ЗАЩИТА ДАННЫХ
В конце минувшего года компания InfoWatch (www.InfoWatch.ru), образованная не так давно как дочерняя структура "Лаборатории Касперского" (см. PC Week/RE, N 34/2004, с. 42), провела свое первое крупномасштабное исследование, проливающее свет на некоторые аспекты ситуации с компьютерной безопасностью в нашей стране.
Исследование - его официальное название "Проблемы внутренней информационной безопасности в России" - проводилось путем опроса представителей 387 государственных и коммерческих структур. На поставленные вопросы предлагались различные варианты ответов. В большинстве случаев можно было выбирать несколько вариантов.
Как отмечает генеральный директор InfoWatch Евгений Преображенский, краткий итог исследований, где респондентами выступили директора ИТ-отделов, руководители подразделений ИТ-безопасности, начальники отделов информационной безопасности (ИБ-отделов) и ведущие ИТ-сотрудники, таков: для большинства руководителей крупных предприятий внутренние угрозы (халатность персонала, кража оборудования и конфиденциальной информации, а также другие неправомерные действия сотрудников) представляются более страшными, чем внешние (вирусы, черви, трояны, шпионские программы, хакерские атаки, спам и т. д.). Прежде чем излагать итоги опроса более детально, обрисуем коллективный портрет респондентов. Ведь делать выводы из сказанного можно лишь в том случае, если знаешь, кто говорил.
Методология исследования
Опрос проводился среди посетителей крупнейших отечественных ИТ-выставок (SofTool’2004 и Infosecurity’2004), а также непосредственно у респондентов тремя путями: при личной встрече в рамках устного интервью, с помощью телефонного интервью или по электронной почте. Во всех случаях отвечать им приходилось на стандартный набор вопросов, составленный департаментом маркетинга InfoWatch. Для снижения уровня латентности и достижения наиболее правдоподобных результатов исследование решено было сделать анонимным - все респонденты получили гарантии неразглашения их имен.
Для формирования наиболее точной статистической картины к участию в опросе приглашались лишь специалисты с не менее чем пятилетним стажем работы в области ИТ и двухлетним и более стажем работы на сегодняшнем их месте.
Среди опрошенных организаций преобладали предприятия с количеством сотрудников от 1000 до 2500 человек (35%). В первую тройку вошли также компании, насчитывающие 2500-5000 (24%) и 500-1000 (16%) сотрудников. На долю крупного бизнеса и правительственных организаций (более 5000 сотрудников) пришлось 16%. В группу среднего и малого бизнеса (менее 500 сотрудников) попало 9% фирм.
Как выяснилось, в большинстве организаций-респондентов установлено от 100 до 250 рабочих станций (36%). По этому показателю они значительно опережают группы "менее 100 компьютеров" (28%) и "от 250 до 1000 компьютеров" (21%). Доля крупных организаций (более 1000 компьютеров) составила 15%. Таким образом, можно заключить, что исследование базируется на опросе преимущественно представителей предприятий среднего и крупного масштабов.
Если говорить о сфере деятельности респондентов, то в тройку лидеров попали компании, занимающиеся торговлей (23%), производством (18%) и оказанием финансовых услуг (14%). Во вторую группу с небольшой разницей вошли предприятия ТЭК (11%), министерства и ведомства (9%), ИТ- и телекоммуникационные фирмы (9%) и компании, работающие в других сферах (10%). По 3% опрошенных принадлежат к областям страхования и образования.
Распределение респондентов по занимаемой должности
Если рассматривать профиль респондентов по занимаемой должности, то здесь начальники ИТ-отделов (64%) с большим отрывом опережали ИТ-специалистов (18%), начальников ИБ-отделов (16%) и сотрудников других категорий (2%). При более глубоком анализе качественного состава респондентов выяснилось, что должности начальников ИБ-отделов в 94% случаев были введены в опрошенных организациях не ранее чем за два года до проведения исследования. До этого проблемами защиты данных занимались ИТ-отделы, лишь незначительная часть которых (23%) имела выделенного сотрудника для решения проблем информационной безопасности. Эта тенденция наглядно показывает, что в российских организациях "уровень осознания" необходимости принятия адекватных мер для противостояния современным рискам неуклонно растет. Что и говорить, ИТ-угрозы достигли очень высокого качественного и количественного уровня, а информационные технологии стали неотъемлемой частью повседневной деловой активности. Поэтому в настоящее время без специалиста в области информационной безопасности вряд ли сможет обойтись какая-либо крупная организация, не рискуя поставить под угрозу свое нормальное функционирование.
Вместе с тем важно отметить, что подобные изменения наблюдаются преимущественно среди крупных компаний. Средние и тем более малые предприятия до сих пор, как правило, не имеют выделенного специалиста по ИБ, а зачастую и штатного ИТ-специалиста.
Основные результаты
Распределение вариантов ответов на первый вопрос ("Какие ИТ-угрозы вы считаете наиболее опасными"?) показано на диаграмме 1. Из нее видно, что самый страшный враг предприятия - инсайдеры. Следовательно, от их действий надо как-то обороняться. Но как? Известно, что озабоченность проблемой внутренних угроз существовала всегда. Однако до сих пор организации были ограничены в средствах реализации защиты преимущественно организационными мерами. Сейчас же на рынок начинают выходить различные аппаратно-программные решения, благодаря чему у предприятий появляются дополнительные возможности для защиты конфиденциальной информации. Более тонкое исследование показывает, что внимание к проблематике внутренней ИТ-безопасности растет одновременно с размером организации-респондента.
Возможно, этот факт показывает, что крупные компании имеют в штате квалифицированных специалистов по ИТ-безопасности и используют надежные технические средства защиты от внешних угроз, что позволяет им чувствовать себя относительно комфортно. Большинство же малых и часть средних предприятий до сих пор не имеют выделенных сотрудников по защите информационных систем и зачастую недостаточно осведомлены о последних разработках в области защиты данных. Поэтому для них вредоносные коды и хакерские атаки представляют весьма существенную угрозу. В то же время в крупных организациях отслеживать инсайдеров сложнее и возможность утечки информации в общем случае возрастает пропорционально росту числа сотрудников, имеющих доступ к конфиденциальным данным.
Распределение ответов на вопрос "Какие внутренние ИТ-угрозы вы считаете самыми опасными?" показано на диаграмме 2. Организаторы опроса отмечают, что отношение респондентов к риску утечки информации коррелирует с размером компании: чем крупнее организация, тем более актуальной для нее является проблема предотвращения утечки. Это связано с тем, что в больших организациях все важные данные, как правило, дублируются на резервных накопителях (для экстренного восстановления в случае искажения или утраты). В то же время на таких предприятиях затруднен контроль за обращением информации и существенно возрастает цена утечки. Потеря же конфиденциальности влечет за собой материальный и имиджевый ущерб, а в особых случаях - риск раскрытия коммерческой или государственной тайны. Эти обстоятельства определяют высокий уровень озабоченности данной проблемой со стороны крупного бизнеса и правительственных организаций. Искаженную или потерянную информацию легко восстановить с помощью резервной копии. Утечка же информации - процесс необратимый. Поэтому ошибка в защите конфиденциальных документов практически неисправима.
По поводу наиболее часто используемых технических путей утечки конфиденциальной информацию мнения респондентов практически совпали: электронная почта, Интернет, пейджеры и мобильные накопители (компакт-диски, USB-накопители) охарактеризовались практически одинаковым "рейтингом" - 80-90%. Остальные источники оказались позади с существенным отставанием: печатающие устройства - 34%, а различные фотопринадлежности (в том числе мобильные телефоны с фотокамерами) - 8%. Заметную долю голосов (51%) также получил вариант "другие".
Диаграмма 1.
Наиболее опасные ИТ-угрозы, распределение ответов респондентов,%
Исследование выявило весьма тревожный факт: подавляющее большинство респондентов не могут точно определить масштабы ИТ-угроз, связанных с утечкой, утратой или искажением информации. На четко сформулированный вопрос ("Какое количество внутренних ИТ-инцидентов произошло в вашей организации в 2004 г.?") 68% опрошенных затруднились ответить, 26% заявили об отсутствии такого рода инцидентов, 5% отметили, что их было не более пяти, а 1% сообщил, что их произошло от шести до двадцати пяти. Причем 99% из числа респондентов, в чьих компаниях было зафиксировано от одного до двадцати пяти ИТ-инцидентов, затруднились оценить нанесенный ущерб в финансовых показателях.
Диаграмма 2.
Самые опасные внутренние ИТ-угрозы,
распределение ответов респондентов,%
Распространенность систем ИТ-безопасности показана на диаграмме 3. Тот факт, что специализированными системами защиты от утечек конфиденциальной информации пользуется всего 1% опрошенных, просто шокировал организаторов опроса!
Диаграмма 3.
Распространенность систем ИТ-безопасности,
распределение ответов респондентов,%
Как же так, с одной стороны, проблема возможной утечки конфиденциальной информации является самой главной головной болью руководителей ИТ-отделов крупных организаций, а с другой - оснащенность средствами защиты от этих самых угроз (на Западе это ПО обозначают термином Anti-Leakage Software) оставляет желать много лучшего! Эти данные наглядно показывают разрыв между оценкой критичности угрозы и реальными шагами по ее нейтрализации. Впрочем, 76% опрошенных планируют внедрение систем защиты от утечки конфиденциальной информации в ближайшие два года.
Вопрос о возможных путях защиты от внутренних угроз выявил явное смещение в пользу технических средств защиты: 87% респондентов посчитали, что это является наиболее простым и эффективным способом минимизировать риск утечки информации. Далее с большим отрывом следовали организационные меры (24%), ограничение связи с внешними сетями (17%), тренинги сотрудников (11%), системы физического доступа (6%) и другие способы (26%).
Исследование показало, что 89% респондентов самым распространенным путем утечки конфиденциальной информации называют электронную почту, а 87% наиболее эффективным способом защиты от утечки данных считают технические средства. Однако активно использует их всего 1% опрошенных, в то время как 68% вообще не предпринимают никаких действий. Надо полагать потому, что в их организациях случаев, связанных с утечкой данных, зарегистрировано не было. Вместе с тем 99,4% участвовавших в опросе вполне осознают серьезность такой угрозы, т. е. допускают возможность наличия незарегистрированных инцидентов, связанных с внутренними угрозами информационной безопасности. Причем чем больше организация, тем выше озабоченность этой угрозой.
Интересно также то, что среди технических средств обеспечения защиты от утечки конфиденциальной информации, планируемых к внедрению в течение ближайших двух лет, респонденты особо выделили не системы ограничения доступа к конфиденциальным данным (как можно было ожидать), а системы мониторинга электронной почты (34%) и Интернет-трафика (18%). Более крупные организации предпочли внедрение комплексных систем мониторинга сетевых ресурсов, которые помимо означенного включают также контроль над файловыми операциями на уровне рабочих станций. В то же время 24% опрошенных заявили об отсутствии планов по внедрению специализированных систем защиты, в основном из-за бюджетных ограничений.
Объяснение достаточно низкого уровня использования технических средств и организационных мер можно найти в ответе на вопрос о главном препятствии на пути внедрения систем защиты от внутренних ИТ-угроз. В данном случае респондентам предлагалось выбрать только одну, самую значимую причину. Таковой, как ни странно, оказалась неосведомленность о наличии специализированных технологических решений (58%). Наиболее распространенная проблема, тормозящая внедрение многих полезных ИТ-решений, - бюджетные ограничения - в данном случае набрала всего лишь 19% голосов. В то же время остальные трудности (нехватка персонала, юридические препятствия, отсутствие стандартов) присутствовали в результатах опроса лишь эпизодически.
Вот как комментирует эту ситуацию директор по маркетингу InfoWatch Денис Зенкин: "Уверенность респондентов в отсутствии технологических решений для защиты от утечки секретных данных вызывает по меньшей мере недоумение: ведь на рынке представлено несколько достаточно известных продуктов, которые могут минимизировать риск нарушения конфиденциальности информации. Впрочем, при подробном собеседовании с респондентами оказалось, что большинство слышали об этих продуктах, но не имеют четкого представления об их возможностях и путях использования".
По мнению организаторов исследования, в нашей стране ситуация с системами защиты от утечки данных может быть обрисована перефразированной поговоркой: гром вот-вот грянет (т. е. проблема осознана), но как правильно креститься, не все знают. Такое положение вещей указывает на большие перспективы рынка специализированных средств защиты. В условиях большого потенциального спроса наиболее активные игроки смогут быстро наращивать в данном сегменте свои обороты. Что и показывает, например, компания Aladdin Software Security R. D. (www.aladdin.ru), разрабатывающая решения для ограничения доступа к конфиденциальным данным и продемонстрировавшая в минувшем году примерно шестикратное увеличение объемов продаж (см. PC Week/RE, N 1/2005, с. 22). Надо полагать, столь же бурный рост ожидает и компанию InfoWatch, предлагающую средства выявления (в режиме реального времени) подозрительного поведения сотрудников в процессе электронной переписки, блуждания в Сети, а также при проведении файловых операций и распечатке документов, не предназначенных для огласки. В силу малого возраста InfoWatch говорить об увеличении ее оборотов еще рано, но, как утверждает г-н Зенкин, компания, реализовав несколько достаточно крупных проектов, уже вышла на самоокупаемость.
