Информационная безопасность строительных компаний под угрозой
Информационная эра, в которую все человечество – кто быстрее, кто медленнее – постепенно входит, отличается тем, что главной ценностью, в значительной мере определяющей успех во всех сферах деятельности, в том числе и в бизнесе, становится информация. А это означает, что ее защита приобретает особое значение.
Аналитики «СёрчИнформ» провели ежегодный анонимный опрос российских компаний с целью оценить уровень информационной защиты и подход к вопросам IT-безопасности. В исследовании приняли участие 1024 человека: начальники и сотрудники подразделений, занимающихся информационной безопасностью, эксперты отрасли и руководители организаций из коммерческой (74%), государственной (23%) и некоммерческой сфер (3%). Исследование охватило многие сегменты экономики, в том числе и строительство.
Актуальный вопрос
Все более активное вторжение цифровых технологий во все сферы человеческой жизни приводит к тому, что информация, владение ею и доступ к ней становятся все более ценным ресурсом. А значит, растет и угроза злоупотреблений в этой сфере – от нецелевого использования оборудования до воровства данных, составляющих коммерческую тайну. И чем шире распространяются информационные технологии, тем актуальнее становится проблема.
«По мере развития технологий все больше процессов переводится в «цифру». Это и внутренние бизнес-процессы компании, и ее взаимодействие с потребителями и партнерами. Поэтому вопрос IT-безопасности с каждым годом только актуальнее во всех сферах: и защита персональных данных клиентов, и электронный внутренний документооборот, и внедрение облачных технологий для управления строительными проектами, – то, что в последние годы реализовано у нас в компании», – отмечает директор по маркетингу Группы RBI Михаил Гущин.
С ним соглашается директор департамента IT Becar Asset Management Роман Блонов. «Оцениваю актуальность проблемы информационной безопасности как архиважную. Получить доступ к информации – значит получить доступ ко всем коммерческим тайнам, личным и деловым договоренностям. Также может иметь место прямой убыток от удаленного подключения к тем или иным мощностям. В эпоху расцвета криптовалют ряд компаний столкнулся с удаленным взломом и установкой майнеров на корпоративные компьютеры и серверы», – говорит он.
Исследование «СёрчИнформ» показало, что 72% строительных компаний России столкнулись с утечками информации в 2018 году. «По данным за 2018 год, рост выявленных нарушений в сфере IT-безопасности в стройкомплексе составил около 11% по сравнению с предыдущим годом. И тренд этот характерен, по крайней мере, последние четыре года, с тех пор, как мы начали мониторить ситуацию в строительной отрасли. Год от года острота проблемы растет: 4% и 11% на начало и конец наблюдений, соответственно», – рассказывает руководитель отдела технической аналитики компании «СёрчИнформ» Алексей Парфентьев.
По его словам, это связано с двумя основными факторами. «Во-первых, с развитием информационных технологий активно развивается и возможность злоупотреблений в этой сфере. Во-вторых, необходимость сэкономить на программном обеспечении, оборудовании, зарплате персонала и прочем приводит к использованию бесплатных облачных платформ, привлечению исполнителей в рамках аутсорсинга. Такой подход, конечно, создает дополнительные риски в сфере IT-безопасности, поскольку уменьшает возможности контроля над оборотом информации», – резюмирует эксперт.
Отраслевая специфика
По словам Алексея Парфентьева, в обеспечении IT-безопасности строительство имеет свою специфику. «Бухгалтерия, продажи, кадры – эти бизнес-процессы функционируют как в любой другой отрасли экономики. Но есть целый пласт специфических конфиденциальных данных. Это техническая и маркетинговая информация с очень длительным циклом подготовки, и ее раскрытие раньше определенных сроков может подорвать целые проекты. Поэтому наибольшее количество запросов о создании отраслевых политик безопасности, настройке систем под конкретного заказчика в сфере строительства касается защиты именно этих данных. Вне зависимости от того, идет ли речь о разработке архитектурного проекта или плана продвижения, плана ценообразования, маркетинговых материалов – требуется не допустить распространения информации раньше намеченного срока. Компаниям нужно защищать данные, которыми сотрудники оперируют в главных рабочих системах: CRM, TaskTracking, бухгалтерском программном обеспечении (ПО), ПО для двухмерной и трехмерной графики, софте для составления смет и прочем», – говорит эксперт.
«Специфика информационной безопасности в строительной сфере заключается в масштабах и ответственности, ведь зданием пользуется большое количество людей. Доступ к информации об особенностях конструктива и инженерии объекта может позволить злоумышленникам, например, проще взламывать систему контроля доступа», – добавляет Роман Блонов.
А вот по мнению Михаила Гущина, нельзя сказать, что девелоперский бизнес в этом смысле специфичен и заметно отличается от какого-то другого бизнеса сопоставимых масштабов.
Воруют всё
Согласно данным исследования «СёрчИнформ», сведения о наиболее частых инцидентах информационной безопасности подтверждают, что традиционные для отрасли риски в виде создания боковых и откатных схем, торговли конфиденциальной информацией по-прежнему очень актуальны. По данным, полученным из опроса, в 2018 году чаще всего утекала коммерческая информация: данные о клиентах, сделках и партнерах, внутренняя бухгалтерия. Эти утечки в сумме составляют 50% всех инцидентов. Еще в 21% случаев утекала техническая информация.
«Но несмотря на то, что в строительной отрасли проблема утечки информации стоит очень остро, главной проблемой остается воровство материальных ресурсов, а не кража данных. Прежде всего, это корпоративное мошенничество при закупках. Так как объемы этих закупок в строительной сфере огромны, они открывают такие же огромные возможности для «договорных» отношений между сотрудниками компаний и контрагентами», – отмечает Алексей Парфентьев.
В «Группе ЛСР» сообщили, что исключили возможность таких проблем, создав собственную открытую электронную торговую площадку. «Стать максимально открытыми в области закупок товаров – важнейшая часть политики нашей компании по ведению бизнеса. Собственная электронная площадка позволит постоянно находить новых качественных контрагентов, даст им возможность войти в пул постоянных подрядчиков и поставщиков «Группы ЛСР» и обеспечит честную конкуренцию среди них. На сайте площадки размещены полный список запросов на товары и услуги предприятий «Группы ЛСР» во всех регионах присутствия компании и требования к потенциальному подрядчику. С помощью нового сервиса можно легко отследить статус проведения тендера, узнать план закупок, задать интересующий вопрос», – рассказали в компании.
Что касается других инцидентов, чаще всего компании сталкиваются с использованием сотрудниками ресурсов компании в личных целях (40%), попытками откатов (24%). Почти поровну распределились ответы о фактах организации боковых схем продаж (10%) и работы в пользу конкурентов (14%).
«Заметная проблема – использование внутренних ресурсов компании для личных целей – начиная от банального выполнения заказов (проектов и т. п.) для другой структуры на рабочем месте, что, в общем, компании особого вреда не наносит, и заканчивая использованием производственных мощностей для выпуска продукции «налево», с оплатой исполнителю. Эти риски в строительной сфере гораздо заметнее, поэтому чаще, чем в других отраслях, специалисты по безопасности смещают вектор мониторинга с технических угроз на «человеческий фактор». Поэтому здесь универсальность современных DLP-систем, их способность решать сразу множество проблем играет заказчикам на руку», – рассказывает Алексей Парфентьев.
Среди нарушителей в строительстве, в отличие от других сфер, велико число руководителей – на их долю приходится 33% инцидентов. Среди нарушителей чаще всего встречаются менеджеры отдела снабжения. Второе и третье место занимают бухгалтеры (финансисты) и помощники руководителя.
Во избежание всяческих…
В принципе, по оценке экспертов, современный рынок предлагает необходимые инструменты для обеспечения информационной безопасности. «Сегодня есть и квалифицированные специалисты, и технические решения, способные обеспечить нужный уровень защиты данных», – говорит Михаил Гущин.
«Мы используем многоуровневый контроль за идентификацией пользователей, разделение доступов к информации, шифрование переписки, защиту внешнего периметра сети, шифрованные каналы коммуникации, регулярно обновляемые серверы, ПО, антивирусную защиту», – рассказывает Роман Блонов.
По словам эксперта, конечно, полностью исключить инциденты невозможно, но им можно эффективно противодействовать. «Однажды доступ к серверу корпоративной IP-телефонии получили злоумышленники и направили через наш сервер свои звонки. Так как была установлена FROD-защита, после превышения определенного объема трафика его передача была прервана, поэтому урон был относительно небольшим», – рассказал он.
Алексей Парфентьев говорит, что компаниям необходимо обеспечить хотя бы минимальную защиту от информационных рисков. «На мой взгляд, главная задача, которую необходимо решить, – это обеспечить прозрачность обращения данных внутри инфраструктуры. Необходимо четкое понимание, на каких ресурсах находится критично важная информация и кто имеет право доступа к ней, кто реально работает с этой информацией, как и с какой целью она циркулирует по сетевым каналам. Это первый шаг в сфере IT-безопасности, который необходим всем, в том числе и небольшим компаниям в сфере строительства и недвижимости. Крупным структурам нужны, конечно, более серьезные системы. И в целом, по моему опыту, они этими вопросами не пренебрегают, располагая всеми необходимыми инструментами в этой сфере», – отмечает специалист.
Но есть и некоторые системные проблемы. «К сожалению, в строительстве нет отраслевых стандартов обеспечения IT-безопасности, таких, как действуют в органах государственной власти или каких Центробанк требует от коммерческих банков. Да, существует федеральный закон, который, в общем, все должны выполнять. Но за его нарушения предусмотрены минимальные штрафы. И многим компаниям проще их заплатить, чем тратиться на системы безопасности», – говорит Алексей Парфентьев.
НОВОСТИ ПО ТЕМЕ:
Включить «автопилот». Современные технологии позволяют ускорить строительство
Новая цифровая платформа Rocket Group поможет и властям, и девелоперам
Управляющие компании устранили нарушения по раскрытию информации
Надежные противопожарные системы становятся все более востребованными как собственниками готового жилья, так и девелоперами. Одной из причин роста этого рынка эксперты называют изменения в регламентах по ремонту зданий и в нормах пожарной безопасности в строительстве, а также неуменьшающееся число пожаров.
Согласно данным аналитиков, российский рынок систем безопасности в целом составляет около 8 млрд USD. Системы охранной и пожарной безопасности занимают примерно треть от этого объема.
Одним из драйверов роста рынка систем пожарной безопасности аналитики компании Research and Markets называют изменения в регламентах по ремонту зданий и в нормах пожарной безопасности в строительстве.
Новые возможности для развития рынка пожарной безопасности открываются также благодаря росту строительства инфраструктуры. Одновременно высоким остается количество возгораний, приводящих к большим пожарам, потерям человеческих жизней и ущербу бизнесу. По прогнозу исследователей компании Research and Markets, в период до 2018 года большинство предприятий увеличат свои инвестиции в обеспечение пожарной безопасности. Особенно это касается объектов нефтегазовой отрасли и энергетики.
Законодательство на страже
Сергей Кот, директор департамента «Интегрированные системы» компании «АЛПРО», рассказал, что определяющим нормативом пожарной безопасности в России является Федеральный закон № 123-ФЗ «Технический регламент о требованиях пожарной безопасности».
«Нормативы регулярно пересматриваются с целью лучшего соответствия современному уровню технологий и материалов, в том числе новых: происходит поиск более четких формулировок и гармонизации схожих требований в различных нормативах», – добавляет специалист.
«Сегодня наблюдается тенденция к ужесточению требований по пожарной безопасности. Какие-то нормы действительно нужны. Какие-то совершенно абсурдны, а часть из них вообще представляет собой лобби отдельных компаний», – высказал свою точку зрения Вячеслав Фисенко, менеджер проекта ООО «ИК-Противопожарные системы».
Сергей Филатов, генеральный директор ООО «Интеф», пояснил, что строящиеся объекты как общегражданского, так и промышленного назначения проектируются изначально по действующим на текущий момент противопожарным нормам, иначе они не пройдут экспертизу.
«В готовых зданиях, построенных ранее, при реконструкции, капремонте, изменении функционального назначения объекта противопожарные системы должны быть спроектированы и выполнены в соответствии с действующими нормами. Но закон позволяет сохранять существующие работоспособные противопожарные системы в частях, не подвергаемых реконструкции», – заключил эксперт.
По словам Сергея Филатова, российские нормы предусматривают использование пяти типов систем пожаротушения: водяные, пенные, порошковые, газовые и аэрозольные, которые существенно различаются по экономическим показателям, эксплуатационным характеристикам, степени воздействия огнетушащих веществ на людей и материальные ценности.
Эксперт говорит, что нормы пожарной безопасности предписывают оснащение объектов пожарной сигнализацией или автоматическим пожаротушением в зависимости от функционального назначения, категории пожарной опасности, площади, этажности, пожарной нагрузки, посещаемости и других подобных факторов. «Стоимость противопожарной системы зависит от применяемого оборудования, типа объекта (жилой дом, промышленное здание и т. д.), его площади, объема и др. Ориентировочные удельные стоимостные показатели противопожарных систем составляют от 100 рублей за 1 кв. м площади для обычной пожарной сигнализации в офисном здании и до более 6 тыс. рублей за 1 куб. м защищаемого объема для газовой системы автоматического пожаротушения высоковольтной трансформаторной подстанции», – уточнил Сергей Филатов.
Вячеслав Фисенко сказал, что, например, стоимость оснащения противопожарными системами гипермаркета типа «О’Кей» или «Лента» составляет в среднем 15 млн рублей. «Не всегда «маленький» объект дешевле крупного. Чем меньше площадь, тем выше удельная стоимость затрат на 1 кв. м, поскольку, как правило, комплект центрального оборудования один и тот же. Например, насосная станция для тушения стоит около 3 млн рублей. И дальше не имеет значения, тушить 100 или 10 тыс. кв. м», – заключил он.
Широкий рынок
Сергей Филатов отметил, что на российском рынке представлено большое количество производителей противопожарных систем – как отечественных, так и зарубежных. «При этом можно отметить, что отечественные фирмы разработали много новых высокоэффективных продуктов, которые зачастую не имеют зарубежных аналогов и не уступают импортным по надежности и при этом дешевле», – добавил эксперт.
Организаций, которые предлагают проектирование и установку противопожарных систем, на рынке Петербурга также очень много. «Конкуренция сильная. Крупных игроков не больше сотни. При этом компании, которые предлагают полный спектр услуг по проектированию, монтажу, сервису противопожарных систем, как правило, имеют эксклюзивные договоры с производителями оборудования, такими как ЗАО «АРТСОК», НПО «Пожарная автоматика сервис», ООО «АСПЕКТ», ГК «ЭПОТОС», ЗАО «Каланча», НПФ «Пламя», ЗАО НВП «Болид», ООО «Аргус-спектр» и др.», – рассказал он.
Вячеслав Фисенко также отмечает высокую конкуренцию в этом сегменте. «К сожалению, «пожаркой» у нас может заниматься кто угодно и как угодно. Тысячи производителей, еще больше монтажных организаций. Цена входа в бизнес относительно невелика. Если выбирать мелкие компании, которые предлагают сделать дешевле, то это большой риск. С другой стороны, крупные организации завышают стоимость и зачастую привлекают в качестве субподрядчиков все тех же мелких игроков рынка. В основном все зависит от индивидуальной порядочности и компетентности представителей бизнеса», – заключил Вячеслав Фисенко.
По оценке экспертов, строительный бизнес все чаще в работе использует российский софт. Разработки отечественных программистов обходятся дешевле в эксплуатации и не попадают под санкции властей.
Информационные технологии все больше внедряются в строительную отрасль. В условиях возрастающей конкуренции игроки рынка пытаются максимально автоматизировать свои проектные и расчетные работы, а также общеофисные программы.
Консерватизм отступает
По мнению экспертов ИТ-сферы, строительная отрасль – одна из самых консервативных на внедрение новых информационных систем. Причина – в жесткой внутренней регуляции строительных работ, необходимости соответствия зачастую устаревшим стандартом. Тем не менее игроки рынка в последнее время стали больше использовать последние разработки ИТ, понимая, что они действительно облегчают работу.
Заместитель генерального директора «ПРОФ-ИТ» Сергей Полуновский рассказывает, что в рамках своей деятельности ему довелось быть не просто наблюдателем того, как ИТ приходили в строительный бизнес, но и инициатором их расширения в ряде крупнейших строительных организаций России. «Приходилось проходить через консервативность отрасли и недопонимание со стороны руководства. Если еще недавно автоматизация в строительстве подразумевала установку «1С» только бухгалтеру, то сейчас автоматизация стала инструментом управления бизнесом и решает множество задач на различных уровнях», – отмечает он.
По мнению коммерческого директора инжиниринговой компании «Параграф» Павла Плотникова, строительный бизнес, который часто упрекают в невысоком уровне информатизации, действительно начинает постепенно переходить на новые технологии. «Консервативность отрасли легко объясняется – внедрение ИТ до недавнего времени влекло за собой большое количество изменений в бизнес-процессах компании. Руководители не решались на установку даже очень полезного инструмента. Да и сейчас строительные организации стараются приобретать системы, не меняющие стиль их работы или принятые в компании процедуры», – считает эксперт.
С доводами коллег согласна и руководитель отдела маркетинга «КОРУС Консалтинг СНГ» Татьяна Атанасова. При этом поясняет, что ИТ сами по себе универсальны. «К примеру, производители техники не выпускают серверы специально для строителей, банкиров или нефтяников. Строительные компании, на мой взгляд, действительно принадлежат к консервативной части пользователей. В основном они используют технику и ПО на основе уже проверенных и опробованных решений», – рассказывает специалист.
Под нужды строителей
По оценке специалистов, строительные организации чаще всего внедряют сметные, проектные, учетные системы, программы видеонаблюдения. Также востребованы на рынке различные ИТ-продукты для хранения документации, электронные архивы.
На рынке изготовителей данных программ представлены несколько десятков организаций. Каждый из игроков отрасли старается позиционировать себя наиболее активно в определенном целевом продукте, поэтому их какое-то общее сравнение может быть несколько некорректным. Компаниями, которые плотно работают со строительной сферой, можно назвать отечественные «1С», «Гранд-смета», WinРИК и др., зарубежные SAP, Axapta, NVision. Кроме того, на рынке появляются программы, полностью созданные для строителей. В частности, совсем недавно начались продажи ИТ-продукта SOTA.
Стоимость ИТ-программ зависит от их целевого предназначения, способов распространения, количества пользователей. Диапазон цен, рассказывают эксперты, составляет от нескольких тысяч до десятков миллионов рублей.
Руководитель отдела маркетинга и рекламы компании «Миран» Федор Русаков отмечает, что информационные технологии в строительстве применяются все шире от проектирования, расчетов сметы, управления закупками до управления сложными строительными автоматизированными комплексами на самой стройке. «Внедрение новых технологий позволяет сократить и автоматизировать процесс строительства, а также свести к минимуму риски появления ошибок на всех стадиях строительства. Если же рассуждать о частном строительстве, то уже можно смело заявлять, что дом можно построить с нуля, не отходя от компьютера. Покупка участков, выбор проектов, заказ стройматериалов, выбор подрядчиков – все это и многое другое доступно через Интернет», – делает выводы он.
По словам Павла Плотникова, сейчас же основная тенденция в том, что строительный бизнес хочет получить продукт для управления и контроля проектами, который объединит весь этот «зоопарк» и представит всю необходимую информацию в одном окне и на любом устройстве.
По мнению Татьяны Атанасовой, в настоящее время для строителей наиболее актуальным представляется переход на модель облачных решений. «Иными словами, при данном варианте работы нет необходимости вкладываться в покупку и содержание собственных серверов и программного обеспечения, а использовать их в режиме доступа через Интернет к программам и вычислительным ресурсам, физически находящимся в дата-центрах. Это позволяет экономить бюджеты ИТ-отделов, а заодно обслуживать строительную компанию меньшим числом ИТ-специалистов», – уверена эксперт.
Ставка на «своих»
Между тем, по оценке экспертов, с середины 2014 года строительный бизнес все чаще стал покупать и использовать в своей работе именно российский софт. Строителей напугали возможные санкции в эксплуатации зарубежных программ как со стороны иностранных ИТ-компаний, так и российских политиков.
По словам Павла Плотникова, сейчас многие строительные компании, участвующие в гостендерах, отказываются от иностранного софта. «На рынке есть опасения, что зарубежные программы в один момент перестанут обновляться. Это положительно влияет на российских разработчиков. Уверен, что именно сегодня строительным организациям крайне важно свести к минимуму риски и проводить контроль строительных проектов с самого начала. Это требование времени, и ИТ-продукты способны помочь специалистам отрасли, особенно в кризис», – считает он.
Как отмечает эксперт, в настоящее время все строители хотят получить уникальный, подготовленный специально под них ИТ-продукт с удобным и понятным интерфейсом. Хотя сами технологии видоизменяются не очень быстро, многие ИТ-компании начинают подстраиваться под специфику бизнеса и пытаются создать программные продукты, которые смогут объединить функционал нескольких типовых информационных систем и при этом не нарушить существующие стандарты в организациях. Прослеживается четкая тенденция, полагает специалист, что зарубежный софт не подходит для российских компаний. Информатизация строительной отрасли идет по пути внедрения программ отечественного производства, максимально учитывающих все нюансы бизнеса.
Мнение:
Сергей Полуновский, заместитель генерального директора «ПРОФ-ИТ»:
– Сейчас наиболее интересное время для запуска процессов по автоматизации бизнеса. Во-первых, можно получить услуги с прежним качеством, но по более низкой цене, а во-вторых, кризис можно использовать для «обкатки» решений и выйти из сложившейся ситуации с готовой системой автоматизации, учитывающей не только благоприятные сценарии развития экономики. В целом процессы автоматизации в кризис не замирают, бизнес уже осознает факт того, что именно автоматизация может снизить издержки и найти слабые места в организации бизнеса.
Кстати:
По данным аналитиков IDC, в 2014 году российский рынок ИТ-услуг сократил объем в долларовом выражении на 15% и составил 6,57 млрд USD, что в рублевом эквиваленте выразилось приростом на 2,2% из-за резкого снижения курса рубля к американской валюте. Совокупный сегмент системной интеграции по-прежнему является крупнейшим на рынке ИТ-услуг России, его доля – 42%, а доля совокупного сегмента аутсорсинговых услуг возросла почти до 18%, и связано это с низкими темпами падения спроса на такие услуги.