Информационная безопасность строительных компаний под угрозой
Информационная эра, в которую все человечество – кто быстрее, кто медленнее – постепенно входит, отличается тем, что главной ценностью, в значительной мере определяющей успех во всех сферах деятельности, в том числе и в бизнесе, становится информация. А это означает, что ее защита приобретает особое значение.
Аналитики «СёрчИнформ» провели ежегодный анонимный опрос российских компаний с целью оценить уровень информационной защиты и подход к вопросам IT-безопасности. В исследовании приняли участие 1024 человека: начальники и сотрудники подразделений, занимающихся информационной безопасностью, эксперты отрасли и руководители организаций из коммерческой (74%), государственной (23%) и некоммерческой сфер (3%). Исследование охватило многие сегменты экономики, в том числе и строительство.
Актуальный вопрос
Все более активное вторжение цифровых технологий во все сферы человеческой жизни приводит к тому, что информация, владение ею и доступ к ней становятся все более ценным ресурсом. А значит, растет и угроза злоупотреблений в этой сфере – от нецелевого использования оборудования до воровства данных, составляющих коммерческую тайну. И чем шире распространяются информационные технологии, тем актуальнее становится проблема.
«По мере развития технологий все больше процессов переводится в «цифру». Это и внутренние бизнес-процессы компании, и ее взаимодействие с потребителями и партнерами. Поэтому вопрос IT-безопасности с каждым годом только актуальнее во всех сферах: и защита персональных данных клиентов, и электронный внутренний документооборот, и внедрение облачных технологий для управления строительными проектами, – то, что в последние годы реализовано у нас в компании», – отмечает директор по маркетингу Группы RBI Михаил Гущин.
С ним соглашается директор департамента IT Becar Asset Management Роман Блонов. «Оцениваю актуальность проблемы информационной безопасности как архиважную. Получить доступ к информации – значит получить доступ ко всем коммерческим тайнам, личным и деловым договоренностям. Также может иметь место прямой убыток от удаленного подключения к тем или иным мощностям. В эпоху расцвета криптовалют ряд компаний столкнулся с удаленным взломом и установкой майнеров на корпоративные компьютеры и серверы», – говорит он.
Исследование «СёрчИнформ» показало, что 72% строительных компаний России столкнулись с утечками информации в 2018 году. «По данным за 2018 год, рост выявленных нарушений в сфере IT-безопасности в стройкомплексе составил около 11% по сравнению с предыдущим годом. И тренд этот характерен, по крайней мере, последние четыре года, с тех пор, как мы начали мониторить ситуацию в строительной отрасли. Год от года острота проблемы растет: 4% и 11% на начало и конец наблюдений, соответственно», – рассказывает руководитель отдела технической аналитики компании «СёрчИнформ» Алексей Парфентьев.
По его словам, это связано с двумя основными факторами. «Во-первых, с развитием информационных технологий активно развивается и возможность злоупотреблений в этой сфере. Во-вторых, необходимость сэкономить на программном обеспечении, оборудовании, зарплате персонала и прочем приводит к использованию бесплатных облачных платформ, привлечению исполнителей в рамках аутсорсинга. Такой подход, конечно, создает дополнительные риски в сфере IT-безопасности, поскольку уменьшает возможности контроля над оборотом информации», – резюмирует эксперт.
Отраслевая специфика
По словам Алексея Парфентьева, в обеспечении IT-безопасности строительство имеет свою специфику. «Бухгалтерия, продажи, кадры – эти бизнес-процессы функционируют как в любой другой отрасли экономики. Но есть целый пласт специфических конфиденциальных данных. Это техническая и маркетинговая информация с очень длительным циклом подготовки, и ее раскрытие раньше определенных сроков может подорвать целые проекты. Поэтому наибольшее количество запросов о создании отраслевых политик безопасности, настройке систем под конкретного заказчика в сфере строительства касается защиты именно этих данных. Вне зависимости от того, идет ли речь о разработке архитектурного проекта или плана продвижения, плана ценообразования, маркетинговых материалов – требуется не допустить распространения информации раньше намеченного срока. Компаниям нужно защищать данные, которыми сотрудники оперируют в главных рабочих системах: CRM, TaskTracking, бухгалтерском программном обеспечении (ПО), ПО для двухмерной и трехмерной графики, софте для составления смет и прочем», – говорит эксперт.
«Специфика информационной безопасности в строительной сфере заключается в масштабах и ответственности, ведь зданием пользуется большое количество людей. Доступ к информации об особенностях конструктива и инженерии объекта может позволить злоумышленникам, например, проще взламывать систему контроля доступа», – добавляет Роман Блонов.
А вот по мнению Михаила Гущина, нельзя сказать, что девелоперский бизнес в этом смысле специфичен и заметно отличается от какого-то другого бизнеса сопоставимых масштабов.
Воруют всё
Согласно данным исследования «СёрчИнформ», сведения о наиболее частых инцидентах информационной безопасности подтверждают, что традиционные для отрасли риски в виде создания боковых и откатных схем, торговли конфиденциальной информацией по-прежнему очень актуальны. По данным, полученным из опроса, в 2018 году чаще всего утекала коммерческая информация: данные о клиентах, сделках и партнерах, внутренняя бухгалтерия. Эти утечки в сумме составляют 50% всех инцидентов. Еще в 21% случаев утекала техническая информация.
«Но несмотря на то, что в строительной отрасли проблема утечки информации стоит очень остро, главной проблемой остается воровство материальных ресурсов, а не кража данных. Прежде всего, это корпоративное мошенничество при закупках. Так как объемы этих закупок в строительной сфере огромны, они открывают такие же огромные возможности для «договорных» отношений между сотрудниками компаний и контрагентами», – отмечает Алексей Парфентьев.
В «Группе ЛСР» сообщили, что исключили возможность таких проблем, создав собственную открытую электронную торговую площадку. «Стать максимально открытыми в области закупок товаров – важнейшая часть политики нашей компании по ведению бизнеса. Собственная электронная площадка позволит постоянно находить новых качественных контрагентов, даст им возможность войти в пул постоянных подрядчиков и поставщиков «Группы ЛСР» и обеспечит честную конкуренцию среди них. На сайте площадки размещены полный список запросов на товары и услуги предприятий «Группы ЛСР» во всех регионах присутствия компании и требования к потенциальному подрядчику. С помощью нового сервиса можно легко отследить статус проведения тендера, узнать план закупок, задать интересующий вопрос», – рассказали в компании.
Что касается других инцидентов, чаще всего компании сталкиваются с использованием сотрудниками ресурсов компании в личных целях (40%), попытками откатов (24%). Почти поровну распределились ответы о фактах организации боковых схем продаж (10%) и работы в пользу конкурентов (14%).
«Заметная проблема – использование внутренних ресурсов компании для личных целей – начиная от банального выполнения заказов (проектов и т. п.) для другой структуры на рабочем месте, что, в общем, компании особого вреда не наносит, и заканчивая использованием производственных мощностей для выпуска продукции «налево», с оплатой исполнителю. Эти риски в строительной сфере гораздо заметнее, поэтому чаще, чем в других отраслях, специалисты по безопасности смещают вектор мониторинга с технических угроз на «человеческий фактор». Поэтому здесь универсальность современных DLP-систем, их способность решать сразу множество проблем играет заказчикам на руку», – рассказывает Алексей Парфентьев.
Среди нарушителей в строительстве, в отличие от других сфер, велико число руководителей – на их долю приходится 33% инцидентов. Среди нарушителей чаще всего встречаются менеджеры отдела снабжения. Второе и третье место занимают бухгалтеры (финансисты) и помощники руководителя.
Во избежание всяческих…
В принципе, по оценке экспертов, современный рынок предлагает необходимые инструменты для обеспечения информационной безопасности. «Сегодня есть и квалифицированные специалисты, и технические решения, способные обеспечить нужный уровень защиты данных», – говорит Михаил Гущин.
«Мы используем многоуровневый контроль за идентификацией пользователей, разделение доступов к информации, шифрование переписки, защиту внешнего периметра сети, шифрованные каналы коммуникации, регулярно обновляемые серверы, ПО, антивирусную защиту», – рассказывает Роман Блонов.
По словам эксперта, конечно, полностью исключить инциденты невозможно, но им можно эффективно противодействовать. «Однажды доступ к серверу корпоративной IP-телефонии получили злоумышленники и направили через наш сервер свои звонки. Так как была установлена FROD-защита, после превышения определенного объема трафика его передача была прервана, поэтому урон был относительно небольшим», – рассказал он.
Алексей Парфентьев говорит, что компаниям необходимо обеспечить хотя бы минимальную защиту от информационных рисков. «На мой взгляд, главная задача, которую необходимо решить, – это обеспечить прозрачность обращения данных внутри инфраструктуры. Необходимо четкое понимание, на каких ресурсах находится критично важная информация и кто имеет право доступа к ней, кто реально работает с этой информацией, как и с какой целью она циркулирует по сетевым каналам. Это первый шаг в сфере IT-безопасности, который необходим всем, в том числе и небольшим компаниям в сфере строительства и недвижимости. Крупным структурам нужны, конечно, более серьезные системы. И в целом, по моему опыту, они этими вопросами не пренебрегают, располагая всеми необходимыми инструментами в этой сфере», – отмечает специалист.
Но есть и некоторые системные проблемы. «К сожалению, в строительстве нет отраслевых стандартов обеспечения IT-безопасности, таких, как действуют в органах государственной власти или каких Центробанк требует от коммерческих банков. Да, существует федеральный закон, который, в общем, все должны выполнять. Но за его нарушения предусмотрены минимальные штрафы. И многим компаниям проще их заплатить, чем тратиться на системы безопасности», – говорит Алексей Парфентьев.
НОВОСТИ ПО ТЕМЕ:
Включить «автопилот». Современные технологии позволяют ускорить строительство
Новая цифровая платформа Rocket Group поможет и властям, и девелоперам
Управляющие компании устранили нарушения по раскрытию информации
Производство строительных материалов нуждается в дополнительном правовом регулировании. Так считает большинство представителей отечественного строительного рынка. Но мнения специалистов расходятся в вопросе обязательности сертификации выпускаемой продукции.
Сертификация строительных материалов – важная процедура, которая проводится с целью подтвердить качество и безопасность используемых в строительстве продукции и материалов. В зависимости от вида продукции она может быть добровольной или обязательной. В частности, сертификация необходима для бетона, цемента, кирпичей, битума, арматуры и ее производных, материалов для шумо-, гидро-, теплоизоляции.
Сертифицируют строительную продукцию госорганы либо коммерческие аккредитованные организации. Кроме сертификации, на отдельную продукцию для подтверждения качества можно делать декларацию. Этот документ выпускает сам производитель продукции. В нем он подтверждает соответствие товара или услуги установленным стандартам.
По мнению генерального директора компании H+H Нины Авдюшиной, обязательная государственная сертификация строительных материалов нужна. Эта мера положительно повлияет на само производство строительных материалов и их применение, а также повысит ответственность застройщиков. «Ведь не секрет, что некоторые из них в стремлении сэкономить используют на своих объектах дешевое, а зачастую и просто некачественное сырье. С внедрением госрегистрации стройматериалов, формированием соответствующих реестров на все виды строительной продукции, а главное, при строгом контроле выполнения заявленных требований и производителями, и застройщиками качество строительных работ должно улучшиться», – считает она.
«Лучше сертифицировать все строительные материалы, – считает начальник отдела лицензирования и системы менеджмента качества (СМК) Института современных строительных технологий (ГК «Развитие») Наталья Худобко. – В этом случае мы нивелируем соблазн сэкономить на качестве. Сертификация может проводиться как специализированными органами, так и внутренними отделами технического контроля. Я не за перегибы при всеобщей сертификации, поэтому важно было бы разделить строительные материалы на группы, некоторые из которых имели бы упрощенный порядок. Особое внимание государства хотелось бы обратить на все материалы, содержащие в себе в большом объеме химические элементы. Недопустимо использование заведомо вредных материалов для гражданского строительства и в промышленном строительстве».
Главный эксперт по сертификации ГК «Серконс» Михаил Иванисов считает, что обязательная система сертификации поможет более серьезно подходить к вопросу безопасности строительных материалов. По его мнению, для каждого вида строительных материалов должны быть отдельные требования безопасности и, соответственно, виды испытаний. «Много лет обсуждается вопрос введения отдельного технического регламента. Так, в декабре вступает в силу процедура обязательного декларирования соответствия для теплоизоляционных материалов, строительных смесей и растворов. Это позволит установить единые требования к продукции на всей территории РФ и позволит ограничить обращение продукции ненадлежащего качества», – делает выводы специалист.
По мнению директора центра по сертификации продукции «ТестПродукт» Дмитрия Червякова, правильным было бы сертифицировать только те товарные группы, которые под воздействием окружающей среды или во время проведения работ с ними выделяют токсичные вещества. В частности, обязательная сертификация должна производиться в отношении строительных материалов, которые со временем эксплуатации распадаются, выделяя вредные примеси, – например, гипсокартон и пенополистирол.
Схожая позиция и у руководителя направления стандартизации и сертификации Корпорации ТЕХНОНИКОЛЬ Сергея Колдашева. Он полагает, что обязательная сертификация оправдана для продукции, которая применяется в ответственных конструктивных элементах здания, от которых зависит, например, конструктивная прочность строения. Это, в частности, цемент, бетон, арматура – то, без чего не будет здания. Что касается остальных строительных материалов, то тут необходимо оценить их вклад в основополагающие требования обеспечения безопасности зданий и сооружений. «Например, отслужившие свой срок отделочные материалы можно спокойно заменить на новые. При этом здание от этого опасней не станет. Так вот, ТЕХНОНИКОЛЬ поддерживает для таких материалов менее затратное и в то же время налагающее серьезную ответственность на производителя обязательное декларирование соответствия. Причины банальны: сертификация – дорогостоящая процедура, декларирование в разы дешевле. Считаю, что обязательная сертификация должна быть обоснованной, в противном случае – это ведет к излишним тратам в экономике строительства», – отмечает эксперт.
Между тем, руководитель компании Orlan System (маркетплейс общестроительных материалов) Андрей Лупий считает, что обязательная сертификация в нынешнем ее виде и вовсе не нужна, так как ее просто можно купить без проведения экспертизы: «Сертификат не дает никакой гарантии качества, это только дополнительные расходы на производство. Кроме того, в сфере производства цемента (там сертификация обязательна) – сама процедура получения сертификата «сырая» и только «вставляет палки в колеса» работе предприятия».
По мнению эксперта компании HPBS Алины Виговской, необходимо обязывать производителей к раскрытию информации о своей продукции, в том числе к предоставлению информации о воздействии материала на окружающую среду, так называемой экомаркировки: «Чтобы мотивировать производителей на разработку экологических деклараций продукции, необходимо, чтобы застройщик в обязательном порядке предъявлял поставщикам требование о наличии экологических деклараций. Такого рода требование способствует повышению качества конечной продукции, а также минимизации негативных воздействий на окружающую среду и человека, так как производителю будет выгодно оптимизировать и улучшать процессы на всем жизненном цикле продукции», – считает специалист.
Мнение
Харийс Чика, генеральный директор российского подразделения PERI:
– Исправить ситуацию с низкокачественными строительными материалами может более жесткое правовое регулирование. В частности, прозрачная методика испытаний опалубочных систем приведет к тому, что заявленные производителями технические характеристики (например, несущая способность) будут верными и подтвержденными независимой экспертизой. В настоящее время также достаточно остро стоит вопрос актуализации ГОСТов. За 15 лет строительная отрасль заметно шагнула вперед. И все изменения должны быть отражены в нормативных документах. Сегодня опалубка, которая произведена при совершенно разных условиях из разных материалов и обладает совершенно разными характеристиками, вся относится к первому, высшему классу. Таким образом, даже самое технологичное оборудование оказывается наравне с опалубкой низшего сорта, что в принципе недопустимо.
Максим Ковалёв, заместитель генерального директора по производству, технический директор компании «МЛМ Нева трейд»:
– Лифтовая отрасль не менее других сфер строительства регламентируется стандартами качества, среди которых есть в том числе и международные договоры. Одним из основополагающих документов является Технический регламент Таможенного союза «Безопасность лифтов» ТР ТС 011/2011, где обозначено, какое оборудование должно быть установлено и как должно подтверждаться соответствие стандарту. В России, как и в других странах-членах Таможенного союза, есть свой внутренний документ, закрепляющий стандарты качества в лифтовой отрасли, – это ГОСТ Р-53780-2010 «Лифты. Общие требования безопасности к устройству и установке».
Александр Киселёв, главный технолог АО «ПО «Баррикада»:
– На наш взгляд, необходимо ввести обязательную сертификацию на некоторые виды материалов, связанных с производством бетона и железобетона. Но внедрение данной новации должно проходить поэтапно с переходным периодом не менее одного года. Моментальный ввод сертификации может негативно отразиться на производстве продукции и привести к увеличению сроков сдачи строительных объектов. Также, по нашему мнению, нужно сертифицировать вновь построенное предприятие или новый вид продукции и подтверждать соответствие раз в год.
На нашем предприятии установлен контроль за качеством как входящих материалов, так и исходящей продукции. Так как мы изготавливаем продукцию по ГОСТу и ТУ, нет необходимости делать сертификацию продукции ЖБИ. Есть добровольная сертификация, которая используется по требованию заказчика.
В Санкт-Петербурге две парковочные беды: нехватка стоянок и места для их размещения. Решить обе могут механизированные паркинги. В Группе компаний «Мегаполис 21 век», более 10 лет занимающейся проектированием и строительством паркингов, рассказали о наиболее удачных механизированных решениях.
Самым дешевым и быстрым способом увеличения парковочных мест в два раза является подъемник зависимого типа, который часто называют «лягушкой». Конструкция выдерживает нагрузку до 2,5 т, там можно хранить автомобили высотой до 2 м. Механизм работает при температуре до минус 40 градусов. «Лягушки» можно устанавливать не только в крытых стоянках, но и на плоскостных парковках. Причем для монтажа объекта не нужны никакие специальные разрешения, поэтому подъемник можно установить и во дворе собственного дома, и возле бизнес-центра, в котором работаешь. «Лягушки» давно изготавливаются в России и странах ближнего зарубежья, что положительно влияет на их стоимость – отечественные механизмы обойдутся на 30–40% дешевле иностранных аналогов.
Более удобным является паркинг пазлового типа, который состоит из независимых машино-мест. В отличие от «лягушки», с такой парковки автомобиль можно забрать в любое время, вне зависимости от положения соседских машин. Это достигается за счет того, что в паркинге всегда остается одна свободная ячейка – и выдача автомобиля происходит по принципу «пятнашек». Пазловые паркинги собираются легко и быстро как конструктор – на 5, 7 или 9 мест. Они могут прекрасно работать как на улице, так и в подземных пространствах с высокими потолками.
Наиболее бюджетным типом механизированных паркингов являются роторные – или, как их еще называют, карусельные, так как машина заезжает на поддон и поднимается без участия человека вверх по кругу, словно в колесе обозрения. Занимая площадь двух машино-мест, ротор позволяет хранить до 12 автомобилей. Благодаря компактности и простоте монтажа роторы можно возводить где угодно, даже в небольших дворах-колодцах. «Мегаполис 21 век» в кооперации со специалистами из Южной Кореи построил уже четыре таких паркинга в Петербурге. Благодаря тому, что основные конструктивные металлические составляющие производятся в РФ, финальная стоимость объекта примерно на 35% ниже аналогичных иностранных предложений.
Наиболее вместительным среди механизированных паркингов является «Шаттл», в котором можно хранить сразу несколько тысяч автомобилей. Размер парковочной ячейки незначительно превышает размер автомобиля, что обеспечивает значительную вместимость объекта. При этом владельцы машин никогда не ждут более 90 секунд. Все благодаря полностью автоматизированному механизму с вертикально двигающимися лифтами-подъемниками и горизонтально перемещающимися транспортерами. Система позволяет производить выдачу сразу нескольких автомобилей. «Шаттл» – полностью автоматизированный паркинг, внутри которого не нужны рабочие руки. Это дает возможность экономить на системах вентиляции, лестницах, отделке.
Если вместительный паркинг нужен в зоне активной застройки, то подойдет «Башня». Такой объект состоит из электрического подъемника, по обе стороны от которого друг над другом располагаются паллеты с машино-местами. В «Башне» можно хранить до 100 автомобилей. Ее легко пристроить к существующему зданию или же возвести как отдельное здание. Время выдачи не превышает 90 секунд.
Мнение
Андрей Коротков, генеральный директор ООО «Мегаполис 21 век»:
– Основное преимущество любых механизированных паркингов – увеличение вместимости парковки. Занимая минимум пространства, там можно хранить значительно больше автомобилей, чем на традиционной стоянке. Это достигается за счет снижения размера ячейки, которая лишь незначительно превосходит габариты автомобиля. В результате механизированный паркинг на 10 уровней имеет ту же высоту, что стационарный на 7 этажей.
Механизированные паркинги идеально подойдут для размещения в ограниченном подземном пространстве зданий. Заказчику не понадобится делать широкие проезды, продумывать пути эвакуации людей, заботиться о системе оповещения и вентиляции, а также строить из монолита несколько уровней.
Мы уверены, что благодаря увеличению объемов строительства жилья и росту спроса на парковки у механизированных решений большое будущее.