Информационная безопасность строительных компаний под угрозой
Информационная эра, в которую все человечество – кто быстрее, кто медленнее – постепенно входит, отличается тем, что главной ценностью, в значительной мере определяющей успех во всех сферах деятельности, в том числе и в бизнесе, становится информация. А это означает, что ее защита приобретает особое значение.
Аналитики «СёрчИнформ» провели ежегодный анонимный опрос российских компаний с целью оценить уровень информационной защиты и подход к вопросам IT-безопасности. В исследовании приняли участие 1024 человека: начальники и сотрудники подразделений, занимающихся информационной безопасностью, эксперты отрасли и руководители организаций из коммерческой (74%), государственной (23%) и некоммерческой сфер (3%). Исследование охватило многие сегменты экономики, в том числе и строительство.
Актуальный вопрос
Все более активное вторжение цифровых технологий во все сферы человеческой жизни приводит к тому, что информация, владение ею и доступ к ней становятся все более ценным ресурсом. А значит, растет и угроза злоупотреблений в этой сфере – от нецелевого использования оборудования до воровства данных, составляющих коммерческую тайну. И чем шире распространяются информационные технологии, тем актуальнее становится проблема.
«По мере развития технологий все больше процессов переводится в «цифру». Это и внутренние бизнес-процессы компании, и ее взаимодействие с потребителями и партнерами. Поэтому вопрос IT-безопасности с каждым годом только актуальнее во всех сферах: и защита персональных данных клиентов, и электронный внутренний документооборот, и внедрение облачных технологий для управления строительными проектами, – то, что в последние годы реализовано у нас в компании», – отмечает директор по маркетингу Группы RBI Михаил Гущин.
С ним соглашается директор департамента IT Becar Asset Management Роман Блонов. «Оцениваю актуальность проблемы информационной безопасности как архиважную. Получить доступ к информации – значит получить доступ ко всем коммерческим тайнам, личным и деловым договоренностям. Также может иметь место прямой убыток от удаленного подключения к тем или иным мощностям. В эпоху расцвета криптовалют ряд компаний столкнулся с удаленным взломом и установкой майнеров на корпоративные компьютеры и серверы», – говорит он.
Исследование «СёрчИнформ» показало, что 72% строительных компаний России столкнулись с утечками информации в 2018 году. «По данным за 2018 год, рост выявленных нарушений в сфере IT-безопасности в стройкомплексе составил около 11% по сравнению с предыдущим годом. И тренд этот характерен, по крайней мере, последние четыре года, с тех пор, как мы начали мониторить ситуацию в строительной отрасли. Год от года острота проблемы растет: 4% и 11% на начало и конец наблюдений, соответственно», – рассказывает руководитель отдела технической аналитики компании «СёрчИнформ» Алексей Парфентьев.
По его словам, это связано с двумя основными факторами. «Во-первых, с развитием информационных технологий активно развивается и возможность злоупотреблений в этой сфере. Во-вторых, необходимость сэкономить на программном обеспечении, оборудовании, зарплате персонала и прочем приводит к использованию бесплатных облачных платформ, привлечению исполнителей в рамках аутсорсинга. Такой подход, конечно, создает дополнительные риски в сфере IT-безопасности, поскольку уменьшает возможности контроля над оборотом информации», – резюмирует эксперт.
Отраслевая специфика
По словам Алексея Парфентьева, в обеспечении IT-безопасности строительство имеет свою специфику. «Бухгалтерия, продажи, кадры – эти бизнес-процессы функционируют как в любой другой отрасли экономики. Но есть целый пласт специфических конфиденциальных данных. Это техническая и маркетинговая информация с очень длительным циклом подготовки, и ее раскрытие раньше определенных сроков может подорвать целые проекты. Поэтому наибольшее количество запросов о создании отраслевых политик безопасности, настройке систем под конкретного заказчика в сфере строительства касается защиты именно этих данных. Вне зависимости от того, идет ли речь о разработке архитектурного проекта или плана продвижения, плана ценообразования, маркетинговых материалов – требуется не допустить распространения информации раньше намеченного срока. Компаниям нужно защищать данные, которыми сотрудники оперируют в главных рабочих системах: CRM, TaskTracking, бухгалтерском программном обеспечении (ПО), ПО для двухмерной и трехмерной графики, софте для составления смет и прочем», – говорит эксперт.
«Специфика информационной безопасности в строительной сфере заключается в масштабах и ответственности, ведь зданием пользуется большое количество людей. Доступ к информации об особенностях конструктива и инженерии объекта может позволить злоумышленникам, например, проще взламывать систему контроля доступа», – добавляет Роман Блонов.
А вот по мнению Михаила Гущина, нельзя сказать, что девелоперский бизнес в этом смысле специфичен и заметно отличается от какого-то другого бизнеса сопоставимых масштабов.
Воруют всё
Согласно данным исследования «СёрчИнформ», сведения о наиболее частых инцидентах информационной безопасности подтверждают, что традиционные для отрасли риски в виде создания боковых и откатных схем, торговли конфиденциальной информацией по-прежнему очень актуальны. По данным, полученным из опроса, в 2018 году чаще всего утекала коммерческая информация: данные о клиентах, сделках и партнерах, внутренняя бухгалтерия. Эти утечки в сумме составляют 50% всех инцидентов. Еще в 21% случаев утекала техническая информация.
«Но несмотря на то, что в строительной отрасли проблема утечки информации стоит очень остро, главной проблемой остается воровство материальных ресурсов, а не кража данных. Прежде всего, это корпоративное мошенничество при закупках. Так как объемы этих закупок в строительной сфере огромны, они открывают такие же огромные возможности для «договорных» отношений между сотрудниками компаний и контрагентами», – отмечает Алексей Парфентьев.
В «Группе ЛСР» сообщили, что исключили возможность таких проблем, создав собственную открытую электронную торговую площадку. «Стать максимально открытыми в области закупок товаров – важнейшая часть политики нашей компании по ведению бизнеса. Собственная электронная площадка позволит постоянно находить новых качественных контрагентов, даст им возможность войти в пул постоянных подрядчиков и поставщиков «Группы ЛСР» и обеспечит честную конкуренцию среди них. На сайте площадки размещены полный список запросов на товары и услуги предприятий «Группы ЛСР» во всех регионах присутствия компании и требования к потенциальному подрядчику. С помощью нового сервиса можно легко отследить статус проведения тендера, узнать план закупок, задать интересующий вопрос», – рассказали в компании.
Что касается других инцидентов, чаще всего компании сталкиваются с использованием сотрудниками ресурсов компании в личных целях (40%), попытками откатов (24%). Почти поровну распределились ответы о фактах организации боковых схем продаж (10%) и работы в пользу конкурентов (14%).
«Заметная проблема – использование внутренних ресурсов компании для личных целей – начиная от банального выполнения заказов (проектов и т. п.) для другой структуры на рабочем месте, что, в общем, компании особого вреда не наносит, и заканчивая использованием производственных мощностей для выпуска продукции «налево», с оплатой исполнителю. Эти риски в строительной сфере гораздо заметнее, поэтому чаще, чем в других отраслях, специалисты по безопасности смещают вектор мониторинга с технических угроз на «человеческий фактор». Поэтому здесь универсальность современных DLP-систем, их способность решать сразу множество проблем играет заказчикам на руку», – рассказывает Алексей Парфентьев.
Среди нарушителей в строительстве, в отличие от других сфер, велико число руководителей – на их долю приходится 33% инцидентов. Среди нарушителей чаще всего встречаются менеджеры отдела снабжения. Второе и третье место занимают бухгалтеры (финансисты) и помощники руководителя.
Во избежание всяческих…
В принципе, по оценке экспертов, современный рынок предлагает необходимые инструменты для обеспечения информационной безопасности. «Сегодня есть и квалифицированные специалисты, и технические решения, способные обеспечить нужный уровень защиты данных», – говорит Михаил Гущин.
«Мы используем многоуровневый контроль за идентификацией пользователей, разделение доступов к информации, шифрование переписки, защиту внешнего периметра сети, шифрованные каналы коммуникации, регулярно обновляемые серверы, ПО, антивирусную защиту», – рассказывает Роман Блонов.
По словам эксперта, конечно, полностью исключить инциденты невозможно, но им можно эффективно противодействовать. «Однажды доступ к серверу корпоративной IP-телефонии получили злоумышленники и направили через наш сервер свои звонки. Так как была установлена FROD-защита, после превышения определенного объема трафика его передача была прервана, поэтому урон был относительно небольшим», – рассказал он.
Алексей Парфентьев говорит, что компаниям необходимо обеспечить хотя бы минимальную защиту от информационных рисков. «На мой взгляд, главная задача, которую необходимо решить, – это обеспечить прозрачность обращения данных внутри инфраструктуры. Необходимо четкое понимание, на каких ресурсах находится критично важная информация и кто имеет право доступа к ней, кто реально работает с этой информацией, как и с какой целью она циркулирует по сетевым каналам. Это первый шаг в сфере IT-безопасности, который необходим всем, в том числе и небольшим компаниям в сфере строительства и недвижимости. Крупным структурам нужны, конечно, более серьезные системы. И в целом, по моему опыту, они этими вопросами не пренебрегают, располагая всеми необходимыми инструментами в этой сфере», – отмечает специалист.
Но есть и некоторые системные проблемы. «К сожалению, в строительстве нет отраслевых стандартов обеспечения IT-безопасности, таких, как действуют в органах государственной власти или каких Центробанк требует от коммерческих банков. Да, существует федеральный закон, который, в общем, все должны выполнять. Но за его нарушения предусмотрены минимальные штрафы. И многим компаниям проще их заплатить, чем тратиться на системы безопасности», – говорит Алексей Парфентьев.
НОВОСТИ ПО ТЕМЕ:
Включить «автопилот». Современные технологии позволяют ускорить строительство
Новая цифровая платформа Rocket Group поможет и властям, и девелоперам
Управляющие компании устранили нарушения по раскрытию информации
Популярность военной ипотеки в России растет.
Если пять лет назад объемы сделок по этой программе исчислялись несколькими тысячами, то, по данным ФГКУ «Росвоенипотека», по итогам 2015 года будет заключено около 32 тыс. сделок купли-продажи. В ведомстве отмечают, что за весь текущий год стоимость жилья для военных не выросла, и даже констатируют снижение на 1%.
По данным на 1 ноября 2015 года, в России по программе «Военная ипотека» было реализовано 26 тыс. квартир. Как отметил Владимир Шумилин, руководитель ФГКУ «Росвоенипотека», до конца года эта цифра может составить 32 тыс. сделок. На 2016 год у ведомства более амбициозные планы – достигнуть объема в 35 тыс. сделок. Однако в Петербурге в 2015 году в рамках программы было реализовано всего 300 квартир. Отличилась Ленинградская область, где военнослужащие купили 706 квартир с помощью военной ипотеки. Накопительно-ипотечная система для военных действует с 2005 года. Всего, по данным на 1 ноября 2015 года, ее участниками являются 343 тыс. российских военнослужащих. За время действия программы было приобретено 134 тыс. квартир.
Лидерами по выдаче кредитов в рамках программы «Военная ипотека» являются Связь-банк, ВТБ24 и Сбербанк. Среди застройщиков Петербурга и Ленинградской области, продающих жилье в рамках данной программы, можно отметить Группу ЛСР, «КВС», «Ленстройтрест», холдинг Setl Group, «БФА-Девелопмент», «Главстрой-СПб» и др. Средняя стоимость 1 кв. м превышает 80 тыс. рублей. По словам Владимира Шумилина, каждая пятая следка по военной ипотеке проходит в Московском регионе. Петербург и Ленинградская область занимают второе место. При этом интерес военнослужащих к приобретению жилья в нашем регионе постоянно растет. В отличие от цен на жилье. Они, по словам Владимира Шумилина, хоть незначительно, но сократились – в течение 2015 года на 1%.
О том, что сегмент военной ипотеки важен для Сбербанка, сообщил Олег Тихомиров, заместитель председателя Северо-Западного банка ПАО «Сбербанк». По его словам, за 10 месяцев 2015 года банк выдал 52 млрд жилищных кредитов. По военной ипотеке доля Сбербанка составляет 34%. В Петербурге и Ленинградской области – 42 и 19% соответственно. В Петербурге банк выдал около 2 млрд рублей по военной ипотеке за отчетный период 2015 года. Олег Тихомиров добавил, что в Петербурге на первичном рынке недвижимости Сбербанком аккредитовано около 130 жилых комплексов, этот список постоянно обновляется.
Для попадания в этот список застройщик должен подходить под требования надежности. «Мы оцениваем финансовое состояние застройщика, соблюдение им законодательства в рамках 214-ФЗ. Рассматриваем стадию готовности объекта. И, как правило, на стандартных условиях начинаем аккредитовывать жилой комплекс не менее чем с 30% готовности. Также во внимание принимается репутация и длительность нахождения девелопера на рынке, количество построенных объектов и т. п. Кроме этого, наши специалисты проводят мониторинг текущего выполнения работ на конкретном объекте, соблюдение сроков сдачи и т. д.», – прокомментировал Олег Тихомиров. Со своей стороны, Владимир Шумилин добавил, что если застройщик имеет поручительство надежных банков, известных страховых компаний, то его объекты могут предлагаться в рамках военной ипотеки на стадии фундамента. «У нас есть также письма от органов власти, курирующих строительство. Это также способствует тому, что застройщики могут реализовывать объекты с более низкой степенью готовности», – заключил он.
Мнение:
Михаил Демиденко, председатель Комитета по строительству Администрации Санкт-Петербурга:
– Используя такие инструменты, как военная ипотека, государство поддерживает в это непростое экономическое время и граждан, улучшающих свои жилищные условия, и представителей строительного бизнеса, девелоперов. Осуществляя контроль и надзор в области долевого строительства, мы ежеквартально получаем и внимательно изучаем отчетность компаний, работающих в соответствии с 214-м Федеральным законом. Надежность строительных компаний – это тот нематериальный актив, который больше всего ценится сегодня на рынке. Благодаря профессионализму и ответственности всех участников процесса – сотрудников строительных компаний, банков, страховых компаний, органов власти – российская экономика будет развиваться, несмотря ни на какие внешние факторы.
Кстати:
Москва и Петербург являются самыми дорогими регионами с точки зрения цен на жилье. Поэтому здесь превалирует покупка квартир в рамках программы «Военная ипотека» на первичном рынке. По Московскому региону эта доля составляет около 70%, а по Петербургу и Ленинградской области – 50%.
Участники рынка экспертизы уверены, что для эффективной работы отрасли нужно стереть грань между государственными и негосударственными экспертизами. Для этого необходимо разработать единые требования по порядку проведения экспертизы, единый стандарт деятельности, в котором не будет разделения.
Представители негосударственных экспертиз высказываются негативно в адрес государственных экспертиз, создавших на своей базе организацию, предоставляющую услуги «негоски». Госкомпании отмечают, что они закон не нарушают, а рынок дает всем одинаковые возможности.
Стереть границу
Виталий Реут, директор компании «СеверГрад», уверен, что нужно ликвидировать «совершеннейшее безобразие», когда государственная экспертиза на своей базе открывает и негосударственную экспертизу, а потом начинает лоббирование ее интересов на рынке перед различными государственными инстанциями.
Виктор Зозуля, президент ООО «Группа компаний «Н.Э.П.С.», рассказал, что сейчас в стране создалась ситуация, при которой из 470 аккредитованных Росаккредитацией организаций 53 – это государственные экспертизы субъектов федерации (ГАУ), 13 – различные госучреждения (ФГБУ, ГУП), 25 – различные институты (НИИ, проектные, учебные). «Естественно, присутствие на этом рынке услуг государственных экспертных организаций, владеющих мощным административным ресурсом, поддерживаемых административными органами исполнительной власти субъекта, не может способствовать здоровой конкуренции. Примеров этому масса. Одно только принятие Законодательным собранием Ленобласти закона от 25 декабря 2014 года № 104-оз, внесшего изменение в областной закон 38-оз от 26.04.2012 в части обязательного проведения государственной экспертизы (вопреки Градостроительному кодексу) для объектов, не требующих получения разрешения на строительство, чего стоит», – прокомментировал он.
Алексей Чепик, генеральный директор ООО «Независимая экспертиза строительных проектов», также уверен, что предлагаемые Минстроем требования необходимо предъявлять не только к негосударственным экспертизам, но и к государственным – везде трудятся специалисты с одинаковыми профессиональными качествами. «Непонятно, почему эксперты негосударственной экспертизы в результате нововведений попадают в более узкие рамки деятельности. С другой стороны, более суровые требования к аттестации специалистов-экспертов и к аккредитации компаний приведут к некоему переделу рынка, выбросив из него непрофессионалов и «жуликов», – добавил он.
Для того чтобы уравнять негосударственную и государственную экспертизы в правах, по мнению Виктора Зозули, нужно внести в закон статью, запрещающую аккредитацию госучреждений на право выполнения негосударственных функций. Второе – упразднить органы госэкспертизы субъектов Федерации (ведь и так большая их часть уже аккредитована как негосударственные), ввести аттестацию экспертов по направлению «Сметная документация». А также передать полномочия по проведению экспертизы проектной документации и результатов инженерных изысканий объектов, финансируемых из бюджетных средств субъектов Федерации, негосударственным экспертным органам.
«Уверен, что такое решение положительно скажется на формировании рынка здоровой конкуренции среди организаций негосударственной экспертизы, а также будет способствовать и борьбе с коррупцией в строительной отрасли, так как исключит возможность влияния чиновников на оценку достоверности сметной стоимости того или иного объекта, планируемого к строительству за счет бюджета», – заключил Виктор Зозуля.
Юрий Добровольский, заместитель руководителя Санкт-Петербургского городского филиала Мосгосэкспертизы, рассказал, что организация предлагает ряд мер, которые помогут сделать рынок негосударственной экспертизы цивилизованным и надежным. «Например, нужно ввести единые требования к срокам проведения и размерам стоимости экспертизы с возможностью продления срока экспертизы госорганизациям по желанию заявителя. Также следует наделить Минстрой России контролирующими полномочиями проведения негосударственной экспертизы. Еще одно наше предложение – повысить минимальные требования для юрлица, которое может быть аккредитовано на право проведения негосударственной экспертизы, в частности увеличить число аттестованных работников (не менее двух экспертов по каждому разделу (подразделу) в проектной документации) по месту основной работы, и другие», – пояснил он. Также помимо всего прочего Юрий Добровольский предлагает ужесточить ответственность за нарушения при проведении экспертизы: ввести уголовную и административную ответственность за выдачу заведомо ложного заключения и представления поддельных документов для аттестации с внесением соответствующих изменений в УК РФ, УПК РФ, КоАП РФ.
Мнение:
Ольга Сафронова, генеральный директор ООО «Негосударственный надзор и экспертиза»:
– На мой взгляд, вновь планируемые изменения законодательства в большей степени должны не касаться ужесточения требований к негосударственной экспертизе, а стирать грань между государственной и негосударственной, создавая единую экспертизу. Считаю, что необходимо разработать единые требования по порядку проведения экспертизы, единый стандарт экспертной деятельности, в котором не будет разделения. За государственными учреждениями следует оставить проведение экспертизы по тем объектам, для которых она является обязательной – особо опасным, уникальным, высотным, подземным и пр. Следует говорить не о разделении и ужесточении контроля, а об объединении и регламентировании, создании единого конгломерата из лучших наработок государственной и негосударственной экспертиз.
Анатолий Плотников, генеральный директор ООО «Союзпетрострой-Эксперт»:
– Организации негосударственной экспертизы всегда готовы к изменениям, да и корректировки законодательства не заставляют себя долго ждать, а происходят постоянно. На мой взгляд, очередные нововведения, предусмотренные в законодательных поправках Минстроя РФ, должны повысить качество экспертных заключений. Конечно, это очередной раз встряхнет рынок негосударственных экспертиз. Но не это станет причиной ухода части компаний с рынка, а скорее сложная экономическая ситуация, снижение объема заказов. Отмечу, что на сегодня в Петербурге аккредитовано 37 организаций, имеющих право предоставления услуг по негосударственной экспертизе. При этом пока что это количество медленно, но продолжает увеличиваться. В заключение отмечу, что корректировка – это хорошо, но стабильность в нормативной документации не помешает.
Кстати:
Говоря о поправках по негосударственной экспертизе, министр строительства и жилищно-коммунального хозяйства РФ Михаил Мень подчеркнул, что государство не хочет монополизировать сферу экспертизы – конкуренция должна быть.