|
|
Обзор подготовлен
Рост числа угроз информационной безопасности и усиление роли регуляторов в корпоративном секторе стали двумя главными трендами развития рынка ИБ в прошедшем году. Это привело к увеличению спроса на ИБ-решения. Однако некоторые эксперты считают, что во многом бизнесом руководит не столько стремление сохранить данные, сколько необходимость соответствовать требованиям закона.
Лейтмотивом развития рынка ИБ в России в 2009-2010 году стала подготовка бизнеса к вступлению в силу требований федерального закона "О защите персональных данных". Перед проблемой приведения в соответствие информационных систем на второй план отошли и актуальные для корпоративных игроков вопросы по обеспечению защиты коммерческих тайны, отражению внешних атак и защиты от от инсайдеров. Вместе с тем, как отмечали опрошенные CNews компании, большинство технологий ИБ в стране за последний год стали базовыми - теми, целесообразность использования которых не подвергается сомнению. В мире, согласно отчету Computer Security Institute (2009 CSI Computer Crime and Security Survey), выросло количество организаций, которые столкнулись с различными типами угроз.
В 2009 году вредоносный код обнаруживался на 14% чаще, бот-сети - на 13%, перехват паролей - на 8%, финансовое мошенничество с использованием средств информационных технологий - на 8%, отказ в обслуживании - на 8%, взлом веб-сайтов и интернет-сервисов - на 8%, а фишинг - на 3%. Самыми распространенными типами угроз признаны (в порядке убывания) - вредоносный код, кража мобильных устройств, фишинг, действия инсайдеров, отказ в обслуживании. Чаще всего под удар попадали бизнес-приложения, которые участвуют в финансовой сфере деятельности организаций (по причине относительной легкости получения доступа к денежным средствам или ценной информации с целью ее перепродажи), при этом большинство проблем и инцидентов в области ИБ были связаны с попытками несанкционированного доступа, модификации информации и шантажа с целью получения незаконного дохода.
Как известно, любая информационная технология (в том числе, и связанная с защитой данных) проходит в своем развитии несколько стадий – от самого первого появления, когда о ней говорят как об инновации или революционной разработке, через период роста интереса к технологии - к насыщению рынка, после чего наступления зрелости, когда понятны плюсы и минусы, ограничения и особенности применения. В настоящее время, по данным опроса CNews, в число базовых технологий ИБ уже перешли антивирусы, межсетевые экраны и криптографические решения (СКЗИ), которые используются чаще по необходимости (больше применяются в качестве защиты выборочных рабочих станций высокопоставленных сотрудников, а также мобильных работников для защиты наиболее ценной информации). DLP, СУИБ (системы управления информационной безопасностью), SIEM (управление событиями и инцидентами информационной безопасности) пока только набирают популярность в бизнесе и находятся на том этапе, когда компании уже "заболели" идеей внедрения таких продуктов, но практического опыта их применения мало, и сам рынок таких средств еще не устоялся.
"На данный момент конечные средства защиты информации (СЗИ) отходят на второй план, а на первый план выходит грамотно сформулированная документальная база – политика информационной безопасности. Однако "блоки", из которых мы строим качественную систему защиты, играют далеко не последнюю роль", - считает Аркадий Прокудин, руководитель группы продаж Центра компетенции информационной безопасности компании "АйТи".
Алексей Лукацкий, менеджер по развитию бизнеса Cisco, считает, что антивирусы, межсетевые экраны и СКЗИ стали общераспространенными продуктами, но сейчас гораздо важнее системы защиты, работающие на прикладном уровне – файрволл на уровне приложений, средства защиты СУБД, ERP, SCADA, АБС, систем ДБО и т.д. Эксперт полагает, что для СМБ-компани отношение к ИБ в России не меняется уже много лет – продукт должен стоить недорого, выполнять максимальное количество задач и не требовать выделения для своего обслуживания штатных специалистов.
Дмитрий Савченко, руководитель направления системы и методы обеспечения информационной безопасности компании "Микротест", приводит в качестве примера рост интереса СМБ-компаний к DLP-продуктам и отмечает, что межсетевые экраны традиционно покупают компании всех секторов. В свою очередь, СКЗИ приобретают из-за закона о персональных данных, при этом с 2009 года в связи с проблемами ввоза средств криптографии из-за рубежа вырос уровень продажи российских средств.
По данным опроса крупнейших ИБ-интеграторов России, проведенного CNews, на сегодняшний день в списке топовых задач, реализуемых с помощью средств защиты информации, значится выполнение требований государственных и отраслевых регуляторов (прежде всего, к персональным данным). Компании, как минимум, пытаются внедрить у себя ИБ-решения, позволяющие привести информационные системы в соответствие №152-ФЗ (для чего проводят соответствующий комплекс мероприятий - аудит, разработку внутренних политик, аттестацию), а, как максимум, планируют организовать реальную защиту своих информационных активов (за счет, например, внедрения СУИБ). Такие решения должны иметь полную интеграцию с существующей ИС, требующей наименьшего изменения в ПО и оборудовании, быть комплексной, гибкой и масштабируемой, способной исполнять функции в контексте перспективных угроз и рисков и многое другое.
По мнению Андрея Тимошенкова, заместителя директора по развитию сервисов Softline Services, в 2009 году значительно вырос процент атак и заражений вредоносным кодом. При этом на протяжении четырех лет остается на том же высоком уровне количество краж портативных устройств. Незначительно возросла угроза атак выведения ИТ-ресурсов из строя (так называемых denial of service (DoS)-атак. Эксперт замечает, что при этом заметно снижается уровень угроз, касающихся злонамеренного доступа инсайдеров к внутренним ресурсам сети: "Как правило, это связано с внедрением, помимо систем DLP, административных методов борьбы с подобного рода нарушениями. Кстати, исходя из западных отчетов, уровень денежных потерь от намеренных краж, производимых инсайдерами, относительно невелик. Больше вреда бизнесу приносят ненамеренные кражи и утечки важных данных".
Дмитрий Савченко ранжирует угрозы по степени размера коммерческой пользы атакующим. На первом месте в таком случае значатся DdoS-атаки, на втором – фишинг и его производные, и наравне с ними - угрозы от инсайдеров. На третьем по значимости месте – вирусы и трояны. "Нельзя сказать, что угрозы изменили свое значение для компаний за такой небольшой период, как 2 года, - рассказывает Михаил Башлыков, руководитель направления информационной безопасности компании "Крок". - Так или иначе, сохраняются угрозы мошенничества со стороны внутренних нарушителей, внешних злоумышленников, утечки конфиденциальной информации. Вместе с заказчиком мы выделяем эти угрозы в отдельные направления и работаем над ликвидацией каждой из них посредством внедрения систем контроля действия пользователей, систем защиты бизнес-информации и т.д."
Впрочем, в любом случае тема выполнения требований закона о персональных данных стала настолько резонансной для рынка ИБ в России, что ряд опрошенных компаний в открытую назвали главной угрозой отрасли как раз законодательство, которое оставляет слишком большую неоднозначность в вопросах соблюдения регулятивов. Михаил Дрожжевкин, глава российского офиса компании Eset, замечает, что риски компаний следует разделять на правовые и технические (вирусные угрозы, угрозы вторжений, угрозы компрометации конфиденциальных данных и др., которые на протяжении последних лет показывают стабильный рост), при этом называя наиболее серьезным риском соответствие требованиям законодательных актов (compliance). "В конце прошлого года большинство компаний было озадачено необходимостью приведения персональных данных в соответствие с требованиями ФЗ №152. Часть требований закона отсрочили на 2011 год, и теперь актуальность вопроса не падает", - считает он.
Об этом же говорит и Алексей Лукацкий, считающий, что основной угрозой для компаний в прошедшие два года были регуляторы – ФСТЭК, ФСБ, Роскомнадзор, выпустившие "такие" требования по защите прав субъектов персональных данных и самих данных, что для многих заказчиков на первое место выходит не реальная защита данных клиентов и работников (она и так обеспечивалась), а выполнение требований "для галочки". Специалист замечает, что это не является особенностью российского рынка. "Еще 5-6 лет назад у Gartner среди ключевых угроз появилась "бумажная безопасность", т.е. выполнение требований десятков различных нормативно-правовых актов, как международных или национальных, так и отраслевых или корпоративных", - добавляет он.
Максим Эмм, директор департамента аудита компании "Информзащита", констатирует, что структура угроз сильно сместилась в сторону регуляторов. "Если раньше наиболее серьезными угрозами были вирусные заражения, проникновение злоумышленников через сеть интернет, действия инсайдеров по утечке важных данных, то сейчас это неопределенность нормативного регулирования в области ИБ с перспективами проверок регуляторов, Ddos-атаки, узкозаточенные вредоносные коды, при помощи которых крадут деньги со счетов или отключают системы управления оборудованием в сетях, не подключенных к интернету".
Опрошенные CNews компании отмечают, что в целевом списке злоумышленников на первом месте значатся системы "банк-клиент", затем – эквайринговые решения и учетные системы. Максим Эмм объясняет это тем, что в первом и втором случае результаты успешных атак на системы такого рода очень легко и эффективно монетизируются хакерами, а в последнем полученная информация может быть продана или использована для мошеннической и другой противозаконной деятельности. Алексей Раевский, генеральный директор SecurIT, добавляет еще и "облачные" решения, однако отмечает, что они пока не получили широкого распространения на отечественном рынке.
В наибольшей степени, по мнению Романа Кобцева, директора департамента развития и маркетинга "Элвис-Плюс", атакам подвержены компании из сегментов ТЭК, телекоммуникаций, банковской сферы. Это обусловлено либо большим потенциальным ущербом для компании (в случае нечестной конкурентной борьбы), либо наибольшей потенциальной прибылью для нарушителя (если основной мотивацией является завладение информационными ресурсами для дальнейшего обогащения). Алексей Лукацкий отмечает, что сегодня большинство производителей программного обеспечения не могут предложить адекватных средств защиты и мониторинга для бизнес-приложений, поэтому реальной статистики по этому направлению нет. Тем не менее, фактически степень уязвимости корпоративных систем зависит от отраслевой специфики.
"Если на сетевом уровне угрозы примерно для всех одинаковы – вирусы, черви, DDoS-атаки, утечки, то на прикладном уровне картина меняется. Для банков на первое место выходят атаки на АБС и системы ДБО, для промышленных предприятий – системы ERP и SCM, для компаний сектора ТЭК – системы АСУ ТП (SCADA)", - объясняет Олег Шабуров, старший системный инженер Symantec. В числе наиболее "хитовых" приложений для атак он выделяет офисные пакеты, а также средства чтения PDF и просмотра различного веб-контента, поскольку они используются повсеместно.
"Одним из видов бизнес-активностей, набирающих в последнее время большую популярность, является доступ и общение через социальные сети. В силу этого еще более уязвимыми для атак становятся любые приложения, связанные с выходом в интернет и работой в соцсетях, например, - это веб-браузеры и клиенты систем мгновенных сообщений, - рассуждает Андрей Тимошенков. – Также одной из приоритетных угроз в 2010 году многими аналитиками называется атака SQL-injection, поэтому бизнес-приложения, связанные с обработкой баз данных, также являются мишенью для подобного рода атак".
Михаил Демидов