Информационная безопасность строительных компаний под угрозой
Информационная эра, в которую все человечество – кто быстрее, кто медленнее – постепенно входит, отличается тем, что главной ценностью, в значительной мере определяющей успех во всех сферах деятельности, в том числе и в бизнесе, становится информация. А это означает, что ее защита приобретает особое значение.
Аналитики «СёрчИнформ» провели ежегодный анонимный опрос российских компаний с целью оценить уровень информационной защиты и подход к вопросам IT-безопасности. В исследовании приняли участие 1024 человека: начальники и сотрудники подразделений, занимающихся информационной безопасностью, эксперты отрасли и руководители организаций из коммерческой (74%), государственной (23%) и некоммерческой сфер (3%). Исследование охватило многие сегменты экономики, в том числе и строительство.
Актуальный вопрос
Все более активное вторжение цифровых технологий во все сферы человеческой жизни приводит к тому, что информация, владение ею и доступ к ней становятся все более ценным ресурсом. А значит, растет и угроза злоупотреблений в этой сфере – от нецелевого использования оборудования до воровства данных, составляющих коммерческую тайну. И чем шире распространяются информационные технологии, тем актуальнее становится проблема.
«По мере развития технологий все больше процессов переводится в «цифру». Это и внутренние бизнес-процессы компании, и ее взаимодействие с потребителями и партнерами. Поэтому вопрос IT-безопасности с каждым годом только актуальнее во всех сферах: и защита персональных данных клиентов, и электронный внутренний документооборот, и внедрение облачных технологий для управления строительными проектами, – то, что в последние годы реализовано у нас в компании», – отмечает директор по маркетингу Группы RBI Михаил Гущин.
С ним соглашается директор департамента IT Becar Asset Management Роман Блонов. «Оцениваю актуальность проблемы информационной безопасности как архиважную. Получить доступ к информации – значит получить доступ ко всем коммерческим тайнам, личным и деловым договоренностям. Также может иметь место прямой убыток от удаленного подключения к тем или иным мощностям. В эпоху расцвета криптовалют ряд компаний столкнулся с удаленным взломом и установкой майнеров на корпоративные компьютеры и серверы», – говорит он.
Исследование «СёрчИнформ» показало, что 72% строительных компаний России столкнулись с утечками информации в 2018 году. «По данным за 2018 год, рост выявленных нарушений в сфере IT-безопасности в стройкомплексе составил около 11% по сравнению с предыдущим годом. И тренд этот характерен, по крайней мере, последние четыре года, с тех пор, как мы начали мониторить ситуацию в строительной отрасли. Год от года острота проблемы растет: 4% и 11% на начало и конец наблюдений, соответственно», – рассказывает руководитель отдела технической аналитики компании «СёрчИнформ» Алексей Парфентьев.
По его словам, это связано с двумя основными факторами. «Во-первых, с развитием информационных технологий активно развивается и возможность злоупотреблений в этой сфере. Во-вторых, необходимость сэкономить на программном обеспечении, оборудовании, зарплате персонала и прочем приводит к использованию бесплатных облачных платформ, привлечению исполнителей в рамках аутсорсинга. Такой подход, конечно, создает дополнительные риски в сфере IT-безопасности, поскольку уменьшает возможности контроля над оборотом информации», – резюмирует эксперт.
Отраслевая специфика
По словам Алексея Парфентьева, в обеспечении IT-безопасности строительство имеет свою специфику. «Бухгалтерия, продажи, кадры – эти бизнес-процессы функционируют как в любой другой отрасли экономики. Но есть целый пласт специфических конфиденциальных данных. Это техническая и маркетинговая информация с очень длительным циклом подготовки, и ее раскрытие раньше определенных сроков может подорвать целые проекты. Поэтому наибольшее количество запросов о создании отраслевых политик безопасности, настройке систем под конкретного заказчика в сфере строительства касается защиты именно этих данных. Вне зависимости от того, идет ли речь о разработке архитектурного проекта или плана продвижения, плана ценообразования, маркетинговых материалов – требуется не допустить распространения информации раньше намеченного срока. Компаниям нужно защищать данные, которыми сотрудники оперируют в главных рабочих системах: CRM, TaskTracking, бухгалтерском программном обеспечении (ПО), ПО для двухмерной и трехмерной графики, софте для составления смет и прочем», – говорит эксперт.
«Специфика информационной безопасности в строительной сфере заключается в масштабах и ответственности, ведь зданием пользуется большое количество людей. Доступ к информации об особенностях конструктива и инженерии объекта может позволить злоумышленникам, например, проще взламывать систему контроля доступа», – добавляет Роман Блонов.
А вот по мнению Михаила Гущина, нельзя сказать, что девелоперский бизнес в этом смысле специфичен и заметно отличается от какого-то другого бизнеса сопоставимых масштабов.
Воруют всё
Согласно данным исследования «СёрчИнформ», сведения о наиболее частых инцидентах информационной безопасности подтверждают, что традиционные для отрасли риски в виде создания боковых и откатных схем, торговли конфиденциальной информацией по-прежнему очень актуальны. По данным, полученным из опроса, в 2018 году чаще всего утекала коммерческая информация: данные о клиентах, сделках и партнерах, внутренняя бухгалтерия. Эти утечки в сумме составляют 50% всех инцидентов. Еще в 21% случаев утекала техническая информация.
«Но несмотря на то, что в строительной отрасли проблема утечки информации стоит очень остро, главной проблемой остается воровство материальных ресурсов, а не кража данных. Прежде всего, это корпоративное мошенничество при закупках. Так как объемы этих закупок в строительной сфере огромны, они открывают такие же огромные возможности для «договорных» отношений между сотрудниками компаний и контрагентами», – отмечает Алексей Парфентьев.
В «Группе ЛСР» сообщили, что исключили возможность таких проблем, создав собственную открытую электронную торговую площадку. «Стать максимально открытыми в области закупок товаров – важнейшая часть политики нашей компании по ведению бизнеса. Собственная электронная площадка позволит постоянно находить новых качественных контрагентов, даст им возможность войти в пул постоянных подрядчиков и поставщиков «Группы ЛСР» и обеспечит честную конкуренцию среди них. На сайте площадки размещены полный список запросов на товары и услуги предприятий «Группы ЛСР» во всех регионах присутствия компании и требования к потенциальному подрядчику. С помощью нового сервиса можно легко отследить статус проведения тендера, узнать план закупок, задать интересующий вопрос», – рассказали в компании.
Что касается других инцидентов, чаще всего компании сталкиваются с использованием сотрудниками ресурсов компании в личных целях (40%), попытками откатов (24%). Почти поровну распределились ответы о фактах организации боковых схем продаж (10%) и работы в пользу конкурентов (14%).
«Заметная проблема – использование внутренних ресурсов компании для личных целей – начиная от банального выполнения заказов (проектов и т. п.) для другой структуры на рабочем месте, что, в общем, компании особого вреда не наносит, и заканчивая использованием производственных мощностей для выпуска продукции «налево», с оплатой исполнителю. Эти риски в строительной сфере гораздо заметнее, поэтому чаще, чем в других отраслях, специалисты по безопасности смещают вектор мониторинга с технических угроз на «человеческий фактор». Поэтому здесь универсальность современных DLP-систем, их способность решать сразу множество проблем играет заказчикам на руку», – рассказывает Алексей Парфентьев.
Среди нарушителей в строительстве, в отличие от других сфер, велико число руководителей – на их долю приходится 33% инцидентов. Среди нарушителей чаще всего встречаются менеджеры отдела снабжения. Второе и третье место занимают бухгалтеры (финансисты) и помощники руководителя.
Во избежание всяческих…
В принципе, по оценке экспертов, современный рынок предлагает необходимые инструменты для обеспечения информационной безопасности. «Сегодня есть и квалифицированные специалисты, и технические решения, способные обеспечить нужный уровень защиты данных», – говорит Михаил Гущин.
«Мы используем многоуровневый контроль за идентификацией пользователей, разделение доступов к информации, шифрование переписки, защиту внешнего периметра сети, шифрованные каналы коммуникации, регулярно обновляемые серверы, ПО, антивирусную защиту», – рассказывает Роман Блонов.
По словам эксперта, конечно, полностью исключить инциденты невозможно, но им можно эффективно противодействовать. «Однажды доступ к серверу корпоративной IP-телефонии получили злоумышленники и направили через наш сервер свои звонки. Так как была установлена FROD-защита, после превышения определенного объема трафика его передача была прервана, поэтому урон был относительно небольшим», – рассказал он.
Алексей Парфентьев говорит, что компаниям необходимо обеспечить хотя бы минимальную защиту от информационных рисков. «На мой взгляд, главная задача, которую необходимо решить, – это обеспечить прозрачность обращения данных внутри инфраструктуры. Необходимо четкое понимание, на каких ресурсах находится критично важная информация и кто имеет право доступа к ней, кто реально работает с этой информацией, как и с какой целью она циркулирует по сетевым каналам. Это первый шаг в сфере IT-безопасности, который необходим всем, в том числе и небольшим компаниям в сфере строительства и недвижимости. Крупным структурам нужны, конечно, более серьезные системы. И в целом, по моему опыту, они этими вопросами не пренебрегают, располагая всеми необходимыми инструментами в этой сфере», – отмечает специалист.
Но есть и некоторые системные проблемы. «К сожалению, в строительстве нет отраслевых стандартов обеспечения IT-безопасности, таких, как действуют в органах государственной власти или каких Центробанк требует от коммерческих банков. Да, существует федеральный закон, который, в общем, все должны выполнять. Но за его нарушения предусмотрены минимальные штрафы. И многим компаниям проще их заплатить, чем тратиться на системы безопасности», – говорит Алексей Парфентьев.
НОВОСТИ ПО ТЕМЕ:
Включить «автопилот». Современные технологии позволяют ускорить строительство
Новая цифровая платформа Rocket Group поможет и властям, и девелоперам
Управляющие компании устранили нарушения по раскрытию информации
Из-за отзыва лицензий у ряда банков на их счетах зависло около 8 млрд рублей компенсационных фондов СРО. По мнению экспертов, из-за блокировки этих денег напрямую страдают строительные компании и в конечном итоге покупатели квартир. Один из возможных вариантов решения проблемы – страхование.
Ассоциация СРО «Содружество Строителей» совместно с Союзом строительных объединений и организаций провели заседание круглого стола, посвященное последствиям банкротства кредитных учреждений для СРО. Специалисты пришли к выводу, что сформировавшаяся нездоровая тенденция отзыва лицензий у банков грозит остановкой всего строительного комплекса.
«Замороженные» миллиарды
По словам представителей строительного рынка, в настоящее время известно как минимум о 40 отраслевых СРО, пострадавших от банкротства кредитных организаций. Однако, по неофициальным данным, их больше, так как не все СРО поддерживают политику информационной открытости. Суммарный объем средств, зависших на банковских счетах, по оценке экспертов, составляет более 7-8 млрд рублей.
Специалисты напоминают, что основная цель компенсационных фондов СРО – выплата денежных средств в случае причинения вреда третьим лицам по вине строительной компании – члена СРО. По закону компфонд должен размещаться в банке на счетах для юридических лиц. Однако если вклады физлиц размером до 1,4 млн рублей застрахованы, то счета юрлиц нет. Денежные средства в случае банкротства кредитной организации можно потребовать через суд, взыскание будет удовлетворяться в порядке третьей очереди кредиторов, если у банка имеются активы.
Сложившаяся ситуация, полагают специалисты, несет в себе угрозу дальнейшему развитию института саморегулирования в сфере строительства. В частности, если компенсационный фонд отсутствует или его размер менее установленного законом, у надзорных органов имеются все законные основания для исключения саморегулируемой организации из государственного реестра. При этом свидетельства о допуске к определенным видам работ, выданные строительным организациям – членам СРО, признаются недействительными, и деятельность организации оказывается парализованной. Получается, считают эксперты, ответственность за недобросовестных банкиров перекладывается на плечи строительных компаний, и, как следствие, на всех потребителей их услуг – заказчиков и покупателей жилой недвижимости, то есть физлиц.
Юрист НП «Союз строителей нефтяной отрасли Северо-Запада» Валентина Скляр рассказала о сотрудничестве организации с банком «Советский», в котором несколько дней назад было введено внешнее управление. «С банком «Советский» мы сотрудничаем более пяти лет. До последнего времени никаких вопросов у нас к банку не возникало. Однако в феврале у кредитной организации по открытым отчетностям заметили существенное снижение активов. Обеспокоенные такими показателями банка, мы пытались привлечь внимание к данной статистике надзорных органов. Однако своими обращениями только разозлили руководство банка, которое отказалось выдавать наши денежные средства», – отметила специалист.
Юрист НП СРО «Инжспецстрой-Электросетьстрой» Ирина Исаева сообщила о заморозке средств их компенсационного фонда в банке «Российский кредит». Он входил в топ-50 самых устойчивых банков, но в июле этого года неожиданно стал банкротом. «Мы не успели ничего предпринять, о банкротстве кредитной организации узнали из сообщения ЦБ в СМИ. Наша СРО считала «Российский кредит» достаточно надежным, в том числе потому что часть средств в нем размещал и НОСТРОЙ», – подчеркнула она.
(Не)страховой случай
По мнению вице-президента по СЗФО Российского Союза строителей Олега Бритова, уже давно назрела необходимость решения вопроса сохранения компенсационных фондов саморегулируемых организаций. Он отметил, что из-за блокировки денежных средств в банках страдают не только СРО, но и их члены – строительные организации. Одним из возможных вариантов решения проблемы, по его мнению, является страхование.
Представитель Ассоциации СРО «Содружество Строителей» Сергей Бабелюк, возглавляющий рабочую группу экспертного совета НОСТРОЙ по работе над законопроектом, направленным на урегулирование последствий банкротства банков для СРО, рассказал участникам заседания круглого стола, что в настоящее время разрабатывается проект поправок в Гражданский кодекс, позволяющий страховать коллективную ответственность членов СРО и ответственность самих СРО.
«Данный законопроект направлен на обеспечение выплат возмещения вреда в условиях объективной невозможности использования компенсационных фондов СРО вследствие отзыва лицензии у банка или признания его банкротом. Размер страховой суммы должен быть не менее суммы средств компенсационного фонда, замороженных в банке-банкроте, а страховая защита – распространяться в том числе и на случаи причинения вреда, произошедшие до заключения соответствующего договора страхования», – подчеркнул Сергей Бабелюк.
Между тем присутствующий на заседании директор САО «ГЕФЕСТ – Санкт-Петербург» Анатолий Кузнецов усомнился в возможности появления и работоспособности данного страхового механизма. И отметил, что даже если данный законопроект будет принят, вряд ли СРО потянут такую страховку, так как она будет очень дорогой.
«Во-первых, финансовые риски у нас никто не страхует в том виде, в котором это видят представители СРО, так как это неэффективно и дорого. Во-вторых, сам страховой рынок тоже трясет. Количество игроков сокращается, в том числе из-за необходимости увеличения уставного капитала. Если сейчас на рынке работает около 300 компаний, то в ближайшие годы, скорее всего, останется только 60. Таким образом, СРО могут просто выкинуть деньги на ветер», – считает страховщик.
По словам Анатолия Кузнецова, представителям саморегулируемых организаций и страховщикам необходимо несколько раз собраться вместе и обсудить возможные варианты выхода из данной затруднительной ситуации. Только в этом случае, полагает он, возможно будет сдвинуться с мертвой точки.
В соответствии с Конституцией
Представители некоторых СРО, выступивших на заседании круглого стола, считают, что необходима не только страховая защита компенсационных фондов, но и активная поддержка решения данного вопроса со стороны властей. Как отметил директор НП КСК «СОЮЗПЕТРОСТРОЙ-СТАНДАРТ» Федор Малковский, государство и НОСТРОЙ обязаны защитить СРО от случаев, когда компенсационный фонд заморожен, а возможно, и разворован руководством кредитной организации.
«К сожалению, я пока не вижу какой-то заинтересованности в разрешении данной проблемы правительственными чиновниками. Но все равно необходимо искать пути выхода из тупика. В том числе через Конституционный суд. Только Конституция является основным законом РФ, поэтому если мы не нарушали этого закона, государство обязано нам будет компенсировать утраченные средства»,– считает Федор Малковский.
По словам специалиста, Конституционный суд должен встать на сторону представителей СРО. Вынесенное судебное решение станет прецедентным для разрешения аналогичных вопросов с другими саморегулируемыми организациями и банками.
Также члены ряда СРО высказали предложения о создании официального списка кредитных организаций, в которых должны размещаться средства компфондов СРО. Составить его должен НОСТРОЙ. Правда, некоторые специалисты усомнились в том, что банки из «белого списка» полностью будут нерисковые. Кроме того, ограниченный список кредитных организаций может привлечь внимание антимонопольных органов, полагают они.
Кстати:
С 9 по15 ноября Центробанк лишил лицензий четыре российских банка. Это Русский славянский банк (РСБ 24), Региональный банк развития (РБР), Региональный банк сбережений (РБС) и Межрегионбанк.
Рынок жилищного строительства Петербурга начинает приходить в себя после октябрьской революции в 214-ФЗ, оставившей на рынке страхования ответственности застройщиков лишь несколько компаний. Крупный бизнес смог выбить у страховщиков нужные ставки, а вот малый и средний спасет лишь пересмотр системы страхования, уверены эксперты.
Почти месяц потребовался петербургским строителям, чтобы выбраться из коллапса, вызванного поправками в ФЗ № 214 «Об участии в долевом строительстве», вступившими в силу 1 октября. Изменения коснулись требований к уставному капиталу компаний, работающих на рынке страхования договоров долевого участия. С 1 октября работать позволено лишь компаниям с уставным капиталом не менее 1 млрд рублей. В итоге без страхового обеспечения Росреестр просто остановил процесс регистрации сделок с недвижимостью по договорам долевого участия.
В списке Центробанка есть всего 19 подходящих под новые требования компаний, а реально занимаются страхованием только 3-4 организации. Среди них участники рынка называют такие компании, как «Ринко», «Меско», «Евро-Полис». При этом ставка у них разнится от 0,3 до 1,75%. «Остальные компании не занимаются страхованием ответственности по ДДУ. Причины две: первая – очень высокие риски, и связано это в первую очередь с прозрачностью деятельности компаний-застройщиков, вторая причина – отсутствует рынок перестрахования рисков», – говорит заместитель председателя Комитета по взаимодействию застройщиков и собственников жилья ОМОР Российского Союза строителей Константин Пороцкий. «Эти несколько компаний выстроились в очередь к крупным застройщикам, а некрупные застройщики, не входящие в первую десятку, выстроились в очередь к этим четырем страховщикам. Все ходят по кругу друг за другом и по одному «прорываются» и «подписываются», – рассказал генеральный директор компании «Петрополь» Марк Лернер. По его данным, несколько компаний уже решили для себя этот вопрос. Но счет идет на единицы, а только в Петербурге работают порядка 200 строительных компаний.
Эту информацию подтверждает и генеральный директор СРО НП «Объединение строителей Санкт-Петербурга» Алексей Белоусов: «Ряд наших питерских застройщиков уже договорился и вышел к страховщикам, которые предложили им приемлемые тарифы». Официально же первым объектом в Петербурге, в котором возобновляется регистрация сделок в Росреестре после вступления в силу поправок к 214-ФЗ, стал ЖК «Екатерининский» компании «Мегалит». Застраховался застройщик у «Меско».
Самая актуальная проблема – ограничение Центробанка по объему страхования: не более 30% капитала компании (в среднем 300 млн рублей), то есть страховка покрывает только 100 квартир по 3 млн рублей, комментирует господин Белоусов. «А в Петербурге ежемесячно регистрируется 3 тыс. ДДУ. То есть объем страхового покрытия должен составлять не менее 9 млрд рублей. Таких возможностей у страховщиков просто нет», – рассказал эксперт.
По словам Константина Пороцкого, всего в стране работают около 4 тыс. застройщиков, емкость рынка примерно составляет около 3 трлн рублей. Застройщики отдают за страховку 1,7%, то есть суммарно более 50 млрд рублей. «Кроме того, какая или какие страховые компании, в том числе ОВС, готовы взять на себя риск страхования всего объема рынка?» – задается вопросом господин Пороцкий. По словам экспертов, искусственное сужение рынка было введено для того, чтобы принудить застройщиков к использованию либо банковских гарантий и проектного финансирования, а это значит работать с кредитами под 15-18% годовых, либо вступать в Общество взаимного страхования застройщиков. Впрочем, оба эти инструмента кажутся экспертам сомнительными.
«В явном виде прослеживается попытка направить застройщиков в некое ОВС, за которым стоят известные всем личности, в том числе депутаты Госдумы, что наводит на вопросы о прямом лоббировании интересов этого ОВС», – говорит Марк Лернер. При вступлении в общество нужно внести членский взнос – 1 млн рублей, что для региональных застройщиков является внушительной суммой. «Мы спрашивали лоббирующего ОВС депутата Хинштейна: что вы будете делать с рушащимся СУ-155, которое состоит в обществе? Он молчит. В ОВС за год собрали 500 млн рублей, а у компании долгов на сотни миллиардов. Да и в принципе недострой из 3-4 домов – это уже несколько миллиардов. А отвечать должны все члены общества – скидываться и достраивать объекты этого жулика?» – рассуждает господин Белоусов. Сейчас в ОВС 176 компаний, и ни одной из Петербурга.
Участники рынка и эксперты предлагают сразу несколько путей выхода из ситуаци. В «Объединении строителей СПб» предлагают создание специального агентства по страхованию рисков в долевом строительстве. Предполагается создать фонд страхования, куда все застройщики будут перечислять единый взнос для страхования рисков неисполнения своих обязательств. Похожую схему предлагают и в Российском Союзе строителей. По словам господина Пороцкого, необходимо создать специальные ассоциации застройщиков, на резервные счета которых строители будут отчислять 0,5-2% от стоимости каждой проданной квартиры. Средства данного счета идут на то, чтобы в ситуации возникновения трудностей у застройщика завершать недостроенные объекты строительства. Но все эксперты сходятся в одном: нужно срочно ввести мораторий на уже запущенные с 1 октября требования к страховым компаниям и не выдвигать никаких новых инициатив до Нового года.