Какие угрозы могут быть связаны с IM-программами? Во-первых, существует масса вредоносных программ, атакующих пользователей тех или иных IM-протоколов. Во-вторых, уязвимости в программах-клиентах могут служить прекрасной мишенью для хакерских нападений. И, в-третьих, через IM-сети постоянно передается конфиденциальная информация, которую достаточно легко перехватить. Ну а если в компании появился инсайдер, то эту информацию не надо даже перехватывать — ему вполне достаточно просто выслать своему внешнему контакту по IM-клиенту.

В рамках специализированного исследования аналитического центра InfoWatch «IM — Instant Messenger or Information Misuse?» эксперты опросили более 1,1 тыс. пользователей портала SecurityLab.ru. Подавляющее большинство (92,4%) респондентов признают опасность IM-технологий, но практически каждый второй (48,6%) на практике бездействует и полностью игнорирует возникающие риски ИТ-безопасности.

Основная угроза, возникающая при использовании IM-клиентов, по мнению респондентов — это утечка конфиденциальной информации (42,3%), что совершенно справедливо: каждый четвертый респондент (24,5%) согласился, что постоянно пересылает классифицированные сведения через IM-клиент. Почти половина компаний (41,4%), защищающихся от IM-угроз, используют блокировку трафика, а почти треть (27,0%) — административные ограничения. Таким образом, респонденты предпочитают запрещать IM-трафик, вместо того, чтобы контролировать это эффективное средство коммуникации.

Лишь чуть больше половины (57,9%) респондентов, использующих блокировку трафика, считают эту меру эффективной. Напротив, три четверти компаний уверены, что административные ограничения (74,7%) и мониторинг IM-трафика (78,9%) являются эффективным средством защиты от IM-угроз. Несмотря на высокие риски, компании малого бизнеса (до 100 рабочих станций) на 23,8% реже используют специальные средства для защиты от IM-угроз, нежели крупные корпорации (более 501 пользователя). Последние защищаются также далеко не всегда — меры принимаются только в 66,8% случаев.

Наибольшая часть опрошенных сотрудников работают преимущественно в малых компаниях (61,3%), имеющих не более 100 рабочих станций. На долю среднего бизнеса (101-500 компьютеризированных мест) пришлось 21,7%. Оставшаяся часть респондентов (17,0%) представляет, соответственно, крупный бизнес. В дальнейшем результаты опроса будут сегментированы в зависимости от размеров бизнеса респондентов.

Число компьютеризированных рабочих мест

Источник: InfoWatch, 2006

IM-клиентами пользуются почти все

Согласно результатам исследования, подавляющее большинство пользователей (74,3%) используют сервис ICQ, что свидетельствует о высокой популярности данной программы в России. Правда, более половины (54,3%) респондентов применяют не только ICQ, но и другие IM-программы, а значит, несколько увеличивают вероятность возможных рисков. По сравнению с результатами двухлетней давности, ситуация практически не изменилась: IM-клиенты не используют 12,8% опрошенных, причем влияние отличий в базе респондентов на этот фактор можно считать несущественным.

Используемые IM-клиенты

Источник: InfoWatch, 2006

Таким образом, технологии IM стали полноценным средством бизнес-коммуникации. Версия об их возможном отмирании в связи с проблемами безопасности не выдержала проверки временем. Бизнес-выгода, которую приносит использование IM, настолько велика, что абсолютное большинство компаний готовы применять IM-клиенты, невзирая на их очевидную незащищенность. Последний тезис прекрасно понимают и злоумышленники, что неизбежно приведет к распространению вредоносных программ, эксплуатирующих уязвимости пейджеров. Не стоит забывать и о внутренних угрозах — то есть, об инсайдерах, использующих IM-каналы.

Нетрудно заметить, что в списке угроз лидирует утечка конфиденциальной информации, которую отметили 42,3% опрошенных. Риски, связанные с вирусными атаками и нецелевым использованием ИТ-ресурсов, набрали примерно по 20% голосов, спам и реклама — по 10,0%. Отметим, что только 7,6% респондентов считают, что использование IM-клиентов полностью безопасно.

Угрозы, возникающие в связи с использованием IM

Источник: InfoWatch, 2006

Как выяснилось, только 59,7% респондентов уверены в том, что они никогда не пересылают классифицированную информацию по IM-каналам, а 24,5% опрошенных, напротив, периодически ее пересылают. Рискнем предположить, что реальное количество людей, занимающихся подобными вещами, гораздо выше — многие попросту не хотят в этом себе признаться.

Пересылка конфиденциальной информации

Источник: InfoWatch, 2006

Введение различных политик и регламентов является, наверное, самым простым способом снижения рисков от использования IM-программ. Тем не менее, 62,0% респондентов представляют компании, которые таких регламентов не имеют. Более того, лишь у 14,9% респондентов действие политик можно считать эффективным. Данные, говорящие о применении политик на предприятиях, приведены на следующей диаграмме.

Применение IM-политик на предприятиях

Источник: InfoWatch, 2006

Нетрудно заметить, что чем больше компания — тем выше вероятность наличия регламента и его эффективного применения. Вместе с тем, с точки зрения малого бизнеса опасность утечек может оказаться даже выше — если крупная корпорация потерпит убытки и восстановится, то небольшая компания рискует стать банкротом после кражи всего нескольких важных документов.

Эффективность политик ИБ в компаниях различного размера

	Политика отсутствует	Политика действует эффективно	Политика есть, но он не имеет никакой силы	Затрудняюсь ответить
Малый бизнес	69,2%	9,3%	10,9%	10,6%
Средний бизнес	61,9%	18,0%	11,1%	9,0%
Крупный бизнес	39,5%	28,1%	13,7%	18,7%

Источник: InfoWatch, 2006

Можно проследить зависимость пересылки конфиденциальной информации от наличия корпоративной политики безопасности в сфере IM. Исходя из полученных данных, напрашиваются два основных вывода. Во-первых, эффективный регламент значительно (примерно в два раза) снижает риск утечки, однако не исключают его полностью. Во-вторых, наличие неэффективного регламента не только не снижает, но и даже повышает вероятность пересылки конфиденциальных данных. Поэтому, если организация хочет ввести регламент использования IM-программ — то она должна позаботиться об его эффективности.

Политики и утечка конфиденциальной информации

	Политика действует эффективно	Политика есть, но не имеет никакой силы	Политика отсутствует
Конфиденциальная информация пересылается	14,9%	31,1%	24,0%
Конфиденциальная информация не пересылается	78,1%	53,1%	60,3%
Затрудняюсь ответить	6,9%	16,5%	16,1%

Источник: InfoWatch, 2006

Практика защиты от угроз

Из полученных данных следует, что практически половина компаний (46,6%) никак не защищаются IM-угроз, а среди использующихся методов преобладают запретительные меры (блокировка трафика). Чисто контролирующие меры (мониторинг) пока не получили широкого распространения — по всей видимости, их внедрение сопряжено с техническими проблемами и сопротивлением пользователей.

Используемые способы защиты от IM-угроз

Источник: InfoWatch, 2006

Как и следовало ожидать, крупные организации принимают различные меры защиты от IM-угроз гораздо чаще. Огорчает другое — прирост наблюдается в основном за счет строго запретительных мер таких, как блокировка трафика. Применение контролирующих мер, напротив, находится во всех компаниях примерно на одном и том же низком уровне (8-10%).

По мнению экспертов аналитического центра InfoWatch, сегодня существуют инструменты, позволяющие эффективно применять контролирующие меры, такие как мониторинг и архивирование трафика. Складывая всю информацию в хранилище, организация существенно снижает вероятность утечки. Пользователи понимают, что пересылаемая информация где-то сохраняется, поэтому ведут себя осмотрительно. Ну а в тех случаях, когда утечка все-таки произошла, заархивированные данные помогут найти злоумышленника. Наконец, создание IM-архива является  обязательным условием ряда нормативных актов и международных стандартов.

Корреляция между мерами защиты и размером фирмы-респондента

	Административные ограничения	Блокировка трафика	Мониторинг	Архивирование	Другие меры	Никакие меры не применяются
Малый бизнес	13,0%	16,5%	8,1%	0,6%	5,8%	56,0%
Средний бизнес	14,7%	29,4%	7,2%	1,9%	6,2%	40,6%
Крупный бизнес	14,9%	30,2%	9,9%	2,2%	10,6%	32,2%

Источник: InfoWatch, 2006

Из полученных результатов следует сразу несколько основных выводов. Во-первых, административные меры и блокировка трафика являются некими универсальными способами защиты от большинства IM-угроз. Во-вторых, применение мониторинга наиболее разумно в тех случаях, когда основной риск для вашей компании заключается в утечке конфиденциальной информации. В-третьих, практически половина пользователей, признавших угрозы IM-программ, никак от этих угроз не защищаются.

Зависимость защитных мер от степени опасности угрозы

	Административные ограничения	Блокировка трафика	Мониторинг	Архивирование	Другие меры	Никакие меры не применяются
Утечка конфиденциальной информации	14,2%	25,4%	12,0%	1,6%	6,6%	40,2%
Вирусные атаки	14,3%	18,2%	4,9%	0,4%	5,9%	56,3%
Нецелевое использование ИТ-ресурсов	16,4%	29,1%	5,3%	1,1%	4,3%	43,8%

Источник: InfoWatch, 2006

Помимо вопроса об уже применяющих  способах защиты, исследование также ставило своей целью выяснить, какие методы защиты следует применять по мнению самих респондентов. Как оказалось, распределение ответов по используемым и рекомендованным мерам значительно отличаются. Отметим, что на рис. 7 сумма ответов превосходит 100%, поскольку респондентам предлагалось выбрать несколько вариантов ответа.

Рекомендованные способы защиты от IM-угроз

Источник: InfoWatch, 2006

В отличие от «используемых», большинство «рекомендованных» методов предполагают контролирующие способы воздействия на пользователей. С одной стороны, это объясняется непопулярностью запретительных мер, с другой — понимаем преимуществ использования IM с точки зрения бизнеса компании.

В рамках исследования, аналитический центр InfoWatch попытался оценить эффективность «применяемых» методов, в зависимости от «рекомендованных» методов. Полученные результаты подтвердили тезисы предыдущего абзаца — только 57,9% респондентов, использующих блокировку трафика, назвали эту меру «рекомендованной». В отношении административных ограничений и мониторинга эти доли заметно выше, они составляют 74,7% и 78,9% соответственно. Таким образом, можно сделать вывод о том, что блокировка трафика является самой нерекомендуемой и непопулярной мерой защиты от IM-угроз.

Исследование показало, что 60,3% компаний, в которых работают данные сотрудники, вообще не защищаются от IM-угроз. Очевидно, что если подобная ситуация сохранится, то внутренние нарушители обязательно ею воспользуются.

Меры по защите пересылаемой конфиденциальной информации

Источник: InfoWatch, 2006

Данное исследование подтвердило правильность тех тенденций, которые были сформулированы два года назад. IM-технологии стали стандартным средством коммуникации, применяемым в подавляющей массе компаний. Представители этих фирм постепенно осознают угрозы, связанные с IM, и начинают применять различные методы защиты. В то же время, до сих пор существует масса никак не защищенных организаций, являющихся потенциальной мишенью для инсайдеров.

Дальнейшее развитие IM-программ как средства бизнес-коммуникаций представляется вполне определенным. С одной стороны, будет расти количество инструментов защиты, с другой — спрос на эти инструменты со стороны клиентов. Численность организаций, в принципе игнорирующих защиту IM-каналов, будет, таким образом, снижаться. Очевидно, что усилия компаний в области защиты IM (как поставщиков, так и заказчиков) будут подстегиваться возрастающим количеством угроз, как со стороны внешних нарушителей, так и в особенности со стороны инсайдеров.