Возврат инвестиций в информационную безопасность

ЗАЩИТА ДАННЫХ

Любой руководитель понимает необходимость защиты своих активов от различных угроз, в частности информационных. Но пока гром не грянет, мужик не перекрестится. Для большинства руководителей любая система защиты - это бесполезная трата денег. И только когда угроза атак со стороны злоумышленников превращается из мифа в реальность, появляется возможность доказать руководству, что система защиты - это не затраты, а инвестиции, которые окупятся сторицей.

Можно провести аналогию между созданием ИС, призванной помочь в решении бизнес-задач компании, и покупкой автомобиля. Одним из критериев выбора автомобиля является безопасность водителя и его пассажиров. Лучше немного раскошелиться на ремни и подушки безопасности, противоугонное устройство и т. д., чем потом корить себя (разумеется, если будет такая возможность) за прижимистость. Ведь ремонт собственного и, возможно, чужого автомобиля, затраты на лечение могут существенно превысить расходы на безопасность. Однако личная безопасность - это то, что понятно каждому. Как объяснить руководителю компании, что нужно защищать и информацию, циркулирующую в компьютерах? И не просто объяснить, но еще и доказать с цифрами в руке.

Какова цель любой компании? Разумеется, не приобретение и установка самой современной и дорогой системы защиты. Для коммерческих (и многих других) компаний главная цель - получение прибыли, на достижение которой и направляются все силы. Информационные технологии (а инфраструктура информационной безопасности - одна из их составляющих) также направлены на увеличение прибылей компании. А что такое прибыль? Попросту говоря - разница между доходами и расходами. Поэтому любая компания стремится увеличить доходы и уменьшить расходы. В идеале, конечно, желательно эти две задачи совместить, но так получается не всегда. Как правило, при увеличении доходов растут и расходы. Поэтому компания будет нести расходы на внедрение каких-либо новшеств, в том числе и систем защиты, только тогда, когда они не будут превышать доходы от их использования.

Достичь роста доходов и снижения расходов можно несколькими путями, например, за счет:

- увеличения финансовых поступлений от текущих клиентов;

- минимизации затрат на поиск и привлечение новых клиентов;

- снижения затрат на поддержку имеющихся клиентов;

- повышения производительности труда и т. д.

То, что система защиты обеспечивает решение части или всех из вышеперечисленных задач, понимают многие. Но главная проблема в том, чтобы размер инвестиций в систему защиты не превышал получаемую от ее внедрения выгоду. Для обоснования необходимости приобретения системы защиты требуется объяснить руководству, что позволит решить та или иная система защиты, а также подсчитать все плюсы и минусы от ее внедрения. Первый вопрос я уже не раз рассматривал на страницах PC Week/RE, поэтому более детально обсудим второй вопрос.

Недостаток поддержки со стороны руководства - одна из основных причин отказа от приобретения средств защиты. Поэтому от того, насколько квалифицированным будет обоснование инвестирования в инфраструктуру информационной безопасности, зависит успех проекта. Необходимо подсчитать доходы и расходы от внедрения системы защиты и представить полученное технико-экономическое обоснование руководству. Первую задачу решает механизм подсчета возврата инвестиций (ROI), а вторую - расчет совокупной стоимости владения (TCO), рассматриваемые далее.

Что такое ROI?

Сейчас хорошим тоном считается измерять успех проекта в терминах возврата инвестиций (return on investment). Это отношение заработанных денег к тем, которые вкладываются в то или иное направление, выраженное в процентах. Однако за кажущейся простотой кроется сложная процедура расчета ROI, которая не всегда поддается формализации и универсализации. В данной формуле учитывается большее число параметров, включая связанные не только напрямую с инфраструктурой обнаружения атак, но и с общими финансовыми показателями компании. Поэтому так важно знать стоимость корпоративных ресурсов и доходность тех или иных направлений бизнеса. В противном случае рассчитать ROI будет очень трудно и даже вообще невозможно. Да и зная все эти параметры, рассчитать ROI не всегда легко, так как нередко та или иная технология или система приносит опосредованные преимущества, которые нельзя подсчитать с калькулятором в руке. Например, преимущество перехода с бесплатной системы обнаружения атак Snort, не имеющей графического интерфейса и трудно управляемой в территориально-распределенной сети, на RealSecure или Cisco IDS очевидно, но трудно перелагается в цифры. Как подсчитать стоимость удобства работы администратора безопасности? Однако компании, знающие цену своих ресурсов, все-таки могут подсчитать возвратность инвестиций по вышеприведенному отношению, которое упрощенно записывается следующим образом:

ROI = (Income + Risk + AddLosses)/Investments

Здесь Income - изменение доходов в результате внедрения системы защиты. Так как эта система непосредственно не используется для увеличения доходов компании, то, вероятно, этот параметр будет равен нулю. Risk - это параметр, исчисляемый в денежном выражении и учитывающий не только предотвращенные потенциальные потери в результате действия угрозы, но и вероятность ее осуществления. AddLosses - это потери, связанные с отсутствием системы защиты, такие, как снижение производительности администратора безопасности, потери времени на поиск информации об уязвимостях и атаках и т. п. Investment - инвестиции в систему защиты. В общем случае это совокупная стоимость владения, описываемая далее.

Риск вычисляется по следующей формуле:

Risk = Threat x Vulnerability x Losses

Здесь Threat - это вероятность осуществления атак. Данный параметр рассчитывается на основе накопленных различными организациями и компаниями статистических данных об атаках в различных отраслях. Например, вероятность пострадать от вирусов, троянцев и Интернет-червей составляет 0,94 для любой компании, а самые часто атакуемые компании находятся в секторе высоких технологий, финансовых сервисов и энергетики. В среднем каждую неделю фиксируется 32 атаки на компанию (ежеквартальный рост этого значения - 64%). Vulnerability - это показатель наличия в сети уязвимостей, описываемых предыдущим параметром. Условно можно выделить четыре значения этого показателя - 0 (уязвимости нет); 0,3 (низкая степень уязвимости); 0,6 (средняя степень) и 1 (высокая степень).

Самый последний параметр в данной формуле (Losses) - это потери, к которым может привести та или иная атака. Рассчитать его поможет online-калькулятор, разработанный НИП “Информзащита” и размещенный по адресу: www.infosec.ru/actions/estimation_of_damage.html. Объем продаж атакованного узла - это не единственная цифра, которая фигурирует в этом подсчете. Например, мы можем добавить недополученную прибыль из-за простоев и сбоев данного узла или неустойку, вызванную невыполнением обязательств по причине отказа атакованного ресурса. Такие риски, как уголовное преследование вследствие утечки конфиденциальной информации, снижение производительности работы сотрудников, неудовлетворенность клиентов (а в худшем случае и их уход к конкурентам), снижение репутации, очень трудно подсчитать, но и они могут учитываться в данной формуле. Их расчет увеличивает сумму потенциальных потерь в случае отсутствия инфраструктуры обеспечения информационной безопасности.

Параметр AddLosses трудно вычислить, но о нем также не стоит забывать при вычислении возврата инвестиций. Во-первых, внедрение системы защиты (или переход на новую версию) снимает с администраторов безопасности необходимость выполнения множества ручных операций (начиная от анализа журналов регистрации и сетевого трафика и заканчивая обновлением базы сигнатур и удаленным сканированием узлов по расписанию). В результате время администраторов расходуется более продуктивно, что в итоге можно подсчитать по формуле:

где П - продуктивность работы k администраторов; t и t - время на выполнение действий по защите информации в ручном (до внедрения соответствующей системы) и автоматическом режимах соответственно; Z - зарплата администраторов безопасности.

Во-вторых, автоматизация действий по защите информации влечет за собой уменьшение числа специалистов, участвующих в этом процессе, а также возможность замены высококвалифицированных экспертов менее опытными операторами:

где Э - эффективность k администраторов; N и N - число администраторов до и после внедрения системы защиты.

Кроме того, именно этот параметр показывает разницу между бесплатной и коммерческой системой защиты. Например, согласно проведенным опросам, 58% специалистов по защите тратят от получаса до двух часов на поиск информации, связанной с их деятельностью (об атаках, уязвимостях и т. д.). У 29% на это уходит от двух до четырех часов, у 13% - больше четырех. Таким образом, снижение потерь времени за счет поставки в комплекте с системой обеспечения безопасности описания сигнатур атак или уязвимостей уменьшит время на поиск этой информации и позволит администратору безопасности сосредоточиться на своих непосредственных обязанностях, что при ежемесячной зарплате в 600-800 долл. сэкономит компании немалые средства. Бесплатные системы обнаружения атак и сканеры безопасности не обладают такой базой данных. 20-25% времени администраторов бесплатных систем обнаружения атак и сканеров безопасности тратится на обработку ложных срабатываний; для коммерческих систем обнаружения атак этот параметр существенно ниже - всего 10%. Налицо экономия, которая становится ощутимой уже после года эксплуатации системы защиты.

Особенность формулы расчета рисков в том, что она учитывает не только вероятность атаки, но и факт наличия уязвимости, используемой злоумышленниками. Другими словами, какой бы страшной ни казалась угроза вашим ресурсам, если они ей не подвержены (параметр равен нулю), то и ущерба сети не будет. А следовательно, и тратиться на средства защиты от несуществующих угроз нет необходимости. По аналогии - если ущерба от атаки для вашей сети нет, то и защищаться от данной атаки нецелесообразно.

Сразу хотим предупредить, что данная формула не учитывает ряд вероятностных параметров, повышающих или снижающих риск нанесения ущерба компании, в том числе:

- текучесть кадров, которая приводит к нехватке квалифицированного персонала и увеличению затрат на обучение новых сотрудников;

- доступ в Интернет, ведущий к росту числа возможных атак;

- использование помимо систем обнаружения атак других защитных средств, позволяющих снизить число возможных атак корпоративной сети.

- наличие выделенного персонала, отвечающего за обнаружение и реагирование на атаки.

Однако даже приведенных выше формул достаточно для обоснования целесообразности внедрения системы защиты.

Как рассчитать TCO?

Общая, или совокупная, стоимость владения определяет плановые и внеплановые затраты, связанные с использованием какой-либо системы в течение всего срока ее службы. Вполне очевидно, что помимо непосредственных или прямых затрат на систему защиты в процессе ее эксплуатации возникают и скрытые расходы. И зачастую они существенно превышают стоимость самой системы защиты. Например, по данным Gartner Group, прямые расходы составляют только 15-21% от общей суммы затрат на использование ИС.

Совокупная стоимость владения делится на прямые и косвенные затраты. Прямые затраты включают в себя:

- капитальные затраты на программное обеспечение системы защиты. Другими словами, это стоимость лицензии;

- если система защиты функционирует на отдельном узле (например, межсетевой экран или система контроля содержимого), то необходимо также учесть капитальные затраты и на ее аппаратное обеспечение, т. е. заложить в бюджет стоимость одного или нескольких компьютеров, на которых будут развернуты компоненты системы защиты. Так как она является критически важным элементом корпоративной сети, то для нее надо выбирать хорошо зарекомендовавшее себя оборудование. А учитывая стоимость техники от таких брэндов, как HP или IBM, мы получаем практически двойной рост стоимости программно-аппаратного обеспечения для системы защиты;

- очень часто система защиты использует дополнительное программное и аппаратное обеспечение, стоимость которого также необходимо учитывать. К такому обеспечению можно отнести базы данных, браузеры, системы настройки оборудования, системы резервирования, сетевые кабели, тройники, системы бесперебойного питания и т. д. Учитывая размер затрат на сопутствующее обеспечение и предыдущие статьи расходов, во всем мире сейчас делается упор на так называемые security appliance, которые выполнены в виде специализированных устройств;

- не стоит забывать и про возможные затраты на прокладку дополнительной кабельной системы, изменение топологии сети, перенастройку оборудования и ПО. Все это требует времени и определенного числа рабочих рук, что в конечном итоге также может быть выражено в денежном эквиваленте;

- к прямым затратам относится и стоимость поддержки и обучения (если она не включена в стоимость системы защиты). Сюда же можно отнести командировочные расходы ИТ-специалистов на поездки в удаленные офисы и настройку удаленных компонентов системы обеспечения информационной безопасности. Кстати, звонки в службу технической поддержки или общение с ней по e-mail тоже могут составить кругленькую сумму. По данным Gartner Group, эта статья расходов может занимать от 17 до 27% совокупной стоимости владения;

- затраты на управление системой защиты (администрирование), которые включают зарплату администраторов безопасности и другого персонала, связанного с системой обнаружения атак, и модернизацию ее программно-аппаратного обеспечения. К этой статье расходов относится плата за услуги аутсорсинговых компаний и реагирование на инциденты безопасности. На данную статью расходов приходится 9-13% TCO;

- крупным компаниям с распределенной корпоративной сетью не стоит забывать о затратах на внедрение (включая этап предварительного обследования и составления карты сети). Данная статья расходов может занимать около 20% от совокупной стоимости владения системой защиты.

К косвенным затратам (для средств защиты они не столь актуальны и имеют куда большее значение для систем, с которыми работают конечные пользователи, - “операционный день банка”, операционная система и т. д.) можно отнести непродуктивную работу, связанную с действиями методом проб и ошибок, когда пользователи, не разобравшись в системе, начинают ее эксплуатацию, что приводит к возможным сбоям, потере времени, простоям.

Поэтому очевидный на первый взгляд выбор в пользу бесплатной системы защиты при глубоком рассмотрении уже не столь привлекателен, поскольку затраты на внедрение и поддержку бесплатной системы защиты могут намного превысить аналогичную статью расходов для покупки дорогой системы защиты.

Возьмем в качестве примера систему обнаружения атак, хотя на ее месте могла бы быть и любая другая система защиты - межсетевой экран, средство построения VPN, система аутентификации и т. д. Что необходимо учитывать при вычислении совокупной стоимости владения для системы обнаружения атак:

- стоимость компьютера для консоли управления и сервера управления;

- стоимость компьютера для сенсора системы обнаружения атак (если он поставляется не как отдельное устройство или не интегрируется в сетевое оборудование);

- сетевое оборудование, необходимое для контроля за сетевым трафиком (разветвитель, концентратор, балансировщик нагрузки);

- стоимость дополнительного программного и аппаратного обеспечения;

- расширение дискового пространства на контролируемых узлах с целью хранения больших объемов данных от системных сенсоров системы обнаружения атак;

- снижение производительности контролируемых узлов и сетей и, как следствие, уменьшение числа, времени или скорости выполнения операции и снижение прибылей, получаемых в результате работы контролируемых узлов;

- зарплату операторов системы обнаружения атак, в том числе и при трехсменной работе;

- зарплату персонала, отвечающего за администрирование системы обнаружения атак, расследование и реагирование на обнаруженные инциденты;

- затраты на создание и реализацию плана реагирования на инциденты;

- затраты на восстановление системы после атаки;

- стоимость сбоев и простоев компонентов системы обнаружения атак.

При составлении ежегодного бюджета не стоит забывать про износ активов, который с точки зрения информационных технологий, в частности информационной безопасности, заключается в устаревании компьютеров, сетевого оборудования и ПО. Информационные технологии движутся вперед семимильными шагами, и то, что совсем недавно находилось на передовом крае, сегодня уже никуда не годится. Так же и с системами обнаружения атак, аппаратное обеспечение для которых не справляется с возросшим объемом обрабатываемых данных уже через полгода-год после начала эксплуатации. Желая увеличить объем ОЗУ на сенсоре, вы идете к бухгалтеру с просьбой выделения средств (не всегда больших) на покупку модуля памяти. Но вас встречают фразой: “Согласно нормативам срок износа модуля памяти составляет три года. С начала эксплуатации вашего сенсора прошло только шесть месяцев. Приходите через 2,5 года”. И доказать бухгалтеру, что в реальной жизни эти нормативы не действуют, практически невозможно. И даже если вы его убедите, он вам все равно ничем помочь не сможет - ведь в бюджет не заложено денег на обновление сенсора. Зато если вы побеспокоились об этом заранее, то вам не придется каждый раз доказывать необходимость очевидных затрат на увеличение памяти или обновление версии ОС (если, конечно, это не входит в стоимость технической поддержки).

Кроме правильного бюджетирования, анализ и вычисление TCO зачастую позволяет понять, что своими силами вы не справитесь с эффективной эксплуатацией и поддержкой системы защиты и стоит подумать о передаче системы в другие руки. Иными словами, расчет TCO позволяет обосновать необходимость аутсорсинга приобретенной системы обеспечения информационной безопасности. И хотя для России такой вид услуг пока не актуален, о нем стоит помнить.

Заключение

Если квалифицированно составить бюджет на развертывание и внедрение данной инфраструктуры и защитить его перед руководством, то появляются шансы построить действительно надежную и эффективную систему защиты. Следует помнить, что руководитель компании не всегда разбирается в тонкостях информационных технологий. Его согласие на приобретение системы обнаружения атак после взлома корпоративной сети еще не значит, что он не остынет после того, как зайдет речь о выделении средств. Услышав о существовании бесплатных средств защиты, он может задать закономерный вопрос: “А зачем нам тратить деньги, если мы можем использовать бесплатные решения?”. Поэтому важно правильно составлять бюджет на инфраструктуру защиты и обосновывать каждую статью расходов в нем. Пока вы говорите только на ИТ-языке, руководство будет относиться к вам с предубеждением. Многие руководители по-прежнему считают, что ИТ-департаменты выполняют второстепенную роль в деятельности организации и только тратят заработанные компанией деньги. Попробуйте перейти на понятный финансовому директору или членам совета директоров язык финансовых терминов, и вы почувствуете, как изменится отношение. Получив грамотный бюджет и обоснование инвестиций в инфраструктуру информационной безопасности, руководство может выделить деньги, даже не вникая в технические детали. Разумеется, это при условии четкого изложения всех выгод для компании от такого внедрения, методов контроля за расходованием выделяемых средств и методов оценки эффективности инвестирования.

С Алексеем Лукацким, автором книг “Обнаружение атак” и “Атака из Internet”, можно связаться по адресу: luka@infosec.ru.