Дослідження: "IM – Instant Messenger or Information Misuse?"







Програми обміну миттєвими повідомленнями (IM – Instant Messaging), спочатку розраховані на домашніх користувачів, сьогодні стали повноцінним інструментом бізнес-комунікацій. Найчастіше, спілкування за допомогою популярних IM-клієнтів дозволяє домогтися більш тісних і дружніх контактів, ніж використання традиційних способів зв'язку, таких як телефон або електронна пошта. Однак поряд з очевидними перевагами, IM-програми мають і низку недоліків – вони відволікають службовців від своєї основної діяльності і, що більш важливо, є потенційною проломом в системі безпеки підприємства.

Введення

Програми обміну миттєвими повідомленнями (IM – Instant Messaging), спочатку розраховані на домашніх користувачів, сьогодні стали повноцінним інструментом бізнес-комунікацій. Найчастіше, спілкування за допомогою популярних IM-клієнтів дозволяє домогтися більш тісних і дружніх контактів, ніж використання традиційних способів зв'язку, таких як телефон або електронна пошта. Однак поряд з очевидними перевагами, IM-програми мають і низку недоліків – вони відволікають службовців від своєї основної діяльності і, що більш важливо, є потенційною проломом в системі безпеки підприємства.

Загрози, пов'язані з IM-технологіями, досить різноманітні. По-перше, існує маса шкідливих програм, що атакують користувачів тих чи інших IM-протоколів. По-друге, уразливості в програмах-клієнтах є прекрасною мішенню для хакерських нападів. І, по-третє, через IM-мережі постійно передається конфіденційна інформація, яку досить легко перехопити. Ну а якщо у вашій компанії з'явився інсайдер, то цю інформацію не треба навіть перехоплювати – йому цілком достатньо просто вислати свого зовнішнього контакту з IM-клієнта.

Це дослідження присвячене вивченню ризиків, які виникають в компаніях при використанні IM-клієнтів, а також тому, як організації реагують на ці ризики. Основна мета дослідження – визначити загрози ІТ-безпеки, пов'язані із застосуванням IM-програм в російських компаніях, і запропонувати найбільш ефективні методи захисту від них.


Основні висновки


* Переважна більшість (92,4%) респондентів визнають небезпеку IM-технологій, але практично кожен другий (48,6%) на практиці не діє і повністю ігнорує виникаючі ризики ІТ-безпеки.
* Основна загроза, що виникає при використанні IM-клієнтів, це витік конфіденційної інформації (42,3%), що цілком справедливо: кожен четвертий респондент (24,5%) погодився, що постійно пересилає класифіковані відомості через IM-клієнт, а ще 15,8% не змогли дати однозначну відповідь.
* Майже половинка компаній (41, 4%), що захищаються від IM-загроз, використовують блокування трафіку, а майже третина (27,0%) – адміністративні обмеження. Таким чином, респонденти вважають за краще забороняти IM-трафік, замість того, щоб контролювати це ефективний засіб комунікації.
* Лише трохи більше половини (57,9%) респондентів, що використовують блокування трафіку, вважають цю міру ефективною. Навпаки, три чверті компаній упевнені, що адміністративні обмеження (74,7%) і моніторинг IM-трафіку (78,9%) є ефективним засобом захисту від IM-загроз.
* Незважаючи на високі ризики, компанії малого бізнесу (до 100 робочих станцій) на 23,8% рідше використовують спеціальні засоби для захисту від IM-загроз, ніж великі корпорації (більше 501 користувача). Останні захищаються також далеко не завжди – заходи приймаються тільки у 66,8% випадків.

Методологія дослідження

Дослідження проводилося в період з 1 травня по 1 червня 2007 року. У процесі збору первинних статистичних даних брав участь 1101 респондент з різних країн, що заповнили онлайн-анкети (див. додаток) на порталі SecurityLab.ru. Питання, наведені в анкеті, були адресовані, перш за все, професійної аудиторії SecurityLab.ru, яка традиційно складається з досвідчених фахівців у галузі інформаційних технологій та інформаційної безпеки.

Зазначимо, що перше російське дослідження, присвячене безпеки IM-клієнтів в корпоративному середовищі, було проведено аналітичним центром InfoWatch в середині 2005 року («Інтернет-пейджери: пролом внутрішньої безпеки або майбутнє засіб бізнес-коммунікакій? "). Незважаючи на те, що база респондентів у минулому і сьогоденні дослідженнях значно відрізняються, деякі паралелі між ними провести все-таки можна. Тому, порівнюючи цьогорічні результати з показниками дворічної давності, аналітичний центр InfoWatch буде зупинятися тільки на самих загальних тенденціях.

Наведені нижче дані є округленими до десятих часток цілих чисел. У деяких випадках сума часток відповідей перевищує 100% через використання багатоваріантних питань.
Потрет респондент

На рис. 1 представлений портрет респондентів за кількістю комп'ютеризованих робочих місць в організації. Найбільша частка опитаних співробітників працюють переважно в малих компаніях (61,3%), що мають не більше 100 робочих станцій. На частку середнього бізнесу (101-500 комп'ютеризованих місць) довелося 21,7%. Частина, що залишилася респондентів (17,0%) уявляє, відповідно, великий бізнес. У подальшому результати опитування будуть сегментовані в залежності від розмірів бізнесу респондентів.
Використовувані IM-клієнти

Згідно з результатами дослідження (рис. 2), переважна більшість користувачів (74,3%) використовують сервіс ICQ, що свідчить про високу популярність даної програми в Росії. Щоправда, більше половини (54,3%) респондентів застосовують не тільки ICQ, а й інші IM-програми, а значить, трохи збільшують імовірність можливих ризиків. У порівнянні з результатами дворічної давності, ситуація практично не змінилася: IM-клієнти не використовують 12,8% опитаних, причому вплив відмінностей в базі респондентів на цей фактор можна вважати несуттєвим.

Таким чином, технології IM стали повноцінним засобом бізнес-комунікації. Версія про їх можливу відмирання у зв'язку з проблемами безпеки не витримала перевірки часом. Бізнес-вигода, яку приносить використання IM, настільки велика, що абсолютна більшість компаній готові застосовувати IM-клієнти, незважаючи на їх очевидну незахищеність. Остання теза чудово розуміють і зловмисники, що неминуче призведе до поширення шкідливих програм, що експлуатують вразливості пейджерів. Не варто забувати і про внутрішні загрози – тобто, про інсайдерів, що використовують IM-канали.
Вплив IM на ІТ-безпеку

На рис. 3 приведена діаграма, що демонструє основні загрози, що виникають у зв'язку із застосуванням IM-програм. Неважко помітити, що в списку загроз лідирує витік конфіденційної інформації, яку відзначили 42,3% опитаних. Ризики, пов'язані з вірусними атаками і нецільовим використанням ІТ-ресурсів, набрали приблизно по 20% голосів, спам і реклама – по 10,0%. Відзначимо, що тільки 7,6% респондентів вважають, що використання IM-клієнтів повністю безпечно.

Наступне питання дослідження стосувався найбільш серйозної загрози IM – витоку конфіденційної інформації (рис. 4). Як з'ясувалося, тільки 59,7% респондентів впевнені у тому, що вони ніколи не пересилають класифіковану інформацію з IM-каналах, а 24,5% опитаних, навпаки, періодично її пересилають. Ризикнемо припустити, що реальна кількість людей, що займаються подібними речами, набагато вище – багато хто просто не хочуть в цьому собі зізнатися.
Регламенти і політик

Введення різних політик і регламентів є, напевно, самим простим способом зниження ризиків від використання IM-програм. Тим не менше, 62,0% респондентів представляють компанії, які таких регламентів не мають. Більш того, лише у 14,9% респондентів дію політик можна вважати ефективним. Дані, що говорять про застосування політик на підприємствах, наведено на наступній діаграмі (рис. 6)

У таб. 1 показана залежність факту використання політик від розміру організації-респондента. Неважко помітити, що чим більше компанія – тим вище вірогідність наявності регламенту та його ефективного застосування. Разом з тим, з точки зору малого бізнесу небезпека витоку може виявитися навіть вищою – якщо велика корпорація зазнає збитків і відновиться, то невелика компанія ризикує стати банкрутом після крадіжки всього декількох важливих документів.

Таб. 1. Ефективність політик в компаніях різного розміру


 





























Малий бізнес


Середній бізнес


Великий бізнес


Політика відсутня


69,2%                      


61,9%                        


39,5%



Політика діє ефективно


9,3%                        


18,0%                        


28,1%


Політика є, але він не має ніякої сили


10,9%                       


11,1%                         


13,7%


Важко відповісти


10,6%                       


9,0%                          


18,7%


 


Виходячи з отриманих даних, напрошуються два основні висновки. По-перше, ефективний регламент значно (приблизно у два рази) знижує ризик витоку, однак не виключають його повністю. По-друге, наявність неефективного регламенту не тільки не знижує, а й навіть підвищує ймовірність пересилки конфіденційних даних. Тому, якщо організація хоче ввести регламент використання IM-програм – то вона повинна подбати про його ефективність.


Захист від IM-загроз на практиці

Інші способи захисту від IM-загроз наведено в діаграмі на рис. 6. З отриманих даних випливає, що практично половина компаній (46,6%) ніяк не захищаються IM-загроз, а серед використовуються методів переважають заборонні заходи (блокування трафіку). Чисто контролюючі заходи (моніторинг) поки не отримали широкого поширення – по всій видимості, їх впровадження пов'язане з технічними проблемами і опором користувачів.

Як і слід було очікувати, великі організації приймають різні заходи захисту від IM-загроз набагато частіше. Засмучує інше – приріст спостерігається в основному за рахунок суворо заборонних заходів таких, як блокування трафіку. Застосування контролюючих заходів, навпаки, знаходиться у всіх компаніях приблизно на одному і тому ж низькому рівні (8-10%).

На думку експертів аналітичного центру InfoWatch, сьогодні існують інструменти, що дозволяють ефективно застосовувати контролюючі заходи, такі як моніторинг та архівування трафіку. Складаючи всю інформацію в сховище, організація істотно знижує ймовірність витоку. Користувачі розуміють, що пересилається інформація десь зберігається, тому ведуть себе обачно. Ну а в тих випадках, коли витік все-таки відбулася, заархівовані дані допоможуть знайти зловмисника. Нарешті, створення IM-архіву є обов'язковою умовою ряду нормативних актів та міжнародних стандартів.

Таб.3. Кореляція між заходами захисту та розміром фірми-респондента


 







































Малий бізнес



Середній бізнес



Великий бізнес



Адміністративні обмеження


13,0%


14,7%


14,9%


Блокування трафіку


16,5%


29,4%


30,2%


Моніторинг


8,1%


7,2%


9,9%


Архівування


0,6%


1,9%


2,2%


Інші заходи


5,8%


6,2%


10,6%


Ніякі заходи не застосовуються


56,0%


40,6%


32,2%


У таб. 4 знаходяться дані, що демонструють залежність застосовуваних заходів від найбільш небезпечних загроз. З отриманих результатів слід одразу кілька основних висновків. По-перше, адміністративні заходи і блокування трафіку є якимись універсальними способами захисту від більшості IM-загроз. По-друге, застосування моніторингу найбільш розумно в тих випадках, коли основний ризик для вашої компанії полягає у витоку конфіденційної інформації. По-третє, практично половина користувачів, які визнали загрози IM-програм, ніяк від цих загроз не захищаються.

Таб. 4. Залежність захисних заходів від ступеня небезпеки загрози


 







































Витік конфіденційної інформації



Вірусні атаки



Нецільове використання ІТ-ресурсів



Адміністративні обмеження


14,2%


14,3%


16,4%


Блокування трафіку


25,4%


18,2%


29,1%


Моніторинг


12,0%


4,9%


5,3%


Архівування


1,6%


0,4%


1,1%


Інші заходи


6,6%


5,9%


4,3%


Ніякі заходи не застосовуються


40,2%


56,3%


43,8%


Рекомендації щодо захисту від IM-загроз

Крім питання про вже застосовують способи захисту, дослідження також ставило собі за мету з'ясувати, які методи захисту слід застосовувати на думку самих респондентів. Як виявилося, розподіл відповідей по використовуваних (рис. 6) та рекомендованим (рис. 7) заходам значно відрізняються. Відзначимо, що на рис. 7 сума відповідей перевищує 100%, оскільки респондентам пропонувалося вибрати кілька варіантів відповіді.

На відміну від «використовуваних» методів, більшість «рекомендованих» методів припускають контролюючі способи впливу на користувачів. З одного боку, це пояснюється непопулярністю заборонних заходів, з іншого – розуміємо переваг використання IM з точки зору бізнесу компанії.
Ефективність методів, що застосовуються на практиці

У рамках дослідження, аналітичний центр InfoWatch спробував оцінити ефективність «застосовуваних» методів, в залежності від «рекомендованих» методів. Отримані результати підтвердили тези попереднього абзацу – тільки 57,9% респондентів, що використовують блокування трафіку, назвали цей захід «рекомендованої». У відношенні адміністративних обмежень і моніторингу ці частки помітно вище, вони складають 74,7% та 78,9% відповідно. Таким чином, можна зробити висновок про те, що блокування трафіку є найбільш нерекомендуемой і непопулярним заходом захисту від IM-загроз.

На завершення звернемося до діаграми (рис. 8), яка демонструє незахищеність респондентів, які зізналися у пересиланнях конфіденційної інформації. Дослідження показало, що 60,3% компаній, в яких працюють дані співробітники, взагалі не захищаються від IM-загроз. Очевидно, що якщо подібна ситуація збережеться, то внутрішні порушники обов'язково нею скористаються.
Висновок

Дане дослідження підтвердило правильність тих тенденцій, які були сформульовані два роки тому. Як ми вже неодноразово зазначали, IM-технології стали стандартним засобом комунікації, застосовуваним в переважній масі компаній. Представники цих фірм поступово усвідомлюють загрози, пов'язані з IM, і починають застосовувати різні методи захисту. У той же час, до цих пір існує маса ніяк не захищених організацій, що є потенційною мішенню для інсайдерів.

Подальший розвиток IM-програм як засоби бізнес-комунікацій видається цілком визначеним. З одного боку, зростатиме кількість інструментів захисту, з іншого – попит на ці інструменти з боку клієнтів. Чисельність організацій, в принципі ігнорують захист IM-каналів, буде, таким чином, знижуватися. Очевидно, що зусилля компаній у сфері захисту IM (як постачальників, так і замовників) будуть підстьобувати зростаючою кількістю погроз, як з боку зовнішніх порушників, так і особливо з боку інсайдерів.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*