|
|
Обзор подготовлен
Рынок средств защиты от несанкционированного доступа и утечек информации, равно как и антивирусных средств пережил в кризисный период не самые лучшие времена. Похоже, отечественный потребитель ИБ-решений еще недостаточно зрел, чтобы отдавать себе отчет в необходимости первоочередной защиты своего бизнеса.
По данным аналитиков один из основных показателей зрелости потребления ИБ – четкое понимание ценности информационных активов и адекватность применяемых мер к их защите. Когда есть понимание, что защищать и кому это нужно, поставлены цели и задачи, можно приступать к внедрению систем защиты. Сотрудники современных компаний максимально мобильны; устройства, которыми они пользуются, лишь отчасти можно контролировать средствами штатных защитных решений. Поэтому зрелого ИБ-клиента от незрелого отличает то, что первый знает, что информацию нужно защищать вне зависимости от того, где и на каком устройстве она находится.
Для безопасности важно не то, какое устройство находится в сети или какова степень его защиты и пр., а то, чья информация хранится на нем. Если это корпоративная информация, ее нужно защищать - вот почему именно сейчас особое значение приобретают гибкие, не требовательные к ресурсам технологии защиты, способные работать и на сервере, и на десктопе, и на личном смартфоне, и в облаке. Очевидно, что запрещать личные мобильные устройства в корпоративной сети сегодня бессмысленно, однако можно сделать так, чтобы корпоративная информация хранилась и обрабатывалась на этих устройствах в защищенном режиме – особенная виртуальная среда с контролем движения данных, с ограничением на запуск определенных приложений и действий.
Зрелость заказчика ИБ применительно к организациям зависит также и от сотрудников. Так, например, компания Sailpoint Technologies в 2011 г. провела исследование, имеющее опосредованное отношение к вопросам обеспечения информационной безопасности предприятий, защиты от несанкционированного доступа к данным. Аналитики оценивали лояльность сотрудников компаний корпоративной этике при работе с информацией ограниченного использования.
Исследование, проведенное на территории США, Великобритании и Австралии, показало: из 3,5 тыс. опрошенных сотрудников (по сути -инсайдеров) достаточно большое количество могут и готовы украсть секретную информацию у своих компаний: 22% в США, 29% в Австралии, около половины респондентов в Великобритании. При этом 5% опрошенных в США, 4% в Австралии и 24% в Великобритании продали бы информацию своей компании с целью личного обогащения.
Эти впечатляющие результаты коррелируют с выводами аналогичного исследования, охватившего более 2 тыс. участников и проведенного в апреле 2011 г. корпорацией Symantec совместно с сообществом "Профессионалы.ру" на территории России. В нем отразилось то, как сотрудники отечественных компаний обращаются с внутренней информацией. Согласно опросу, около 70% работников "выносят" деловую информацию, 68% используют социальные сети в процессе работы, а 56% готовы вынести не просто корпоративную, но информацию с атрибутами ограниченного доступа.
Типы сотрудников-инсайдеров
Тип сотрудников | Доля сотрудников |
Сотрудники, которые могут подвергнуть компрометации корпоративную вычислительную сеть, не подозревая об этом | 24% |
Сотрудники, которые игнорируют базовые требования безопасности, при этом осознавая степень угрозы | 22% |
Сотрудники, которые вошли в группу тех, кто преследует собственные корыстные цели | 7% |
Сотрудники, которые достаточно аккуратно обращаются с коммерческой тайной | 47% |
Источник: Sailpoint Technologies, 2012
С точки зрения службы безопасности компаний, где регламенты очень строги, – банков, транспортных служб, госсектора, выводы неутешительны, поскольку инсайдеры и сотрудники с низким уровнем осознания личной ответственности, компетентности, профессиональной подготовки продолжают одолевать службы ИБ. Поэтому зачастую службы ИБ идут по пути запретов, демонстрируя на сегодняшний день полную несостоятельность и незрелость. Повышается уровень ограничений при работе в КИС, уменьшаются области доступа, отключаются все "лишние" устройства, интерфейсы и шлюзы. Эффективность этих мер оценить сложно, поскольку расследование преступлений, связанных с хищением информации, в России затруднено - отсутствуют судебные прецеденты по фактам инсайда.
Другая мировая тенденция - постоянный рост убытков от утечек информации, в первую очередь - персональных данных. В России такой ущерб оценить очень трудно, но, похоже, что он не растет или увеличивается очень медленно. Зато возрастают риски, связанные с нарушением требований регулирующих органов по защите персональных данных.
"Запретительная" политика не учитывает, что некоторая доля рисков в процессе эксплуатации КИС возникает не только из-за несанкционированных действий, но и в случае непреднамеренных ошибок сотрудников. Они также могут привести к несанкционированному изменению информации и причинить ущерб организации. Соответственно, непонимание подобного также влияет на степень зрелости заказчика ИБ, особенно если это делается намеренно, принимая в расчет лояльность сотрудников, профессионализм службы защиты информации и сравнительно невысокую для России стоимость нейтрализации последствий инцидентов.
Поэтому помимо внедрения технических и программных средств, необходимы комплексные меры предупредительного характера. Они позволяют информировать служащих о недопустимых действиях с информацией ограниченного использования. Хороши все средства: законодательные инициативы, в арсенале которых административное (уголовное) преследование, корпоративные – в виде материального поощрения (наказания) и недопущение совершения сотрудником специфических операций с участием средств вычислительной техники. Последнее случается даже не злонамеренно, а просто потому, что есть возможность обработки данных в домашних или других условиях. Тут вполне могут помочь различные программные и аппаратные решения, в том числе средства защиты информации от несанкционированного доступа.
Значительную часть вопросов по ИБ могут разрешить новейшие программные и аппаратные технологии и комплексы. Можно использовать такие решения, как системы контроля и управления доступом (СКУД), биометрический контроль доступа сотрудников к информационным ресурсам банка, усиление систем аутентификации дополнительными элементами: многофакторная аутентификация, система управления учетными записями, централизация доступа пользователей ко всем информационным системам банка.
Экономика защиты
Параметр экономии | Рублей в год | Часов в год на пользователя, в соответствии с применением технологии строгой аутентификации |
Доступ пользователя к рабочему столу Windows | 598 | 1,8 |
Доступ пользователя в ИТ-системы | 2992 | 8,8 |
Периодическая смена пароля учетной записи Windows | 17 | 0,05 |
Периодическая смена пароля учетных записей ИТ-систем | 85 | 0,25 |
Блокировка рабочего стола Windows | 149 | 0,44 |
Инцидент "Забытый пароль" учетной записи Windows | 119 | 0,34 |
Инцидент "Забытый пароль" учетной записи ИТ-системы | 119 | 0,34 |
Post Single Sign-On Automation | 498 | 1,5 |
Итого на одного пользователя в год | 4 580 | 13,52 |
Итого на всех пользователей в год | 9 159 133 | 27 040 |
* Примечание: Параметры в левой колонке таблицы – периодические мероприятия ИТ-служб, на которых возможна экономия средств. В правой – результаты этой экономии при использовании одного из продуктов в течение одного года
Источник: Indeed, 2012
Решение о внедрении средств ИБ-защиты у зрелого заказчика в России и в мире сегодня должно диктоваться не потребностью в закрытии локальных задач, а на уровне безопасности бизнес-процесов и бизнес-приложений. Еще десять лет назад ИБ не диктовала технологических требований, являясь просто одним из ограничений. Сегодня же есть примеры, когда крупные ИТ-проекты реализуются "вокруг" ИБ. Безопасность сегодня представляет собой из ключевых показателей ведения бизнеса, а в некоторых случаях и конкурентное преимущество. Бизнес становится все более "ИТ-зависимым", географически распределенным и интегрированным. Грамотное управление ИТ-рисками не только позволяет сократить операционные расходы, но и в целом стратегически укрепить свои позиции в будущем. Решения с затрудненной эксплуатацией обходятся слишком дорого, поскольку достижение результата становится очень сложным.
По этой причине ИБ будет следовать за тенденциями развития бизнеса и ИТ, которые поддерживают этот бизнес. Уже сейчас на бизнес-уровне ИБ обеспечивает коммерческую тайну, борется с мошенничеством, приобретает юридическую значимость.
На уровне ИТ вопросы ИБ поднимаются в связи с виртуализацией, развитием мобильных технологий, удаленного доступа и т.д. При этом разные отрасли экономики диктуют определенную специфику. К примеру, в ТЭК и промышленности возрастет внимание к защите технологических сетей. По существу, интерес к ИБ неизбежно станет осознанной необходимостью. Технологии развились настолько, что есть принципиальная возможность реализовать почти любую идею, но не все, что можно реализовать, делается безопасным образом. К примеру, на Западе, к различным сетям подключают объекты инфраструктуры: от системы контроля трафика до энергетических подстанцийс возможностью удаленного управления. Инстинкт самосохранения - один из самых сильных, но прежде, чем он сработает в области ИБ, люди должны осознать возможные последствия увлечения возможностями современных ИТ и созреть до их настоящего применения.
Анатолий Ковалевский