Чи стане інформаційна безпека бізнес-технологією?, Криптографія, Security & Hack, статті

Говорити про глобальні тренди інформаційної безпеки завжди важко, але в той же час дуже цікаво. Кожна компанія, яка грає на цьому ринку, намагається перекрутити ковдру на себе, розповідаючи про зростаючу небезпеки грізних вірусів, загадкових китайських хакерів, зомбованих мережах або неконтрольованих інсайдерів. Ми всі, фахівці з безпеки живемо під товстим шаром маркетингового соусу, який ллється на нас з тих видань і сайтів, яким ми найбільше довіряємо. Про те, що відбуватиметься в галузі насправді ніхто з нас не знає.

З одного боку, це начебто не так погано – компанії активно захищаються від неіснуючих загроз, вендори отримують на цьому якийсь прибуток, а загальний ВВП країни зростає. Всі щасливі. Навіть керівники компаній, які витрачають гроші на коктейль-плацебо з непотрібних технологічних рішень, теж не відчувають ніяких проблем. Вони міцно сплять, оскільки щиро вірять в свою захищеність.

Ми не хочемо сказати, що інформаційна безпека – міф, і її треба ігнорувати. Захищатися необхідно, але робити це треба з розумом, з огляду на вимоги бізнесу. Чому більшість фахівців оновлюють операційні системи? Тому що в противному випадку компанії стане погано. Проте майже ніхто не думає, як саме стане погано. Як саме неустановка того чи іншого патча призведе до реальних матеріальних втрат. І де знайдеться той зловмисник, який раптом вирішить використовувати саме цю уразливість стосовно цієї конкретної компанії?

І так відбувається практично завжди. Технологічний (а на ділі маркетинговий – просто ніхто в цьому собі не признається) підхід до безпеки до сих пір сидить в мізках фахівців. Про бізнес ніхто з них не думає.

Ця ідея проходить червоною ниткою в новому глобальному дослідженні компанії PricewaterhouseCoopers (“PwC”) на тему інформаційної безпеки. У дослідженні “Global State of Information Security Study 2008” взяли участь відразу 7000 фахівців С-рівня з 119 країн світу, в тому числі, і Росії. У цій статті, ми спробуємо висвітлити основні результати PwC зрозумілим для великого бізнесу мовою.

Результат перший. Навіщо взагалі потрібна безпека?

І правда, може ну її, цю безпеку? Особливо в умовах кризи?

Проте ні, зовсім ігнорувати безпеку не можна, це розуміє навіть дитина. Потрібна вона, перш за все, для того, щоб уникнути проблем. Щоб співробітники працювали, а не шукали на сайті вірусної енциклопедії інструмент для видалення троянського коня. Щоб клієнти платили гроші вам, а не групі вісімнадцятирічних хакерів, які зламали біллінг від нічого робити. Щоб конкуренти не знали про те, що завтра ви випустите нову модель свого продукту з використанням сучасних нанотехнологій.

Дослідження PwC свідчить, що “протягом останніх десяти років головним мотивом впровадження рішень з безпеки було прагнення уникнути можливих втрат”. А що відбувається зараз? А зараз відбувається те ж саме (рис. 1), оскільки захист від можливих втрат – і є основна суть безпеки.


Рис. 1. Навіщо потрібна інформаційна безпека? Джерело: PwC, Perimetrix, 2008.



Разом з тим, існують і інші чинники, які спонукають впроваджувати найсучасніші рішення. Ці фактори визначаються ємним англійським словом “compliance”, що перекладається як “відповідність”. Відповідати можна двом концептуальним речам – або внутрішній політиці (а внутрішня політика є наслідок бажання уникнути втрат), або зовнішнім нормативним актам. На останньому слід зупинитися трохи докладніше.

Справа в тому, що з початку 21-го століття в західному розвиненому суспільстві було прийнято безліч нормативів, які зобов’язують щось і якось захищати. Деякі з них (типу SOX і Basel II) тільки увазі інформаційну безпеку, інші (PCI DSS і HIPAA) – про неї прямо говорять. Хочеш не хочеш, але якщо ти – західна компанія, тобі доводиться відповідати. Інакше тобі випишуть мільйонний штраф або небудь клієнт лихо засудить тебе за те, що ти кому віддав його номер мобільного телефону.

Експерти аналітичного центру Perimetrix відзначають, що в Росії також є деякі нормативи (наприклад, Федеральний Закон “Про персональні дані”), проте більшість компаній не заморочуються і просто їх ігнорують. Але довго так тривати не може – рано чи пізно держава зобов’яже їх виконувати. Інша справа, що російське “відповідність” суттєво відрізняється від західного. У нашій країні, це поняття має на увазі не виконання якихось вимог, а закупівлю сертифікованих рішень. Іноді, їх навіть впроваджувати необов’язково. Пам’ятайте про це.

Результат другої. Технологія чи бізнес? А може, бізнес-технологія?

Експерти PwC відзначають, що в минулому році істотно (на 17-20%) підвищилася кількість компаній, які встановили загальну стратегію з безпеки або впровадили відповідного фахівця до складу свого топ-менеджменту. Що трапилося в нинішньому році? Все повернулося на круги своя – на ринку продовжилося бездумне впровадження технологій.

Рис. 2. Популярність різних технологій. Джерело: PwC, Perimetrix, 2008.



 



































































 

2007

2008

Шифрування, ноутбуки

40%

50%

Шифрування, бази даних

45%

55%

Шифрування, файл-сервери

37%

48%

Шифрування, резервні носії

37%

47%

Шифрування, мобільні накопичувачі

28%

40%

 

 

 

Тематична фільтрація

51%

69%

Сертифікація / акредитація сайтів

48%

58%

Безпечні браузери

55%

66%

Безпека веб-сервісів

48%

58%

 

 

 

Виявлення неавторизованих пристроїв

40%

51%

Запобігання вторгнень

52%

62%

Захищений доступ через VPN

59%

68%

Безпека бездротових пристроїв

33%

42%


Компанії шифрували ноутбуки, комп’ютери, мобільні носії та сервери, фільтрували доступ в інтернет, блокували небажані сайти, захищали браузери та онлайн-сервіси, намагалися виявляти вторгнення і неавторизовані пристрої, думали щодо VPN і безпеки бездротових мереж значно частіше, ніж рік тому. А толку? Все одно 35% компаній не знають, скільки інцидентів безпеки у них сталося. 44% не підозрюють про тип цих інцидентів, а 42% – не можуть назвати їх основну причину. І це називається безпекою?


Рис. 3. Що не знають сучасні компанії? Джерело: PwC, Perimetrix, 2008



Вдумливий читач може заперечити – а може бути, просто технології неефективні? Насправді, ми далекі від цієї думки і щиро вважаємо, що проблема в іншому. А саме – у відсутності конкретних бізнес-цілей, які переслідуються при впровадженні технологій. Компанії не можуть назвати кількість інцидентів, оскільки інцидент – це, перш за все, бізнес-поняття, а технології вирішують що завгодно, але тільки не вирощують бізнес компаній. Вірніше так: технології призводять до зростання бізнесу тільки тоді, коли це спочатку продумувалися навіть не на етапі впровадження, а на етапі передпроектного консалтингу.

“Всіх сучасних фахівців з інформаційної безпеки можна розділити на два основних типи, – відзначає Дмитро Скомаровський, партнер консалтингового бюро” Практика Безпеки “. – Перша група фахівців “старої закалки” бажає, щоб все було максимально “безпечно”, незалежно від реальних загрозах для бізнесу і комфорту роботи співробітників. Друга група вважає за краще “технологічність”, але також у відриві від потреб бізнесу. В результаті рішення з безпеки впроваджуються заради чого завгодно, але тільки не для отримання фінансової вигоди в довгостроковій перспективі. ”

У минулому році фахівці з безпеки намагалися переорієнтуватися на бізнес. Проте нинішній рік показав, що вони поки не готові. Вони не готові зрозуміти, що завдання антивіруса – це не захист від вірусів, а зниження витрат організації, які потрібно чисельно порахувати. І тільки потім впроваджувати продукт, якщо це дійсно вигідно. Справжнього менеджера з безпеки не повинно хвилювати кількість вірусів на комп’ютері, він повинен думати про те, яких збитків вони йому приносять.

“Потрібно щоб почала з’являтися третя група-фахівців-” бізнесменів від безпеки “. Такі фахівці можуть так вибудувати процес забезпечення ІБ, що він не тільки не стане явно збитковим, але ще й стане приносити відчутну грошову прибуток для компанії. Охоче ​​наведу кілька прикладів: Банк може написати зручну і безпечну систему банк-клієнт і небезвозмездно передавати її в інші банки, а також здійснювати її техпідтримку. Пройшовши сертифікаційний аудит та отримавши сертифікат з якого-небудь стандарту ІБ, будь-яка компанія автоматично стає дорожче і привабливішим на ринку-а все це реальні гроші. І третій приклад-впровадивши систему DLP і розслідування інцидентів ІБ (Computer Forensics) компанія запросто може стягувати з недбайливих інсайдерів за принесений шкоду, вибиваючи через суд енну суму грошей. Не приховую, що все це поки що не близько для російської дійсності “, – доповнює Дмитро Скомаровський з” Практики Безпеки “.

Результат третій. Бійтеся власних співробітників

Уже давно говорено й сотні разів переговорено, що головну небезпеку для бізнесу компанії несуть свої ж власні співробітники. Мова йде не тільки про так званих інсайдерів, які крадуть інформацію, щоб продати її конкурентам, а й про самих звичайних співробітників – секретарці Маші, менеджері Петі або системному адміністраторові Дімі. Вони, може бути, і не хочуть, але все одно створюють проблеми в безпеці, з якими потім доводиться розплачуватися компанії.

Але відбувається так, що переважна більшість рішень щодо безпеки не мають до співробітників ніякого відношення. Що впроваджено у вашій компанії: антивірус? Міжмережевий екран? Антиспамовий система? А є Чи є у вас продукт, який хоч якось контролює діяльність співробітників?

Звичайно, контролювати співробітників складно. Їх треба навчати, з ними треба працювати, а іноді – і приймати на себе потоки їх “користувацького” свідомості. Працювати з співробітниками важко, оскільки вони виконують конкретні бізнес-завдання, а засоби безпеки ніяк не збільшують їх лояльність і продуктивність праці. Значно простіше боротися з хакерами, спамерами і фішерами – адже де вони знаходяться ніхто не знає, і їх проблеми абсолютно нікого не турбують.

Рис. 4. Найбільш ймовірна причина інцидентів безпеки. Джерело: PwC, Perimetrix, 2008



За даними PwC, 34% респондентів оцінюють власних співробітників як головну загрозу безпеки, а ще 16% – сприймають таким чином колишніх працівників. Різноманітні варіації на тему хакеров набрали всього 28% голосів – приблизно в півтора рази менше, ніж в торішньому дослідженні. Ідея дійсно ефективного захисту ясна, залишилося правильно її реалізувати.

Результат четвертий. Чи вирішать проблеми DLP-системи?

Основна загроза, яка виходить від внутрішніх співробітників, пов’язана з різноманітними витоками інформації. Мова йде не тільки про промислове шпигунство, а й про крадіжки конфіденційних даних клієнтів, персоналу або партнерів. Як правило, наймасштабніші інциденти такого роду мають свідомий характер, в той час як більша частина дрібних витоків пов’язана з випадковою компрометацією даних.

За даними аналітичного центру компанії Perimetrix, в 2007 році середня російська компанія зазнала не менше чотирьох витоків інформації, а 7% організацій втрачали відомості не менше 25 разів. У більшості (57%) випадків “течуть” персональні дані клієнтів, трохи рідше – деталі конкретних угод (47%) і фінансова звітність (38%). Досить часто за межами доступності компаній виявлялася інтелектуальна власність (25%) і бізнес-плани (19%).

Для боротьби з витоками в світі був створений повноцінний клас рішень, що отримав красиву назву “DLP” (не плутати з проекторами), яке так і розшифровується – системи захисту від витоків інформації (Data Loss Prevention). Більшість подібних систем розташовуються по периметру корпоративної мережі і фільтрують вихідний трафік на предмет наявності секретної інформації. Секретні документи блокуються, а решта йдуть далі і доходять до пункту призначення.


За результатами дослідження PwC, 29% великих компаній вже впровадили щось подібне, а ще 10% планують зробити це протягом найближчого року. Але чи будуть такі впровадження ефективними або компанії знову витратять дорогоцінні кризові кошти на черговий технологічний прибамбас?

Рис. 5. Популярність DLP-технологій. Джерело: PwC, Perimetrix, 2008.



Аналітики PwC кажуть, що ефективне впровадження DLP не може відбутися без розробки правильної стратегії і розуміння того, що саме і як необхідно захищати. Однак навіть якщо всі ці чинники складаються, ефективність DLP-систем викликає певні сумніви. Так, такі системи дійсно зменшують кількість витоків, однак вони безсилі в ряді сценаріїв внутрішніх інцидентів. Зокрема, технології DLP слабо застосовні до захисту від витоків через мобільні накопичувачі і майже непридатні для захисту у разі крадіжок ноутбуків або інших портативних пристроїв.

“Сучасному ринку потрібно щось більше, ніж просто DLP-система, – розповідає директор з розвитку бізнесу компанії Perimetrix Олексій Доля. – Йому необхідна комплексна платформа внутрішньої безпеки, здатна захистити від витоків, контролювати доступ і шифрувати конфіденційні документи. Такий собі аналог ERP-системи, але тільки в галузі інформаційної безпеки “.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*