KPMG - это международная сеть фирм, предоставляющих аудиторские, налоговые и консультационные услуги. «KPMG-Украина» - зарегистрированная в соответствии с законодательством Украины компания, член сети независимых фирм KPMG, афилиированных с KPMG International, зарегистрированной в Швейцарии.

В фирмах-членах международной сети KPMG, представленных в 145 странах мира, работают в общей сложности более 123 тыс. специалистов в различных отраслях.

- Что подвигло компанию KPMG заняться вопросами ИТ-безопасности?

KPMG является аудиторской компанией. Мы вовсе не ИТ-компания в привычном понимании. Однако в рамках аудита финансовой отчетности мы постоянно вынуждены сталкиваться с вопросами информационной безопасности, что и подвигло нас предоставлять услуги, не связанные непосредственно с аудитом.

Почему эти услуги появились, и почему именно в области ИТ-безопасности? Большинство компаний ведет свой учет в информационных компьютерных системах. Данные, которые нам предоставляются, – первичные или обработанные данные, результаты деятельности, – взяты из информационных систем. И у аудитора возникает закономерный вопрос: а насколько этим данным можно доверять?

Для того чтобы определить некий уровень доверия к получаемой информации, в составе команды аудиторов должны быть те, которые помогут людям с финансовым образованием определить, насколько эта информация достоверна. Естественно, это непосредственно связано с ИТ-безопасностью.

- Какие дополнительные преимущества получают клиенты, обращаясь именно в компанию KPMG?

Только лишь безопасностью услуги нашей компании не ограничиваются. Являясь экспертами в области бухгалтерского и налогового учета, мы востребованы как методологи в проектах, связанных с информационными финансовыми системами.

Можем выступать и аудиторами проекта. Смысл такого вовлечения достаточно понятен – когда есть заказчик и исполнитель, должна быть еще и третья сторона, которой доверяют обе стороны. В таком случае третья сторона может выполнять аудит проекта, помогать контролировать ход его выполнения. Есть множество примеров, когда стоит привлечь третью сторону. Понятно, что это связано с дополнительными расходами, но зато помогает клиенту минимизировать риск того, что проект не будет закончен в срок, либо закончен не с теми результатами, либо не закончен вообще.

И после внедрения проектов нас достаточно часто привлекают для решения вопросов с уже работающими системами. Например, вопросов связанных с налоговым учетом. Не секрет, что ведение налогового учета для многих западных компаний в их корпоративных системах является достаточно серьезной проблемой, потому что есть своя специфика такого учета в Украине, и эту специфику нужно переносить на корпоративные решения. Если в какой-то момент времени не достигается нормальный уровень взаимопонимания между украинским и общекорпоративным менеджментом, то велика вероятность того, что впоследствии, при внедрении ИТ-систем, будут допущены какие-то просчеты, которые приведут к тому, что система не будет удовлетворять требованиям одной из сторон. В подобных нюансах помощь наших специалистов очень востребована.

На всех этапах – выбора системы, ее внедрения и последующей эксплуатации, - мы можем быть полезны, потому как обладаем знаниями бухгалтерского и налогового учета и, естественно, ИТ-систем, как механизма для реализации такого учета.

- Что подразумевает проведение вами аудита ИТ-безпасности?

Я разделил бы сертификационные и несертификационные аудиты. Программа сертификационного аудита четко определена: строго оговорено, что должно быть сделано, чтобы получить нужный сертификат; получение такого сертификата и является результатом аудита. В случае несертификационного аудита мы детально определяем с клиентом области аудита, которые представляют для него наибольшую важность.

По его результатам создается согласованный сторонами отчет, который содержит наблюдения и конкретные рекомендации по улучшению системы контроля в области ИТ-безопасности.

В зависимости от проекта, уровень детализации исследований, который мы проводим, разный. Если мы говорим об активности в рамках финансового аудита, то, скорее всего, акцент будет смещен в сторону процедурных вопросов. Если мы касаемся технических сервисов, например, тестов на проникновение или технического аудита, то акцент будет сделан на технические манипуляции, его результатом будет заключение о настройках ключевых серверов или о настройках сети, о конфигурации оборудования в целом и конкретных сетевых устройств. При этом мы всегда рассматриваем информационную безопасность как комплекс. Не могут существовать «настройки оборудования» без правил, политик, и т.д. И не могут правила существовать без их имплементации в конкретных системах.

Что нам позволяет быть востребованными на рынке – это то, что мы не зависим от конкретных решений. Мы проводим аудиты разных платформ, руководствуясь общими концепциями с учётом специфики каждого продукта.

Таким образом, нельзя сказать, что ИТ-аудит – это какой-то стандартный набор процедур, и все понимают, о чем именно идет речь без дополнительных пояснений.

- Какие цели ставят перед собой украинские компании, проходя сертификацию по ИТ-безопасности?

Нужно четко себе представлять, ради чего нужна сертификация. Сертификация ради сертификации вряд ли представляет практическую ценность. Обычно к проведению той или иной сертификации подталкивает род деятельности компании. Например, ведущие системы электронных платежей, такие как Visa и MasterCard требуют от организаций, которые работают в их системах, обязательной сертификации. Таким образом, если организация, которая попадает под определённые критерии (например, объём обрабатываемых транзакций), хочет работать в платежной системе, она должна быть сертифицирована.

Или, другой вариант – у компании есть желание показать своим партнерам, что она соответствует неким общепринятым мировым требованиям. В этом случае возрастает уровень доверия деловых партнеров и клиентов к компании. Скажем, если компания предоставляет услуги колл-центра, то банки для каких-то определенных задач передают этой компании информацию о своих клиентах. Естественно, банк хочет удостовериться, что эта информация попадает в хорошо контролируемую систему. И соответствующий сертификат по ИТ-безопасности поможет колл-центру быть более конкурентоспособным по отношению к другим подобным центрам, которые не являются сертифицированными – ведь центр повысит свою привлекательность для бизнес-партнеров.

Хочу привести интересный факт. Несколько лет назад я стажировался в Венгрии. И в этой стране компаний сертифицированных по стандарту безопасности ISO 27001 было порядка 60, в то время как в Украине – одна. А ведь инвестор пойдет туда, где видит привычные стандарты. Например, одна глобальная компания перенесла подразделение, занимающееся отчетностью, в Будапешт, потому что там его работа обходилась дешевле, чем в Лондоне. Этот перенос дал рабочие места, возможность применения новых технологий и обучения персонала. Такова сила общепризнанных сертификатов. У нас же в новостных лентах я просто не встречал ни одного заявления о том, что ещё какая-то компания получила сертификацию по стандарту ISO 27001. И не думаю, что в ближайшее время ситуация изменится.

- Может быть, нашим компаниям эта международная сертификация просто не нужна?

Наверное, это действительно так. Мы провели в 2004 году семинар по ISO 27001, интерес был. Но когда вопрос заходил о стоимости такой сертификации, участники закатывали глаза и говорили, что это очень дорого. Почему? Потому что они не видели отдачи . Наоборот, они представляли процесс, как получение некой справки, которую сначала нужно получить, а потом уже думать, что с ней делать. Если венгерские компании в какой-то момент времени поняли, что они хотят привлечь к себе зарубежных игроков, как в вышеописанном примере, то у нас пока этого не видно. Когда же бизнес четко увидит, для чего им этот сертификат – он будет работать над тем, чтобы его получить.

Я не хочу сказать, что сертификация – это панацея. Это всего лишь один из опробованных способов достижения поставленных бизнес-целей.

- Что вы думаете об аутсорсинге услуг по ИТ-безопасности?

Наша компания предоставляет эту услугу. В России один из сотрудников KPMG играет ключевую роль в системе информационной безопасности одного из банков.

- Судя по тому, что был упомянут, только один сотрудник, услуги аутсорсинга пока что не пользуются особой популярностью.

Если говорить об Украине, то скорее да, ведь на это влияет общий уровень развития информационной безопасности в стране. Не все осознают важность проблемы, соответственно, нет важности – нет процесса, нет аутсорсинга. Из собственного опыта скажу, что сталкивался с аутсорсингом услуг по ИТ только в международных компаниях, для которых аутсорсинг каких-то функций – это часть их глобальной стратегии. И Украина, являясь одной из зон присутствия, просто подпадает под эту стратегию. Для компаний, которые выросли здесь, в Украине, эта тема все еще является экзотикой.

- Многие компании используют самое разное программное обеспечение, не усложняет ли это внедрение систем безопасности?

Одна из проблем – это разработки, которые делались пользователями с использованием «подручных средств», например Excel или Access. Первоначально такая разработка делалась для личного пользования, потом дорабатывалась и становилась важна для группы людей, потом для отдела. А потом оказывается, что в каком-то из процессов эта система играет достаточно важную роль и влияет на формирование финансовых результатов по тому или иному направлению деятельности всей компании. И нужно включить эту поделку, внезапно сформировавшуюся и разросшуюся до больших размеров, в систему внутреннего контроля, придумать, как распространить на такую систему правила той же парольной защиты, как формализовать процесс внесения изменений, делать резервные копии этой разработки и т.д. Понятно, что как только эта программка выйдет из строя, компания потеряет часть процесса – появятся проблемы с созданием отчетов, со своевременным их предоставлением и т.д. Даже в крупных компаниях существуют подобные проекты, когда автоматизации подвергались какие-то узкие участки. Бывает даже, что с точки зрения ИТ-безопасности они совершенно неадекватны, о ней просто речь не идет. В таком случае зачастую те правила и концепции ИТ-безопасности, которые существуют в компании, просто пропускают эти «островки» автоматизации. Например, существует какая-то глобальная политика по паролям, которую некая уникальная разработка не может поддерживать. Получается, что это как бы исключения из общих правил. И с этим бывают трудности. Каждая компания по-своему их как-то решает.

Если же мы говорим о нормально защищенной среде, работающей на промышленной базе данных, где ИТ-безопасность уже была включена в проект на этапе его формирования, то проблем должно быть меньше.

- Расскажите о причинах неудач при внедрения систем ИТ- безопасности.

Неудачным считается внедрение, которое произошло не вовремя или затянулось, внедрение, которое затребовало значительно больших ресурсов чем планировалось, внедрение которое не завершилось, внедрение, которое все равно пропускает атаки, или за ними некому следить, потому что не хватает специалистов. Здесь выявить проблемы компании должен помочь ИТ-аудит. Это может быть процессный аудит, технический аудит настроек серверов, тест на проникновение, либо комбинация всех этих вещей. Применив некий комплекс активности в рамках ИТ-аудита, мы можем дать ответ на вопрос о качестве внедрения решения.

Существует так называемый Post implementation review (анализ после внедрения). Например, у нас был проект, связанный с системой SAP R/3. Так как система настроек безопасности в SAP R/3 является достаточно сложной, родительская компания хотела знать, насколько украинское внедрение соответствовало требованиям, которые выдвигает материнская компания. Этот вопрос был одним из приоритетных в рамках вышеупомянутого Post implementation review. По результатам этого аудита был составлен план по устранению недостатков, и таким образом компания добилась того, что это внедрение соответствует корпоративным требованиям по безопасности.

Неудачные внедрения встречаются. В одной из компаний после внедрения финансовой системы столкнулись с такими проблемами, что один из менеджеров в сердцах сказал: «Может, нам вообще не стоило ее внедрять!» Бывает, компания выбирает не оптимальную систему. Возможно, система не может справиться с количеством обрабатываемых данных – их поток возрос в несколько раз, а этот рост не был спрогнозирован на этапе проектирования. Бывает, система не готова надежно работать в выбранной конфигурации, ошиблись где-то на этапе выработки требований.

Исходя из нашего опыта, основная причина, по которой возникают проблемы в области информационной безопасности применительно к тем же финансовым системам, заключается в том, что компания акцентирует внимание прежде всего на производительности и сдаче проекта в срок. А безопасность уходит на второй план.

Понятно желание к такой-то дате иметь рабочую систему, ведь это позволяет использовать очевидные ее функциональные возможности –вводить документы, формировать отчётность и т.п. В ситуации, когда проект не укладывается по срокам, обычно спешат доделать именно функциональность, а вопросы безопасности в лучшем случае будут отложены. В худшем – к ним никогда не вернутся. Иногда отдел информационной безопасности по тем или иным причинам бывает даже не вовлечен в проект! Соответственно, никто не может предугадать возможные риски при эксплуатации такой системы.

Информационная безопасность – это, прежде всего, ответственность менеджмента. ИТ в данном случае – это некий механизм, который обеспечивает те или иные вопросы, связанные с такой безопасностью. Инициатором процесса оценки рисков должен выступать именно менеджмент, а не ИТ-отдел. В тех случаях, когда ИТ является локомотивом в обеспечении информационной безопасности, мы видим достаточно фрагментарные действия. ИТ-отдел делает back-up, понимая важность резервирования. Он ставит антивирусы на рабочих станциях и серверах, понимая, что вирусы представляют угрозу. Но иногда возникают дыры в системе безопасности, потому что ИТ-шники просто не видят в определенных угроз, бизнес им не подсказал, оценки рисков не было. Более того, зачастую политики информационной безопасности в компании просто нет, людей, ответственных за ее осуществление тоже нет, и дыры остаются, никто на них особого внимания не обращает.

- Насколько же осознают сейчас в украинских компаниях важность защиты ценной информации?

Одним из ключевых факторов защиты информации на Западе являются требования законодательства. Так компании, собирающие данные о тех или иных людях, должны принимать меры по защите этих данных. В Украине такие требования, конечно, есть – они, например, предъявляются банкам, телекоммуникационным компаниям. Эти индустрии на данный момент больше остальных уделяют внимание безопасности информации, потому что исходят, прежде всего, из законодательных требований. Особняком стоят требования к защите информации, владельцем которой является государство. В остальных случаях, собственник информации самостоятельно решает, что делать с информацией, как ее защищать.

Не скажу, что до кризиса везде понимали важность информации, проводили какие-то мероприятия по ИТ-безопасности или инвестировали средства в защиту и т.д. Мне кажется, многие компании не видели в этом конкурентного преимущества, не видели рисков, не понимали, что информация, попав в чужие руки, может сыграть против них. Это просто такое отношение к информации: люди не видят в ней особой ценности и потому зачастую не прилагают даже минимальных усилий для ее защиты.

- А в условиях кризиса, не будут ли те же самые люди прилагать еще меньше усилий для обеспечения информационной безопасности?

Что происходит с информацией во время кризиса, становится ли она более значимой? Мне кажется, нет. Информация не стала более ценной, более того – сейчас компании готовы принять некие риски, потому что существуют еще более глобальные риски для их деятельности.

Например, есть такое понятие, называется «репутационный риск». Для банков существует риск того, что данные, попав в какой-то публичный источник, станут доступны большому количеству лиц. Люди, увидев, что их персональные данные становятся доступны, не захотят больше оставаться клиентами этого банка. Что мы видим сейчас? Под несколькими крупными банками стоят очереди вкладчиков. И даже у банков, под которыми нет очередей, сейчас другие приоритетные задачи: все мы знаем, что в банковской системе трудности. Некоторые уже не смотрят так далеко вперед, когда клиенты начнут обращать внимание не только на то, отдает банк деньги или нет. Такой банк не думает о том, что кризис закончится – он думает о том, что может не дожить до его окончания, и вполне может принять репутационые риски.

Возросли ли угрозы в период кризиса? Безусловно, возросли. Один из видов таких угроз – неудовлетворенные сотрудники, ИТ-персонал, который в силу своих прав имел доступ к расширенному блоку важной для компании информации. Возрастает риск злоумышленных действий, направленных на нанесение урона той или иной компании. Однако я думаю, что затраты в денежном эквиваленте на ИТ-безопасность в период кризиса будут минимизированы.

Кстати, во многих компаниях часть вопросов ИТ-безопасности можно решить не техническим, а организационным путем. Если, к примеру, в ключевых системах не включены журналы аудита, никто их не смотрит, то включив их, можно контролировать, чем занимаются сотрудники, идентифицировать инциденты и принимать определённые меры. Это не связано с какими-то дополнительными финансовыми затратами. Нужно искать скрытые внутренние ресурсы, и я думаю, компании скорее пойдут по этому пути, нежели будут тратить деньги на какие-то дополнительные средства обеспечения безопасности.

- Нет ли сейчас опасности стагнации рынка услуг по ИТ-безопасности?

Если мы будем говорить, что опасности нет, нас сразу можно списывать со счетов. Мы рассматриваем все возможные сценарии. Любая компания должна реагировать на изменяющиеся внешние условия. Соответственно им надо изменять продуктовую линейку, решать вопросы по формированию цен, делать предложения более приемлемыми для клиентов. Речь не о примитивном уменьшении цены и попытках только за счет этого удержать компанию на плаву. Мы имеем в виду возможность комбинировать услуги, например, в случае с консультационными услугами, смещать акцент ценовой нагрузки с этапа диагностики на этап внедрения решений. Предоставляя диагностику дешевле, мы даем возможность клиенту увидеть, что у него есть определенные проблемы, и стадия внедрения ему жизненно необходима. Такие предложения дадут возможность игрокам на рынке выжить.