|
|
Обозрение подготовлено
85% опрошенных российских телекоммуникационных компаний опасаются утечки персональных данных клиентов. Они боятся потери последних, а также ухудшения общественного мнения. Компании сектора более зрело, чем во многих других отраслях, подходят к проблемам внутренней безопасности. Есть все основания полагать, что проникновение систем защиты от утечек в этот сектор продолжится. Причем темпы роста будут заметно выше, чем в целом по всем отраслям экономики.
В списке самых опасных внутренних угроз для телекоммуникационных компаний с огромным отрывом лидирует нарушение конфиденциальности информации (85%). Ближайший конкурент — искажение информации (64%) — отстал на целых 21 процентных пункта. Другими словами, риск утечки ценной информации волнует респондентов намного больше любой другой инсайдерской угрозы.Следующие две позиции остались за мошенничеством (49%) и саботажем (41%).
Сразу следует отметить, что в этом проявляется некоторая специфика сектора телекоммуникаций. Дело в том, что в общеотраслевом исследовании саботаж обогнал мошенничество почти на 15 процентных пунктов. Между тем, например, в предоставлении услуг связи, мошенничество действительно является одной из самых опасных угроз, так что выбор респондентов вполне обоснован.
Самые опасные угрозы внутренней ИБ в телекоме
Источник: InfoWatch, 2007
Итак, наиболее опасной угрозой ИБ является утечка конфиденциальной информации, совершаемая инсайдерами. Как оказалась, более всего респонденты озабочены своей репутацией и общественным мнением (51%). Далее идет потеря клиентов (43%), которая неминуемо следует за утечкой. Замыкают тройку лидеров прямые финансовые потери (36%).
Наиболее плачевные последствия утечки
Источник: InfoWatch, 2007
Сравнивая полученные результаты с общеотраслевым исследованием, можно заметить, что компании телекоммуникационного сектора намного больше озабочены своей репутацией и лояльностью клиентов, чем в среднем по экономике. Например, в общеотраслевом исследовании среди последствий утечки лидировали прямые финансовые убытки, а здесь они оказались лишь на третьем месте. В этом снова проявляется специфика телекоммуникационного бизнеса, который отличается большей ориентацией на клиента и более высокой конкуренцией, чем другие сектора экономики.
Между тем, лишь малая часть респондентов (2%) указала на такие плачевные последствия, как юридические издержки и судебное преследование. Это однозначно свидетельствует о неразвитости правоприменительной практики в России. Напомним, что в 2006 году в России был принят закон «О персональных данных», который вступил в силу в феврале 2007 года и создал все предпосылки для того, чтобы компания, допустившая утечку, могла быть привлечена к ответственности. Тем не менее, эксперты компании InfoWatch сомневаются, что одно лишь наличие правильного закона поможет положить конец незаконному обороту персональных данных. Чтобы достичь успеха, необходимо еще вынести несколько судебных решений, наказывающих те организации, которые допускают утечки.
На следующем этапе исследования аналитический центр InfoWatch предложил респондентам указать самые распространенные каналы утечки информации. Отвечая на данный вопрос, респонденты почти полностью повторили результаты общеотраслевого исследования: мобильные накопители (85%), электронная почта (83%) и интернет (81%). Далее следуют интернет-пейджеры (77%) и средства печати (65%).
Наконец, одним из самых важных моментов исследования стал вопрос о количестве утечек конфиденциальной информации, которые респонденты допустили в течение 2006 года. Как и в других отраслях, лидером оказалось стандартное «Затрудняюсь ответить», так как слишком многие респонденты еще не используют специализированных решений для выявления утечек. Однако положительный сдвиг уже налицо: если в среднем по экономике затруднения с ответом возникли у 44,8% респондентов, то в секторе телекоммуникаций только у 38% организаций. Другими словами, представители данной отрасли лучше осведомлены об утечках, чем компании других секторов. Это свидетельствует о более серьезном отношении к проблемам ИБ.
Столь же позитивным выглядит тот факт, что 15% респондентов могут уверенно заявить, что не допустили ни одной утечки в прошедшем году. Хотя оставшиеся 47% организаций (за вычетом затрудняющихся ответить) все-таки допустили минимум одну утечку, показатель в 15% превосходит на 1,3% общеотраслевой результат.
Специфика сектора телекоммуникаций проявляется также в вопросах нормативного регулирования. Во-первых, компании этой отрасли довольно часто ориентированы на предоставление услуг физическим лицам, а потому аккумулируют в своей корпоративной сети огромные объемы персональных данных граждан. Следовательно, руководству департаментов ИТ и ИБ необходимо обратить внимание на ФЗ «О персональных данных», который предъявляет целый ряд требований к безопасности приватных сведений граждан.
Во-вторых, в секторе телекоммуникаций уже достаточно скоро появится собственный стандарт: «Базовый уровень информационной безопасности операторов связи ». Ряд положений этого документа напрямую адресует внутренние угрозы ИБ и проблему сохранения персональных данных. Например, раздел 3.16 рекомендует оператору «обеспечивать конфиденциальность передаваемой и/или хранимой информации систем управления и автоматизированных систем расчета за услуги связи (биллинга), сведений об абонентах (персональных данных физических лиц) и оказываемых им услугах связи, ставших известными операторам связи в силу исполнения договоров об оказании услуг связи». Согласно разделам 3.17 и 3.18, компания должна вести журналы регистрации событий ИБ и хранить их, исходя из сроков исковой давности (в России общий срок — 3 года). Более того, «для фильтрации потока первичных событий рекомендуется применять технические средства корреляции событий, оптимизирующие записи в журналах инцидентов по информационной безопасности». Также нельзя обойти вниманием пункт 4.4: «Оператору, допустившему утрату баз данных абонентов (клиентов) других (взаимодействующих) операторов, рекомендуется информировать последних об этом в кратчайшие сроки». Таким образом, российский сектор телекоммуникаций становится все ближе к передовому опыту — ведь в США и Евросоюзе компании уже давно несут ответственность за утечку приватных данных. Более того, они не могут скрыть этот инцидент, так как по закону обязаны поставить пострадавших в известность об утечке. Судя по всему, со временем в России тоже появится такая норма.
Конечно, сегодня нельзя утверждать, что нормативное регулирование играет определяющую роль в секторе телекоммуникаций. Однако для эффективного управления компанией руководству необходимо предусмотреть развитие существующих стандартов и законов на тот случай, если надзорные органы начнут закручивать гайки. Кроме того, ряд крупных телекоммуникационных компаний, чьи акции котируются на биржах, обязан удовлетворять требованиям фондовых рынков. В России это Кодекс корпоративного поведения ФСФР (необязательный), в Британии — Объединенный Кодекс корпоративного управления (полу обязательный), а в США — закон SOX (Sarbanes-Oxley Act of 2002). Отметим, что последние три нормативных акта выходят за рамки данного исследования. Однако ФЗ «О персональных данных» и «Базовый уровень» представляют непосредственный интерес для российских телекоммуникационных компаний, так и аналитического центра InfoWatch.
Как раз чтобы определить отношение респондентов к упомянутым выше нормативным актам, аналитический центр InfoWatch предложил телекоммуникационным компаниям несколько специальных вопросов. Прежде всего, организации оценили степень влияния ФЗ «О персональных данных» на свой бизнес. Оказывается, что сегодня этот закон в целом работает вхолостую: подавляющее большинство респондентов (58%) указали, что норматив оказывает мизерное влияние на бизнес компании, а почти каждый четвертый (24%) заявил, что ФЗ вообще ни на что не влияет. Конечно, нельзя сбрасывать со счетов 18% организаций, которые видят в данном нормативе серьезный фактор влияния на бизнес. Однако в целом в отрасли бытует мнение, что ФЗ «о персональных данных» является практически беззубым нормативом.
Степень влияния ФЗ «О персональных данных» на бизнес компании
Источник: InfoWatch, 2007
По мнению аналитического центра InfoWatch, подавляющее большинство опрошенных телекоммуникационных фирм, действительно, довольно реально смотрят на новый закон. Во-первых, данный нормативный акт выдвигает самые общие требования: операторы обязаны обеспечить конфиденциальность приватных сведений, но сделать это они должны по собственному разумению. Во-вторых, закон не предусматривает явной ответственности за утечку информации для руководства или бизнеса. В-третьих, федеральный орган, уполномоченный следить за выполнением закона, а это ФСТЭК России, все еще не выпустил стандарт безопасности персональных данных. Между тем, этот стандарт необходим, чтобы компании знали, какие меры по обеспечению конфиденциальности закон и регулирующие органы считают достаточными. Наконец, в-четвертых, в России отсутствует правоприменительная практика в сфере борьбы с утечками: судьям, следователям и милиции необходим опыт борьбы с инсайдерами и продавцами приватных данных. Конечно, нельзя отрицать, что в перспективе ФЗ «О персональных данных» обрастет, как стандартами, так и правоприменительной практикой. В этом случае он действительно превратится в эффективный драйвер ИБ в российской экономике. Однако в ближайшие несколько лет представители телекоммуникационного сектора могут этого не опасаться.
Следующий очень важный вопрос был направлен на разрабатывающийся сегодня стандарт «Базовый уровень информационной безопасности операторов связи». Пока что это лишь рекомендации со стороны Международного Союза Электросвязи и российской Ассоциации Документальной Электросвязи. Так что в принципе использование рекомендаций будет различным в каждой стране в зависимости от требований государственного регулирования. Однако российские регуляторы, вероятно, смогут использовать данные рекомендации в качестве лицензионных условий. В то же самое время некоторые операторы смогут самостоятельно выдвигать требования о выполнении рекомендаций в качестве условия присоединении к собственной сети связи. Более того, оператор может предоставлять телекоммуникационные услуги для пользователей с тем уровнем безопасности, который гарантируется при выполнении «Базового уровня», а услуги с повышенным уровнем безопасности могут предоставляться оператором на возмездной основе. Другими словами, «Базовый уровень» имеет все шансы стать основным драйвером развития ИБ в телекоммуникационном секторе.
С этим полностью согласны респонденты исследования InfoWatch: почти половина организаций (48%) уверена, что влияние «Базового уровня» будет заметно, а чуть меньшая доля респондентов (41%) полагает, что данный стандарт окажет сильное влияние на отрасль телекоммуникаций. При этом лишь 11% считают, что норматив вообще не повлияет на их бизнес.
Ожидаемая степень влияния «Базового уровня» на бизнес компании
Источник: InfoWatch, 2007
Отметим, что углубленное интервьюирование респондентов показало, что абсолютно каждый из них, как минимум, слышал о «Базовом уровне», но определенная часть респондентов (30%) недостаточно хорошо была знакома с требованиями стандарта. В этом случае респонденту оказывалась информационная поддержка, включавшая разъяснение рекомендаций «Базового уровня».
На следующем этапе исследования опрашиваемым организациям было предложено определить необходимость включения в «Базовый уровень» требований к защите от внутренних угроз, как например утечка персональных и конфиденциальных данных. Заметим, что хотя «Базовый уровень» уже сегодня рекомендует оповещать пострадавших о такой утечке (п. 4.4), он все же не фокусирует внимание на внутренних угрозах ИБ. Между тем, инсайдер всегда имеет намного больше возможностей и шансов на успех, чтобы злоупотребить персональными
Следует ли в «Базовый уровень» включить требования к защите от внутренних угроз?
Источник: InfoWatch, 2007
Подавляющее большинство респондентов (59%) все-таки склоняются к тому, что такие требования будет полезно включить в стандарт. При этом 41% оставшихся организаций в этом не уверен. Таким образом, все указывает на то, что экспертам, разрабатывающим стандарт, вполне стоит выделить инсайдеров в отдельный и крайне опасный источник угроз ИБ для телекоммуникационных компаний.
Среди наиболее популярных инструментов за последний год оказались антивирусы (100%), межсетевые экраны (79%) и контроль доступа (68%). Что касается этих и других средств ИБ, то в целом представители сектора телекоммуникаций используют больше различных продуктов и решений. Практически по всем показателям организации из данной отрасли опережают средние российские компании из других секторов экономики. Тем не менее, определенные опасения внушает низкая доля организаций, использующих защиту от утечки данных — всего 8%. В среднем по всем отраслям этот показатель равняется 10,5%.
Средства ИБ
Источник: InfoWatch, 2007
По мнению аналитического центра InfoWatch, даже 8% — это хороший показатель для такой новой области, как защита от внутренних угроз ИБ. Следует также учитывать, что на рынке еще не сформировалось единого понимания проблемы, поэтому достигнутые результаты тоже характеризуют прогресс. Тем не менее, очевидно, что поставщикам решений и самим телекоммуникационным компаниям еще есть куда работать, так как сегодня бизнес во многом зависит от сохранения конфиденциальности и целостности информации, а наибольший риск исходит именно от внутренних нарушителей.
Что именно мешает компаниям внедрять системы защиты от утечек? В предложенном ниже списке каждый респондент мог выбрать только одну основную причину. Как оказалось, наибольший вес для телекоммуникационных компаний имеет отсутствие стандартов (30%). Причем под стандартами здесь понимаются не только нормативные или рекомендательные акты, а еще и единое видение системы внутренней безопасности. Так, многие респонденты отмечали, что сегодня еще не сформировался единый подход к решению проблемы внутренней ИБ. В результате компаниям сложно планировать бюджеты и выбирать продукты для внедрения. Отсюда вытекает еще одна проблема — бюджетные ограничения (22%). Ведь, не имея единого представления внутренней ИБ, компания не может планировать свои расходы и заранее распределять часть бюджета на решение проблемы инсайдеров.
Препятствия на пути внедрения защиты от утечки данных
Источник: InfoWatch, 2007
Данные результаты очень интересно сравнить с общеотраслевыми. Так, в опросе всех секторов экономики лидерами среди препятствий стали психологические препятствия (они набрали 25,4%). В то же самое время отсутствие стандартов оказалось на пятом месте (с 12,2%). Отсюда напрашивается вывод, что сектор телекоммуникаций подходит к проблеме внутренней ИБ намного более зрело, чем другие отрасли. Это проявляется в том, что представители телекоммуникаций уже перешагнули психологический барьер и отчетливо понимают, что сегодня необходимо унифицировать процесс защиты от внутренних угроз. С этим мнением полностью согласны эксперты InfoWatch, которые полагают, что выработка единого подхода к решению проблемы инсайдерских рисков просто необходима. Более того, она уже идет сейчас, но занять может около 2-3 лет. Таким образом, сложность выбора конкретного решения для защиты от утечек вполне объяснима.
На следующем этапе аналитический центр InfoWatch предложил респондентам определить наиболее эффективные пути защиты от утечек. Речь здесь идет о тех решениях, которые представляются организациям наиболее адекватными и приемлемыми для решения проблемы внутренней ИБ, но по ряду причин (см. выше), не используемых респондентами на практике.
Наиболее эффективные пути защиты от утечки
Источник: InfoWatch, 2007
Наиболее эффективным средством являются комплексные информационные продукты (49%). Эта мера лидирует вот уже на протяжении трех лет в общеотраслевом исследовании, поэтому можно смело утверждать, что именно в этом направлении будет происходить наибольший рост рынка внутренней ИБ в ближайшие годы.
Далее следуют организационные меры (27%), ограничение связи с внешними сетями (11%) и тренинги персонала (9%). Причем как полагают эксперты InfoWatch, наиболее эффективным способом минимизации инсайдерских рисков является комбинация различных способов. Правда, базовой основной все равно должно быть комплексное решение на основе ИТ, так как только с его помощью можно закрепить положения политики ИБ на рабочих местах.
Этот вывод полностью подтверждают результаты последнего вопроса, в котором аналитический центр InfoWatch предложил респондентам определить свои планы на ближайшие 2-3 года. Согласно распределению ответов, практически каждый респондентов (96%) планирует внедрить в ближайшие три года ту или иную систему защиты от утечек.
Планы по внедрению защиты от утечек на ближайшие 3 года
Источник: InfoWatch, 2007
Наибольшим вниманием респондентов пользуются комплексные решения (41%). Этот показатель значительно превышает общеотраслевой (почти на 10%), что снова свидетельствует о более зрелом отношении к проблеме внутренней ИБ в секторе телекоммуникаций по сравнению с другими отраслями экономики. Среди других планов респондентов следует отметить средства мониторинга Интернет-трафика (20%) и электронной почты (21%), а также системы контроля над рабочим станциями (15%).
В заключение исследования респондентам было предложено просто прокомментировать проблему внутренних нарушителей и высказать свое мнение по любому связанному с ней аспекту. Здесь представители телекоммуникаций снова высказали свою тревогу относительно отсутствия единого подхода к обеспечению внутренней безопасности. На практике это очень сильно затрудняет выбор конкретного решения, так как организация вынуждена выслушивать очень многих поставщиков, каждый из которых обладает какими-то плюсами, но мало чем пересекается с конкурентами. Кроме того, возникают естественные трудности с планированием бюджета. Один респондент привел очень простое сравнение этой проблемы с антивирусной безопасностью: «Сегодня всем известно, как нужно защищаться от вирусов. Поставил антивирус на шлюзах и рабочих станциях, запланировал расходы на продление лицензии на следующий год и все — дело сделано. С защитой от инсайдеров и утечек все иначе. У каждого поставщика свое видение того, как нужно стоить систему внутренней ИБ. Даже с коллегами по цеху не всегда удается найти общий язык по этому вопросу».
Тем не менее, респонденты отмечают, что сегодня уже начинают появляться некоторые точки соприкосновения. Они, прежде всего, связаны с тем, что организации постоянно расширяют число коммуникационных каналов, которые используются в бизнесе: электронная почта, интернет, пейджеры, печать на бумагу, различные беспроводные сети, новые сетевые протоколы и приложения и т.д. Таким образом, при построении системы внутренней ИБ выгодно не концентрировать всю функциональность на каком-то одном канале, а напротив — создавать расширяемую систему, к которой легко добавить новый канал.
Несмотря на то, что российские телекоммуникационные компании довольно зрело относятся к проблеме ИБ вообще и защите от внутренних угроз в частности, им все равно еще есть, куда работать. Во-первых, уровень использования эффективных средств защиты от утечек в организациях данной отрасли еще очень низок. Во-вторых, среди некоторых респондентов бытует мнение, что их компания вообще не допускает утечки, хотя никаких инструментов, чтобы проверить это, данные организации не используют. В-третьих, телекоммуникационным компаниям следует учитывать тенденции ужесточения нормативного регулирования. В результате рекомендации «Базового уровня» могут стать обязательными для исполнения. Кроме того, могут появиться новые требования к безопасности приватных сведений в рамках ФЗ «О персональных данных».
Суммируя результаты об уже осуществленных внедрениях в секторе телекоммуникаций и планах компаний на ближайшие годы, аналитический центр InfoWatch отмечает в основном положительные тенденции. По сравнению с прошлым годом число организаций, защитивших себя от утечек, выросло в несколько раз (в целом по всем секторам экономики — в пять раз). Причем по прогнозам исследования в будущем году этот показатель снова увеличится в тех же масштабах.
Алексей Доля