Чего бояться в 2009 году?

Владимир Ульянов,
руководитель аналитического центра Perimetrix

Aналитический центр компании Perimetrix и журнал "Information Security/Информационная безопасность" представляют результаты второго ежегодного исследования в области внутренней информационной безопасности. С момента выхода первого исследования существенно изменилась глобальная ситуация, однако проблема защиты от внутренних ИТ-угроз по-прежнему беспокоит большинство российских компаний.

Угрозы ИБ

Один из основных вопросов исследования касался наиболее опасных угроз внутренней безопасности (рис. 1). Из получившегося распределения вытекает ряд характерных тенденций. Во-первых, самыми опасными угрозами по-прежнему остаются утечки информации и халатность персонала - доли этих угроз изменились незначительно, и эти изменения находятся в рамках погрешности исследования. А вот опасность практически всех внешних угроз (вирусов, хакеров и спама), напротив, существенно уменьшилась. По-видимому, этот тренд объясняется общей успокоенностью компаний в отношении угроз внешней безопасности.

Большая опасность внутренних угроз была заметна еще в прошлом году - угрозы утечки информации и халатности служащих опережали атаки внешних злоумышленников уже тогда. Этот долгосрочный тренд объясняется рядом вполне объяснимых причин - более высоким ущербом от утечек информации, меньшим проникновением средств защиты и принципиально новой постановкой задачи безопасности. За год ситуация кардинально не изменилась, однако приоритеты специалистов продолжили движение в сторону внутренних угроз, и потому опасность внешних угроз продолжила закономерно падать.

Среди остальных трендов выделим резкий рост опасности угрозы кражи оборудования (с 25 до 38%), которая также непосредственно связана с утечками информации. Действительно, в случае кражи любого носителя (флешки, ноутбука и даже персонального компьютера или сервера) возникают существенные риски утечки. Рост опасности кражи оборудования можно объяснить как субъективными факторами (публикации в прессе, появление негативной аналитики), так и объективными тенденциями отрасли (внимание грабителей к цифровым носителям, законодательное регулирование). Можно предположить, что опасность данной угрозы будет расти в дальнейшем, поскольку объективных факторов для ее покрытия на рынке пока не наблюдается.

Инсайдерские угрозы

Как и в прошлом году, наиболее опасной угрозой внутренней ИБ была признана утечка информации, которую отметили более половины (55%) респондентов (рис. 2). Однако наибольший рост показала вторая по опасности угроза, связанная с искажением корпоративной (и преимущественно финансовой) документации. В нынешнем году ее опасность подскочила сразу на 17% и практически сравнялась с опасностью утечек информации.

По мнению аналитического центра Perimetrix, данная тенденция является значимой и объясняется целым рядом причин. Во-первых, в 2008 г. произошел ряд громких инсайдерских скандалов, непосредственно связанных с искажением корпоративной документации и финансовым мошенничеством. Именно в эту категорию угроз можно отнести действия трейдера Societe Generale Жерома Кервьеля, который привел свой банк к многомиллиардным убыткам, не имея на это никаких полномочий.
Во-вторых, на ответы респондентов, скорее всего, повлияли мировой финансовый кризис и общая нестабильность современного бизнеса. В таких условиях несанкционированное искажение информации (и тем более несанкционированные финансовые операции) могут привести бизнес к совершенно непредсказуемым последствиям. И, в-третьих, рост обеспокоенности данной угрозой можно объяснить неспособностью современных решений с ней бороться.

Опасность каналов утечки (рис. 3) осталась на прошлогоднем уровне. Наиболее опасным каналом по-прежнему остаются мобильные накопители (70%), за которыми следует электронная почта (52%) и Интернет-каналы (33%). Опасность печатающих устройств за последний год несколько выросла (с 18 до 23%), а Интернет-пейджеров, напротив, упала (с 17 до 13%).

В целом, говоря о каналах утечки, можно заметить слабый тренд к уравниванию их опасностей. Распределение нынешнего года оказалось чуть более равномерным, чем прошлогодние результаты.

Средства защиты

После детального описания существующих угроз логично перейти к статистике используемых средств защиты. Их краткий список приведен на рис. 4.

Легко заметить, что абсолютно все респонденты используют в своей работе антивирусы, межсетевые экраны и те или иные средства контроля доступа. Вслед за ними
располагаются системы обнаружения/предотвращения вторжений (70%), антиспам-фильтры (75%) и инструменты для создания виртуальных частных сетей (63%). Отметим, что все перечисленные средства защиты направлены на защиту от внешних угроз, опасность которых (как следует из предыдущего раздела) неуклонно падает.

Впрочем, и резкого роста популярности решений для внутренней защиты в нынешнем году не случилось (рис. 5). Проникновение криптографических продуктов и специализированных систем защиты от утечек осталось примерно на том же уровне. Несмотря на огромную актуальность внутренних проблем, компании не спешат приобретать продукты, которые представлены на современном рынке.

Почему же ожидаемый скачок, по сути, так и не случился? Сегодня существует сразу несколько ответов на этот вопрос. Во-первых, большинство представленных на рынке продуктов имеют длительный цикл внедрения, и ожидать от них резкого роста проникновения бессмысленно. А во-вторых, на рынке систем защиты от утечек было ограничено предложение.

Среди систем внутренней безопасности по-прежнему лидируют решения на базе контентной фильтрации, которые используют 80% компаний, решившихся внедрить системы защиты от утечек. По сравнению с прошлым годом доля контентной фильтрации упала с 89 до 80%, что косвенно говорит о неэффективности данной технологии. Вместе с контентной фильтрацией компании используют пассивный мониторинг (77%), а также внедряют контроль использования портов рабочих станций (75%). Один из наиболее действенных методов защиты - шифрование ноутбуков - постепенно, хотя не слишком быстро, набирает популярность.

Чтобы обрисовать краткосрочные перспективы развития рынка, обратимся к вопросу о наиболее актуальных препятствиях к внедрению систем защиты (рис. 6). Структура этих препятствий в нынешнем году серьезно поменялась - на первое место вышли бюджетные ограничения, доля которых выросла практически в два раза, с 26 до 46%. Причина данной тенденции непосредственно связана с кризисом ликвидности и банальной нехваткой свободных денег у компаний-заказчиков.

Вместе с тем потенциальные заказчики не слишком довольны и эффективностью представленных на рынке решений. По-видимому, значительное падение доли (с 49 до 35%) не говорит о росте эффективности решений и объясняется "кризисным" перераспределением голосов респондентов в сторону других ответов. Таким образом, перед вендорами по-прежнему стоит масса нерешенных задач в области создания более качественных продуктов.

На основании полученной статистики можно делать выводы о перспективах дальнейшего развития российского рынка систем защиты от утечек информации. По мнению аналитического центра Perimetrix, в нынешнем году этот рынок будет устойчиво, но не слишком быстро расти. Благодаря незащищенности компаний и низкому проникновению систем защиты спрос на подобные решения будет достаточно большим, а предложение - ограниченным. Новые игроки рынка вряд ли сумеют за ближайший год раскрутить маховик продаж, а старые не смогут реализовать много технологически отсталых продуктов. К негативным факторам необходимо также отнести влияние кризиса и падение платежеспособности потенциальных заказчиков.

Однако в среднесрочной перспективе (2-3 года) на рынке должен произойти резкий скачок вперед. Спрос на системы безопасности не будет к этому времени удовлетворен, на рынке начнут полноценно работать новые игроки, влияние кризиса постепенно сойдет на нет, и у заказчиков появятся свободные ресурсы. Не стоит забывать и об ужесточении регулирующих мер государства, которые также приведут к стимулированию спроса на комплексные защитные системы.

Направление развития рынка

В предыдущих разделах мы рассмотрели основные тенденции развития рынка внутренней безопасности. Если же говорить об ИБ-отрасли в целом, то именно внутренняя безопасность должна стать основным драйвером этого направления в течение ближайших трех лет.

На данный момент примерно 40% российских компаний (рис. 7) заявляют о планах внедрения защиты от утечек в течение ближайших трех лет. 35% организаций собираются внедрить криптографические системы для хранящихся данных, а еще 33% - системы управления информационной безопасностью. Следом располагаются системы контроля идентификацией и доступом, а также ИТ-системы физической безопасности.

Таким образом, сегодня можно выделить два основных вектора развития рынка: первый из них смотрит в сторону внутренней безопасности, второй - в сторону интеграции разрозненных систем и построения единой управляющей инфраструктуры. Последняя задача особенно важна, поскольку в современных (и особенно крупных) компаниях используется целый "зоопарк" практически не связанных друг с другом систем защиты. Естественно, компаниям становится крайне тяжело всем этим "зоопарком" управлять.

Что же касается внутренней безопасности, то причины популярности данного вектора очевидны - компании стремятся построить адекватную защиту для непокрытых до сих пор угроз.

Kомментарии экспертов

Игорь Писаренко,
к.т.н., доцент, заместитель начальника Отдела информационной безопасности Управления обеспечения безопасности ВТБ 24 (ЗАО)

Аналитические исследования современного состояния угроз информационной безопасности, несомненно, являются наглядными и полезными, что позволяет специалистам делать определенные прогнозы, строить модели угроз и планировать мероприятия по защите информации.

В то же время подобного рода исследования, как правило, носят весьма обобщенный характер, сродни "средней температуре по больнице", поэтому их прикладное применение в конкретной компании очень ограничено. Угрозы информационной безопасности, например, в банковской сфере существенно отличаются от угроз на предприятиях промышленности, в больницах или учебных заведениях. Большое значение имеет также текущее состояние информационной безопасности, количественный и качественный состав работающих, степень распределенности информационной структуры, критичность информации, ряд других факторов.

Можно поспорить с автором и по ряду позиций исследования. Действительно, финансовый кризис значительно повысил риски инсайдерских угроз: многие компании планируют уволить (или уже уволили) значительное число своих ИТ-специалистов, которые могут скопировать все, что сочтут интересным, или просто нанести вред компьютерной сети.

С другой стороны, автор, а вернее, респонденты не учитывают существенно возросшей (видимо, тоже в связи с финансовым кризисом) активности хакеров: волна прошедших в конце 2008 г. DDos-атак была настолько успешна, что этим вопросом обеспокоился даже Совет безопасности России. Для компаний, предлагающих услуги электронной коммерции и банкинга, на первое место выходят угрозы, связанные с несанкционированным получением доступа к счетам клиентов, кражей и дальнейшим обналичиванием средств на этих счетах. И, как правило, это реализуется с использованием троянских программ. Еще о вирусах: с конца прошлого года вирусом Conficker было заражено более 9 миллионов компьютеров, Microsoft даже объявила о вознаграждении в 250 тыс. долларов за информацию, которая поможет привлечь к ответственности вирусописателей, причастных к созданию Conficker.

Поэтому вывод, что "опасность внешних угроз продолжила закономерно падать", чересчур оптимистичен.

Трудно согласиться и с тем, что в 38% случаев наиболее опасной угрозой является кража оборудования (сложно себе представить, как из стойки вытаскивается сервер и проносится через охрану). Не думаю, что и кражи ноутбуков в России настолько часты. Видимо, это наиболее актуально для флешек, CD/DVD и т.п.
Что касается выводов о развитии рынка "внутренней безопасности", то здесь тоже много спорных моментов - "внутренняя безопасность должна стать драйвером этого направления в течение ближайших 3 лет", 15% рынка отдается "ИТ-системам физической безопасности" (видимо, речь идет о системах контроля и управления доступом, то есть не об информационной безопасности).

Сейчас трудно судить и о тенденциях развития рынка, предполагая "устойчивый, но не слишком быстрый рост": в России, как и во всем мире, происходит существенное сокращение затрат на ИТ-безопасность и многие компании просто не смогут себе позволить внедрение систем защиты информации, о каком росте может быть речь...

Владимир Пушков,
начальник группы по защите информации, СОАО "Национальная страховая группа"

В последние годы проблема так называемого инсайдерства в области информационной безопасности (ИБ) вышла на передний план, что подтверждается множеством публикаций на эту тему.

Необходимо понимать, что разделение угроз ИБ по отношению к объектам защиты на внутренние и внешние иногда является условным, так как и те и другие угрозы могут воздействовать взаимосвязанно (совместно и/или согласованно), при этом результаты реализации одной угрозы могут создавать предпосылки для другой.

Например, представитель недобросовестных конкурентов может действовать на основе внутрифирменной информации, предоставленной действующим сотрудником компании (инсайдером) или ранее уволенным сотрудником.

Приведенные в статье материалы представляют большой интерес, так как наглядно показывают общие современные тенденции поведения параметров угроз ИБ и позволяют проанализировать их применительно к конкретной компании. В каждой компании целесообразно вести свой учет инцидентов ИБ с классификацией по типам угроз, последствиям их реализации, объектам защиты и другим параметрам. Накопленные данные используются для проведения статистического анализа угроз ИБ. Зная частоты реализации угроз за год и величины причиненного ущерба (хотя бы по условной шкале), можно провести оценку рисков ИБ с целью определения наиболее опасных угроз ИБ и наиболее уязвимых объектов защиты.

По оценкам нашей компании, доля внутренних (инсайдерских) угроз в 2008 г. составила 60%, однако с учетом оценки рисков наибольшую опасность представляют внешние угрозы в лице недобросовестных конкурентов (31% от общего числа нарушителей), действия которых направлены на создание условий по утечке конфиденциальной информации и нанесение ущерба деловой репутации компании. Противодействовать таким угрозам крайне трудно. Примером может служить переманивание сотрудника "со своим портфелем" клиентов в другую компанию.

В качестве наиболее опасных внутренних угроз нами рассматриваются умышленные действия нелояльных сотрудников (20% нарушителей), направленные на создание условий по утечке конфиденциальной информации, а также неумышленные действия неопытных, невнимательных и халатно относящихся к выполнению своих обязанностей сотрудников (29% нарушителей), приводящие к утрате носителей ценной информации.

К наиболее уязвимым объектам защиты, по нашим оценкам, относятся сведения, составляющие коммерческую тайну и персональные данные сотрудников и клиентов (50% инцидентов), а также деловая репутация компании (16% инцидентов). Одним из основных каналов утечки конфиденциальной информации является электронная почта, в том числе личные ("домашние") почтовые ящики сотрудников.

В качестве основных мероприятий по снижению рисков ИБ целесообразно, на наш взгляд, наряду с разработкой регламентирующей и нормативно-правовой базы, а также наряду с внедрением программно-технических средств защиты информации проводить удаленный мониторинг действий сотрудников на их рабочих местах и совместно с HR-подразделением вести профилактическую работу с сотрудниками по повышению их мотивации и формированию у них культуры ИБ, в том числе и в рамках проведения расследований инцидентов ИБ с применением адекватных мер воздействия к нарушителям.