Соломка для сервера
Уральские компании недостаточно защищены от ИТ-угроз. Барьеры — недопонимание важности информбезопасности, недофинансирование и невнимание к стратегическим решениям
В конце октября Лаборатория Касперского и компания B2B International (один из ведущих разработчиков антивирусного софта в мире) опубликовали результаты исследования «Информационная безопасность бизнеса» (построено на основе анкетирования 3 тыс. ИT-специалистов из 22 стран мира, включая Россию). Основной итог — 45% российских специалистов включили киберугрозу в тройку наиболее серьезных бизнес-проблем (в остальном мире — 50%), причем 15% считают ее наиболее опасной. Деятельность виртуальных преступников уступает в списке угроз только экономической нестабильности (59% включили ее в тройку) и с заметным отрывом опережает другие проблемы. Конечно, считать это исследование адекватным отражением реальной ситуации нельзя, поскольку респондентами были CIO (chief information officer), а не CEO (chief executive officer). То есть ИТ-директора, а не генеральные. Тем не менее картинка показательна: проблемы в экономике постепенно уступают главенство в списке рисков безопасности бизнес-процессов.
Корпоративные короеды
— Самая опасная и одновременно самая распространенная угроза — действия инсайдеров в отношении конфиденциальной информации, — уверен руководитель направления информационной безопасности компании «КРОК» Михаил Башлыков. — Именно поэтому для большинства компаний на первом месте по актуальности стоит борьба с внутренними угрозами.
График 1 Топ-5 барьеров, мешающих эффективной борьбе с угрозами
График 2 Задачи ИТ-специалистов
Уральские ИТ-специалисты с ним в массе своей согласны (например, см. «Опасные люди», с. 24). Такое единодушие нельзя назвать ожидаемым. Российские ИТ-директора сталкиваются с вредоносным ПО и спамом (73% и 71% соответственно). Утечку информации в результате неосторожных или намеренных действий сотрудников встречали 39% отечественных CIO. Неудивительно: активность киберпреступников быстро растет. Лаборатория Касперского в 2011 году ежедневно обнаруживала в среднем около 70 тыс. новых вредоносных программ, в 2012-м — уже около 125 тысяч. При этом за год заметно возросло количество случаев потери критически важной для бизнеса информации из-за вирусных инцидентов (в 2011-м с этим столкнулись 20% опрошенных предприятий, в 2012-м — 25%).
Число спам-писем в почтовой рассылке постепенно уменьшается (71,5% по итогам третьего квартала 2012-го, в 2011-м в среднем было 73 — 78%). Но одновременно увеличивается доля вредоносных писем: в 2011-м было менее 3%, по итогам третьего квартала 2012-го — уже 4%.
Кроме того, мощно нарастает значение угроз, связанных с телеком-инфраструктурой. Глава екатеринбургского представительства компании Orange Business Services в России и СНГ Игорь Ильиных:
— К наиболее распространенным угрозам в Уральском регионе я бы отнес взлом голосового трафика и DDOS-атаки. В первом случае мошенники могут использовать международные телефонные линии за счет компании, а во втором — нанести значительный ущерб репутации предприятия или получить доступ к содержащимся на сайте конфиденциальным данным. DDOS-атаки — распространенный инструмент недобросовестной конкуренции. Защита от таких угроз особенно актуальна для банков, бирж, контент-провайдеров, СМИ.
Относительно новое веяние — угрозы, исходящие от мобильных устройств. Число планшетников и смартфонов в России растет по экспоненте. Популярность приобретают решения по удаленному доступу к корпоративной инфраструктуре, мобильному управлению бизнес-процессами. Судя по опросу Лаборатории Касперского, 19% ИТ-директоров (в мире — 29%) уже столкнулись с угрозами, которые связаны с кражей или потерей мобильного устройства. А число вирусов, например, для Android-гаджетов за 2011 год выросло в 200 раз.
Еще одна молодая угроза — «облачные вычисления». Многие уральские и российские управленцы уверены (это видно из анкет, которые несколько раз в год заполняют участники конференции CloudConf): использование инфраструктуры или ПО по этой модели может представлять опасность, и в первую очередь — в сфере сохранности конфиденциальной информации.
Конечно, угрозу информбезопасности несет новое законодательство. Точнее, регуляторы, которые в большинстве случаев выступают церберами. Показательный пример — ФЗ-152 «О персональных данных». Ответственные — Роскомнадзор, ФСТЭК и ФСБ. Полная защита — у подавляющего меньшинства предприятий, при желании нарушения можно найти даже у них.
Перевернутый мир
Ситуация усугубляется тем, что многие уральские компании откровенно слабы в сфере информбезопасности.
— В Уральском регионе наибольшую обеспокоенность проявляют банковские учреждения, поскольку значительное число их операций проходит через интернет, — констатирует Игорь Ильиных. — Сайт банка является не только источником информации о его деятельности, но и инструментом платежей для тысяч юридических и миллионов физических лиц. В случае серьезных сбоев его функционирования срывается большое количество транзакций, а банк терпит убытки. На этом фоне другие уральские предприятия, чей бизнес не столь тесно интегрирован с глобальной сетью, проявляют меньшую заботу о своей безопасности.
Заместитель руководителя Центра компетенции информационной безопасности компании «АйТи» Аркадий Прокудин привычно добавляет: «России присуще старое “авось”. Как следствие, зачастую можно встретить небольшие компании, которые экономят даже на антивирусном ПО, используя бесплатные решения с невысоким уровнем защиты».
Мнения подтверждаются статистикой Лаборатории Касперского: только 60% опрошенных считают свои компании более или менее защищенными (печально, что в 2011 году результат был тем же). От кражи интеллектуальной собственности недостаточно защищены 42% предприятий России, 41% уверены, что используемая ими система защиты инфраструктуры не способна пресечь попытки промышленного шпионажа.
Наиболее популярный тип защиты, конечно, антивирусная. (Еще один лидер — запреты на социальные сети, онлайн-игры, торренты и т.д.) А вот с современными инструментами сложно: отдельная политика безопасности для ноутбуков и съемных носителей, шифрование данных или независимый аудит ИБ непопулярны среди российских компаний.
Но даже не эти цифры — главные. Цимес — в ментальности российских ИТ-директоров и специалистов (ее можно смело экстраполировать на ментальность других управленцев). Наиболее актуальной для них задачей остается защита данных (так считает 41%). А предупреждение появления брешей в системе безопасности замыкает пятерку приоритетов. В мире же это вопрос номер один.
Аналогичная ситуация с контролем мобильных устройств, управлением жизненным циклом ИТ-систем и их безопасностью, изучением новых технологий. Разрыв с иностранными CIO — 6 — 9 п.п.
И еще одна интересная цифра — 21% российских компаний предпочитают решать проблемы уже после их возникновения. Странная политика, учитывая, что для защиты бизнеса и деловой репутации превентивные меры единственно эффективны.
Вывод очевиден: мировая сфера ИБ — история про будущее, российская — про текущий момент.
Буквально штрихами обозначим остальные препятствия для обеспечения качественной информбезопасности: непонимание вопросов ИТ со стороны генерального директора или распределителя бюджетов (некоторые руководители не считают киберугрозы опасными для бизнеса, потому их CIO уделяют больше времени другим ИТ-вопросам и задачам); жесткие бюджетные ограничения; нехватка квалифицированных кадров.
Safe mode
Хотя, будем справедливы, сравнивать Россию с развитыми странами не слишком корректно: отечественный ИТ-рынок — это лишь 1,5 — 2% мирового, его объем в 2011 году составил (по данным IDC) 32,1 млрд долларов. Для сравнения: в США — около 650 млрд рублей.
Позитивные моменты, конечно, есть. И главный из них — рост спроса на решения по ИБ. Этот сегмент в России в 2011 году увеличился, по оценке IDC, на 27,7% по сравнению с 2010-м.
— Это связанно с несколькими факторами, — рассуждает Михаил Башлыков. — Во-первых, летом 2011-го вступил в полную силу ФЗ «О персональных данных», а поскольку серьезными двигателями российского рынка информбезопасности являются требования регуляторов, введение этого закона естественным образом вызвало рост спроса на ИБ-решения. Также потребность в защите информации стала актуальнее из-за повышения интереса заказчиков к виртуализации и облачным вычислениям, увеличения популярности дистанционного банковского обслуживания.
Еще один позитивный тренд — стремление некоторых предприятий к комплексному подходу. Некоторые уральские интеграторы отмечают, что начинают проекты с аудита уязвимых мест в информсистемах и возможности интеграции средств защиты с существующими бизнес-приложениями. Управленцы хотят, чтобы эффект был максимален без существенных изменений в работе пользователей.
Оптимизм вызывает и еще один момент. Судя по опросу Лаборатории Касперского, в 2011 году 64% респондентов ответили, что уровень инвестиций в ИБ в их компании недостаточен. В 2012-м таких было всего 52%. Сравнение двух лет — не показатель, но скачок впечатляет.
Уральские ИТ-специалисты отмечают: сегмент ИБ в среднесрочной перспективе будет динамично расти. Их мнение подтверждает прогноз IDC: аналитики агентства уверены, что в ближайшие пять лет российский рынок программных продуктов обеспечения ИБ будет ежегодно в среднем увеличиваться на 18,6% и к 2016 году может достичь 700 млн долларов.
Дополнительная информация
Опасные люди
Пренебрежение информационной безопасностью грозит существенными финансовыми и репутационными рисками, считает руководитель проектов по защите информации «Контур-Безопасность», проекта компании «СКБ Контур», Александр Цыкарев
— Александр, какие угрозы на данный момент наиболее актуальны и опасны для бизнеса?
— На мой взгляд, это угроза утечки критичной информации по вине инсайдеров — собственных сотрудников, имеющих доступ к жизненно важным данным. Проблема появилась не вчера, она актуальна на протяжении многих лет. Однако именно в последние год-два ей уделяется пристальное внимание, так как широкое распространение получили средства защиты, предназначенные для минимизации этой угрозы, — различные DLP-решения.Также актуальными остаются угрозы, связанные с невыполнением требований ФЗ-152 «О персональных данных». Несмотря на то, что ФСТЭК и ФСБ сегодня не имеют права проверять коммерческие организации, существует механизм, когда эти ведомства в рамках проведения своих проверочных мероприятий может привлечь Роскомнадзор. Пока штрафы за невыполнение требований ФЗ-152 остаются на прежнем уровне, потери от этой угрозы значительно меньше, чем от воровства, скажем, базы клиентов. Хотя в ближайшее время санкции планируют существенно ужесточить.
— Какой ущерб несут дыры в информационной безопасности?
— Тема ущерба от утечек информации в России на данный момент весьма туманна, так как сами организации, в которых произошла кража, стараются не предавать такие случаи огласке.
С уверенностью мы можем говорить только о возможных рисках. Самые значительные из них — финансовые (связаны с упущенной выгодой в результате утечки критичной информации) и репутационные. В качестве примера можно привести шквал негативной информации, который возник вокруг МТС и Мегафона в связи утечкой персональных данных абонентов.
— На ваш взгляд, степень информзащиты уральских компаний достаточна?
— Сложно дать конкретный ответ на данный вопрос. Малый бизнес в большинстве своем практически не уделяет внимания вопросам информационной безопасности. Это связано с тем, что любые внедрения в данной сфере — дополнительные и довольно существенные затраты, эффект от которых сложно «пощупать» или перевести в денежный эквивалент. Зачастую руководители здесь ограничиваются лишь использованием антивирусных средств и максимум межсетевых экранов, поэтому о полноценной комплексной защите информации в данном случае речи не идет.
В среднем и крупном бизнесе картина иная. Во-первых, эти организации находятся под более пристальным надзором контролирующих органов. Во-вторых, у таких предприятий, как правило, стоимость защищаемой информации превышает цену реализации мероприятий по ее защите, что делает внедрение системы защиты как минимум экономически целесообразным. Правда, бизнес не всегда знает о существующих эффективных способах и предлагаемых решениях по информбезопасности.
— Какова стоимость внедрения различных решений по информбезопасности?
— Она зависит от целей, которых хочет достичь организация, и масштабов ИТ-инфраструктуры, подлежащей защите.
Если компания хочет пройти проверку Роскомнадзора на соответствие требованиям ФЗ-152, достаточно разработать комплект организационно-распорядительной документации и провести ряд организационных мероприятий. Стоить это будет от 20 тыс. рублей и выше в зависимости от размера организации, наличия филиалов и т.п. Если к проверке присоединится ФСТЭК или ФСБ, то уже потребуется применение специализированных средств защиты информации, и стоимость защиты вырастет в разы или десятки раз в зависимости от числа рабочих мест и серверов.
Стоимость специализированных DLP-систем по защите от утечек информации начинается от нескольких сотен тысяч рублей и может достигать нескольких миллионов. Все зависит от вендора, количества рабочих мест и серверов, а также особенностей информационных потоков в организации. DLP-система — не «коробочное» решение, для каждой организации ее необходимо подбирать индивидуально.