ІТ-звіт ФБР: перегляд порно – нова світова загроза

Незважаючи на появу все нових і нових програм з ІБ, людський фактор, як і раніше, найслабкіша ланка в ланцюзі оборонних загороджень. Навіть найсучасніші й близькі до досконалості технології захисту не можуть убезпечити компанії від проблем з безпекою. І якщо збиток від зовнішніх загроз неухильно знижуються, то втрати від інсайдерського втручання стають дедалі масштабнішим.


У поточному році рік збитки від проблем з безпекою виріс практично вдвічі, дійшовши до позначки в 350 тис дол на одну опитаних організацій. Цей показник помітно більше торішнього результату (168 тис дол). Цікаво, що протягом попередніх п'яти років середній збиток від проблем з ІБ неухильно падав.


Практично п'ята частина (18%) організацій, які зазнали за рік хоча б один інцидент, заявила про те, що вони зіткнулися з "спрямованої" атакою. Іншими словами, дії зловмисників були спрямовані на поразку конкретної компанії.

В останньому опитуванні американського інституту CSI і ФБР (Computer Security Institute) "2007 CSI / FBI Computer Crime and Security Survey" взяли участь 494 американські компанії, що представляють практично всі вертикальні ринки. У цьому році база респондентів дещо скоротилася – у 2006 році в опитуванні брали участь 616 респондентів, а в 2005 – 700 організацій.


У цьому році вперше максимальні втрати респондентів виявилися пов'язані з фінансовим шахрайством, а не з вірусними атаками, які лідирували протягом останніх семи років.


Загроза нецільового використання мережевих ресурсів інсайдерами (наприклад, перегляд порнографії або скачування піратських програм) виявилася найбільш актуальною проблемою ІБ (59%). За нею слідують віруси (52%), лідирували в торішньому рейтингу.


Незважаючи на загальне зростання збитків від проблем з безпекою, тільки 46% респондентів за останній рік стали свідками інцидентів в цій області. Ця цифра зменшувалася протягом останніх трьох років: у Торік з різного роду проблемами зіткнулося 53%, а в позаминулому – 56% учасників опитування.


29% організацій, які зазнали проблеми з ІБ, заявили про комп'ютерні вторгнення в правоохоронні органи. У минулому році таких компаній було 25%.


Витрати на інтернет-безпека ростуть


Для початку респондентам було поставлено питання про те, яка частина витрат припадає на інформаційну безпеку. Результати нинішнього дослідження практично не відрізняються від торішніх. Кількість компаній, затрачених на ІБ дуже багато або дуже мало коштів, дещо скоротилося, а значить – бюджети на ІБ в цілому стабілізувалися. Для 44% респондентів вони знаходяться в інтервалі від 3 до 10%. У минулому році цей показник становив 27%.


Загальна частка витрат на ІБ незначно збільшилася в порівнянні з 2006 роком. Це означає, що витрати на безпеку ростуть трохи швидше витрат на ІТ в цілому. У даному дослідженні з'явилося відразу кілька нових питань. Один з них стосувався витрат на підготовку персоналу в загальному обсязі інвестицій у безпеку. Як з'ясувалося практично половина (48%) респондентів приділяють цьому аспектові вкрай незначне увагу. Автори опитування частково пояснюють низькі показники тим фактом, що деякі навчальні заходи (наприклад, повідомлення на інтранет-порталах) дуже дешеві. Але при цьому підкреслюють, що до реальних інвестицій в навчання компаніям поки далеко.


Незважаючи на величезну кількість згадок у пресі, аутсорсинг в області ІБ залишається не дуже затребуваним. Тільки 2% організацій віддають стороннім підрядникам понад 80% функцій з безпеки, а 61% респондентів взагалі не користуються аутсорсингом. У цілому, популярність аутсорсингу незначно виросла, проте це зростання перебуває в межах статистичної похибки.


Втрати, проблеми та нові загрози ІБ


Основна частина звіту CSI присвячена загрозам ІБ і вже сталися інциденти. 46% респондентів відчули хоча б одну проблему з безпекою в минулому році, приблизно стільки ж – не відчували, а інші не змогли відповісти. Відзначимо, що кількість "проблемних" компаній падає протягом останніх трьох років – у минулому році вони становили 53%, а в позаминулому – 56%. На ці зміни впливають два фактори: по-перше, досвід шахраїв росте, а значить – їх атаки стають більш непомітними. А, по-друге, зростає захищеність самих компаній від різноманітних загроз.

Кількість компаній, що мали проблеми з ІБ, 2006 (у% від загального числа)

Джерело: CSI / FBI Computer Crime and Security Survey, 2007


Ті компанії, які зафіксували хоча б один інцидент, розповіли про їх кількість. В отриманих відомостях помітно одну цікаву обставину. Кількість компаній, які зазнали більше 10 інцидентів, різко виросло в нинішньому році і досягла позначки в 26%. Автори дослідження CSI ніяк не пояснюють цю тенденцію.

Кількість інцидентів інформаційної безпеки * (у% від загального числа)


Джерело: CSI / FBI Computer Crime and Security Survey, 2007


За даними CSI, в цьому році позиції вірусів, які очолювали список з 2000 року, потіснила загроза нецільового використання мережевих ресурсів інсайдерами (тобто, будь-якими внутрішніми співробітниками). Подібні інциденти зафіксували 59% респондентів, у той час як з вірусами зіткнулися тільки 52%.


У цілому, практично всі типи інцидентів здали свої позиції, якщо порівнювати з попереднім роком. Крім "нецільового використання мережевих ресурсів" виросла лише загроза "втрати мобільних носіїв і ноутбуків" (50%), а також декілька не найпопулярніших типів загроз. Відзначимо, що більше половини загроз безпеки пов'язані з крадіжкою або втратою конфіденційних даних за участю співробітників організації.


Серед загальної маси інцидентів інформаційної безпеки виділяються "спрямовані" атаки.

Кількість "спрямованих" атак на компанії, 2007 (у% від загального числа)

Джерело: CSI / FBI Computer Crime and Security Survey, 2007


На відміну від "глобальних" епідемій, "спрямовані" атаки проводяться для злому інфраструктури конкретно взятої, відомою заздалегідь компанії. У нинішньому році CSI вперше опитала організації на предмет "спрямованих" атак і отримала досить цікаві результати. Виявилося, що приблизно п'ята частина (18%) респондентів зазнала хоча б одну "спрямовану" атаку. Цей факт в черговий раз говорить про зростання досвіду шахраїв, а також про їх прагненні заробляти реальні гроші, а не віртуальне повагу.


Рейтинг загроз


Тільки 194 компанії із загальної бази опитаних респондентів погодилися надати дані про збитки. У рейтингу найбільш небезпечних (у грошовому відношенні) загроз змінився лідер – на першому місці з солідним відривом опинилася загроза "фінансового шахрайства", яка випередила віруси, які очолювали список раніше. У своєму звіті CSI не формулює визначення "фінансового шахрайства", тому важко сказати, що саме підпадає під дану загрозу. По всій видимості, мається на увазі якась коригування фінансових даних тими співробітниками компанії, які мають на це право. Іншими словами, "фінансове шахрайство "повністю відноситься до категорії внутрішніх загроз.


Відзначимо, що в звіті CSI не наведено збиток від крадіжки конфіденційної інформації. Вірніше, ця шкода рознесений відразу на кілька пунктів. Якщо підсумовувати втрати від крадіжок всіх типів конфіденційних даних з усіх різновидів пристроїв – то можна отримати цифру в 10 млн дол Таким чином, ця загроза миттєво опиниться на другому місці.


У будь-якому випадку, до цих висновків CSI слід ставитися з певною часткою скепсису. По-перше, всі цифри бралися з відповідей компаній-респондентів, а як вони розраховували збиток – це дуже велике питання. По-друге, деякі типи загроз (і, перш за все, крадіжка конфіденційних даних) супроводжуються серйозними непрямими втратами, які вкрай важко оцінити.


Один з головних результатів дослідження відображено на наступній діаграмі. Легко підрахувати, що середній заявлений збиток у минулому році склав 350 тис дол в розрахунку на одну компанію. Цей показник вперше збільшився за останні п'ять років – до нинішнього року він неухильно падав.


Про що говорить такий стан речей? По всій видимості, зменшення шкоди від проблем з безпекою, що спостерігалося в останні кілька років, у підсумку завершилося. Якщо тенденція збільшення середнього збитку продовжиться і наступного року, значить, сьогодні ми перебуваємо біля витоків нового витка комп'ютерних загроз, пов'язаних вже не з зовнішньої, а з внутрішньою безпекою.

Збиток від різних типів загроз у розрахунку на одного респондента, 2006 (у доларах США)

Джерело: CSI / FBI Computer Crime and Security Survey, 2007


Наступне питання дослідження стосувався співвідношення внутрішніх і зовнішніх загроз. У порівнянні з минулим роком це співвідношення практично не змінилося: організації, як і раніше серйозно стурбовані обома класами загроз.


Хотілося б додати, що внутрішні загрози (а саме – втрати конфіденційної інформації) дуже специфічні. Справа в тому, що практично всі витоки супроводжуються не тільки прямими, а й непрямими втратами, які практично неможливо підрахувати. Більш того, в більшості випадків саме непрямі (репутаційні) втрати є найбільш значущими для компаній. До того ж, інсайдерські "витівки" набагато важче знайти, ніж ту ж діяльність вірусів. Тому експерти припускають, що "реальна" розкладка збитку по внутрішнім і зовнішнім загрозам серйозно відрізняється від даних CSI.


Відзначимо, що аналогічне співвідношення можна підрахувати, використовуючи діаграму на рис. 4. Підсумовуючи збиток від внутрішніх загроз легко отримати суму в 34 млн дол – тобто, більше половини всіх втрат, які зазнали компанії-респонденти.


Технології захисту та бездіяльність поліції


Як і в попередніх дослідженнях, респондентів попросили озвучити технології ІБ, які використовуються в їхніх компаніях.


Варто відзначити, що ніяких серйозних змін за минулий рік не відбулося. Зауважимо лише, що в дослідженні з незрозумілих причин відсутні згадки про рішення класу ILD & P (комплексні системи захисту від витоків). Звичайно, можна стверджувати, що частина функціоналу ILD & P-систем потрапляє в різні категорії рейтингу, однак жодна категорія не покриває цей функціонал повністю. По всій видимості, рівень проникнення ILD & P вкрай низький навіть в Америці.


Ще один традиційний питання дослідження стосувався реакції компаній на трапився інцидент. В отриманій розкладці можна побачити як сущі банальності, так і вельми цікаву інформацію. Як з'ясувалося, американські компанії не надто вірять правоохоронним органам – тільки 29% респондентів повідомляють про інциденти в поліцейські інстанції. І лише 24% компаній консультуються перед цим зі своїми юристами. Більш того, в 30 випадків з 100 організації намагаються зробити все можливе, щоб інформація про інцидент, що стався не просочилася назовні.

Причини, через які респонденти не звертаються до правоохоронних органів після інцидентів, 2006 (у% від загального числа)

Джерело: CSI / FBI Computer Crime and Security Survey, 2007


Причини, через які компанії не звертаються до правоохоронних органів, виявилися дуже різними. Звертає на себе увагу другий рядок списку – американські організації просто не вірять, що правоохоронні органи зможуть їм якось допомогти. Все це до болю нагадує російські реалії.


Що ж в результаті?


В кінці дослідження CSI наводить деякі коментарі до отриманих результатів. На думку авторів, незважаючи на істотне зростання збитків від проблем з ІБ ситуація залишається достатньо комфортною для організацій. Їх поточні втрати поки не можна порівнювати з тією шкодою, що спостерігався на початку нинішнього сторіччя. З іншого боку, більш ніж двократне зростання середніх витрат може послужити першим "дзвіночком" до подальших проблем з безпекою.


CSI підкреслює, що кілька років тому відбувалася чи не спортивна боротьба між творцями вірусів і професіоналами з інформаційної безпеки. Сьогодні ми маємо більш складну картину. Зловмисники діють у два етапи: спочатку атакують корпоративні мережі, а потім використовують отримані дані для атаки на фізичних осіб. У цьому світлі, перед технічним світом виникає принципово важливе завдання, пов'язана з управлінням ідентифікацією користувачів. За великим рахунком, всі крадіжки персональних даних відбуваються саме через проблеми з ідентифікацією – у противному випадку, ці дані нікому б не знадобилися.


Загалом, більша частина отриманих відповідей наочно показують, що актуальність внутрішніх загроз зростає, в той час як актуальність зовнішніх падає. Додамо, що ця тенденція спостерігається впродовж кількох останніх років – і навряд чи в майбутньому вона припиниться.

Олексій Доля

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*