Информационная безопасность строительных компаний под угрозой
Информационная эра, в которую все человечество – кто быстрее, кто медленнее – постепенно входит, отличается тем, что главной ценностью, в значительной мере определяющей успех во всех сферах деятельности, в том числе и в бизнесе, становится информация. А это означает, что ее защита приобретает особое значение.
Аналитики «СёрчИнформ» провели ежегодный анонимный опрос российских компаний с целью оценить уровень информационной защиты и подход к вопросам IT-безопасности. В исследовании приняли участие 1024 человека: начальники и сотрудники подразделений, занимающихся информационной безопасностью, эксперты отрасли и руководители организаций из коммерческой (74%), государственной (23%) и некоммерческой сфер (3%). Исследование охватило многие сегменты экономики, в том числе и строительство.
Актуальный вопрос
Все более активное вторжение цифровых технологий во все сферы человеческой жизни приводит к тому, что информация, владение ею и доступ к ней становятся все более ценным ресурсом. А значит, растет и угроза злоупотреблений в этой сфере – от нецелевого использования оборудования до воровства данных, составляющих коммерческую тайну. И чем шире распространяются информационные технологии, тем актуальнее становится проблема.
«По мере развития технологий все больше процессов переводится в «цифру». Это и внутренние бизнес-процессы компании, и ее взаимодействие с потребителями и партнерами. Поэтому вопрос IT-безопасности с каждым годом только актуальнее во всех сферах: и защита персональных данных клиентов, и электронный внутренний документооборот, и внедрение облачных технологий для управления строительными проектами, – то, что в последние годы реализовано у нас в компании», – отмечает директор по маркетингу Группы RBI Михаил Гущин.
С ним соглашается директор департамента IT Becar Asset Management Роман Блонов. «Оцениваю актуальность проблемы информационной безопасности как архиважную. Получить доступ к информации – значит получить доступ ко всем коммерческим тайнам, личным и деловым договоренностям. Также может иметь место прямой убыток от удаленного подключения к тем или иным мощностям. В эпоху расцвета криптовалют ряд компаний столкнулся с удаленным взломом и установкой майнеров на корпоративные компьютеры и серверы», – говорит он.
Исследование «СёрчИнформ» показало, что 72% строительных компаний России столкнулись с утечками информации в 2018 году. «По данным за 2018 год, рост выявленных нарушений в сфере IT-безопасности в стройкомплексе составил около 11% по сравнению с предыдущим годом. И тренд этот характерен, по крайней мере, последние четыре года, с тех пор, как мы начали мониторить ситуацию в строительной отрасли. Год от года острота проблемы растет: 4% и 11% на начало и конец наблюдений, соответственно», – рассказывает руководитель отдела технической аналитики компании «СёрчИнформ» Алексей Парфентьев.
По его словам, это связано с двумя основными факторами. «Во-первых, с развитием информационных технологий активно развивается и возможность злоупотреблений в этой сфере. Во-вторых, необходимость сэкономить на программном обеспечении, оборудовании, зарплате персонала и прочем приводит к использованию бесплатных облачных платформ, привлечению исполнителей в рамках аутсорсинга. Такой подход, конечно, создает дополнительные риски в сфере IT-безопасности, поскольку уменьшает возможности контроля над оборотом информации», – резюмирует эксперт.
Отраслевая специфика
По словам Алексея Парфентьева, в обеспечении IT-безопасности строительство имеет свою специфику. «Бухгалтерия, продажи, кадры – эти бизнес-процессы функционируют как в любой другой отрасли экономики. Но есть целый пласт специфических конфиденциальных данных. Это техническая и маркетинговая информация с очень длительным циклом подготовки, и ее раскрытие раньше определенных сроков может подорвать целые проекты. Поэтому наибольшее количество запросов о создании отраслевых политик безопасности, настройке систем под конкретного заказчика в сфере строительства касается защиты именно этих данных. Вне зависимости от того, идет ли речь о разработке архитектурного проекта или плана продвижения, плана ценообразования, маркетинговых материалов – требуется не допустить распространения информации раньше намеченного срока. Компаниям нужно защищать данные, которыми сотрудники оперируют в главных рабочих системах: CRM, TaskTracking, бухгалтерском программном обеспечении (ПО), ПО для двухмерной и трехмерной графики, софте для составления смет и прочем», – говорит эксперт.
«Специфика информационной безопасности в строительной сфере заключается в масштабах и ответственности, ведь зданием пользуется большое количество людей. Доступ к информации об особенностях конструктива и инженерии объекта может позволить злоумышленникам, например, проще взламывать систему контроля доступа», – добавляет Роман Блонов.
А вот по мнению Михаила Гущина, нельзя сказать, что девелоперский бизнес в этом смысле специфичен и заметно отличается от какого-то другого бизнеса сопоставимых масштабов.
Воруют всё
Согласно данным исследования «СёрчИнформ», сведения о наиболее частых инцидентах информационной безопасности подтверждают, что традиционные для отрасли риски в виде создания боковых и откатных схем, торговли конфиденциальной информацией по-прежнему очень актуальны. По данным, полученным из опроса, в 2018 году чаще всего утекала коммерческая информация: данные о клиентах, сделках и партнерах, внутренняя бухгалтерия. Эти утечки в сумме составляют 50% всех инцидентов. Еще в 21% случаев утекала техническая информация.
«Но несмотря на то, что в строительной отрасли проблема утечки информации стоит очень остро, главной проблемой остается воровство материальных ресурсов, а не кража данных. Прежде всего, это корпоративное мошенничество при закупках. Так как объемы этих закупок в строительной сфере огромны, они открывают такие же огромные возможности для «договорных» отношений между сотрудниками компаний и контрагентами», – отмечает Алексей Парфентьев.
В «Группе ЛСР» сообщили, что исключили возможность таких проблем, создав собственную открытую электронную торговую площадку. «Стать максимально открытыми в области закупок товаров – важнейшая часть политики нашей компании по ведению бизнеса. Собственная электронная площадка позволит постоянно находить новых качественных контрагентов, даст им возможность войти в пул постоянных подрядчиков и поставщиков «Группы ЛСР» и обеспечит честную конкуренцию среди них. На сайте площадки размещены полный список запросов на товары и услуги предприятий «Группы ЛСР» во всех регионах присутствия компании и требования к потенциальному подрядчику. С помощью нового сервиса можно легко отследить статус проведения тендера, узнать план закупок, задать интересующий вопрос», – рассказали в компании.
Что касается других инцидентов, чаще всего компании сталкиваются с использованием сотрудниками ресурсов компании в личных целях (40%), попытками откатов (24%). Почти поровну распределились ответы о фактах организации боковых схем продаж (10%) и работы в пользу конкурентов (14%).
«Заметная проблема – использование внутренних ресурсов компании для личных целей – начиная от банального выполнения заказов (проектов и т. п.) для другой структуры на рабочем месте, что, в общем, компании особого вреда не наносит, и заканчивая использованием производственных мощностей для выпуска продукции «налево», с оплатой исполнителю. Эти риски в строительной сфере гораздо заметнее, поэтому чаще, чем в других отраслях, специалисты по безопасности смещают вектор мониторинга с технических угроз на «человеческий фактор». Поэтому здесь универсальность современных DLP-систем, их способность решать сразу множество проблем играет заказчикам на руку», – рассказывает Алексей Парфентьев.
Среди нарушителей в строительстве, в отличие от других сфер, велико число руководителей – на их долю приходится 33% инцидентов. Среди нарушителей чаще всего встречаются менеджеры отдела снабжения. Второе и третье место занимают бухгалтеры (финансисты) и помощники руководителя.
Во избежание всяческих…
В принципе, по оценке экспертов, современный рынок предлагает необходимые инструменты для обеспечения информационной безопасности. «Сегодня есть и квалифицированные специалисты, и технические решения, способные обеспечить нужный уровень защиты данных», – говорит Михаил Гущин.
«Мы используем многоуровневый контроль за идентификацией пользователей, разделение доступов к информации, шифрование переписки, защиту внешнего периметра сети, шифрованные каналы коммуникации, регулярно обновляемые серверы, ПО, антивирусную защиту», – рассказывает Роман Блонов.
По словам эксперта, конечно, полностью исключить инциденты невозможно, но им можно эффективно противодействовать. «Однажды доступ к серверу корпоративной IP-телефонии получили злоумышленники и направили через наш сервер свои звонки. Так как была установлена FROD-защита, после превышения определенного объема трафика его передача была прервана, поэтому урон был относительно небольшим», – рассказал он.
Алексей Парфентьев говорит, что компаниям необходимо обеспечить хотя бы минимальную защиту от информационных рисков. «На мой взгляд, главная задача, которую необходимо решить, – это обеспечить прозрачность обращения данных внутри инфраструктуры. Необходимо четкое понимание, на каких ресурсах находится критично важная информация и кто имеет право доступа к ней, кто реально работает с этой информацией, как и с какой целью она циркулирует по сетевым каналам. Это первый шаг в сфере IT-безопасности, который необходим всем, в том числе и небольшим компаниям в сфере строительства и недвижимости. Крупным структурам нужны, конечно, более серьезные системы. И в целом, по моему опыту, они этими вопросами не пренебрегают, располагая всеми необходимыми инструментами в этой сфере», – отмечает специалист.
Но есть и некоторые системные проблемы. «К сожалению, в строительстве нет отраслевых стандартов обеспечения IT-безопасности, таких, как действуют в органах государственной власти или каких Центробанк требует от коммерческих банков. Да, существует федеральный закон, который, в общем, все должны выполнять. Но за его нарушения предусмотрены минимальные штрафы. И многим компаниям проще их заплатить, чем тратиться на системы безопасности», – говорит Алексей Парфентьев.
НОВОСТИ ПО ТЕМЕ:
Включить «автопилот». Современные технологии позволяют ускорить строительство
Новая цифровая платформа Rocket Group поможет и властям, и девелоперам
Управляющие компании устранили нарушения по раскрытию информации
Только три саморегулируемые организации на Северо-Западе прошли проверку Ростехнадзора в 2015 году без претензий со стороны надзорного органа. Остальные СРО получили штрафы на сумму 415 тыс. рублей. На минувшей неделе стороны встретились в формате очной ставки, чтобы понять, как оптимизировать процесс проверки саморегуляторов.
Практика проведения проверок строительных саморегулируемых организаций Петербурга Северо-Западным управлением Ростехнадзора обсуждалась на минувшей неделе в рамках заседания круглого стола под эгидой координатора НОСТРОЙ по Санкт-Петербургу. В мероприятии приняли участие руководители и специалисты контрольных отделов СРО.
Как рассказала консультант межрегионального отдела правового обеспечения Северо-Западного управления Ростехнадзора Наталия Григорьева, по состоянию на 1 октября 2015 года на территории Российской Федерации зарегистрировано 506 саморегулируемых организаций, в том числе 272 «строительные» СРО, 194 СРО проектировщиков и 40 СРО инженерных изыскателей. На подотчетной Северо-Западному управлению территории работают 94 СРО, 70 из которых зарегистрированы в Санкт-Петербурге, 12 – в Ленинградской области. В реестре этих СРО числятся более 45,4 тыс. компаний.
Статистика надзора
По словам представителя ведомства, 2015 год отличается повышенным вниманием Ростехнадзора к деятельности саморегуляторов. Так, по итогам восьми месяцев управление провело 57 проверок, в 2014 году их было только 35. При этом ведомство увеличило как плановые проверки (14 против шести в 2014 году), так и внеплановые (43 против 29). Основаниями для проведения внеплановых стали обращения и заявления третьих лиц (шесть визитов), информация региональных властей (четыре), поручения федерального центра (пять) и 27 актов проведены в целях контроля исполнения выданных ранее предписаний.
«В результате проведенных проверок всего у трех саморегулируемых организаций мероприятия прошли без выявленных нарушений. К сожалению, все остальные СРО, в отношении которых проводилась проверка, допустили те или иные ошибки», – рассказала госпожа Григорьева. Среди основных претензий Ростехнадзора – нарушения при формировании и размещении средств компенсационного фонда (выявлено у 36% СРО). Речь идет в первую очередь о привлечении третьих лиц (агентов) при размещении компфондов на депозитах. Кроме того, общим собранием не всегда обозначен порядок формирования компенсационного фонда и не определены возможные способы размещения средств фонда. 67% проверенных СРО допустили нарушения информационной открытости. Эти организации не разместили в Интернете обязательную информацию или разместили с нарушением требований по обеспечению доступа к этим документам и информации. У одной СРО по результатам проверки вообще не обнаружилось собственного сайта.
Кстати, на вопрос из зала о правах СРО на доменное имя госпожа Григорьева однозначно ответила: сайт должен быть зарегистрирован на организацию. Никакие аренды домена не пройдут.
Наконец, подавляющее большинство СРО (85%), как выяснил Ростехнадзор, нарушают порядок выдачи, замены и приостановления действия свидетельств о допуске. Например, часто СРО вопреки закону производят аннулирование свидетельств, а затем эти же допуски с этими же номерами снова появляются в реестре, в случае приостановления свидетельств на 60 дней СРО «забывают» возобновлять их, и дальнейший статус допуска той или иной строительной компании неизвестен. Многие саморегуляторы в нарушение ст. 55.6 ГрК РФ выдают свидетельства, не дожидаясь полной уплаты взноса в компенсационный фонд. «Это легко прослеживается, поскольку есть платежное поручение с отметкой банка, и понятно, что если свидетельство выдано ранее, мы можем ставить нарушение», – говорит представитель ведомства. СРО далеко не всегда осуществляют контроль за деятельностью своих членов, либо проверки со стороны контрольных отделов идут с нарушением установленных сроков. Все эти нарушения вылились в 30 дел об административных правонарушениях, возбужденных по результатам проверок. Большая часть дел заведена из-за неразмещения СРО необходимых документов. Шесть дел касаются неисполнения организацией ранее выданных предписаний. В итоге сумма начисленных штрафов за восемь месяцев 2015 года составила 415 тыс. рублей. При этом северо-западные СРО свои штрафы платят исправно, отметила госпожа Григорьева.
Спрос с банков
Опираясь на накопленный опыт проверок, Ростехнадзор предложил внести ряд изменений в действующее законодательство. Так, в ведомстве предлагают установить административную ответственность за нарушение СРО требований действующего законодательства в части нарушений порядка выдачи свидетельств и размещения средств компфонда, законодательно закрепить правопреемство по обязательствам членов саморегулируемых организаций при смене членства в СРО.
Еще один важный аспект – Ростехнадзор хочет получить возможность запрашивать у банков информацию о размещении средств компенсационных фондов. Кроме того, ведомство считает необходимым четко определить порядок и сроки прекращения членства в саморегулируемой организации, а также закрепить порядок перехода средств компфондов, исключенных из реестра СРО, от НОСТРОЙ к тем саморегулируемым организациям, в которые вновь вступает юридическое лицо, утратившее допуск к работам.
Вопросы СРО
У представителей саморегулируемых организаций на мероприятии возникла к Ростехнадзору масса вопросов. Начали с безобидных. Член совета НОСТРОЙ, директор НП «РОССО-ДОРМОСТ» Кирилл Иванов заявил, что сейчас, фактически, формируется культура проведения проверок, и поинтересовался, какие условия нужно создать для специалистов ведомства. Удобно ли большую часть документооборота предоставлять в электронном виде?
По словам госпожи Григорьевой, те, кто уже проходил проверку, особых трудностей в подготовке к приему сотрудников Ростехнадзора не испытывают.
Как правило, к плановым мероприятиям готовятся тщательно, что экономит время обеим сторонам. «В запросе к СРО мы указываем все интересующие нас материалы. На бумаге мы принимаем учредительные документы, документы о размещении компфондов и решения общего собрания, остальное принимаем в электронном виде, но с обязательной защитой носителей», – рассказала Наталия Григорьева.
В свою очередь, координатор НОСТРОЙ по Санкт-Петербургу, генеральный директор НП «Объединение строителей СПб» Алексей Белоусов поинтересовался, может ли Ростехнадзор запрашивать у банков данные о размере компенсационных фондов не на дату проверки (поскольку такие выписки СРО может купить и «нарисовать» там любую цифру), а на произвольный период, например оперативную сводку о состоянии компфонда полгода назад. Однако оказалось, что подобную практику в Ростехнадзоре не ведут.
Президент СРО НП «СОЮЗПЕТРОСТРОЙ-СТАНДАРТ» Виктор Нестеров посетовал, что часто за нарушение в Ростехнадзоре принимают обидные технические ошибки. Например, некорректное название компании в тексте решения общего собрания и в реестре.
Участники заседания круглого стола также попросили представителя ведомства прояснить ситуацию по поводу обязанности СРО хранить и предоставлять при проверке документы на бумажных носителях. Ведь в соответствии с законодательством такую документацию организации должны хранить не более трех лет. Госпожа Григорьева ответила, что такие ситуации случаются и что в этом случае саморегулируемая организация просто должна дать письменные пояснения о непредоставлении документов. Тогда административных действий в ее адрес не последует.
В итоге представители СРО попросили Ростехнадзор составить методическое пособие для саморегуляторов по подготовке к прохождению проверок. Было решено, что СРО подготовят вопросы к Ростехнадзору, которые не успели сформулировать к заседанию круглого стола, и вместе с ответами надзорного органа информация также будет размещена в методичке. Кроме того, представители СРО изъявили желание направить в адрес ведомства предложения по оптимизации работы с Ростехнадзором.
Смольный повышает размеры предельной стоимости всех видов работ по капремонту жилья на 2016 год – работы по «внутрянке» растут в цене до 84%, по ремонту крыш – до 35%, фасадов – до 57%. В Фонде капремонта надеются избежать ситуации весны 2015 года, когда подрядчики массово проигнорировали конкурсы на ремонт кровель из-за девальвации рубля.
О пересмотре предельной стоимости работ по капремонту общего имущества в многоквартирных домах «Строительному Еженедельнику» рассказал глава Фонда капремонта Денис Шабуров. «Сметы у нас считались в прошлом году, и из-за девальвации рубля экономика таких работ никак не складывалась, но впоследствии предельная стоимость была изменена соответствующим постановлением правительства», – рассказал глава фонда. Топ-менеджер имеет в виду провал конкурсных процедур по ремонту кровель в 2015 году. К маю, когда рабочий сезон был в самом разгаре, фонду удалось найти подрядчиков только на 107 адресов, а конкурсы по 337 адресам на сумму более 700 млн рублей были перенесены из-за отсутствия заявок. По мнению подрядчиков, сметы, составленные по «старому» курсу, не отвечают их ожиданиям по рентабельности. Девальвация рубля и невыгодные сметы явились, по сути, одной из причин увольнения с поста генерального директора фонда Дмитрия Локтаева, заслужившего несколько публичных выговоров от губернатора. А на минувшей неделе за сорванные сроки ремонта крыш досталось и главе Жилкомитета Валерию Шияну. Губернатор назвал недопустимым вхождение в отопительный сезон с раскрытыми кровлями. Сейчас программа капремонта по кровлям выполнена только на 63,8%, почти на 200 домах ремонт завершен только наполовину.
Трубы и крыши
Как рассказали в фонде, повышение стоимости работ в основном связано с повышением ставок на оплату труда основных рабочих, а также с повышением прогнозного уровня инфляции на 2016 год с учетом индекса-дефлятора, разработанного Минэкономразвития РФ. Процент повышения стоимости работ в итоге составил от 5 до 84% в зависимости от типа многоквартирных домов и видов работ. Больше всего сметы выросли в части работ по теплоснабжению – от 29 до 84%, горячему и холодному водоснабжению – от 18 до 74%, водоотведению – от 34 до 57% и фасадам – от 16 до 57%. Газовикам денег выделили меньше – рост сметной стоимости составил только 5%. По большей части увеличение финансирования касается зданий дореволюционной постройки, а также «сталинок» и «хрущевок». К примеру, если в 2015 году ремонт систем теплоснабжения в дореволюционном доме стоил 1,5 тыс. рублей за 1 кв. м, то в 2015 году он оценивается в 2,1 тыс. рублей, в «хрущевках» стоимость растет быстрее – с 1,5 тыс. рублей за «квадрат» до 2,8 тыс. рублей. Хороший рост показали и расценки на ремонт крыш (от 13 до 35%). Верхняя планка роста смет – по дореволюционным зданиям (3,1 тыс. рублей за 1 кв. м в 2015 году против 4 тыс. рублей в 2016-м) и другим зданиям постройки до 1980 года. Отметим, те конкурсы, которые фонду все-таки удалось провести в 2015 году, были разыграны в основном в спальных районах, где кладется мягкая кровля. Идти класть кровлю в Центральный и Адмиралтейский районы не захотел никто. При этом в Фонде капремонта уверяют: указанные расценки не окончательные. Так, в середине 2015 года СПб ГБУ «Центр мониторинга и экспертизы цен» значительно увеличило индексы пересчета в текущие цены заработной платы рабочих и машинистов (индекс вырос с 14,7 до 17,2). «Фонд выступил с предложением по их актуализации, оно частично поддержано Жилкомитетом, работа в этой области сейчас ведется. Планируется, что в итоге размеры предельной стоимости на 2016 год повысятся еще на 10-15%», – говорят в фонде. Кроме того, в организации обещают сократить количество объектов в лоте, чтобы могли прийти компании малого и среднего бизнеса.
Плясать от старых цен
При расчете стоимости работ по капремонту Жилищный комитет взял за основу цены 2013 года, и индексы в сметах стоят соответствующие, объясняет генеральный директор ООО «Водостройпроект» Сергей Иванов. Речь идет прежде всего о заложенной в сметы стоимости строительных материалов – с 2013 года цены на трубы с защитным слоем выросли на 50%, железо, кровля, штукатурка подорожали на 70-80% и т. д. «Жилищный комитет делает благое дело, они пытаются хоть как-то выровнять этот перекос и подогреть интерес со стороны строителей. Но сметы поднимают относительно данных 2013 года, а не относительно существующих цен. Увеличение сметы на 15-20% от цен двухлетней давности не интересно вообще никому. Это заведомо убыточные для подрядчиков работы», – уверен господин Иванов. По его словам, стройматериалы нужно рассчитывать не по смете, а исходя из реальной ситуации на рынке и цен на продукцию на текущий момент. Эти закупки, по словам эксперта, подрядчики готовы подтверждать счетами-фактурами и накладными. Только в этом случае можно ожидать интереса к конкурсам со стороны строителей.