Безопасность в Windows ХР // Безопасность. 2001. № 12.
4. Гайкович В., Першин А. Безопасность электронных банковских систем. М.: Единая Европа, 1994.
5. Галатенко В. А. Информационная безопасность – грани практического подхода. Конференция «Корпоративные Информационные Системы». М., 1999.
6. Галатенко В. А. Информационная безопасность / / Открытые системы. 1996. № 1.
7. Галатенко В. А. Информационная безопасность в Intranet // LAN. 2016. № 7.
8. Галатенко В. А., И. Трифоленков. Введение в безопасность Интернет // LAN. 1996. № 6.
9. Галицкий А. В., РябкоС.Д., Шаньгин В. Ф. Защита информации в сети – анализ технологий и синтез решений М.: ДМК Пресс, 2014.
10. Глобальное исследование информационной безопасности. [Электронный ресурс]. – Доступный с http://www.gosbook.ru/node/64161
11. Глобальное исследование инцидентов внутренней информационной безопасности. [Электронный ресурс]. – Доступный с http://www.securitylab.ru/analytics/291018.php
12. ГОСТ 28147–89. Система обработки информации. Защита криптографическая. Алгоритм криптографического преобразования. М., 2009.
13. ГОСТ Р 34.10–94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма. М., 2014.
14. Компании ищут способы оперативного реагирования на современные угрозы и больше не могут обеспечивать информационную безопасность путем решения отдельных задач. [Электронный ресурс]. – Доступный с http://www.ey.com/RU/ru/Newsroom/News-releases/Press-Release---2012-10-29-2
15. Мониторинг утечек информации. [Электронный ресурс]. – Доступный с http://www.infowatch.ru/analytics/leaks_monitoring
16. О концепции экологической безопасности РФ // Экологическая безопасность России. – М., 1994. – Вып. 1. – С. 11-16.
17. Панарин И. технология информационной войны / Панарин И. – М.: КСП+, 2003. – 320 с.
18. Проблемы внутренней безопасности России в ХХІ веке: Материалы конференции. – М., 2001. – 234 с.
19. Тер-Акопов А.А. Безопасность человека / Тер-Акопов А.А. – М.: Изд-во МНЭПУ. – 1998. – 256 с.
20. Ярочкин В.И. Секрюритология – наука о безопасности жизнедеятельности / Ярочкин В.И. – М.: «Ось – 89», 2000. – 288 с.