Информационная безопасность строительных компаний под угрозой
Информационная эра, в которую все человечество – кто быстрее, кто медленнее – постепенно входит, отличается тем, что главной ценностью, в значительной мере определяющей успех во всех сферах деятельности, в том числе и в бизнесе, становится информация. А это означает, что ее защита приобретает особое значение.
Аналитики «СёрчИнформ» провели ежегодный анонимный опрос российских компаний с целью оценить уровень информационной защиты и подход к вопросам IT-безопасности. В исследовании приняли участие 1024 человека: начальники и сотрудники подразделений, занимающихся информационной безопасностью, эксперты отрасли и руководители организаций из коммерческой (74%), государственной (23%) и некоммерческой сфер (3%). Исследование охватило многие сегменты экономики, в том числе и строительство.
Актуальный вопрос
Все более активное вторжение цифровых технологий во все сферы человеческой жизни приводит к тому, что информация, владение ею и доступ к ней становятся все более ценным ресурсом. А значит, растет и угроза злоупотреблений в этой сфере – от нецелевого использования оборудования до воровства данных, составляющих коммерческую тайну. И чем шире распространяются информационные технологии, тем актуальнее становится проблема.
«По мере развития технологий все больше процессов переводится в «цифру». Это и внутренние бизнес-процессы компании, и ее взаимодействие с потребителями и партнерами. Поэтому вопрос IT-безопасности с каждым годом только актуальнее во всех сферах: и защита персональных данных клиентов, и электронный внутренний документооборот, и внедрение облачных технологий для управления строительными проектами, – то, что в последние годы реализовано у нас в компании», – отмечает директор по маркетингу Группы RBI Михаил Гущин.
С ним соглашается директор департамента IT Becar Asset Management Роман Блонов. «Оцениваю актуальность проблемы информационной безопасности как архиважную. Получить доступ к информации – значит получить доступ ко всем коммерческим тайнам, личным и деловым договоренностям. Также может иметь место прямой убыток от удаленного подключения к тем или иным мощностям. В эпоху расцвета криптовалют ряд компаний столкнулся с удаленным взломом и установкой майнеров на корпоративные компьютеры и серверы», – говорит он.
Исследование «СёрчИнформ» показало, что 72% строительных компаний России столкнулись с утечками информации в 2018 году. «По данным за 2018 год, рост выявленных нарушений в сфере IT-безопасности в стройкомплексе составил около 11% по сравнению с предыдущим годом. И тренд этот характерен, по крайней мере, последние четыре года, с тех пор, как мы начали мониторить ситуацию в строительной отрасли. Год от года острота проблемы растет: 4% и 11% на начало и конец наблюдений, соответственно», – рассказывает руководитель отдела технической аналитики компании «СёрчИнформ» Алексей Парфентьев.
По его словам, это связано с двумя основными факторами. «Во-первых, с развитием информационных технологий активно развивается и возможность злоупотреблений в этой сфере. Во-вторых, необходимость сэкономить на программном обеспечении, оборудовании, зарплате персонала и прочем приводит к использованию бесплатных облачных платформ, привлечению исполнителей в рамках аутсорсинга. Такой подход, конечно, создает дополнительные риски в сфере IT-безопасности, поскольку уменьшает возможности контроля над оборотом информации», – резюмирует эксперт.
Отраслевая специфика
По словам Алексея Парфентьева, в обеспечении IT-безопасности строительство имеет свою специфику. «Бухгалтерия, продажи, кадры – эти бизнес-процессы функционируют как в любой другой отрасли экономики. Но есть целый пласт специфических конфиденциальных данных. Это техническая и маркетинговая информация с очень длительным циклом подготовки, и ее раскрытие раньше определенных сроков может подорвать целые проекты. Поэтому наибольшее количество запросов о создании отраслевых политик безопасности, настройке систем под конкретного заказчика в сфере строительства касается защиты именно этих данных. Вне зависимости от того, идет ли речь о разработке архитектурного проекта или плана продвижения, плана ценообразования, маркетинговых материалов – требуется не допустить распространения информации раньше намеченного срока. Компаниям нужно защищать данные, которыми сотрудники оперируют в главных рабочих системах: CRM, TaskTracking, бухгалтерском программном обеспечении (ПО), ПО для двухмерной и трехмерной графики, софте для составления смет и прочем», – говорит эксперт.
«Специфика информационной безопасности в строительной сфере заключается в масштабах и ответственности, ведь зданием пользуется большое количество людей. Доступ к информации об особенностях конструктива и инженерии объекта может позволить злоумышленникам, например, проще взламывать систему контроля доступа», – добавляет Роман Блонов.
А вот по мнению Михаила Гущина, нельзя сказать, что девелоперский бизнес в этом смысле специфичен и заметно отличается от какого-то другого бизнеса сопоставимых масштабов.
Воруют всё
Согласно данным исследования «СёрчИнформ», сведения о наиболее частых инцидентах информационной безопасности подтверждают, что традиционные для отрасли риски в виде создания боковых и откатных схем, торговли конфиденциальной информацией по-прежнему очень актуальны. По данным, полученным из опроса, в 2018 году чаще всего утекала коммерческая информация: данные о клиентах, сделках и партнерах, внутренняя бухгалтерия. Эти утечки в сумме составляют 50% всех инцидентов. Еще в 21% случаев утекала техническая информация.
«Но несмотря на то, что в строительной отрасли проблема утечки информации стоит очень остро, главной проблемой остается воровство материальных ресурсов, а не кража данных. Прежде всего, это корпоративное мошенничество при закупках. Так как объемы этих закупок в строительной сфере огромны, они открывают такие же огромные возможности для «договорных» отношений между сотрудниками компаний и контрагентами», – отмечает Алексей Парфентьев.
В «Группе ЛСР» сообщили, что исключили возможность таких проблем, создав собственную открытую электронную торговую площадку. «Стать максимально открытыми в области закупок товаров – важнейшая часть политики нашей компании по ведению бизнеса. Собственная электронная площадка позволит постоянно находить новых качественных контрагентов, даст им возможность войти в пул постоянных подрядчиков и поставщиков «Группы ЛСР» и обеспечит честную конкуренцию среди них. На сайте площадки размещены полный список запросов на товары и услуги предприятий «Группы ЛСР» во всех регионах присутствия компании и требования к потенциальному подрядчику. С помощью нового сервиса можно легко отследить статус проведения тендера, узнать план закупок, задать интересующий вопрос», – рассказали в компании.
Что касается других инцидентов, чаще всего компании сталкиваются с использованием сотрудниками ресурсов компании в личных целях (40%), попытками откатов (24%). Почти поровну распределились ответы о фактах организации боковых схем продаж (10%) и работы в пользу конкурентов (14%).
«Заметная проблема – использование внутренних ресурсов компании для личных целей – начиная от банального выполнения заказов (проектов и т. п.) для другой структуры на рабочем месте, что, в общем, компании особого вреда не наносит, и заканчивая использованием производственных мощностей для выпуска продукции «налево», с оплатой исполнителю. Эти риски в строительной сфере гораздо заметнее, поэтому чаще, чем в других отраслях, специалисты по безопасности смещают вектор мониторинга с технических угроз на «человеческий фактор». Поэтому здесь универсальность современных DLP-систем, их способность решать сразу множество проблем играет заказчикам на руку», – рассказывает Алексей Парфентьев.
Среди нарушителей в строительстве, в отличие от других сфер, велико число руководителей – на их долю приходится 33% инцидентов. Среди нарушителей чаще всего встречаются менеджеры отдела снабжения. Второе и третье место занимают бухгалтеры (финансисты) и помощники руководителя.
Во избежание всяческих…
В принципе, по оценке экспертов, современный рынок предлагает необходимые инструменты для обеспечения информационной безопасности. «Сегодня есть и квалифицированные специалисты, и технические решения, способные обеспечить нужный уровень защиты данных», – говорит Михаил Гущин.
«Мы используем многоуровневый контроль за идентификацией пользователей, разделение доступов к информации, шифрование переписки, защиту внешнего периметра сети, шифрованные каналы коммуникации, регулярно обновляемые серверы, ПО, антивирусную защиту», – рассказывает Роман Блонов.
По словам эксперта, конечно, полностью исключить инциденты невозможно, но им можно эффективно противодействовать. «Однажды доступ к серверу корпоративной IP-телефонии получили злоумышленники и направили через наш сервер свои звонки. Так как была установлена FROD-защита, после превышения определенного объема трафика его передача была прервана, поэтому урон был относительно небольшим», – рассказал он.
Алексей Парфентьев говорит, что компаниям необходимо обеспечить хотя бы минимальную защиту от информационных рисков. «На мой взгляд, главная задача, которую необходимо решить, – это обеспечить прозрачность обращения данных внутри инфраструктуры. Необходимо четкое понимание, на каких ресурсах находится критично важная информация и кто имеет право доступа к ней, кто реально работает с этой информацией, как и с какой целью она циркулирует по сетевым каналам. Это первый шаг в сфере IT-безопасности, который необходим всем, в том числе и небольшим компаниям в сфере строительства и недвижимости. Крупным структурам нужны, конечно, более серьезные системы. И в целом, по моему опыту, они этими вопросами не пренебрегают, располагая всеми необходимыми инструментами в этой сфере», – отмечает специалист.
Но есть и некоторые системные проблемы. «К сожалению, в строительстве нет отраслевых стандартов обеспечения IT-безопасности, таких, как действуют в органах государственной власти или каких Центробанк требует от коммерческих банков. Да, существует федеральный закон, который, в общем, все должны выполнять. Но за его нарушения предусмотрены минимальные штрафы. И многим компаниям проще их заплатить, чем тратиться на системы безопасности», – говорит Алексей Парфентьев.
НОВОСТИ ПО ТЕМЕ:
Включить «автопилот». Современные технологии позволяют ускорить строительство
Новая цифровая платформа Rocket Group поможет и властям, и девелоперам
Управляющие компании устранили нарушения по раскрытию информации
Основным кандидатом на пост президента НОСТРОЙ по СЗФО выдвинут генеральный директор ПАО «Группа ЛСР» Андрей Молчанов.
На минувшей неделе состоялась окружная конференция членов Национального объединения строителей по СЗФО. Она проходила в рамках подготовки к XI Всероссийскому съезду саморегулируемых организаций строительной отрасли, который пройдет 21 марта.
Начиная с 26 февраля прошли окружные конференции членов НОСТРОЙ по СФО, ДФО, УрФО и Санкт-Петербургу. На всех мероприятиях решался один из ключевых вопросов – выдвижение кандидата на пост президента объединения. Участники всех конференций проголосовали за генерального директора ПАО «Группа ЛСР» Андрея Молчанова.
Всероссийская подготовка
Помимо темы выборов на окружных конференциях рассматривался и ряд других вопросов. Первые три прошли в Красноярске. Так, 26 февраля члены НОСТРОЙ, зарегистрированные в Уральском федеральном округе, рассмотрели отчет по проведению добровольного аудита саморегулируемых организаций. В мероприятии приняли участие представители 12 СРО. По словам координатора НОСТРОЙ по УФО Сергея Лекомцева, из 13 СРО, зарегистрированных в регионе, проверено семь. Это соответствуют ранее утвержденному графику, проверки серьезных нарушений не выявили.
В этот же день подобное мероприятие прошло среди представителей СРО Дальневосточного федерального округа с участием вице-президентов НОСТРОЙ. В работе участвовали восемь делегатов из 11 саморегулируемых организаций, зарегистрированных на территории округа. Участники приняли отчет по смете расходов НОСТРОЙ за прошлый год, а также рассмотрели проект сметы расходов на 2016 год.
27 февраля прошла окружная конференция саморегулируемых организаций по Сибирскому федеральному округу. В ней участвовали представители 17 из 20 зарегистрированных на территории округа СРО, а также представители НОСТРОЙ. Среди прочих вопросов ее участники утвердили отчет о координационной работе в 2015 году, приняли решение о проведении окружного этапа Национального конкурса профессионального мастерства «СТРОЙМАСТЕР-2016» в Красноярске.
1 марта окружная конференция членов НОСТРОЙ по Санкт-Петербургу прошла в Северной столице. В мероприятии приняли участие представители 30 саморегулируемых организаций из 31. Здесь состоялось выдвижение кандидатов в совет объединения. Интересно, что один из трех кандидатов – президент Ассоциации «Центр объединения строителей «Сфера-А» Илья Константинов – снял свою кандидатуру. Оставшиеся – генеральный директор, вице-президент НП «Объединение строителей СПб» Алексей Белоусов и член совета НП «Балтийский строительный комплекс» Антон Мороз – набрали по 28 и 26 голосов соответственно. Утверждение этих кандидатур состоится на Всероссийском съезде.
Время выбора
На конференции членов Национального объединения строителей по СЗФО кандидата на пост президента НОСТРОЙ Андрея Молчанова представил координатор объединения по Северо-Западному округу Сергей Петров. Он сообщил, что Андрей Молчанов более 20 лет работает в строительной отрасли, возглавляя сейчас одну из крупнейших компаний-застройщиков России.
«В то же время у него широкий спектр общественно-политических интересов, его хорошо знают в Государственной Думе, в Правительстве Российской Федерации и в Администрации Президента России. Более достойную кандидатуру трудно найти», – подчеркнул Сергей Петров.
Напомним, в качестве кандидата Андрей Молчанов был представлен саморегулируемому сообществу Минстроем России 17 февраля на Российском строительно-инвестиционном форуме.
В свою очередь, Андрей Молчанов сообщил, что в случае избрания его деятельность на посту президента НОСТРОЙ будет нацелена на развитие института саморегулирования и начатая законотворческая работа, направленная на усиление роли этого института, будет продолжена. Он подчеркнул, что задачей саморегулирования остается передача части государственных функций саморегулируемым организациям. Он также отметил необходимость улучшения условий для бизнеса, борьбы с «коммерческими» саморегулируемыми организациями, а также оптимизации численности аппарата НОСТРОЙ. Важнейшей целью в работе НОСТРОЙ господин Молчанов назвал усиление прозрачности объединения. Для этого, по его мнению, нужно ввести практику проведения прямых трансляций заседаний совета объединения, с тем чтобы руководители СРО могли отслеживать важнейшие события в прямом эфире, а также в режиме онлайн вносить свои предложения.
В результате голосования участники окружной конференции по СЗФО единогласно поддержали кандидатуру Андрея Молчанова.
Ключевая дюжина
Еще одним вопросом на окружной конференции стали изменения в повестку дня Всероссийского съезда СРО строительной отрасли. В проект повестки директором Ассоциации «СРО «Строители Ленинградской области» Владимиром Кобзаренко было предложено включить 12 вопросов, с чем единогласно согласились и другие участники конференции.
По мнению вице-президента Союза «Строительный ресурс» Андрея Касьянова, важно рассмотреть вопрос увеличения квоты избираемых от округа членов совета в связи с тем, что сейчас по СЗФО насчитывается уже 17 СРО, а кандидат в совет по-прежнему один.
Директор Ассоциации «СРО «Строительный Комплекс Вологодчины», член совета НОСТРОЙ Анна Леонова предложила проработать вопрос квотирования, с чем участники конференции согласились единогласно.
В приближении Госсовета
Еще одна тема, поднятая на конференции, – работа по подготовке к Госсовету, посвященному развитию строительного комплекса и совершенствованию градостроительной деятельности в РФ. В частности, речь шла о научно-практической конференции в Красноярске, о которой рассказал вице-президент НОСТРОЙ Николай Маркин. Он сообщил, что выступавший на конференции губернатор Красноярского края Виктор Толоконский предложил перенести часть государственных полномочий на СРО. До проведения совета их список будет
проработан – представители объединения смогут внести соответствующие предложения до середины марта.
«Они могут касаться не только работы СРО, но и производства строительных материалов, изделий и конструкций», – подчеркнул господин Маркин.
Также он рассказал о разработке проекта федерального закона, предусматривающего совершенствование системы саморегулирования в строительстве. «В первой редакции документа рассматривалась позиция, которая лишала нас многих полномочий, – говорит Николай Маркин. – После того как заместитель председателя правительства Дмитрий Козак отправил документ на доработку, его переделали за 10 дней, хотя обычно на это уходит два квартала. Но и потом, ознакомившись с ним, он сказал, что будет его рассматривать только после его корректировки в НОСТРОЙ».
По этой причине специалисты уже начали вносить свои изменения в законопроект, для того чтобы успеть их предоставить для доклада к Госсовету.
Господин Маркин также подчеркнул, что в целом отношение федеральных властей к институту СРО позитивное. «Дмитрий Козак сказал, что вопросы, связанные с лицензированием в сфере строительства, никто не должен выдвигать. В работу СРО не нужно вносить сумятицу», – подытожил Николай Маркин.
Цифра
10 лет назад в последний раз проходило заседание Госсовета, посвященное вопросам строительной отрасли РФ
Основные положения 452-ФЗ вступят в силу с 1 июля.
Несмотря на это у кадастровых инженеров осталось всего два месяца, чтобы подготовиться к требованиям нового закона в сфере кадастровой деятельности.
Во многом дальнейшее развитие отрасли будет определяться решениями НП «Национальная палата кадастровых инженеров»: в соответствии с федеральным законодательством национальное объединение наделено широкими полномочиями. Однако чтобы нормы, прописанные в законе, работали, предстоит совместная работа национального объединения и власти. Об этом заявил президент Национальной палаты кадастровых инженеров Виктор Кислов, выступая на конференции «Реформа кадастровой деятельности». Мероприятие было организовано при поддержке СРО «Ассоциация «Сообщество кадастровых инженеров» и СРО НП «Кадастровые инженеры».
Единство качества
Стоит отметить, что решения, принимаемые Национальной палатой кадастровых инженеров, и разработанные ею документы будут обязательными к исполнению для всех саморегулируемых организаций в сфере кадастровой деятельности независимо от их членства в национальном объединении. К тому же, в составе апелляционных комиссий, рассматривающих обращения кадастровых инженеров при необоснованном, по их мнению, приостановлении кадастрового учета, интересы профессионального сообщества смогут представлять только члены Национальной палаты. А в нее сегодня входят лишь 70% из 22 действующих в РФ СРО кадастровых инженеров.
«Наша задача – обеспечить единство качества оказания услуг кадастровых инженеров на всей территории страны», - подчеркнул Виктор Кислов. Поэтому именно на национальное объединение возложена ответственность за разработку нормативных документов, стандартов, регулируемых вопросы прохождения стажировки кандидатами в кадастровые инженеры, сдачи профессионального экзамена и регулярного подтверждения уровня знаний, деятельности апелляционных комиссий и т. д. Утверждать нормативную базу будет профильное Министерство экономического развития РФ.
Обязательный досудебный порядок
Важнейшим новшеством, введенным в правовое поле 452-ФЗ, эксперты называют формирование апелляционной комиссии для досудебного обжалования решений о приостановлении осуществления кадастрового учета в отношении объектов капитального строительства, линейных объектов, а также земельных участков. «Это специальная глава 452-ФЗ, но мы не можем рассматривать ее отдельно от 218-ФЗ («О государственной регистрации недвижимости»)», - подчеркнула Лариса Усович, заместитель руководителя рабочей группы по мониторингу хода реализации «дорожной карты» в сфере кадастрового
учета Агентства стратегических инициатив. «Досудебное обжалование – обязательная процедура перед обращением в суд. И требования кадастровых инженеров в апелляции представляет Национальная палата», - уточнила она. На паритетных принципах в апелляционную комиссию, которая появится в каждом субъекте РФ, войдут также специалисты территориального органа государственного кадастрового учета.
Эксперты напоминают, что положительное решение апелляционной комиссии, подтверждающее соответствие выполненных кадастровым инженером работ требованиям закона, является основанием для учетно-регистрационного действия. Никаких дополнительных заявлений от кадастрового инженера в орган кадастрового учета не требуется. Для вынесения решения апелляционная комиссия вправе запросить экспертизу качества выполненных конкретным инженером кадастровых работ в СРО, где он состоит. «В отличие от оценочной деятельности экспертиза проводится бесплатно: это не бизнес», - особо отметила Лариса Усович. При этом в ходе экспертизы устанавливается не виновность кадастрового инженера, а факт допущенных кадастровых ошибок либо их отсутствия. А само экспертное заключение должно быть предельно конкретным, с подробным описанием проведенной проверки и ссылками на положения 221-ФЗ и других федеральных законов, нормативно-правовых актов.
День Х
Со своей стороны, Марина Петрушина, генеральный директор А СРО «Кадастровые инженеры», крупнейшей в РФ саморегулируемой организации в этой сфере, детально проинформировала участников конференции о подготовке к введению обязательного членства в СРО. По ее словам, начать надо с тщательного изучения 452-ФЗ, поскольку его требования разнятся в зависимости от того, к какой категории относится кадастровый инженер. Наиболее комфортные условия перехода к новому правовому регулированию получают те, кто на 1 июля имеет статус кадастрового инженера и является членом саморегулируемой организации. «Для этой категории в законе предусмотрены льготные периоды, потребуется предоставить наименьшее количество документов», - констатировала Марина Петрушина. Промежуточные по степени жесткости требования выдвигаются в отношении кадастровых инженеров, не зарегистрированных в СРО на 1 июля. Наконец, «по самому длинному пути» пойдут те, кто к моменту вступления в силу основных положений 452-ФЗ либо еще не сдаст профессиональный экзамен, либо будет лишен аттестата кадастрового инженера из-за допущенных в работе нарушений.
Критическая дата, после которой кадастровые инженеры, не вступившие в СРО, лишатся права вести профессиональную деятельность, - 1 декабря 2016 года. Но как напомнила г-жа Петрушина, для подготовки к новым требованиям закона для кадастровых инженеров и для саморегулируемых организаций установлены одни и те же временные рамки. Это означает, что, с одной стороны, кадастровые инженеры должны очень тщательно подойти к выбору СРО, а с другой, что этот выбор необходимо сделать заранее, в идеале – до 1 мая. «СРО должны внести изменения в уставные документы, принять их на общем собрании и заново зарегистрировать их в Министерстве юстиции. Только на перерегистрацию уйдет около трех месяцев, еще пара – на внесение саморегулируемой организации в базу Росреестра», - заключила Марина Петрушина.
При выборе саморегулируемой организации для кадастрового инженера, говорят представители добросовестных СРО, важно обратить внимание на то, сможет ли она организовывать проведение бесплатных экспертиз по запросу апелляционной комиссии, как организована система коллективного страхования, как соблюдаются стандарты раскрытия информации на сайте СРО и какова численность членов организации (по новым требованиям нижний предел – 700 кадастровых инженеров). Важно также, чтобы СРО фигурировала в реестре, размещенном на сайте Росреестра.
Мнение
Алексей Лебедев, член Президиума Национальной палаты кадастровых инженеров, председатель Совета СРО «Ассоциация Сообщество кадастровых инженеров»:
- Мы уже выполнили подготовительные мероприятия, которые необходимы по требованию 452-ФЗ. Устав СРО приведен в соответствие с Гражданским кодексом РФ. Разработаны и утверждены внутренние документы: положение о членстве в СРО, об органах управления, дисциплинарной и контрольной комиссиях, правила профессиональной этики кадастровых инженеров. Сформированы специализированные органы саморегулируемой организации, система страхования гражданской ответственности. Утверждены меры дисциплинарной ответственности. Кроме того, ассоциация оперативно информирует профессиональное сообщество о законодательных новшествах, изменениях в технических требованиях к документам, необходимым для осуществления государственного кадастрового учета, регулярно проводит семинары и конференции для кадастровых инженеров.