Под кибератакой

В прошедшем 2013 г. продолжилась тенденция увеличения угроз ИБ. Если прошлогоднее исследование было посвящено в основном оценке зрелости процессов ИБ в организациях, то исследование за 2013 г. посвящено последствиям их недостаточной зрелости – кибератакам.

Об основных тенденциях к увеличению кибератак можно судить по одному из разрезов результата опроса, целью которого также было выявление наиболее актуальных и частых инцидентов в области ИБ (рис. 1).

Все эти угрозы давно известны, но при этом заметно существенное увеличение количества связанных с ними инцидентов. Можно предположить, что оно вызвано большим распространением новых технологий (рис. 2), к которым, возможно, киберпреступники приспосабливаются значительно быстрее самих организаций.

Готовность к новинкам

Организациям необходимо обращать больше внимания не только на существующие угрозы, но и на прогноз появления будущих угроз в зависимости от используемых технологий.

Вместе с давно известными и активно используемыми технологиями были также выбраны инновационные технологии, которые совсем недавно существовали лишь в виде концепции, но развиваются настолько активно, что несложно предсказать их широкое распространение в самое ближайшее время (рис. 3).

Риски сегодняшнего дня

Очевидно, что респонденты считают наиболее актуальными риски, связанные с мобильными устройствами, но, учитывая тот факт, что смартфоны и планшеты используются повсеместно, значение в 60% уже не кажется большим. Широкое распространение таких устройств началось в 2009 г., но поскольку некоторые компании не успели своевременно подготовиться и принять соответствующие меры, то риски ИБ, связанные с мобильными устройствами, по-прежнему являются одними из наиболее актуальных. Данный вывод подчеркивает необходимость готовиться к рискам, связанным с инновационными технологиями, уже сегодня.

Web-приложения, смартфоны и планшеты, форумы и социальные сети для многих стали частью повседневной жизни, тем не менее предлагаем также обратить внимание на следующие технологии:

1. Корпоративный магазин приложений – во многих организациях существует практика разработки собственных приложений, распространяемых через внутреннюю площадку – "магазин". К сожалению, не всегда можно ответить на вопрос, насколько стоимость разработки приложения оправдывает увеличение продуктивности его пользователей.

2. Big Data – требования к технологиям обработки и хранения данных постоянно растут за счет увеличения объемов, при этом большинству организаций еще хватает старых методов обработки и хранения данных. Тем не менее некоторые компании уже сейчас столкнулись с недостаточностью применяемых ресурсов и подходов, что заставляет их использовать новые технологии обработки и хранения данных. Более того, многие компании столкнутся с такой необходимостью в ближайшем будущем.

3. Управление цепочкой поставок – отношения с поставщиками, подрядчиками, партнерами и другими сторонними организациями создают серьезные риски ИБ, к которым пока не все готовы.

4. Облачные сервисы – несмотря на удобство облачных сервисов, часто возникают вопросы сохранения конфиденциальности данных и соблюдения требований регуляторов.

5. Облачные сервисы для пользователей (BYOC) – пользователи хранят все больше данных, в том числе конфиденциальных, на серверах организаций, не всегда действующих в их интересах.

6. Вычисления в оперативной памяти – системы управления, использующие математические операции и функции хранения больших объемов данных непосредственно в оперативной памяти, значительно повышают эффективность и скорость вычислений. Тем не менее риски нарушения целостности и конфиденциальности данных по-прежнему остаются актуальными.

7. Интернет вещей – вычислительные сети физических объектов (вещей), оснащенных встроенными технологиями для взаимодействия друг с другом или с внешней средой, использующие компьютеры размером с пластиковую карту, датчики, бытовую технику или другие устройства, отправляющие информацию в Интернет, пока еще редко фигурируют в отчетах по оценке рисков, но их использование в противоправных целях возможно уже сейчас.

8. Цифровые валюты – киберпреступники активно пользуются такими криптовалютами, как, например, Bitcoin для оплаты различных услуг, в то время как многие из тех, кто им противостоит, все еще пытаются разобраться, что это такое и как оно работает.

9. Киберубежища – многие страны уже предоставляют услуги защищенного хостинга с безопасными каналами связи, однако все еще наблюдается недостаточность контроля противоправного использования подобных услуг.

Стадии развития ИБ

Разделив технологии на три группы, мы можем выделить три значимые стадии развития процессов обеспечения ИБ в организации:

1. Стадия развития. За прошедший год готовность компаний к отражению киберугроз существенно увеличилась, тем не менее их позиция продолжает оставаться реактивной, направленной только на уже известные угрозы.

2. Стадия совершенствования. На этой стадии компании не только учитывают известные угрозы и риски нарушения ИБ, но и активно работают над прогнозированием и предупреждением новых угроз информационной безопасности. Тем не менее в этих организациях остаются области для улучшения.

3. Стадия инноваций. Эти компании постоянно изучают современные тенденции в области ИБ, проводят оценку как существующих рисков и угроз, так и рисков, связанных с применением новых и инновационных технологий. В соответствии с проведенным анализом такие компании оценивают, переосмысливают и вносят изменения в свои системы защиты, чтобы быть готовыми как к уже известным, так и к возможным в будущем рискам.

Участникам опроса было предложено оценить зрелость своих программ ИБ по шести ключевым направлениям.

По результатам можно судить о том, что большинство компаний находится на первой стадии развития. Но даже для того чтобы противостоять только существующим и уже известным угрозам, должны работать базовые процессы ИБ. Респондентам было предложено оценить степень зрелости этих процессов в их организациях (рис. 4).

Результаты

Технические процессы защиты информации, такие как шифрование данных, обнаружение вторжений и антивирусная защита, уже сейчас находятся на достаточно высоком уровне в большинстве компаний. При этом почти в половине компаний направление ИБ активно развивается. На увеличение бюджета указывают 43% опрошенных, при этом 46% отмечают смещение приоритетов от поддержки существующих процессов в сторону развития и инноваций.

Если в прошлом году 8% опрошенных отмечали, что ИБ компании недостаточно эффективна, то в этом году количество респондентов, считающих так же, упало до 6%.

Более того, 68% респондентов считают, что уровень зрелости и эффективности процессов ИБ в их компании соответствует текущим требованиям. Среди банков и других финансовых организаций это число выше 75%.

Среди направлений, которые организации считают наиболее приоритетными (рис. 5), с большим отрывом лидирует "обеспечение непрерывности бизнеса" (51%), за которым следует "противостояние киберугрозам" (38%). В числе ключевых направлений указывают "противодействие утечкам конфиденциальных данных", "фундаментальные изменения процессов защиты информации" и "выполнение требований регуляторов". Для крупных компаний с ежегодным доходом более миллиарда долларов приоритеты смещены в сторону борьбы с киберугрозами.

Вектор на управление

Заметно, что приоритеты сильно смещены в сторону вопросов управления ИБ. Техническая сторона в основном представлена в виде механизмов и технологий, направленных на решение конкретных задач, таких как противодействие вирусной активности и выявление кибератак. Тем не менее отмечается недостаточное внимание анализу новых угроз и уязвимостей, а также тестированию устойчивости систем защиты против реальных атак.

Одной из ключевых проблем, на которые указывают участники опроса, остается нехватка квалифицированного персонала. Характерно, что данная проблема присутствует не только в России, испытывающей дефицит кадров во многих областях, но и в остальном мире. На данную проблему указывает половина опрошенных. Кроме того, несмотря на тенденцию к увеличению бюджетов, которая отмечалась выше, более 65% участников отмечают нехватку финансовых ресурсов.

По результатам исследования были выделены ключевые факторы успеха для эффективной защиты информации.

Поддержка руководства

Необходимо участие топ-менеджмента компании в процессах управления ИБ. Ключевые шаги:

• интегрировать культуру безопасного обращения с информацией во все уровни компании;
• определить влияние инцидентов информационной безопасности на основные бизнес-процессы;
• интегрировать политику информационной безопасности в процесс принятия управленческих решений;
• определить критерии оценки эффективности процессов информационной безопасности;
• проводить оценку эффективности процессов ИБ на регулярной основе.

Опрос показывает, что 35% организаций отчитываются перед руководством по крайней мере раз в квартал.

Стратегия

Необходима долгосрочная стратегия развития ИБ, тесно связанная с общей бизнес-стратегией компании. Ключевые шаги:

• определить и привлечь к процессу все заинтересованные стороны;
• интегрировать стратегию информационной безопасности в общую стратегию компании;
• регулярно проводить аудит процессов защиты информации с участием независимых экспертов;
• проводить дополнительную экспертизу партнеров и поставщиков услуг.

Результат опроса за 2013 г. показал, что такая стратегия есть у 45% участников опроса, при этом 20% опрошенных планируют развитие на срок более трех лет.

Инвестиции

Требуется больше инвестировать в защиту информации, поскольку цена инцидента может во много раз превышать размер инвестиций в механизмы защиты, которые могли бы его предотвратить. Ключевые шаги:

• определить приоритеты развития для привлечения инвестиций;
• определить возможные выгоды, такие как защита репутации бренда, снижение рисков, соответствие требованиям регуляторов;
• снизить расходы на поддержку существующих процессов и систем.

По результатам опроса можно судить о том, что 43% организаций увеличили инвестиции в ИБ на будущий год.

Персонал

Требования к знаниям технологий и знаниям бизнес-процессов постепенно повышаются. Ключевые шаги:

• регулярно повышать осведомленность персонала в вопросах безопасного обращения с информацией;
• проводить адекватную оценку и проверку принимаемых на работу сотрудников;
• контролировать доступ к информационным ресурсам;
• внедрить в процесс оценки персонала оценку знаний в области защиты информации.

Процессы

Процессы должны быть актуальны и документированы. Кроме того, должен быть внедрен процесс управления изменениями для контроля вносимых изменений, обновления и актуализации информации о процессах. Ключевые шаги:

• документировать процессы информационной безопасности;
• интегрировать процессы ИБ в процессы управления рисками компании;
• проводить оценку эффективности процессов ИБ.

Технологии

Для получения максимальной отдачи технологии должны внедряться в соответствии с требованиями бизнеса, в сочетании с результатами оценки рисков, обучением персонала и интеграцией в бизнес-процессы компании. Ключевые шаги:

• соблюдать баланс между использованием новых технологий и возможными рисками, которые они могут принести;
• регулярно проводить оценку уровня защищенности как приложений, так и поддерживающей инфраструктуры;
• интегрировать процесс оценки защищенности в процесс управления изменениями IТ-систем;
• разработать и внедрить стандарты для всех используемых технологий с учетом требований безопасности.

Совершенствование

Компании должны постоянно контролировать и совершенствовать свои программы ИБ в части как технологий, так и процессов. Ключевые шаги:

• проводить регулярную оценку появляющихся технологий и связанных с ними угроз;
• изучать и применять современные подходы к защите информации;
• проводить регулярное тестирование ИС с точки зрения защищенности;
• следить за тенденциями в индустрии, изменениями законодательства и стандартов по ИБ.

Среда

Процессы обеспечения ИБ становятся значительно более эффективными в сочетании с работающими процессами инвентаризации активов и оценки рисков, отражающих реальное влияние на организацию. Ключевые шаги:

• определить ключевые активы компании и связанные с ними угрозы;
• обеспечить эффективное взаимодействие между службами IТ и ИБ;
• четко определить периметры защиты и зоны ответственности подразделений.