Москва, 1-я Фрезерная улица, 2/1, корп. 2, офис 711
Время работы 9:00-19:00
МЫ ИСПОЛЬЗУЕМ COOKIE. Продолжая использовать наш сайт, вы даете согласие на обработку файлов cookie, пользовательских данных (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник, откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) в целях функционирования сайта, проведения ретаргетинга и проведения статистических исследований и обзоров. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.
Информационный капитал. Как потеря данных может стать причиной закрытия бизнеса?
В бизнесе принято считать капиталом все, что может накапливаться и использоваться для получения дохода. Недвижимость, оборудование, станки – это осязаемо, понятно, стоит в балансе. А данные? Когда папки с файлами и базы данных начинают весить в учете не меньше, чем бетонные стены?
Главный парадокс в том, что большинство компаний осознают ценность своих данных только в момент, когда их теряют. Когда бухгалтерия не может сдать отчетность, когда утекает клиентская база и так далее.
Из чего складывается информационный капитал, как оценить его реальную стоимость и почему защита данных – это не статья расходов, а инвестиция в выживание бизнеса.
Разберем то, что можно назвать фундаментом бизнеса, – данные, потеря которых ставит под угрозу само существование компании.
Главный парадокс в том, что большинство компаний осознают ценность своих данных только в момент, когда их теряют. Когда бухгалтерия не может сдать отчетность, когда утекает клиентская база и так далее.
Из чего складывается информационный капитал, как оценить его реальную стоимость и почему защита данных – это не статья расходов, а инвестиция в выживание бизнеса.
Разберем то, что можно назвать фундаментом бизнеса, – данные, потеря которых ставит под угрозу само существование компании.
Бухгалтерия как базовый фактор работы бизнеса
Самый очевидный пример – бухгалтерские данные. Это налоговая отчетность, зарплаты сотрудников, движения по счетам. Если их потерять или испортить, проблемы приходят быстро и с разных сторон. Заморозка счетов, штрафы, визиты трудовой инспекции, которая, к слову, плотно взаимодействует с налоговой службой. Фонд оплаты труда у многих компаний – крупнейшая статья расходов, и любые сбои в этой части бьют по бизнесу мгновенно.
Учетные записи и ключи
Отдельная категория – данные, которые открывают доступ ко всему остальному: логины, пароли, ключи шифрования. На бытовом уровне их хранят в менеджерах паролей. В корпоративной среде это целые системы управления доступом.
Потерять пароль к какому-нибудь онлайн-сервису – полбеды, так как его можно восстановить. Но есть вещи, которые не восстанавливаются. Например, ключи шифрования, сгенерированные однажды с большой длиной и сложностью: если они утеряны – все, что было зашифровано, становится недоступным навсегда. Не помогут никакие хакеры, никакие специалисты, никакие программы. Данные просто перестают существовать – без возможности восстановления.
Клиентская база как персональные данные
Компании нужны контакты, история взаимодействия, статусы сделок, чтобы работать с людьми. А регуляторы (в лице Роскомнадзора и других) жестко следят за тем, как эти данные хранятся и защищаются. Потому что фамилия, имя, отчество и номер телефона в комбинации – это уже персональные данные, с помощью которых можно идентифицировать человека.
Потеря такой базы – двойной удар. С одной стороны, обрывается связь с клиентами, рушится воронка продаж, останавливаются процессы. С другой – приходят контролирующие органы с вопросами и штрафами. А в некоторых случаях еще и публичная огласка с ударом по репутации.
Отраслевая специфика
Производственные компании живут чертежами, схемами и технологическими картами. Торговля – номенклатурой, прайс-листами, договорами с поставщиками. Финансовый сектор – отчетами, показателями, таблицами с движением средств. Для ритейлера критически важен справочник товаров: что за позиция, с чем совместима, сколько стоит, есть ли на складе. Потерять такой справочник – все равно что остаться без витрины и ценников одновременно. Для компании, участвующей в тендерах, – это архивы заявок, коммерческие предложения, протоколы согласования, без которых невозможно ни подтвердить опыт, ни подготовить новую конкурсную заявку.
Финансовые организации – от крупных банков до частных брокеров – вообще живут в режиме тотальной зависимости от регулятора (Центральный банк). Здесь данные не просто ценны, они являются предметом отчетности, за потерю которого можно потерять лицензию.
Резервные копии
Их часто воспринимают как техническую мелочь, но на самом деле это отдельные критически важные данные. Резервные копии нужно не только делать, но и защищать. Потому что если злоумышленник доберется до них, возможность восстановления после атаки исчезает. Хранить бэкапы отдельно, изолированно от основных систем, проверять их работоспособность – это стандартные процедуры для тех, кто не хочет однажды остаться ни с чем.
Сколько теряет бизнес, когда не работают серверы: примеры из жизни
Когда речь заходит об оценке данных, самый прямой путь – считать от обратного, то есть от ущерба, который наступит, если с ними что-то случится. Если данные стали недоступны, утекли или оказались испорчены – что тогда произойдет с бизнесом?
Вопрос этот можно попытаться закрыть заранее, но на практике компании начинают им заниматься либо после того, как уже обожглись, либо когда регулятор жестко требует. Предприниматели с трудом верят абстрактным угрозам. К сожалению, гораздо убедительнее работает собственный негативный опыт или примеры из той же отрасли.
Один из самых наглядных показателей – время простоя. Если информационная система деградировала, бизнес перестает зарабатывать. Но ценна не просто констатация факта, а понимание, сколько конкретно ваша компания может себе позволить не работать. Час, день, неделю? И что будет, если простой случится в пик сезона?
Для ритейлера, у которого касса перестает пробивать чеки в субботу днем, последствия одни: собирается очередь, покупатели нервничают, люди покидают торговую точку. Для бухгалтерии, оставшейся без доступа к данным за неделю до сдачи отчетности, – совсем другие: штрафы, блокировки, объяснительные. Одна и та же компания, одни и те же данные, но цена потери в разные моменты может отличаться в разы.
Есть сценарии, где простой системы означает не просто временную потерю выручки. Допустим, небольшая компания собиралась участвовать в тендере. В день подачи заявки случился инцидент, и она просто не смогла подготовить документы вовремя. Контракт ушел конкурентам, выручка, на которую рассчитывали, – тоже. Таких ситуаций масса везде, где есть жесткие дедлайны: торги, аукционы, отчетные периоды, договорные обязательства.
Самый жесткий пример – компании под надзором Центробанка. Банки, брокеры, ломбарды, микрофинансовые организации – все они обязаны соблюдать нормативы, в том числе по допустимой доле деградации процессов. Это параметр, который показывает, сколько операций должно быть выполнено даже в случае аварии. Обычно речь идет о 95–97%, то есть почти все поручения клиентов должны пройти.
Если же сервис лег полностью, клиенты не могут зайти в онлайн-систему или провести платеж – приходится объясняться с Центробанком. Примечательно, что под эту регуляцию попадают не только крупные компании, но и совсем небольшие: ломбард или частный брокер – тоже объект внимания Центробанка. И требования к ним ничуть не мягче.
Почему защита данных кажется дорогой и ненужной до первого инцидента
Вопрос, который мучает многих собственников: зачем платить за информационную безопасность сейчас, если ничего не происходит? Деньги уходят, результат не виден, бизнес работает, значит, все в порядке. Мы не хотим тратить ресурсы на то, что не приносит немедленной выгоды и не решает текущих проблем.
Проблема в том, что ценность защиты данных становится очевидной только в момент, когда случается беда. Пока системы работают, все это кажется абстракцией. Как объяснить человеку, который никогда не горел, зачем нужен огнетушитель?
Упражнение «Примерьте ситуацию на себя»
Можно попробовать мысленно разыграть сценарий тотальной катастрофы. К примеру, в офисе произошел пожар. Сгорели серверы, компьютеры, документы. Даже если данные хранятся в облаке, представьте, что доступ к облаку потерян навсегда. Что дальше?
В этот момент начинается самое интересное. Человек садится и перебирает в голове – а что, собственно, у нас было? Где хранилась бухгалтерия? А клиентская база? А договоры? А переписка? И тут выясняется, что часть данных дублируется, часть хранится непонятно где, а часть вообще никто не видел.
Это упражнение помогает понять, без каких данных бизнес не сможет существовать, а что восстановить не так сложно. И одновременно осознать, что существующая система хранения, скорее всего, далека от идеальной.
Расходы, которые не хочется считать
Или проведем параллель со страхованием автомобиля. Каждый год мы платим за полис, и часто воспринимаем эти деньги как выброшенные на ветер, потому что год прошел без аварий. Но если случается ДТП, сумма страховки оказывается копейками по сравнению с расходами на ремонт.
С данными точно так же. Только здесь есть дополнительный нюанс: машину можно разбить, а можно угнать. Или в нее кто-то врежется и скроется. С данными тоже возможны разные сценарии.
Три стороны ущерба
Когда речь заходит об ущербе, важно понимать три его грани: каждую стоит рассмотреть отдельно, потому что последствия у них разные, как и способы защиты.
Когда за данные отвечает бизнес, а не технический специалист
В практике ИТ-специалистов нередка ситуация, когда собственник или руководитель компании не может с ходу ответить на простые вопросы: где именно хранятся данные, на каких серверах, кто имеет к ним доступ, делаются ли резервные копии. Фокус внимания предпринимателя сосредоточен на продажах, клиентах, продукте и команде. Техническая сторона для него – забота привлеченных специалистов или подрядчиков.
Когда собственник решает навести порядок или обратиться к профессионалам, выясняется, что ясной картины нет ни у кого. Данные хранятся где-то, доступы – у кого-то, а как все устроено – знает, видимо, только бывший сотрудник, который уже уволился.
В этом случае работа с подрядчиком начинается не с защиты, а с инвентаризации. Нужно вместе собрать воедино разрозненные данные, восстановить утраченные связи. Дальше уже можно выстраивать защиту осознанно, понимая, что именно мы защищаем и зачем.
Модель угроз – следующий шаг формирования защиты
На определенном этапе развития компании приходят к необходимости формализовать риски. Существует документ, который называется «модель угроз». В нем описывается, какие угрозы для бизнеса существуют, как они могут реализоваться и на что повлиять. И главное – этот документ нужно регулярно пересматривать, потому что бизнес меняется, угрозы эволюционируют, и то, что было актуально год назад, сегодня может уже не работать. Но для большинства небольших и средних компаний достаточно начать с простого: понять, что у тебя есть, и хотя бы минимально это защитить.
* * *
Данные – это фундамент, на котором держится бизнес. И, как любой фундамент, они требуют внимания и защиты. Главная проблема в том, что ценность данных большинство компаний осознает только в момент их потери, а до этого все разговоры о безопасности кажутся абстракцией и попыткой продать воздух. Но бизнес – это система, в которой процессы по защите данных должны быть отлажены ради спокойствия, предсказуемости – и просто для выживания в современном цифровом мире.
Самый очевидный пример – бухгалтерские данные. Это налоговая отчетность, зарплаты сотрудников, движения по счетам. Если их потерять или испортить, проблемы приходят быстро и с разных сторон. Заморозка счетов, штрафы, визиты трудовой инспекции, которая, к слову, плотно взаимодействует с налоговой службой. Фонд оплаты труда у многих компаний – крупнейшая статья расходов, и любые сбои в этой части бьют по бизнесу мгновенно.
Учетные записи и ключи
Отдельная категория – данные, которые открывают доступ ко всему остальному: логины, пароли, ключи шифрования. На бытовом уровне их хранят в менеджерах паролей. В корпоративной среде это целые системы управления доступом.
Потерять пароль к какому-нибудь онлайн-сервису – полбеды, так как его можно восстановить. Но есть вещи, которые не восстанавливаются. Например, ключи шифрования, сгенерированные однажды с большой длиной и сложностью: если они утеряны – все, что было зашифровано, становится недоступным навсегда. Не помогут никакие хакеры, никакие специалисты, никакие программы. Данные просто перестают существовать – без возможности восстановления.
Клиентская база как персональные данные
Компании нужны контакты, история взаимодействия, статусы сделок, чтобы работать с людьми. А регуляторы (в лице Роскомнадзора и других) жестко следят за тем, как эти данные хранятся и защищаются. Потому что фамилия, имя, отчество и номер телефона в комбинации – это уже персональные данные, с помощью которых можно идентифицировать человека.
Потеря такой базы – двойной удар. С одной стороны, обрывается связь с клиентами, рушится воронка продаж, останавливаются процессы. С другой – приходят контролирующие органы с вопросами и штрафами. А в некоторых случаях еще и публичная огласка с ударом по репутации.
Отраслевая специфика
Производственные компании живут чертежами, схемами и технологическими картами. Торговля – номенклатурой, прайс-листами, договорами с поставщиками. Финансовый сектор – отчетами, показателями, таблицами с движением средств. Для ритейлера критически важен справочник товаров: что за позиция, с чем совместима, сколько стоит, есть ли на складе. Потерять такой справочник – все равно что остаться без витрины и ценников одновременно. Для компании, участвующей в тендерах, – это архивы заявок, коммерческие предложения, протоколы согласования, без которых невозможно ни подтвердить опыт, ни подготовить новую конкурсную заявку.
Финансовые организации – от крупных банков до частных брокеров – вообще живут в режиме тотальной зависимости от регулятора (Центральный банк). Здесь данные не просто ценны, они являются предметом отчетности, за потерю которого можно потерять лицензию.
Резервные копии
Их часто воспринимают как техническую мелочь, но на самом деле это отдельные критически важные данные. Резервные копии нужно не только делать, но и защищать. Потому что если злоумышленник доберется до них, возможность восстановления после атаки исчезает. Хранить бэкапы отдельно, изолированно от основных систем, проверять их работоспособность – это стандартные процедуры для тех, кто не хочет однажды остаться ни с чем.
Сколько теряет бизнес, когда не работают серверы: примеры из жизни
Когда речь заходит об оценке данных, самый прямой путь – считать от обратного, то есть от ущерба, который наступит, если с ними что-то случится. Если данные стали недоступны, утекли или оказались испорчены – что тогда произойдет с бизнесом?
Вопрос этот можно попытаться закрыть заранее, но на практике компании начинают им заниматься либо после того, как уже обожглись, либо когда регулятор жестко требует. Предприниматели с трудом верят абстрактным угрозам. К сожалению, гораздо убедительнее работает собственный негативный опыт или примеры из той же отрасли.
Один из самых наглядных показателей – время простоя. Если информационная система деградировала, бизнес перестает зарабатывать. Но ценна не просто констатация факта, а понимание, сколько конкретно ваша компания может себе позволить не работать. Час, день, неделю? И что будет, если простой случится в пик сезона?
Для ритейлера, у которого касса перестает пробивать чеки в субботу днем, последствия одни: собирается очередь, покупатели нервничают, люди покидают торговую точку. Для бухгалтерии, оставшейся без доступа к данным за неделю до сдачи отчетности, – совсем другие: штрафы, блокировки, объяснительные. Одна и та же компания, одни и те же данные, но цена потери в разные моменты может отличаться в разы.
Есть сценарии, где простой системы означает не просто временную потерю выручки. Допустим, небольшая компания собиралась участвовать в тендере. В день подачи заявки случился инцидент, и она просто не смогла подготовить документы вовремя. Контракт ушел конкурентам, выручка, на которую рассчитывали, – тоже. Таких ситуаций масса везде, где есть жесткие дедлайны: торги, аукционы, отчетные периоды, договорные обязательства.
Самый жесткий пример – компании под надзором Центробанка. Банки, брокеры, ломбарды, микрофинансовые организации – все они обязаны соблюдать нормативы, в том числе по допустимой доле деградации процессов. Это параметр, который показывает, сколько операций должно быть выполнено даже в случае аварии. Обычно речь идет о 95–97%, то есть почти все поручения клиентов должны пройти.
Если же сервис лег полностью, клиенты не могут зайти в онлайн-систему или провести платеж – приходится объясняться с Центробанком. Примечательно, что под эту регуляцию попадают не только крупные компании, но и совсем небольшие: ломбард или частный брокер – тоже объект внимания Центробанка. И требования к ним ничуть не мягче.
Почему защита данных кажется дорогой и ненужной до первого инцидента
Вопрос, который мучает многих собственников: зачем платить за информационную безопасность сейчас, если ничего не происходит? Деньги уходят, результат не виден, бизнес работает, значит, все в порядке. Мы не хотим тратить ресурсы на то, что не приносит немедленной выгоды и не решает текущих проблем.
Проблема в том, что ценность защиты данных становится очевидной только в момент, когда случается беда. Пока системы работают, все это кажется абстракцией. Как объяснить человеку, который никогда не горел, зачем нужен огнетушитель?
Упражнение «Примерьте ситуацию на себя»
Можно попробовать мысленно разыграть сценарий тотальной катастрофы. К примеру, в офисе произошел пожар. Сгорели серверы, компьютеры, документы. Даже если данные хранятся в облаке, представьте, что доступ к облаку потерян навсегда. Что дальше?
В этот момент начинается самое интересное. Человек садится и перебирает в голове – а что, собственно, у нас было? Где хранилась бухгалтерия? А клиентская база? А договоры? А переписка? И тут выясняется, что часть данных дублируется, часть хранится непонятно где, а часть вообще никто не видел.
Это упражнение помогает понять, без каких данных бизнес не сможет существовать, а что восстановить не так сложно. И одновременно осознать, что существующая система хранения, скорее всего, далека от идеальной.
Расходы, которые не хочется считать
Или проведем параллель со страхованием автомобиля. Каждый год мы платим за полис, и часто воспринимаем эти деньги как выброшенные на ветер, потому что год прошел без аварий. Но если случается ДТП, сумма страховки оказывается копейками по сравнению с расходами на ремонт.
С данными точно так же. Только здесь есть дополнительный нюанс: машину можно разбить, а можно угнать. Или в нее кто-то врежется и скроется. С данными тоже возможны разные сценарии.
Три стороны ущерба
Когда речь заходит об ущербе, важно понимать три его грани: каждую стоит рассмотреть отдельно, потому что последствия у них разные, как и способы защиты.
- Нарушение доступности. Это самый понятный и часто самый болезненный сценарий. Данные физически исчезли или стали недоступны. Вышел из строя сервер, вирус-шифровальщик зашифровал все файлы, облачный провайдер потерял ваши файлы – и все, работа встала.
- Нарушение целостности. Сценарий коварный, потому что его не всегда замечают сразу. Данные никуда не делись, системы работают, сотрудники продолжают что-то делать. Но цифры в отчетах изменили, в технологические карты внесли правки, в прайс-листах поменяли цены. Последствия могут проявиться через неделю, месяц или полгода. Например, вы приняли стратегическое решение на основе неверных данных – и прогорели. Отгрузили товар по неправильным спецификациям – получили рекламации и потеряли клиента. Восстанавливать целостность сложно, потому что нужно не просто вернуть файлы из бэкапа, но и понять, когда именно произошло искажение и какие данные уже ушли в работу.
- Нарушение конфиденциальности. Здесь данные могут не пропасть и не измениться – проблема в другом: к ним получили доступ те, кто не должен был. Письмо с договором ушло не тому адресату, сотрудник открыл папку с доступами, которых у него не должно быть, подрядчик увидел лишние документы, а в общем чате оказались персональные данные. Компания формально продолжает работать, но теряет контроль над тем, кто и что знает.
Когда за данные отвечает бизнес, а не технический специалист
В практике ИТ-специалистов нередка ситуация, когда собственник или руководитель компании не может с ходу ответить на простые вопросы: где именно хранятся данные, на каких серверах, кто имеет к ним доступ, делаются ли резервные копии. Фокус внимания предпринимателя сосредоточен на продажах, клиентах, продукте и команде. Техническая сторона для него – забота привлеченных специалистов или подрядчиков.
Когда собственник решает навести порядок или обратиться к профессионалам, выясняется, что ясной картины нет ни у кого. Данные хранятся где-то, доступы – у кого-то, а как все устроено – знает, видимо, только бывший сотрудник, который уже уволился.
В этом случае работа с подрядчиком начинается не с защиты, а с инвентаризации. Нужно вместе собрать воедино разрозненные данные, восстановить утраченные связи. Дальше уже можно выстраивать защиту осознанно, понимая, что именно мы защищаем и зачем.
Модель угроз – следующий шаг формирования защиты
На определенном этапе развития компании приходят к необходимости формализовать риски. Существует документ, который называется «модель угроз». В нем описывается, какие угрозы для бизнеса существуют, как они могут реализоваться и на что повлиять. И главное – этот документ нужно регулярно пересматривать, потому что бизнес меняется, угрозы эволюционируют, и то, что было актуально год назад, сегодня может уже не работать. Но для большинства небольших и средних компаний достаточно начать с простого: понять, что у тебя есть, и хотя бы минимально это защитить.
* * *
Данные – это фундамент, на котором держится бизнес. И, как любой фундамент, они требуют внимания и защиты. Главная проблема в том, что ценность данных большинство компаний осознает только в момент их потери, а до этого все разговоры о безопасности кажутся абстракцией и попыткой продать воздух. Но бизнес – это система, в которой процессы по защите данных должны быть отлажены ради спокойствия, предсказуемости – и просто для выживания в современном цифровом мире.