Российские эксперты по информационной безопасности обсуждают недавнее исследование PricewaterhouseCoopers, CIO Magazine и и CSO Magazine

Глобальное исследование «Global State of Information Security», проведенное совместно компанией PricewaterhouseCoopers и американскими журналами CIO Magazine и CSO Magazine, описывает текущую ситуацию в области информационной безопасности. Исследование основано на данных опросов высших руководителей предприятий и организаций, работающих в различных секторах и в разных странах мира.

Большая часть опрошенных - ИТ-руководители уровня директоров по информации (Chief Information Officer, CIO), директоров по технологиям (Chief Technology Officer, CTO), директоров по информационной безопасности (Chief Information Security Officer, CISO), начальников служб безопасности (Chief Security Officer, CSO). Что говорят российские ИТ-руководители и эксперты в области информационной безопасности? Мы попросили их прокомментировать основные результаты исследования и оценить, насколько они справедливы в отношении отечественной практики.

Рост осведомленности

Согласно данным исследования, представители предприятий начинают осознавать масштаб проблемы, поскольку за последние несколько лет был реализован целый комплекс мер (см. табл. 1): 

Выработана стратегия в области информационной безопасности. Если три года назад только 37% компаний имели полноценную стратегию, то сегодня таких компаний уже 57%.

Внедрены технологии. Девять из десяти респондентов применяют межсетевые экраны, занимаются слежкой за пользователями и используют системы обнаружения вторжений. Среди крупных компаний с оборотом более 1 млрд. долл. этот показатель достигает 98%. Проникновение решений для шифрования достигло исторического пика – 72% организации используют различные вариации таких систем (в прошлом году – 46%).

Приглашены специалисты. Количество должностей CSO и CISO продолжает расти. Среднее количество специалистов по безопасности в крупных компаниях перевалило за отметку в сто сотрудников. 

Как известно, в технологическом отношении Россия пока отстает от Европы и США, тем не менее, по мнению Владимира Ульянова, руководителя аналитического центра компании Perimetrix, проникновение базовых систем безопасности (антивирусов и межсетевых экранов) в нашей стране также близко к абсолютному. А вот в области шифрования отставание двукратное: по данным последнего исследования Perimetrix, в России шифрование используют 36% крупных организаций.

Петр Курило, главный специалист отдела информационной безопасности Славинвестбанка, считает, что описать российскую ситуацию с CIO, CISO и стратегией не так просто. Если спросить у любого директора по безопасности есть ли у него стратегия, скорее всего ответ будет положительным. Но какова стратегия и насколько хорошо она выполняется? К сожалению, в этом отношении мы пока далеки от развитых стран. С аббревиатурами CIO и CISO то же самое – на бумаге они вроде бы есть, однако обязанности этих менеджеров могут быть самими разными. В целом численность персонала по безопасности, конечно, растет, но по-настоящему хороших специалистов катастрофически не хватает.

Необходима проактивность

Аналитики, проводившие исследование, считают, что отрасль безопасности исторически перекошена в сторону технологий – межсетевых экранов, систем контроля доступа или систем обнаружения вторжений. В то же время управлению рисками и проактивной защите уделяется мало внимания. Основная проблема в том, что почти все существующие технологии реактивны, а не проактивны.

С точки зрения Курило, проактивные технологии – это будущее информационной безопасности, причем во всех ее сегментах: антивирусах, системах обнаружения вторжений или защите от утечек. Проблема в том, что современные вендоры часто употребляют этот термин исключительно в маркетинговом смысле, формируя тем самым негативную репутацию самой идеи проактивности.

Проактивные технологии часто выводятся на рынок слишком сырыми, утверждает Ульянов. Как следствие, вместо того чтобы радоваться тому, что удалось предотвратить инциденты, служба безопасности тонет в огромной массе ложных срабатываний системы. Проактивные технологии должны обеспечивать должную точность – в противном случае они теряют свой смысл. Типичным примером подобной технологии является контентная фильтрация, которая, несмотря на очевидные преимущества, не может реализовать свой потенциал из-за принципиальных проблем с точностью.

Инсайдеры – главная опасность?

В нынешнем году, как выяснилось в ходе исследования, категория «сотрудники» впервые опередила категорию «хакеры» в ответах на вопрос о наиболее вероятном источнике инцидентов информационной безопасности. Особенно сильно за собственных сотрудников переживают руководители служб, отвечающих за безопасность. (См.табл. 2) 

 Табл. 2. Кто атаковал нашу компанию?

Ульянов отмечает, что количество инцидентов, связанных с внутренней безопасностью, впечатляет своим числом и размахом. Вспомним, например, скандал с банком Societe Generale, утечку данных кандидатов в президенты США или историю с южнокорейской корпорацией LG. А ведь все эти события произошли в течение 2008 года. Кроме того произошло огромное количество публичных утечек, которые не вызвали столь широкий резонанс.

По мнению Фарита Музипова, заместителя начальника службы безопасности «АйСиАйСиАй Банк Евразия», за несколько лет активной борьбы с внешними угрозами большинство известных лазеек уже перекрыто, поэтому мошенники не могут эффективно использовать те приемы, которые работали некоторое время назад. Как следствие – меняется профиль угроз. На передний план вышли инсайдеры.

Стали ли сотрудники более опасными? Может быть, профессия «инсайдер» приобрела невиданный доселе романтизм? Вряд ли, считают аналитики, проводившие исследование. По их мнению, инсайдерская угроза имеет постоянный уровень, который, как правило, больше, чем предполагают организации.

Курило утверждает, что тезис о неизменном уровне опасности инсайдеров не является бесспорным. С развитием информационных технологий украсть информацию стало гораздо легче. У офисного работника есть для этого множество способов – и каждый из этих способов необходимо исключить. К тому же разнообразие каналов утечки приводит к росту вероятности «случайного» инсайда, когда сотрудник «сливает» информацию по неосторожности, либо в результате слишком сильного служебного рвения.

Игорь Хайров, начальник отдела информационной безопасности Академии информационных систем, отмечает, что в определенной степени аналитики, проводившие исследование, все-таки правы. Вероятность появления инсайдера в компании зависит от большого количества факторов, в частности от ее корпоративной культуры, специфики деятельности, а также общесоциальных факторов. Эти факторы в совокупности практически не могут измениться в течение одного года. Вместе с тем в случае должного отношения к сотрудникам и, в особенности к ИТ-персоналу, имеющему непосредственный доступ к конфиденциальной информации (например, к базам данных) компании, вероятность инсайда может существенно снизиться. Не стоит забывать и о технических мерах защиты, так как только комплексный подход, включающий организационные, организационно-технические и технические мероприятия, может помочь в решении данной проблемы.

Современная организация вынуждена делиться информацией со своими партнерами, отмечают аналитики PwC, но, как показало исследование, только 15% компаний уверены, что обработка информации партнерами не вызовет дальнейших проблем.

Такая проблема действительно существует, считает Ульянов. (Кстати, по данным исследования Ponemon Institute «2007 Annual Survey: The Cost of Data Breach», более 40% утечек допускаются «третьими» компаниями.) В конечном счете этот разговор сводится к общей цивилизованности российского бизнеса. Несмотря на то, что она потихонечку растет, нашей стране пока еще очень далеко до западных стандартов.

Как с сожалением отмечает Музипов, в России к выбору партнеров часто подходят, исходя из «человеческого» фактора: «Он мой партнер, потому что он хороший мужик». Очевидно, что разрыв такого партнерства может произойти из-за чего угодно, но только не из-за слабого обеспечения партнером информационной безопасности.

ИТ и информационной безопасности: снова вместе?

Парадоксально, но, как показывает исследование, ИТ-департамент хочет снова заниматься безопасностью. В прошлые годы наблюдалась прямо противоположная картина: чем лучше обеспечивалась безопасность, тем ярче проявлялась разница между ИТ- и информационной безопасности--службами. Тенденция разделять полномочия этих служб наблюдалась несколько лет. С каждым годом создавалось все большее число позиций CISO, все большее количество решений принималось выделенной информационной безопасности, а не общей ИТ-службой. В прошлом году тенденция прекратилась. Более того, вектор сменился на противоположный. Департаменты ИТ и информационной безопасности стали сближаться, причем чаще всего это происходило в крупных компаниях. (См.табл. 3) 

Табл. 3. Кому подчиняется департамент информационной безопасности

«Этот вывод аналитиков показался мне самым интересным и неоднозначным во всем исследовании», - подчеркивает Ульянов. Заявлять о наличии тенденции, по его мнению, пока слишком рано, необходимо дождаться результатов 2008 года. Сближение служб ИТ и информационной безопасности вряд ли будет продолжаться дальше, однако и обратного расхождения также не произойдет. По-видимому, идеальной степени близости между департаментами просто нет – она зависит от специфики каждой конкретной организации и модели управления. Компании пробуют различные виды взаимодействия служб ИТ и информационной безопасности и исключают неэффективные.

Курило считает, что в России пока наблюдается прямо противоположная тенденция (то же самое происходило за рубежом в прошлые годы). Но текущая ситуация действительно заставляет задуматься. Результаты исследования говорят, что существование департаментов ИТ и информационной безопасности в рамках одной структуры уже нельзя воспринимать как идеал, поэтому, прежде чем затевать реструктуризацию, необходимо понять, приведет ли это к положительному результату.

По мнению Хайрова, текущее развитие информационной безопасности чем-то напоминает борьбу за качество двадцатилетней давности. Тогда многие компании ввели должность вице-президента по качеству, которая через несколько лет стала отмирать. Кто знает, считает он, может, вскоре аналогичная история случится и с должностью CISO.

В течение последних нескольких лет конвергенция между информационной и физической безопасностью постепенно росла, отмечается в исследовании, но в нынешнем году этот тренд перевернулся. (См.табл. 4) 

табл. 4. Доля компаний, в которых физическая и информационная безопасность отделены друг от друга

Ульянов считает, что на фоне наблюдающейся тенденции многие попробовали совместить физическую и информационную безопасность, но не преуспели в этих попытках. Как следствие – процесс пошел в обратном направлении.

Музипов отмечает, что будет интересно посмотреть на наших российских системных интеграторов через несколько лет. Сегодня, на фоне нескольких успешных проектов, они собрались всерьез инвестировать в физическую безопасность, сделав ее одним из приоритетных направлений. Если данная тенденция изменится и в России, то интеграторов ждет жестокое разочарование.

Сергей Кораблев – независимый эксперт, croaster79@mail.ru

Константы информационной безопасности

Вот несколько забавных тезисов, который остаются постоянными на протяжении нескольких лет развития отрасли. Исследование PwC показывает, что как-то изменить эти положения нереально и, более того, просто глупо. Они, как скорость света, всегда останутся неизменными.

  • «Вы [специалисты по безопасности] всегда думаете, что безопасность соотносится с бизнесом лучше, чем финансирование соотносится с безопасностью. Другими словами, некоторые из вас способны обеспечить выполнение бизнес-целей и без достаточного финансирования».
  • «Вы всегда больше уверены в собственной безопасности, чем в безопасности своих партнеров. Помните, что вы тоже чей-то партнер, и он не доверяет вам, также как и вы ему».
  • «Каждый двенадцатый из вас считает себя идеальным. Ровно столько респондентов из года в год заявляют о стопроцентном соответствии действий пользователей политики по информационной безопасности».
  • «Размер не имеет значения. Финансирование (в процентном отношении) безопасности остается постоянным вне зависимости от размеров организации. Гораздо большее влияние оказывает отрасль, например, технологичные компании тратят больше, а образовательные – меньше.
  • «Банки всегда впереди. С каждым годом финансовые компании испытывают большее количество атак, но общий ущерб от них почти не увеличивается. При этом банки тратят на безопасность примерно столько же, сколько и все остальные. Учитесь у банков – они создают лучшие практики».