версия для печати
Зрелость потребителя ИБ в России: деградация или прогресс?

Зрелость потребителя ИБ в России: деградация или прогресс?

Рынок средств защиты от несанкционированного доступа и утечек информации, равно как и антивирусных средств пережил в кризисный период не самые лучшие времена. Похоже, отечественный потребитель ИБ-решений еще недостаточно зрел, чтобы отдавать себе отчет в необходимости первоочередной защиты своего бизнеса.

По данным аналитиков один из основных показателей зрелости потребления ИБ – четкое понимание ценности информационных активов и адекватность применяемых мер к их защите. Когда есть понимание, что защищать и кому это нужно, поставлены цели и задачи, можно приступать к внедрению систем защиты. Сотрудники современных  компаний максимально мобильны; устройства, которыми они пользуются, лишь отчасти  можно контролировать средствами штатных  защитных решений. Поэтому зрелого ИБ-клиента от незрелого отличает то, что первый знает, что информацию нужно защищать вне зависимости от того, где и на каком устройстве она находится.

Для безопасности важно не то, какое устройство находится в сети или какова степень его защиты и пр., а то, чья информация хранится на нем. Если это корпоративная информация, ее нужно защищать - вот почему именно сейчас особое значение приобретают гибкие, не требовательные к ресурсам технологии защиты, способные работать и на сервере, и на десктопе, и на личном смартфоне, и в облаке. Очевидно, что запрещать личные мобильные устройства в корпоративной сети сегодня бессмысленно, однако можно сделать так, чтобы корпоративная информация хранилась и обрабатывалась на этих устройствах в защищенном режиме – особенная виртуальная среда с контролем движения данных, с ограничением на запуск определенных приложений и действий.

Инсайдеры остаются головной болью

Зрелость заказчика ИБ применительно к организациям зависит также и от сотрудников. Так, например, компания Sailpoint Technologies в 2011 г. провела исследование, имеющее опосредованное отношение к вопросам обеспечения информационной безопасности предприятий, защиты от несанкционированного доступа к данным. Аналитики оценивали лояльность сотрудников компаний корпоративной этике при работе с информацией ограниченного использования.

Исследование, проведенное на территории США, Великобритании и Австралии, показало: из 3,5 тыс. опрошенных сотрудников (по сути -инсайдеров) достаточно большое количество могут и готовы украсть секретную информацию у своих компаний: 22% в США, 29% в Австралии, около половины респондентов в Великобритании. При этом 5% опрошенных в США, 4% в Австралии и 24% в Великобритании продали бы информацию своей компании с целью личного обогащения.

Эти впечатляющие результаты коррелируют с выводами аналогичного исследования, охватившего более 2 тыс. участников и проведенного в апреле 2011 г. корпорацией Symantec совместно с сообществом "Профессионалы.ру" на территории России. В нем отразилось то, как сотрудники отечественных компаний обращаются с внутренней информацией. Согласно опросу, около 70% работников "выносят" деловую информацию, 68% используют социальные сети в процессе работы, а 56% готовы вынести не просто корпоративную, но информацию с атрибутами ограниченного доступа.

Типы сотрудников-инсайдеров

Тип сотрудников Доля сотрудников
Сотрудники, которые могут подвергнуть компрометации корпоративную вычислительную сеть, не подозревая об этом 24%
Сотрудники, которые игнорируют базовые требования безопасности, при этом осознавая степень угрозы 22%
Сотрудники, которые вошли в группу тех, кто преследует собственные корыстные цели 7%
Сотрудники, которые достаточно аккуратно обращаются с коммерческой тайной 47%

Источник: Sailpoint Technologies, 2012

С точки зрения службы безопасности компаний, где регламенты очень строги, – банков, транспортных служб, госсектора, выводы неутешительны, поскольку инсайдеры и сотрудники с низким уровнем осознания личной ответственности, компетентности, профессиональной подготовки продолжают одолевать службы ИБ. Поэтому зачастую службы ИБ идут по пути запретов, демонстрируя на сегодняшний день полную несостоятельность и незрелость. Повышается уровень ограничений при работе в КИС, уменьшаются области доступа, отключаются все "лишние" устройства, интерфейсы и шлюзы. Эффективность этих мер оценить сложно, поскольку расследование преступлений, связанных с хищением информации, в России затруднено - отсутствуют судебные прецеденты по фактам инсайда.

Другая мировая  тенденция - постоянный рост убытков  от утечек информации, в первую очередь - персональных данных. В России такой  ущерб оценить очень трудно, но, похоже, что он не растет или увеличивается очень медленно. Зато возрастают риски, связанные с нарушением требований регулирующих органов по защите персональных данных.

Голова над поверхностью

"Запретительная" политика не учитывает, что некоторая доля рисков в процессе эксплуатации КИС возникает не только из-за несанкционированных действий, но и в случае непреднамеренных ошибок сотрудников. Они также могут привести к несанкционированному изменению информации и причинить ущерб организации. Соответственно, непонимание подобного также влияет на степень зрелости заказчика ИБ, особенно если это делается намеренно, принимая в расчет лояльность сотрудников, профессионализм службы защиты информации и сравнительно невысокую для России стоимость нейтрализации последствий инцидентов.

Поэтому помимо внедрения технических и программных средств, необходимы комплексные меры предупредительного характера. Они позволяют информировать служащих о недопустимых действиях с информацией ограниченного использования. Хороши все средства: законодательные инициативы, в арсенале которых административное (уголовное) преследование, корпоративные – в виде материального поощрения (наказания) и недопущение совершения сотрудником специфических операций с участием средств вычислительной техники. Последнее случается даже не злонамеренно, а просто потому, что есть возможность обработки данных в домашних или других условиях. Тут вполне могут помочь различные программные и аппаратные решения, в том числе средства защиты информации от несанкционированного доступа.

Значительную часть вопросов по ИБ могут разрешить новейшие программные и аппаратные технологии и комплексы. Можно использовать такие решения, как системы контроля и управления доступом (СКУД), биометрический контроль доступа сотрудников к информационным ресурсам банка, усиление систем аутентификации дополнительными элементами: многофакторная аутентификация, система управления учетными записями, централизация доступа пользователей ко всем информационным системам банка.

Экономика защиты

Параметр экономии Рублей в год Часов в год на пользователя, в соответствии с применением технологии строгой аутентификации
Доступ пользователя к рабочему столу Windows 598 1,8
Доступ пользователя в ИТ-системы 2992 8,8
Периодическая смена пароля учетной записи Windows 17 0,05
Периодическая смена пароля учетных записей ИТ-систем 85 0,25
Блокировка рабочего стола Windows 149 0,44
Инцидент "Забытый пароль" учетной записи Windows 119 0,34
Инцидент "Забытый пароль" учетной записи ИТ-системы 119 0,34
Post Single Sign-On Automation 498 1,5
Итого на одного пользователя в год 4 580 13,52
Итого на всех пользователей в год 9 159 133 27 040

* Примечание: Параметры в левой колонке таблицы – периодические мероприятия ИТ-служб, на которых возможна экономия средств. В правой – результаты этой экономии при использовании одного из продуктов в течение одного года

Источник: Indeed, 2012

Решение о внедрении средств ИБ-защиты у зрелого заказчика в России и в мире сегодня должно диктоваться не потребностью в закрытии локальных задач, а на уровне безопасности бизнес-процесов и бизнес-приложений. Еще десять лет назад ИБ не диктовала технологических требований, являясь просто одним из ограничений. Сегодня же есть примеры, когда крупные ИТ-проекты реализуются "вокруг" ИБ. Безопасность сегодня представляет собой из ключевых показателей ведения бизнеса, а в некоторых случаях и конкурентное преимущество. Бизнес становится все более "ИТ-зависимым", географически распределенным и интегрированным. Грамотное управление ИТ-рисками не только позволяет сократить операционные расходы, но и в целом стратегически укрепить свои позиции в будущем. Решения с затрудненной эксплуатацией обходятся слишком дорого, поскольку достижение результата становится очень сложным.

По этой причине ИБ будет следовать за тенденциями развития бизнеса и ИТ, которые поддерживают этот бизнес. Уже сейчас на бизнес-уровне ИБ обеспечивает коммерческую тайну, борется с мошенничеством, приобретает юридическую значимость.

На уровне ИТ вопросы ИБ поднимаются в связи с виртуализацией, развитием мобильных технологий, удаленного доступа и т.д. При этом разные отрасли экономики диктуют определенную специфику. К примеру, в ТЭК и промышленности возрастет внимание к защите технологических сетей. По существу, интерес к ИБ неизбежно станет осознанной необходимостью. Технологии развились настолько, что есть принципиальная возможность реализовать почти любую идею, но не все, что можно реализовать, делается безопасным образом. К примеру, на Западе, к различным сетям подключают объекты инфраструктуры: от системы контроля трафика до энергетических подстанцийс возможностью удаленного управления. Инстинкт самосохранения - один из самых сильных, но прежде, чем он сработает в области ИБ, люди должны осознать возможные последствия увлечения возможностями современных ИТ и созреть до их настоящего применения.

Анатолий Ковалевский

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS