Во-первых, необходимо обеспечить более эффективное обучение и накопление знаний. Условиями быстрой сходимости и эффективность процесса накопления знаний (обучения) является полный доступ к:
– исходной информации, используемой для накопления знаний, всех субъектов, участвующих в бизнесе организации;
– уже накопленным знаниям, опыту и частично обработанной информации.
Во-вторых, преимущество можно получить, мешая другим организациям (как конкурентам, так и союзникам) и субъектам получать нужные знания путем соответствующих информационных воздействий. Здесь в основном два пути.
Навязать заведомо ложную либо существенно неполную, искаженную, но во всех случаях правдоподобную информацию. Чем ее больше, тем лучше, поскольку в этом случае облегчается прогноз поведения противоборствующей стороны. Неправильные прогноз и целеполагание, выполненные противоборствующей стороной и основанные на известной нам (навязанной) ложной информации, снимут часть неопределенностей в прогнозе для своего бизнеса и организации.
Скрыть свой опыт. Накопление знаний противоборствующей стороной требует информации, и чем больше ее получат противоборствующие субъекты, тем лучше они смогут построить свой прогноз. Отсюда следует необходимость минимизировать выходящую за пределы организации информацию, и в первую очередь должна быть минимизирована информация о целях.
Это не что иное, как один из элементов информационного противоборства. Основная его опасность в том, что он наиболее эффективно действует именно на систему управления – основную сущность бизнеса. Это та область, где информационная атака может существовать самостоятельно, а не как вспомогательное средство для атак в других базисах (экономических, финансовых, юридических и т. п.).
Отметим, что классическое информационное противоборство не предполагает наличия каких-либо правил, ограничивающих действия сторон. Однако бизнес-сообщество должно иметь (и, как правило, имеет) свои «правила игры», определяющие некоторую этику поведения, т. е. что можно, а что нельзя. Основой таких правил может служить, например, общая корпоративная цель у кредитных организаций, в отрасли и т. п. Другой пример – введение ограничений на возможность разрушения чужих целей. Маскирующая информация только должна скрывать свои цели (подобно ограничениям на рекламу товаров). Законодательная база в нашей стране слабо регулирует эту область.
В-третьих, получить преимущество можно, используя чужие (украденные) знания. Теоретически чужие знания могли бы быть полезны в двух аспектах:
– для прогноза состояния противоборствующего субъекта;
– для использования в своей деятельности.
Располагая общедоступной информацией и зная методы, методики, алгоритмы ее использования и обработки можно с достаточной точностью предсказать будущее поведение субъекта бизнеса (организации). Этот аспект использования чужих знаний не вызывает особых сомнений, и полезность получения информации о чужом опыте неоспорима.
Что касается использования чужих знаний в своей деятельности, то этот вопрос весьма спорен. Многочисленные примеры, в том числе исторические, свидетельствуют, что воспользоваться чужими знаниями в своей деятельности не удается. Это обусловлено тем, что знания – сильно структурированная информация, которая может правильно интерпретироваться и эффективно использоваться только соответствующей инфраструктурой (включая «мозги» субъектов, работающих в организации). Чтобы воспользоваться чужими знаниями надо «украсть» (или купить) всю инфраструктуру. Если вместо этого создавать свою (под чужие знания), то будет упущено время, противодействующая сторона уйдет вперед и получит преимущество в бизнесе.
Теперь остается поставить себя на место конкурента, который также желает получить для себя преимущества, и получим основные уязвимости процесса самообучения.
Во-первых, полный доступ к информации, знаниям и опыту организации, обеспечивающий эффективное самообучение, сам по себе является одновременно уязвимостью. Реально во всех организациях внутренняя информация, хотя бы неформально, категорируется по степени важности и ограничениям в доступе и доступ к чувствительной информации как-то регулируется. Вторая уязвимость, связанная с эффективностью, – уже обсуждавшаяся общая информационная культура работы с информационной сферой организации. Чтобы персонал организации мог своевременно получить доступ к нужной ему адекватной и точной информации, она должна быть соответствующим образом организована.
Во-вторых, перед принятием решений по крупным бизнес-проектам велик риск создания и навязывания конкурентами потоков ложной и маскирующей информации, возможно, по нескольким независимым каналам. Эта угроза усугубляется специально созданным (конкурентами же) дефицитом времени или другими условиями (например, атакой на доступность серверов с базами данных), не позволяющими проверить достоверность этой информации или затрудняющими эту проверку. Отметим, что активность конкурентов, скорее всего, нельзя будет назвать злоумышленной, они просто пытаются взять свое, реализовать свой бизнес, о существовании вашей организации и ее участии в бизнесе они даже могут и не знать.
В-третьих, всегда есть риск, что данные, принадлежащие организации, будут похищены или она будет поставлена в условия, когда будет вынуждена хотя бы частично их предоставить, например, участвуя в конкурсах и тендерах на выполнение проектов. Защититься от использования ваших знаний конкурентами в своей деятельности, включая противодействие утечке через переманивание персонала, можно за счет децентрализации знаний. Защититься от использования вашей информации в других целях значительно сложнее. Как правило, это инсайдерская информация. Наиболее опасны менеджеры высшего уровня, владеющие большим объемом особо ценной информации. В любом случае угроза хищения данных тем больше, чем более доступна чувствительная для организации информация. Таким образом, есть противоречие с эффективностью накопления знаний, где важно, чтобы знания были всем одинаково доступны.
Низкий ресурсный порог информационных воздействий, а также то, что информация ничего не стоит до момента ее использования, существенно понижают психологический порог субъектов и усиливают их склонность к нарушениям (несоблюдению правил) в информационном мире. Это усугубляет ситуацию и увеличивает риск реализации угроз хищения и информационного противоборства.
1.1.4. Определение информационной безопасности
Постепенное осознание факта, что информационное воздействие на бизнес-процесс (на управление им) может быть эффективнее, чем материальное или финансовое воздействие, а также низкий ресурсный порог таких воздействий превращают информационное противоборство в главный инструмент выживания и конкурентной борьбы. А это, в свою очередь, выводит на первый план роль информационной безопасности, которая должна быть неразрывна с бизнесом.
Под информационной безопасностью (ИБ) организации понимается состояние защищенности интересов (целей) организации в условиях угроз в информационной сфере.
Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений. Рассмотрим основные свойства информационной сферы, важные с точки зрения ИБ.
1.2. Материальные и нематериальные (информационные) аспекты бизнеса
1.2.1. Общая структура информационной сферы. Связь с материальным миром
Реальное управление активами организации в процессе реализации любого бизнеса осуществляется менеджментом на информационном уровне. Любые операции с материальными активами, как правило, сопровождаются параллельно выполняемыми операциями с их информационными описаниями или представлениями. Например, для основных средств организации при их приобретении такими представлениями являются товарные накладные, внутренние документы на оприходование, карточки учета основных средств, договоры на выполнение пусконаладочных работ, акты ввода в эксплуатацию основных средств и т. д.
Операции с материальными активами сопровождаются, как правило, финансовыми операциями, которые также отображаются на информационную сферу. Для нашего примера это оплата стоимости основного средства его продавцу или производителю по выставленным счетам, счета-фактуры, сопровождающие поставку изделия, с информацией для учета налога на добавленную стоимость, расчеты по договорам выполнения пусконаладочных работ и т. п. Эти операции выполняются с участием банковской системы, где также остаются информационные следы операций в виде информации о выполненных проводках.
Если материальные объекты всегда имеют в среде организации свой информационный образ, то у некоторых информационных объектов в материальном мире эквивалента нет. Это отношения между субъектами и отношения между субъектами и объектами материального мира. Например, таковым является право субъекта на объект – некоторая информационная сущность (правоустанавливающий документ), которая всеми признается. Предъявив эту информационную сущность, субъект может заполучить себе материальный объект.
Параллельное существование, движение и взаимодействие объектов в реальном (материальном) и информационном мире иллюстрируется моделью на рис. 3. Часть транзакций с объектами может происходить в материальном виде, а часть – в информационном. Частично это управление, а частично – транзакции с описаниями материальных объектов. При этом действия над материальными объектами сопровождаются, а в некоторых случаях заменяются, действиями над их описаниями. Например, одной из процедур может быть предъявление права на материальный актив в виде информационного объекта (правоустанавливающего документа), описывающего отношения владения между информационными представлениями объекта и субъекта. Материальный объект в этом случае никак не участвует в операции, он не подвергается никаким изменениям, может не перемещаться в пространстве, более того, может вообще не существовать в материальном мире, для выполнения операции достаточно иметь только его информационный образ.
Рис. 3. Взаимодействие материального и информационного миров
Понятно, что целенаправленная деятельность будет нормально осуществляться в том случае, если реальный мир и информационный мир адекватны друг другу. Однако полного их соответствия друг другу нельзя достичь даже теоретически, так как в реальном мире объект зависим от времени, он «стареет», подвергается изменениям, в то время как его описание, полученное в какой-то момент времени, остается далее неизменным. В этой связи могут возникать либо искусственно создаваться различного рода коллизии. Например, реально объект существует, а его информационные следы отсутствуют. В этом случае он может быть «безболезненно» нештатно изъят из системы «реальный информационный мир» и использован в других целях. Наоборот, наличие «избыточного» информационного образа приведет в конце концов к возможности или необходимости штатного изъятия реального объекта, которого на самом деле нет, что в свою очередь создаст дефицит ресурса, не позволит достичь поставленной цели.
Риск возникновения подобных коллизий есть свойство информационной сферы. Главный источник этого риска – сам бизнес, особенно если он большой и территориально распределенный. Наиболее вероятная угроза, связанная с реализацией рисковых событий, приводящих к коллизиям, – конфликт интересов внутри организации. Персонал организации и особенно субъекты ответственности, менеджеры верхнего и среднего уровней, имея цели, отличные от целей организации, могут использовать ее активы (информацию, материальные активы, ресурсы) в своих интересах.
Конкретная реализация таких угроз потребует, чтобы бизнес стал слабо детерминированным, что затруднило бы его проверку. Стохастическая составляющая бизнеса не может быть проверена, и очень плохо, если она большая в силу самой природы бизнеса. Наиболее легко придать бизнесу стохастический характер именно в информационной сфере, замаскировав информационные воздействия под естественную случайность. Целью информационных воздействий является в первую очередь ослабление контроля за счет создания иллюзии, что бизнес-процесс идет нормально и эффективно. Наиболее характерные примеры: искажение отчетности и лоббирование при принятии решений. В обоих случаях результатом, как правило, являются необоснованное увеличение (раздувание) активов и выделение («выколачивание») для «своего» подразделения организации избыточного ресурса. Избыточные активы и ресурс затем используются в своих интересах. Это всем известная схема превращения информации в материальную выгоду. Ущерб от конфликта интересов может значительно превосходить потери от злоумышленных действий, и, что страшнее, конфликт интересов реально приводит к потере управления.
Тенденции современного мира таковы, что бизнес, стремясь уменьшить издержки за счет ускорения процессов, все больше уходит в информационный мир, действия над материальными объектами во все большей степени замещаются действиями над их описаниями, т. е. над информацией. Эта тенденция и есть главный источник проблем информационной безопасности, поскольку в результате не только становятся возможными атаки с очень низким ресурсным и психологическим порогом их осуществления, но даже при отсутствии злоумышленных действий просто негативные свойства самой информационной сферы начинают отрицательно воздействовать на бизнес и приводить к серьезным потерям.
Говоря о свойствах информационной сферы, необходимо детализировать состав информационных объектов, входящих в нее. Для этого рассмотрим фрагмент структуры информационной сферы организации, показанный на рис. 4, где приведены наиболее характерные для современных организаций составные части:
– правовая среда бизнеса, находящаяся, как правило, за рамками конечных пользователей, предприятий и организаций;
– учредительная и лицензионная база организации (предприятия);
– специфичная информация бизнеса, которая, в свою очередь, может быть классифицирована на несколько видов, наиболее важные из них показаны в нижней части рис. 4.
Информационной основой деятельности менеджмента (см. рис. 4) является внутренняя отчетность организации и накопленные знания – аналитика и модели, систематизирующие и обобщающие информацию, необходимую для прогноза и принятия решения. Основная задача внутренней отчетности – предоставить руководству и менеджменту сжатую и своевременную информацию для быстрого и успешного принятия решений. Одновременно решается задача контроля в организации, начиная с контроля того, достигаются ли высокоуровневые, стратегические цели (бизнес-цели), и заканчивая контролем выполнения оперативно-тактических задач и контролем качества производимых продуктов.