Мы начинаем серию публикаций «Истории о малом бизнесе», в рамках которой руководители компаний, формально относящихся к малому бизнесу, рассказывают о том, какую роль в их деятельности играет IT в целом и информационная защита в частности. Сегодня речь пойдёт о компании CineSoft, разработчике ERP-системы Cerebro. Этот программный пакет представляет собой систему проектного управления с самым широким набором инструментов для коллективной работы над визуальным контентом. Пользователями данного решения, соответственно, являются киностудии, телевизионные компании, производители рекламы и видеоигр.
Организация защиты данных в компаниях зависит практически полностью от того, кто в них работает, и от того, в каких отношениях сотрудники компании находятся с информационными технологиями. Логично, впрочем, предположить, что в компаниях, чья деятельность связана с IT, уровень защищённости будет выше, чем, например, в автосервисе. Будет ли он безупречен — вопрос открытый.
Компания CineSoft, разработчик программного обеспечения для производителей медиаконтента, представляет собой положительный пример, когда маленькая организация, насчитывающая всего девять сотрудников, демонстрирует крайне щепетильное отношение к защите IT-периметра, причём не только своего, но и клиентского.
— Наш основной продукт — это SaaS-сервис под названием Сerebro — система управления проектами по производству компьютерной графики и анимации. Кроме того, мы занимаемся разработкой и сопровождением других программ по «индивидуальным проектам», но все они так или иначе связаны с хранением и распространением медиаконтента, — говорит руководитель компании Константин Харитонов, — кинофильмов, видеороликов, фотографий, музыки. В нашем случае, например, Cerebro используется для хранения «разобранных» на фрагменты кинофильмов и мультфильмов, с которыми работают аниматоры и художники по спецэффектам. В других наших продуктах под медиаконтентом может подразумеваться что-то другое. Например, для компании Cinelab мы сделали две системы. Первая — это доставка новых кинофильмов и трейлеров посредством спутниковой связи в формате DCP (Digital Cinema Package) в российские кинотеатры. Вторая система — это программа каталогизации и хранения кино- и видеоархивов, где под медиаконтентом понимаются не только сами кинофильмы и трейлеры, но и постеры, звуковые дорожки на разных языках. В общем случае, медиаконтент — это изображение и звук.
По словам Харитонова, их клиентам приходится иметь дело с колоссальными объёмами данных. Например, один кадр кинофильма в «промышленном» качестве «весит» 12 Мб; таких кадров должно быть 24 в секунду, то есть готовый полуторачасовой кинофильм занимает 1,5 Тб. Система Cerebro адаптирована под работу (включающую передачу данных на расстояние) именно с таким объемом информации.
Помимо этого, присутствует и работа с личными данными пользователей:
— Cerebro хранит персональные данные пользователей — ФИО, телефоны, email-адреса. Ее база данных содержит метаданные по файлам и проектам. Но при этом сами файлы большинства пользователей хранятся на их локальных серверах, — поясняет Харитонов. — Более того, Cerebro может поставляться не только как «облачное» и «гибридно-облачное» SaaS-решение, но и как классическая клиент-серверная система, которая размещается целиком на стороне компании-клиента. Кстати, более половины наших клиентов выбрали именно эту конфигурацию.
Работа с данными требует их защиты. В этом отношении в CineSoft демонстрируют серьёзный подход. По словам Константина Харитонова, резервное копирование данных, в частности, осуществляется в двух физически разделенных локациях. Данные (персональные и часть метаданных) шифруются как при хранении, так и при передаче (метаданные и файлы) при помощи протокола SSL; передача файлов происходит по собственному бинарному протоколу с опциональным подключением SSL и пользовательских сертификатов.
Что касается информационных угроз, то, по словам Харитонова, против них принимаются «разумно достаточные» меры. На серверной стороне — это аккуратная работа с фаерволлом, VPN, SSL-ключи для удаленного администрирования без пароля, защита от перебора паролей. На клиентской стороне — это генерация паролей при первом входе, сброс сохраненного пароля каждую неделю на десктопном клиенте, возможность авторизации без пароля с использованием Active Directory, политики паролей, SSL и пользовательские сертификаты для шифрования передачи метаданных и файлов.
— Абсолютно защищенных систем не существует в природе, поэтому любой разработчик должен понимать тот уровень, который соответствует экономической ценности тех данных, которые нужно защищать, — говорит Харитонов. — Излишняя степень защищенности вредит удобству пользователей, ну, а про недостаточный уровень, думаю, особо рассказывать не нужно. Поэтому мы пытаемся выдерживать разумный баланс между степенью защиты и удобством работы пользователей.
При этом на вопрос, как он оценивает вероятность целенаправленной атаки на инфраструктуру CineSoft, Харитонов отметил, что она довольно низка, так как в этом нет значимой финансовой выгоды для потенциальных злоумышленников.
— Метаданные по проектам не представляют для них особой ценности, а кинодубли с обнаженной Анжделиной Джоли хранятся на локальных серверах пользователей. К ним невозможно получить доступ посредством кибератаки. Кроме того, значительная доля пользователей предпочитают полностью локальные инсталляции, и тогда у нас вообще нет никаких данных о них. В общем, никакого смысла нас атаковать я не вижу.
Как показывает практика, хакеров не слишком интересует, как их потенциальные жертвы оценивают вероятность кибератаки на них: если у кого-то есть какая-то интеллектуальная собственность или, ещё лучше, чужие личные данные, то такая компания уже представляет интерес для злоумышленников. Киберпреступники также понимают, что обычно малые компании, полагающие, что они слишком малы, чтобы интересовать хакеров, пренебрегают сколько-нибудь серьёзной защитой своей инфраструктуры.
К CineSoft это, естественно, не относится. Сотрудники компании — это IT-профессионалы высшего разряда, которые, по выражению Харитонова, если «не имели б совести, были бы хакерами». Так что сомневаться в защищённости и надёжности их флагманской разработки не приходится.
Однако в других случаях подход в стиле «мы не интересны хакерам, потому что мы маленькие», часто приводит к тому, что хакеры успешно злоупотребляют самонадеянностью сотрудников компании. После этого компании приходится тратить время и деньги (довольно большие). Согласно выводам исследования основных корпоративных рисков, недавно проведённого «Лабораторией Касперского» и B2B International, успешная кибератака может обходиться крупной компании в сумму до 2,4 млн. долларов прямых и косвенных потерь. Вред для малого бизнеса, соответственно, меньше, однако и потеря 92 тысяч долларов (такова, в среднем, сумма ущерба от кибератаки на некрупную компанию), может привести к краху всего дела.
Всё это говорит о том, что разумнее и, в конечном счёте, экономнее исходить из того, что вероятность направленной атаки на любую компанию, даже небольшую, значительно отличается от нуля, и следует загодя принимать защитные меры.