Информационная безопасность и бизнес. Цифры и факты

Информационная безопасность и бизнес. Цифры и факты

Илья Сачков, руководитель направления аудита информационной безопасности "КМБ-Банк", эксперт Group-IB

"Фиолетовая корова"

В бестселлере американского писателя Сета Година "Фиолетовая корова" основной мыслью является то, что современным потребителям некогда изучать рекламу и выискивать лучшее среди хорошего. В данной статье я буду оперировать цифрами и фактами, которые покажут, что Сет прав и по отношению к информационной безопасности.

В начале своей книги Сет рассказывает, как несколько лет назад он путешествовал с семьей по Франции, любуясь живописными пастбищами с сотнями коров на них, "будто сошедших со страниц сказки". На протяжении десятков километров они наблюдали эту живописную картину. Затем уже через 20 минут Сет с семьей перестали замечать этих коров. Новые коровы совсем не отличались от тех, которых они только что видели. То, чему они сначала удивлялись, стало совершенно обыденной вещью. Это стало утомительным. Картина со стадами и пастбищами всем наскучила. Это были породистые коровы на залитой солнцем зеленой поляне. Но они все равно не вызывали первоначального интереса. А что если хотя бы одна корова была бы фиолетовой? Это уже гораздо интересней. Суть фиолетовой коровы заключается в том, что она должна быть особенной, выдающейся. Эта ситуация полностью аналогична c ситуацией по информационной безопасности в России.

Западный рынок

Начиная примерно с 2000 г. производители и интеграторы решений по информационной безопасности путем раскручивания этого термина (запугиванием вирусами, хакерами, а в последнее время инсайдерами) увеличивали по отрасли объемы продаж практически в два раза в год: 2000 г. - 54%, 2001 г. - 52%, 2002 г. - 40%, 2003 г. - 45%, 2004 г. - 49%, 2005 г. - 55%, 2006 г. - 61%, 2007 г. - 58%. Удивительно, что точно такая же ситуация была в США, но со сдвигом на два года назад (погрешность 2%). Но вот что важно: спад отрасли информационной безопасности должен был случиться в США в 2006 г. Точнее, он уже начинался, когда на рынке появились DLP (data loss prevention systems) - решения от Guardian Edge, Ver-dasys, и далее за ними подтянулись другие гиганты рынка (McAfee и т.д.). Таким образом, американские компании получили свою "фиолетовую корову", и рынок был спасен. Рост доходов за последние два года составил 70%.

Ситуация в России

Что мы имеем в России: антивирусы, межсетевые экраны, блокираторы USB-портов (которые на практике подходят больше школам, нежели коммерческим и государственным структурам), системы обнаружения/предотвращения вторжений. Каждый год одно и то же. Одни и те же статьи под копирку про инсайдеров и угрозы информационной безопасности. На самом деле обратите внимание: большинство статей являются статьями "одной мысли", и эта мысль, к сожалению, не несет в себе ничего нового. Одни и те же скучные решения.

Для интеграторов внедрять скучные и устаревшие решения выгодней (если честно, то это обман клиентов), чем инвестировать деньги в разработку чего-то нового и действительно выдающегося или же элементарно следить за тем, что происходит на Западе. Хотя я говорю не совсем правду: есть и у нас DLP-ре-шения. Не называя вендора, опишу только реальное впечатление от работы системы по сравнению с западными аналогами: хороший маркетинг продаст все что угодно. Другой пример: DLP от McAfee. В этом году в России запущена пилотная версия, функционал которой устарел уже полгода назад. Новая же версия, поддерживающая шифрование (которая уже продается в США), появится в России максимум через год благодаря "инертности" интеграторов и российскому законодательству.

Где же аналитики?

Еще один интересный факт: общаясь с известными российскими маркетологами (не в области информационной безопасности), я неоднократно слышал интересный вопрос: "Почему у вас в безопасности в маркетинге работают в основном в направлении PR? А где настоящие аналитики? Маркетинг - это не реклама! Аналитика - это не чтение новостных лент". Правильно! Складывается впечатление, что большинство наших компаний работают в вакууме, читая новостные ленты в Рунете. Мы отличные технологи, но скучной аналитикой заниматься не хотим. Но эта скучная аналитика является сейчас одним из ключевых успехов развития любого дела.

Если российские производители и интеграторы не придумают что-то новое и действительно выдающееся, а также не займутся серьезной аналитикой, то бизнес в области информационной безопасности ждет своеобразный кризис и спад. Специалистам же в области информационной безопасности можно посоветовать уже сейчас обратить внимание на решения GuardianEdge, VerdaSys и SourceFire.

Комментарии экспертов

Владимир Ульянов, руководитель аналитического центра Perimetrix

Думаю, автор выразил мнение львиной доли российских "безопас-ников". Действительно, пустые разговоры об инсайдерах всех утомили, однако результат все же есть - компании ясно отдают себе отчет, что именно утечки являются наибольшей угрозой информационной безопасности (ИБ).

Что касается развития рынка ИБ, то вряд ли кто-то станет спорить, будто ситуация изменяется только благодаря активной пропаганде вендоров и интеграторов. Наоборот, смещение вектора угроз есть совершенно естественный ход развития. Сначала были актуальны такие угрозы, как хакеры и вирусы, затем спам, сейчас инсайдеры. И можно не сомневаться, что через несколько лет компании научатся успешно бороться и с утечками. Но появятся новые актуальные угрозы, о которых все только и будут говорить, но не будут знать, как с ними бороться.

Далее, системы DLP. Хороши они или плохи? Смотря что вы под DLP-системами подразумеваете и что от них хотите. Дело в том, что само понятие DLP в настоящее время весьма неоднозначно. Многие производители программного обеспечения в борьбе за покупателей используют популярный термин совершенно неправомерно. Если же отбросить все далекие от истинного DLP предложения, остается не так уж и много решений. Однако и тут не все гладко. Фактически все используемые на данный момент продукты класса DLP безнадежно устарели. Но не потому, что плохо сделаны, а потому, что концепции, заложенные в них, неверны.

Морфологический анализ - хорошо. Но это не более 80% точности выявления конфиденциальной информации при самой тщательной настройке. Цифровые метки - прекрасно. 100% точности, но с очень жесткими ограничениями и только для предварительно размеченных документов. Одни решения перекрывают трафик, другие блокируют USB-порты. Однако это все не то, это искусственное насаждение даже не безопасности, а просто ограничений. Вот таково "стадо" маститых "коров" в терминологии Сета Година.

И вот в этом "стаде" начинают заводиться "фиолетовые коровы", решения класса ИАС РСКД (информационно-аналитические системы режима секретности конфиденциальных данных). Эти системы отличает комплексность информационной защиты и тесная интеграция с бизнес-процессами конкретных организаций. Кто-то скажет, что ИАС РСКД - принципиально новый класс продуктов. Кто-то скажет, что это совершенная форма DLP. Важен не термин, а результат - безопасные бизнес-процессы.

Нет смысла говорить о насыщенности и будущем кризисе в области ИБ. Насыщенность антивирусами и межсетевыми экранами? Да. Спам-фильтрами? Да. Эти продукты есть практически у большинства фирм. Но в целом системы ИБ компаний очень уязвимы, насыщенностью и не пахнет. Даже относительно простое и понятное всем шифрование хранимых данных используется только в трети компаний. Да и кризиса не будет. Это гарантирует изменчивость самих угроз ИБ.

Алексей Чередниченко, технический консультант Symantec в России и СНГ

Важнейшим условием работы большинства современных организаций является обеспечение необходимого и достаточного уровня информационной безопасности (ИБ). Особенность организации, большая часть бизнес-процессов которой построена с использованием информационных и телекоммуникационных систем, такова, что последствия сбоев в работе отдельных компонентов этих систем могут привести к остановке и простоям в бизнесе, нанести значительный ущерб интересам собственников и клиентов. В случаях возникновения инцидентов ИБ значительно возрастает результирующий риск и вероятность материального ущерба, поэтому угрозы безопасности информационных активов представляют реальную опасность.

Для противостояния таким угрозам и для обеспечения эффективности мероприятий по ликвидации неблагоприятных последствий инцидентов ИБ следует внедрить систему управления данными инцидентами.

Грамотно спроектированная и внедренная система управления инцидентами ИБ обеспечит уменьшение рисков, а также снизит ущерб от инцидентов ИБ. Автоматизация выполнения рутинных операций по выявлению инцидентов приведет к снижению операционных затрат за счет сокращения затрат на подготовку персонала, оптимизации использования времени администратора ИБ посредством развитого механизма оповещения об инцидентах, возможности увеличения количества контролируемых объектов и событий безопасности без увеличения существующего штата сотрудников. Наряду с этим будет наблюдаться повышение эффективности использования имеющихся средств защиты и соответствие требованиям нормативных актов и законов.

Залог успешного внедрения решения по управлению инцидентами ИБ - акцентирование на деловом контексте, включая организационные, технические и процедурные аспекты. С точки зрения консалтинга эффективная система управления инцидентами ИБ - это совокупность технологий, процессов и правильно построенной организационной структуры, которые вместе дают возможность построить экспертную систему, позволяющую перейти от собираемых из разных источников событий к инцидентам, реально влияющим на деловые процессы компании.

Метод внедрения системы управления инцидентами ИБ основан на риск-анализе "сверху вниз" - сборе и записи событий из различных источников с учетом организационных рисков, уязвимостей и влияния событий на бизнес.

Параллельно с построением процесса идентификации "важных" инцидентов производится анализ существующих решений по их управлению. Основной целью является создание координационного центра, состоящего из людей, процессов и технологий, функционирующих вместе для облегчения выявления и обработки ИБ-инцидентов.