ІТ-звіт ФБР: перегляд порно – нова світова загроза, Безпека ПЗ, Security & Hack, статті

Незважаючи на появу все нових і нових програм з ІБ, людський фактор, як і раніше, найслабша ланка в ланцюзі оборонних загороджень. Навіть найсучасніші й близькі до досконалості технології захисту не можуть убезпечити компанії від проблем з безпекою. І якщо шкода від зовнішніх загроз неухильно знижуються, то втрати від інсайдерського втручання стають все масштабніше.


У поточному році рік збитки від проблем з безпекою виріс практично вдвічі, дійшовши до позначки в 350 тис дол на одну організацію опитаних. Цей показник помітно більше торішнього результату (168 тис дол). Цікаво, що протягом попередніх п’яти років середній збиток від проблем з ІБ неухильно падав.


Практично п’ята частина (18%) організацій, які зазнали за рік хоча б один інцидент, заявила про те, що вони зіткнулися з “спрямованої” атакою. Іншими словами, дії зловмисників були направлені на поразку конкретної компанії.


В останньому опитуванні американського інституту CSI і ФБР (Computer Security Institute) “2007 CSI / FBI Computer Crime and Security Survey” взяли участь 494 американських компаній, що представляють практично всі вертикальні ринки. Цього року база респондентів дещо скоротилася – в 2006 році в опитуванні брали участь 616 респондентів, а в 2005 – 700 організацій.


В цьому році вперше максимальні втрати респондентів виявилися пов’язані з фінансовим шахрайством, а не з вірусними атаками, які лідирували протягом останніх семи років.


Загроза нецільового використання мережевих ресурсів інсайдерами (наприклад, перегляд порнографії або скачування піратських програм) виявилася найбільш актуальною проблемою ІБ (59%). За нею слідують віруси (52%), лідирували в торішньому рейтингу.


Незважаючи на загальне зростання збитків від проблем з безпекою, тільки 46% респондентів за останній рік стали свідками інцидентів в цій галузі. Ця цифра зменшувалася протягом останніх трьох років: у Торік з різного роду проблемами зіткнулося 53%, а в позаминулому – 56% учасників опитування.


29% організацій, які зазнали проблеми з ІБ, заявили про комп’ютерні вторгнення в правоохоронні органи. В минулому році таких компаній було 25%.


Витрати на інтернет-безпека ростуть


Для початку респондентам було поставлено запитання про те, яка частина витрат припадає на інформаційну безпеку. Результати нинішнього дослідження практично не відрізняються від торішніх. Кількість компаній, затрачених на ІБ дуже багато або дуже мало коштів, кілька скоротилася, а значить – бюджети на ІБ в цілому стабілізувалися. Для 44% респондентів вони знаходяться в інтервалі від 3 до 10%. В минулому році цей показник становив 27%.


Загальна частка витрат на ІБ незначно збільшилася в порівнянні з 2006 роком. Це означає, що витрати на безпеку ростуть трохи швидше витрат на ІТ в цілому. У даному дослідженні з’явилося відразу кілька нових питань. Один з них стосувався витрат на підготовку персоналу в загальному обсязі інвестицій в безпеку. Як з’ясувалося практично половина (48%) респондентів приділяють цьому аспекту вкрай незначне увагу. Автори опитування почасти пояснюють низькі показники тим фактом, що деякі навчальні заходи (наприклад, повідомлення на інтранет-порталах) дуже дешеві. Але при цьому підкреслюють, що до реальних інвестицій в навчання компаніям поки далеко.


Незважаючи на величезну кількість згадок у пресі, аутсорсинг в області ІБ залишається не дуже затребуваним. Тільки 2% організацій віддають стороннім підрядникам понад 80% функцій з безпеки, а 61% респондентів взагалі не користуються аутсорсингом. В цілому, популярність аутсорсингу незначно виросла, проте це зростання знаходиться в межах статистичної похибки.


Втрати, проблеми та нові загрози ІБ


Основна частина звіту CSI присвячена загрозам ІБ і вже сталися інцидентів. 46% респондентів відчули хоча б одну проблему з безпекою в минулому році, приблизно стільки ж – не відчували, а решта не змогли відповісти. Відзначимо, що кількість “проблемних” компаній падає протягом останніх трьох років – в минулому році вони становили 53%, а в позаминулому – 56%. На ці зміни впливають два фактори: по-перше, досвід шахраїв зростає, а значить – їх атаки стають більш непомітними. А, по-друге, зростає захищеність самих компаній від різноманітних загроз.

Кількість компаній, що мали проблеми з ІБ, 2006 (у% від загального числа)

Джерело: CSI / FBI Computer Crime and Security Survey, 2007


Ті компанії, які зафіксували хоча б один інцидент, розповіли про їх кількість. В отриманих відомостях помітно одна цікава обставина. Кількість компаній, які зазнали більше 10 інцидентів, різко зросла в нинішньому році і досягла позначки в 26%. Автори дослідження CSI ніяк не пояснюють цю тенденцію.

Кількість інцидентів інформаційної безпеки * (в% від загального числа)


Джерело: CSI / FBI Computer Crime and Security Survey, 2007


За даними CSI, цього року позиції вірусів, які очолювали список з 2000 року, потіснила загроза нецільового використання мережевих ресурсів інсайдерами (тобто, будь-якими внутрішніми співробітниками). Подібні інциденти зафіксували 59% респондентів, в той час як з вірусами зіткнулися тільки 52%.


В цілому, практично всі типи інцидентів здали свої позиції, якщо порівнювати з попереднім роком. Окрім “нецільового використання мережевих ресурсів” зросла лише загроза “втрати мобільних носіїв і ноутбуків” (50%), а також кілька не самих популярних типів загроз. Відзначимо, що більше половини загроз безпеки пов’язані з крадіжкою або втратою конфіденційних даних за участю співробітників організації.


Серед загальної маси інцидентів інформаційної безпеки виділяються “спрямовані” атаки.

Кількість “спрямованих” атак на компанії, 2007 (у% від загального числа)

Джерело: CSI / FBI Computer Crime and Security Survey, 2007


На відміну від “глобальних” епідемій, “спрямовані” атаки проводяться для злому інфраструктури конкретно взятій, відомої заздалегідь компанії. У нинішньому році CSI вперше опитала організації на предмет “спрямованих” атак і отримала досить цікаві результати. Виявилося, що приблизно п’ята частина (18%) респондентів зазнала хоча б одну “спрямовану” атаку. Цей факт вкотре говорить про зростання досвіду шахраїв, а також про їх прагненні заробляти реальні гроші, а не віртуальне повагу.


Рейтинг загроз


Тільки 194 компанії із загальної бази опитаних респондентів погодилися надати дані про завдані збитки. У рейтингу найбільш небезпечних (в грошовому відношенні) загроз змінився лідер – на першому місці з солідним відривом опинилася загроза “фінансового шахрайства”, яка випередила віруси, які очолювали список раніше. У своєму звіті CSI не формулює визначення “фінансового шахрайства”, тому важко сказати, що саме підпадає під дану загрозу. По всій видимості, мається на увазі якась коригування фінансових даних тими співробітниками компанії, які мають на це право. Іншими словами, “фінансове шахрайство “повністю відноситься до категорії внутрішніх загроз.


Відзначимо, що в звіті CSI не наведено збиток від крадіжки конфіденційної інформації. Вірніше, ці збитки рознесений відразу на кілька пунктів. Якщо підсумувати втрати від крадіжок усіх типів конфіденційних даних з усіх різновидів пристроїв – то можна отримати цифру в 10 млн дол Таким чином, ця загроза миттєво опиниться на другому місці.


У кожному разі, до цих висновків CSI слід ставитися з певною часткою скепсису. По-перше, всі цифри бралися з відповідей компаній-респондентів, а як вони розраховували збиток – це дуже велике питання. По-друге, деякі типи загроз (і, перш за все, крадіжка конфіденційних даних) супроводжуються серйозними непрямими втратами, які вкрай важко оцінити.


Один з головних результатів дослідження відображено на наступній діаграмі. Легко підрахувати, що середній заявлений збиток у минулому році склав 350 тис дол в розрахунку на одну компанію. Цей показник вперше збільшився за останні п’ять років – до нинішнього року він неухильно падав.


Про що говорить такий стан речей? По всій видимості, зменшення шкоди від проблем з безпекою, що спостерігалося в останні кілька років, в результаті завершилося. Якщо тенденція збільшення середнього збитку продовжиться і в наступному році, значить, сьогодні ми перебуваємо біля витоків нового витка комп’ютерних загроз, пов’язаних уже не з зовнішньої, а з внутрішньою безпекою.

Збиток від різних типів загроз у розрахунку на одного респондента, 2006 (у доларах США)

Джерело: CSI / FBI Computer Crime and Security Survey, 2007


Наступне питання дослідження стосувалося співвідношення внутрішніх і зовнішніх загроз. У порівнянні з минулим роком це співвідношення практично не змінилося: організації, як і раніше серйозно занепокоєні обома класами погроз.


Хотілося б додати, що внутрішні загрози (а саме – втрати конфіденційної інформації) досить специфічні. Справа в тому, що практично всі витоку супроводжуються не тільки прямими, а й непрямими втратами, які практично неможливо підрахувати. Більш того, в більшості випадків саме непрямі (репутаційні) втрати є найбільш значущими для компаній. До того ж, інсайдерські “витівки” набагато важче виявити, ніж ту ж діяльність вірусів. Тому експерти припускають, що “реальна” розкладка збитку по внутрішнім і зовнішнім загрозам серйозно відрізняється від даних CSI.


Відзначимо, що аналогічне співвідношення можна підрахувати, використовуючи діаграму на рис. 4. Підсумовуючи збиток від внутрішніх загроз легко отримати суму в 34 млн дол – тобто, більше половини всіх втрат, які понесли компанії-респонденти.


Технології захисту та бездіяльність поліції


Як і в попередніх дослідженнях, респондентів попросили озвучити технології ІБ, які використовуються в їхніх компаніях.


Варто відзначити, що ніяких серйозних змін за минулий рік не сталося. Зауважимо лише, що в дослідженні з незрозумілих причин відсутні згадки про рішення класу ILD & P (комплексні системи захисту від витоків). Звичайно, можна стверджувати, що частина функціоналу ILD & P-систем потрапляє в різні категорії рейтингу, проте жодна категорія не покриває цей функціонал повністю. Як видно, рівня проникнення ILD & P вкрай низький навіть в Америці.


Ще один традиційний питання дослідження стосувалося реакції компаній на що трапився інцидент. В отриманій розкладці можна побачити як сущі банальності, так і вельми цікаву інформацію. Як з’ясувалося, американські компанії не надто вірять правоохоронним органам – тільки 29% респондентів повідомляють про інциденти в поліцейські інстанції. І лише 24% компаній консультуються перед цим зі своїми юристами. Більш того, в 30 випадків з 100 організації намагаються зробити все можливе, щоб інформація про те, що трапилося інцидент не просочилася назовні.

Причини, з яких респонденти не звертаються до правоохоронних органів після інцидентів, 2006 (у% від загального числа)

Джерело: CSI / FBI Computer Crime and Security Survey, 2007


Причини, через які компанії не звертаються до правоохоронних органів, виявилися дуже різноманітними. Звертає на себе увагу другий рядок списку – американська організації просто не вірять, що правоохоронні органи зможуть їм якось допомогти. Все це до болю нагадує російські реалії.


Що ж у результаті?


В кінці дослідження CSI наводить деякі коментарі до отриманих результатів. На думку авторів, незважаючи на істотне зростання збитків від проблем з ІБ ситуація залишається досить комфортною для організацій. Їх поточні втрати поки не порівнянні з тим збитком, який спостерігався на початку нинішнього сторіччя. З іншого боку, більш ніж двократне зростання середніх витрат може послужити першим “дзвіночком” до подальших проблем з безпекою.


CSI підкреслює, що кілька років тому відбувалася чи не спортивна боротьба між творцями вірусів і професіоналами з інформаційної безпеки. Сьогодні ми маємо більш складну картину. Зловмисники діють в два етапи: спочатку атакують корпоративні мережі, а потім використовують отримані дані для атаки на фізичних осіб. У цьому світлі, перед технічним світом виникає принципово важливе завдання, пов’язана з управлінням ідентифікацією користувачів. За великим рахунком, все крадіжки персональних даних відбуваються саме через проблеми з ідентифікацією – в іншому випадку, ці дані нікому б не знадобилися.


В цілому, більшість отриманих відповідей наочно показують, що актуальність внутрішніх загроз зростає, в той час як актуальність зовнішніх падає. Додамо, що ця тенденція спостерігається впродовж кількох останніх років – і навряд чи в майбутньому вона припиниться.

Олексій Доля

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*