Кое в чем ситуация исправляется — хотя и довольно медленно, — но в целом состояние информационной безопасности по-прежнему оставляет желать лучшего, а кое-где даже ухудшается
Когда речь заходит об информационной безопасности, то грамотный, уверенный в себе высокопрофессиональный менеджер ИТ-службы превращается в неловкого и неуклюжего подростка, которому никто в полной мере не доверяет.
К таким выводам заставляет нас прийти исследование «Глобальное состояние информационной безопасности в 2006 году». Четвертый выпуск этого наиболее масштабного в своем роде обзора показал, что руководители служб информационной безопасности, которые относительно недавно пришли в эту область, активно учатся и улучшают свои результаты, но, тем не менее, их действия по-прежнему сопряжены с высоким риском и могут иметь разрушительные последствия.
Совместное исследование журналов CIO, CSO и компании PricewaterhouseCoopers, в котором принял участие 7791 респондент из 50 стран, продемонстрировало, что все больше членов высшего руководства (генеральных и финансовых директоров, руководителей ИТ-служб и служб безопасности, вице-президентов и директоров по ИТ и информационной безопасности) организаций, работающих в самых разных отраслях и представляющих как частный, так и государственный сектор, продолжают совершенствовать технологии и политики информационной безопасности, однако темпы улучшений несколько снизились по сравнению с 2005 годом. Финансирование вопросов безопасности увеличивается, в некоторых случаях рост бюджетов выражается двузначными процентными числами. При таком уровне безопасности люди чувствуют себя достаточно уверенно. Возможно, это объясняется тем, что в течение последнего года их сети не подвергались серьезным атакам вирусов и червей.
Подростки, как известно любому родителю, живут сегодняшним днем, зачастую не желая делать того, что следует, и, напротив, совершая то, чего не следовало бы. Опрос показал, что большинство руководителей, отвечающих за вопросы безопасности, добилось весьма незначительных результатов или же вовсе не достигло никакого прогресса в части внедрения механизмов контроля за состоянием стратегической безопасности, позволяющих предотвратить многие из происшествий, о которых сообщалось в прошедшем году. Только 37% респондентов отметили, что у них имеется стратегия обеспечения безопасности в целом. Причем основное внимание они планируют сосредоточить на решении тактических задач, а не на претворении в жизнь стратегических инициатив. Таким образом, год 2006 прошел под знаком ликвидации последствий уже случившегося, а не принятия превентивных мер.
Одним из наиболее тревожащих фактов является плачевное состояние безопасности в Индии — стране, в которой сосредоточены основные мировые ресурсы аутсорсинга ИТ. Основная проблема заключается не столько в аутсорсинговых компаниях самих по себе, сколько в опасном течении, в которое они попали. Многие респонденты из Индии признают, что часто не соблюдают требований безопасности в своей повседневной работе. Наличие проблем здесь очевидно, но сегодня их гораздо чаще не замечают, чем решают.
Трудно игнорировать регулярно поступающие из крупных организаций сообщения об утере портативных компьютеров, содержащих незашифрованные персональные сведения миллионов клиентов. Каждый год мы говорим о том, что подобные случаи должны побуждать компании укреплять свою безопасность, но очередной ежегодный опрос опять показывает, что ничего не меняется. Даже после урагана Катрина, обрушившегося на побережье Мексиканского залива за семь месяцев до опроса, мы видим, что у большинства компаний отсутствует план обеспечения непрерывности функционирования бизнеса и восстановления после сбоев. А разработку такого плана руководители служб безопасности считают менее важной, чем в 2005 году.
Преобладают настроения самоуспокоенности. Многие руководители служб безопасности признают, что не соблюдают нормы, которые диктуются требованиями к безопасности и снижению рисков и предусматривают принятие самых жестких мер вплоть до тюремного заключения руководителей. Причем некоторые из этих норм — например, закон штата Калифорния о брешах в системе безопасности, закон об отчетности и безопасности медицинского страхования (Health Insurance Portability and Accountability Act, HIPAA), а также законы, принятые за пределами США, в частности директива Европейского союза о защите конфиденциальных данных — существуют уже несколько лет. Вот вам и пример юношеской конфронтации. Или же руководители служб безопасности просто не могут найти необходимых ресурсов?
Впрочем, по словам партнера компании PwC Марка Лобела, специализирующегося на вопросах безопасности, причина здесь совсем в ином. Дисциплина информационной безопасности по-прежнему страдает от фундаментальных проблем, связанных с недооценкой характерных для нее преимуществ. Безопасность рассматривается только с точки зрения затрат. Ее не воспринимают как нечто, способное приносить стратегические ценности, а следовательно, выражаться в цифрах оборота или даже экономии.
Но если начать копать глубже, мы увидим, что поводы для оптимизма все же существуют. Есть свидетельства того, что организации, соблюдающие нормы безопасности, лучше адаптируют решение вопросов безопасности к корпоративной стратегии ведения бизнеса и бизнес-процессам, а это в свою очередь приводит к уменьшению числа успешных атак и снижению финансовых потерь от них. Подводя итог, можно резюмировать, что, когда вопросы, связанные с безопасностью, становятся частью бизнес-плана организации, а начальник соответствующей службы входит в ряды высшего руководства, безопасность начинает порождать определенные ценности.
В шести приведенных ниже разделах мы постараемся проиллюстрировать, что вопросы глобального управления информационной безопасностью могут в значительной степени отличаться друг от друга. Кроме того, если не принимать во внимание небольшое число исключений, они требуют совершенствования. В нынешнем году мы постарались привлечь специалистов в области безопасности и организовали электронное обсуждение выводов, содержащихся в обзоре, а также решений, которые помогли бы должностным лицам повысить уровень безопасности в своих организациях. Надеемся, что эта информация станет дополнительным аргументом в пользу стратегии. А наличие стратегии — с учетом перспективного мышления и увязывания мероприятий с их последствиями — безусловно является признаком зрелости.
1. Медленный, но рост
Опрос, проведенный в 2006 году, показал, что число компаний, задумавшихся о выработке стратегии в области безопасности, по сравнению с 2005 годом несколько увеличилось, по крайней мере в отдельных областях. Больше стало тех, кто соотносит цели безопасности с целями бизнеса (20% респондентов отметили, что все расходы, связанные с укреплением безопасности, обоснованы задачами, стоящими перед бизнесом, в то время как в 2004 году их доля не превышала 15%). В зависимости от важности информации, обрабатываемой каждым из приложений, устанавливаются приоритеты наборов данных. А затем эти наборы защищаются соответствующими средствами (такой последовательности действий в 2006 году придерживались в 25% организаций, а в 2004-м — в 21%).
Одно из наиболее серьезных изменений в 2005 году было связано с тем, что увеличилось число компаний, интегрирующих средства обеспечения физической и информационной безопасности. Доля организаций, сообщающих об интеграции механизмов обеспечения физической и информационной безопасности в той или иной форме, быстро растет. В 2003 году их насчитывалось 29%, а в 2006-м — уже 75%. Аналогичный рост наблюдается и среди числа респондентов, отметивших, что в их организациях руководители служб физической и информационной безопасности подчиняются одному и тому же человеку.
Почему это так важно? Чтобы ответить на данный вопрос, достаточно открыть ежедневную газету, и вы сразу найдете там заметки об утерянных и похищенных портативных компьютерах, в которых находилась конфиденциальная информация о клиентах. Спросите об этом в Совете по делам ветеранов США или в страховой компании AIG. Обе эти организации весной 2006 года оказались замешанными в громких скандалах, связанных с кражей портативных компьютеров. Сочетая методы физической и информационной безопасности, можно добиться сокращения числа утраченных ноутбуков. А если они все же были потеряны или украдены, комбинация этих методов делает доступ к хранившимся данным фактически невозможным. «В современной среде, наполненной устройствами контроля, камерами слежения и другими датчиками систем безопасности, физические аспекты безопасности все сильнее зависят от ИТ», — отметил Джейсон Спалтро, директор компании Sony Pictures Entertainment по вопросам информационной безопасности.
Усиление взаимодействия и интеграция функций безопасности заставляет руководство компаний увеличивать бюджет службы безопасности. Почти половина опрошенных заявили, что их бюджеты за последний год выросли, а более 20% отметили, что темпы роста выражаются двузначными процентными числами. Расходы на безопасность растут быстрее бюджета ИТ-службы в целом. Все больше руководителей служб безопасности получают финансовую автономию. Следовательно, на них возлагается более высокая ответственность — а это уже ключевой компонент усиления стратегического профиля службы безопасности внутри организации.
Вместе с тем в очень многих компаниях (их насчитывается почти 64%) по-прежнему нет должности, связанной с безопасностью и относящейся к числу руководителей высшего уровня — директора по безопасности или директора по информационной безопасности.
Стратегическое управление безопасностью на уровне высшего руководства хорошо в теории, но на практике подвергается членами совета директоров сомнению. «Убедить руководство учредить соответствующую должность можно, приведя доказательства эффективности планирования работ, связанных со стратегической безопасностью», — наверное, заметите вы.
Хорошо, что результаты опроса еще раз доказывают справедливость данного утверждения. Организации, представители которых сообщают, что их политика в области безопасности и расходы на нее полностью соответствуют характеру бизнес-процессов, несут меньшие финансовые потери и реже сталкиваются с неработоспособностью сетей по сравнению с теми, у кого данные требования не выполняются.
И это уже позволяет говорить о формировании ценностей.
2. Дикий, дикий Восток
Сегодня Индия намного отстает от всего мира в части внедрения даже основополагающих инструментальных средств и методов информационной безопасности. Учитывая занимаемый этой страной статус аутсорсингового партнера крупнейших в мире игроков на рынке ИТ (согласно исследованию, проведенному сотрудниками университета им. Дюка и Ciber/Archstone Consulting, 49% от общего числа проектов зарубежного аутсорсинга приходится на Индию, здесь же формируется до 90% мирового оборота рынка аутсорсинга), результаты опроса заставляют задуматься.
Отсутствие даже наиболее распространенных средств безопасности (механизмов управления обновлениями, фильтров информационного наполнения и программного обеспечения контроля доступа) и политики (безопасных помещений для оборудования, планов поддержания непрерывности функционирования бизнеса, безопасных условий сотрудничества с внешними партнерами) привело к тому, что многие индийские компании оказались незащищенными перед лицом серьезных атак и неизбежных в такой ситуации финансовых потерь. Вымогательство, обман и кража интеллектуальной собственности в прошлом году были зарегистрированы в пяти из шести произвольно взятых индийских компаниях. Эти цифры в два, а порой и в четыре раза превышают средние мировые показатели. Каждая третья индийская организация понесла из-за кибератак финансовые убытки. В мировом же масштабе к таким компаниям относится лишь одна из пяти, а в США — одна из восьми. «В Индии вообще нельзя рассчитывать на информационную безопасность», — предупреждает Лобел.
Хотя в обзоре не называются имена конкретных компаний, не перечисляются мероприятия по обеспечению безопасности и уровни популярности индийских аутсорсинговых компаний, Лобел тем не менее рекомендует тщательно взвесить все за и против, прежде чем принимать решение о переходе на услуги аутсорсинга. При рассмотрении возможности аутсорсинга в Индии компаниям первым делом следует убедиться в том, что все процедуры и политики, связанные с безопасностью, находятся здесь на том же уровне, что и в США.
Во-вторых, Лобел рекомендует провести оценку рисков, связанных с работой служб безопасности индийских подразделений. Даже если в индийской организации вас заверят, что используют привычные специализированные методы, не следует думать, что там придерживаются тех же действий, что и у вас. «В результате проверки основополагающих принципов может выясниться, что в Индии все делается совершенно по-другому, — указал Лобел. — Поэтому узнайте точно, что скрывается за теми или иными приемами».
Представители индийских служб безопасности признают, что у них есть недоработки, но они планируют укреплять информационную безопасность. Индийские организации опережают своих зарубежных коллег (иногда весьма значительно) в деле внедрения новых средств контроля и политик безопасности. И это не просто тактический ход. В значительной части индийских компаний (их доля здесь примерно в два раза превышает общемировые показатели) существуют планы учреждения в течение ближайшего года должности начальника службы безопасности, который будет входить в состав высшего руководства. Удастся ли индийским организациям выполнить намеченное и сократить имеющийся на сегодняшний день в области безопасности разрыв, мы узнаем по результатам опроса, который будет проводиться в 2007 году. Следите за новостями.
3. Стратегический разрыв
Когда человек полагает, что не обладает достаточным для принятия решений объемом информации или у него нет столько ресурсов, сколько ему необходимо, если он не вписывается в процесс планирования, что он делает? Чаще всего обращается к тому, что знает лучше всего. Для руководителей служб информационной безопасности речь идет о сосредоточении внимания на технологиях — тактических, а не стратегических вопросах.
Вероятно, отход руководителей от решения стратегических вопросов безопасности в сторону более традиционных технологических мероприятий (эта тенденция прослеживается при сравнении результатов последнего опроса с предыдущим) нельзя считать простым совпадением. В 2005 году на каждый пункт плана, связанный с совершенствованием технологий, у респондентов приходилось четыре случая корректировки процедур. В 2006 году соотношение стало почти один к одному. В целом в 2006 году из первой дюжины наиболее приоритетных с точки зрения руководителей задач семь приходилось на устранение технологических сбоев. В первой пятерке оказались наиболее простые и рутинные операции, связанные с резервным копированием данных, установкой сетевых экранов и брандмауэров приложений, а также с обслуживанием паролей пользователей. Вот почему доля компаний, представители которых сообщили о наличии у них общих стратегических планов, осталась неизменной — на уровне 37%.
В то же время ряд перемен ставит в тупик. Например, снижение роли, которая отводится планам обеспечения непрерывности ведения бизнеса и оперативного восстановления работоспособности после сбоев. С ведущей строчки, которую этот пункт занимал в 2005 году, он опустился на четвертое место. Весьма неожиданно, если учесть, что ураган Катрина еще раз напомнил всем нам о важности подобных планов.
Впрочем, новости о стихийных бедствиях и брешах в системе безопасности могут и не стать стимулом для инвестиций в систему безопасности. Наш прогноз в 2005 году в отношении увеличения расходов на обеспечение безопасности сетей IP, занимавших на тот момент 10-е место в списке приоритетов — вследствие увеличения числа краж идентификационной информации и объемов цифрового контента (ярким примером здесь является служба iTunes) не оправдался. Защита сетей IP в 2006 году не вошла и в первую десятку. Провалились даже гораздо более простые и менее дорогостоящие мероприятия по обеспечению стратегической безопасности. Задача обучения сотрудников в списке приоритетов со второго места переместилась в самый конец первой десятки.
Странно и то, что разработка стратегии информационной безопасности в целом — занявшая в позапрошлогоднем опросе четвертое место — в 2006-м вообще не вошла в список.
Что случилось? Почему стратегическое планирование безопасности отошло на второй план? Возможно, причиной стал информационный вакуум (руководители служб информационной безопасности сообщали о трудностях с бюджетом, с получением информации об источниках атак и с поиском людей, обладающих требуемым уровнем квалификации). Решения, ориентированные на краткосрочную перспективу, представляются в такой ситуации более благоразумными. Спалтро приводит даже более убедительный довод: у менеджеров по информационной безопасности есть своеобразный «колокол», способный разбудить других. Они говорят увлеченно. А их начальники — нет. «Я могу открыть совещание с другими представителями руководства, напомнив им, что безопасность — это бизнес-решение, — отметил Спалтро. — Все, что мы делаем, начиная от установки камер слежения и заканчивая шифрованием и классификацией информации, представляет собой меры, направленные на защиту активов бизнеса, причем это не моя прихоть. Я всего лишь выполняю роль моста между технологией и связанными с ней рисками, помогаю людям принимать решения, но в конечном итоге это они должны сказать мне, чем я должен заниматься».
Для повышения эффективности информационной безопасности критически важное значение имеет согласование технологических процессов со стратегическим планом организации. «Компании, у которых решение вопросов безопасности является составной частью общего стратегического плана, имеют меньше брешей, финансовые потери у них ниже, а простои сети наблюдаются реже», — заметил Лобел.
4. Соблюдение норм — время ужесточать контроль
Удивительно, но как и в прошлом году, многие из опрошенных признались в том, что не соблюдали нормативных требований и предписаний, предъявляемых к информационной безопасности в их отрасли.
Сюда относятся наиболее известные законы, принятые несколько лет назад. Более четверти руководителей служб безопасности, представляющих США, отметили, что их организациям нужно принять дополнительные меры для соблюдения закона об отчетности и безопасности медицинского страхования (HIPAA), вступившего в силу в 1998 году и направленного на защиту информации о пациентах. В настоящее время требования этого закона в их организациях не выполняются.
Несоблюдение нормативных актов все чаще наблюдается во всех отраслях, и важнейшим фактором здесь является игнорирование соответствующих законов. Примерно пятая часть респондентов из США отметили, что должны выполнять, но не выполняют закон штат Калифорния о брешах в системе безопасности, принятый в 2002 году. В соответствии с этим законом компании обязаны уведомлять частных лиц о попытках неавторизованного доступа к их онфиденциальной информации (например, к номерам кредитных карт). Однако только 22% принимавших участие в опросе представителей США отметили, что закон имеет к ним отношение. Но с учетом того, что закон применим к любой организации, у которой имеется хотя бы один клиент или учащийся из Калифорнии — а в Калифорнии проживает более одной десятой части населения США — сотрудники многих из 78% оставшихся предприятий, считающие, что данный закон их не касается, по всей вероятности ошибаются.
В последние четыре года значительно труднее стало игнорировать требования закона Сарбейнса — Оксли (закон регулирует вопросы корпоративной ответственности и подотчетности. — Прим. ред.) и Грэмма-Лича-Блайли (защищает конфиденциальные данные клиентов в финансовых учреждениях, а также в финансовых отделах университетов и колледжей. — Прим. ред). Тем не менее, свыше трети респондентов из США отметили, что не соблюдают закон Сарбейнса — Оксли, хотя и должны делать это. О невыполнении закона Грэмма-Лича-Блайли упомянул каждый седьмой. По сравнению с 2005 годом здесь наблюдаются некоторые улучшения, но поскольку за несоблюдение законов установлены жесткие уголовные санкции, многие из руководителей рискуют угодить в тюрьму и подвернуть свои компании крупным штрафам.
Впрочем, такое положение дел нельзя назвать особенностью Америки. Половина австралийских участников опроса признали, что не выполняют законодательство своей страны о защите конфиденциальной личной информации. Почти треть респондентов из Великобритании не соблюдают закон о защите данных (Data Protection Act), вступивший в силу в 1998 году. Около трети традиционно законопослушных сотрудников канадских компаний не выполняют требования национального закона о защите сведений личного характера.
Возможно, причина всего этого заключается в безнаказанности нарушителей. На сегодняшний день плата за невыполнение законов не столь высока по сравнению с затратами на их соблюдение — здесь следует учесть стоимость рабочей силы, оборудования и программного обеспечения. В условиях неприменения штрафных санкций у начальников служб безопасности нет достаточных рычагов, чтобы убедить руководство в необходимости соблюдения нормативных актов. «Добавьте сюда еще и то, что несмотря на наличие серьезных брешей в системе безопасности и утерю портативных компьютеров реальные убытки и ущерб от кражи идентификационной информации, непосредственно связанные с данными инцидентами, относительно невелики, — подчеркнул директор программы Technology and Public Policy Вашингтонского центра стратегических и международных исследований Джим Льюис. — Возможно, у людей складывается впечатление, что они не так уж и уязвимы, как кажется на первый взгляд. А несоблюдение законов почти не связано с риском».
Для улучшения ситуации с безопасностью соответствующим законам нужно быть позубастей. То же самое относится и к собственным правилам организаций. Участники опроса сообщают, что более двух третей пользователей соблюдают политику безопасности, установленную в их организациях. По сравнению с тремя прошлыми исследованиями на тему «Глобальное состояние информационной безопасности» ситуация здесь не изменилась. Один из наиболее важных моментов, способствующих уменьшению простоев сети, связан с обеспечением соблюдения внутренних правил безопасности в организации. Впрочем, этого требования вы не найдете даже в спецификациях стандарта CobIT (control objectives for information and related technology) — библии управления информационными технологиями.
Лобел предлагает организациям установить штрафы за несоблюдение внутренних политик безопасности. Но необходимо сделать так, чтобы наказание соответствовало тяжести нарушения. «Вы ведь, наверное, не захотите увольнять сотрудника, приклеивающего листочки с паролями на экран монитора, — заметил Лобел. — Но какие-то меры к нему должны быть приняты».
5. Лучшее и самое яркое
В 2005 году мы выделяли сектор финансовых услуг, состояние информационной безопасности в котором на тот момент считалось наилучшим. Аналогичный вывод можно сделать и по результатам последнего опроса. Финансовая отрасль еще раз доказала свое лидерство в части интеграции информационной безопасности со стратегическими операциями.
Организации, представляющие сектор финансовых услуг, — банки, страховые компании, инвестиционные фирмы — гораздо охотнее по сравнению с представителями других отраслей учреждают у себя должность директора по безопасности. Бюджет службы безопасности в финансовом секторе в целом, как правило, даже превосходит по размеру бюджет ИТ-службы. Кроме того, здесь имеется тенденция к более быстрому, чем в других секторах, росту. Возможно, это объясняется тем, что компании, работающие в секторе финансовых услуг, охотнее увязывают политики безопасности с бизнес-процессами. Они принимают профилактические меры, формализуя процедуры обеспечения информационной безопасности, например, мониторинг файлов журналов и периодическое проведение тестов на возможность проникновения в систему. Большинство сотрудников здесь соблюдают политики безопасности. Неудивительно, что компании, занимающиеся предоставлением финансовых услуг, внедряют у себя больше технических механизмов, обеспечивающих информационную безопасность: инструментальных средств шифрования и обнаружения вторжения, а также решений, связанных с управлением идентификацией.
Очевидно, что в организациях, работающих в сфере финансовых услуг, гораздо чаще — по статистике почти в два раза — составляются общие планы обеспечения стратегической безопасности. Эти компании несут менее серьезные финансовые убытки, у них реже наблюдаются простои сети, а также по сравнению с представителями других вертикальных отраслей реже регистрируются случаи похищения информации личного характера.
Причины такого положения дел очевидны. В отрасли финансовых услуг основной продукт — это деньги, а деньги — главная цель киберпреступников всех мастей, включая представителей организованной преступности, должностных лиц внутри компании и даже террористов. Защита денег — наиболее важная задача для отрасли. В последние несколько лет мы стали свидетелями нового всплеска киберпреступности: фишинга, кражи идентификационной информации, вымогательства, распространения шпионского программного обеспечения — и это далеко не полный перечень. Если начальник службы безопасности в любое время может продемонстрировать высшему руководству, что инвестиции в безопасность способствуют защите и преумножению ценностей для акционеров, ему легче убедить представителей совета директоров в целесообразности соответствующих инвестиций и превращении службы безопасности в стратегический компонент организации.
Компании, работающие в сфере финансовых услуг, гораздо охотнее представителей других отраслей используют показатели окупаемости для оценки эффективности инвестиций в безопасность (29% против 25%). Кроме того, здесь охотнее используют потенциальное влияние доходных статей для обоснования инвестиций (36% против 27%). Эти аргументы работают. Увеличение бюджета службы безопасности, выражающееся в двузначных процентных числах, в секторе финансовых услуг тоже наблюдалось чаще, чем в других отраслях.
Определенную роль играют и нормативные акты. Представители финансовой отрасли должны выполнять наиболее жесткие законы об информационной безопасности. Поэтому они опережают представителей других отраслей в части выполнения обоснованных мероприятий, связанных с обеспечением стратегической информационной безопасности.
Исходя из данной аргументации, можно предположить, что представители государственного сектора, отрасли здравоохранения и образования (все они обязаны соблюдать соответствующие нормы и обеспечивать безопасность конфиденциальной информации личного характера) наряду с поставщиками финансовых услуг заботятся о соблюдении мер стратегической безопасности. Но, вероятно, далеко не все согласятся с таким утверждением. Результаты проведенного опроса показали, что правительственные организации, а также предприятия здравоохранения и образования, несмотря на ответственность за защиту персональной информации сотен миллионов граждан, пациентов и студентов, гораздо менее охотно по сравнению с финансовыми учреждениями придерживаются передовых тактических и стратегических методов безопасности. Представители государственного сектора и сектора здравоохранения опережают другие отрасли в части соблюдения политик информационной безопасности и перевода ее в разряд стратегических задач. Однако они заметно отстают в этом отношении от поставщиков финансовых услуг. Только 42% респондентов, работающих в государственных структурах, сообщают о наличии у них стратегии безопасности в целом, в то время как в финансовом секторе таковых насчитывается 56%.
Образовательный сектор еще сильнее отстает от лидеров в части разработки, поддержки и развертывания инструментальных средств, а также внедрения передовых методов обеспечения информационной безопасности. В образовательных организациях отношение к этому вопросу не изменилось даже после публикации нашумевших материалов о взломе сетей в университете Сан-Диего и университете штата Огайо. Взломщики получили доступ к данным о студентах и членах их семей, включая их домашние адреса, номера кредитных карт и карт социальной защиты, а также к налоговой информации.
Представители образовательного сектора страдают от негативных событий, связанных с обеспечением безопасности (вирусов и червей, атак, направленных на отказ в обслуживании, кражи идентификационной информации, неавторизованного доступа и пересылки запрещенных данных), от простоев сети и простоев, продолжающихся в течение нескольких дней, даже в большей степени по сравнению со средним уровнем.
Перспективы образовательного сектора в сфере безопасности также не выглядят безоблачными. По сравнению с другими областями лишь в относительно небольшом числе образовательных учреждений планируют ввести должность начальника службы безопасности, входящего в число руководителей высшего уровня, контролировать уровень подготовки сотрудников, принимаемых на работу, проводить проверку соблюдения пользователями сети политик безопасности, организовать обучение сотрудников вопросам безопасности и установить средства шифрования. В образовательных учреждениях предпочитают уделять больше внимания решению тактических задач: установить сетевые экраны, наладить резервное копирование данных, развернуть инструментальные средства обеспечения сетевой безопасности. Несложно предположить, что и в 2007 году ситуация с решением вопросов безопасности в образовательном секторе принципиально не изменится.
6. Танцующие в темноте
Известно, что стратегия информационной безопасности работает, если количество брешей мало, финансовые потери незначительны, а время простоя сети сведено к минимуму. К сожалению, достаточно большое число руководителей служб безопасности не имеют представления о том, насколько хорошо выполняются их планы, поскольку у них нет конкретных цифр.
С 2003 по 2005 год число респондентов, сообщивших о том, что в течение года у них наблюдалось менее десяти негативных событий, связанных с системой безопасности, практически не изменилось. В 2006 году респонденты имели возможность указать, что не знают, сколько негативных событий, связанных с вопросами безопасности, обрушилось на их организацию. В результате почти треть призналась, что им неизвестно, сколько брешей имеется в системе обеспечения безопасности их компании и сколько случаев неавторизованного доступа там произошло.
До определенной степени все это понятно. Сети достаточно обширны, а выявить атаки довольно сложно. Неясно только, почему так много респондентов сообщают о том, что у них не установлены даже простейшие механизмы безопасности. Лишь треть из них располагает средствами управления обновлениями и контролирует активность пользователей. Менее половины используют программное обеспечение обнаружения вторжения и проверяют файлы журналов (а ведь эти два метода дают наилучшие результаты при выявлении брешей). Еще реже применяются средства предотвращения вторжения. Это может показаться странным, но более чем у 20% опрошенных нет даже сетевых экранов.
В том чтобы установить сетевой экран, нет ничего сложного. И если значительное число респондентов не уделяют этому никакого внимания, неудивительно, что многие из них вынуждены бороться с гораздо более серьезными осложнениями. В такой ситуации довольно трудно подсчитать число атак и связанных с ними потерь. Во-первых, затруднения может вызвать даже простая классификация причин возникновения инцидентов. «Скажем, относить ли к числу инцидентов обнаружение на вашем компьютере шпионского программного обеспечения? — спрашивает Спалтро. — Некоторые полагают, что нет, но мы отвечаем на данный вопрос утвердительно». Во-вторых, во многих организациях нет возможности следить за событиями, проводить соответствующую регистрацию, реагировать на их возникновение и налаживать взаимодействие на уровне руководства. За прошедшие четыре года в мире выросло число респондентов, в бессилии разводящих руками и не знающих, сколько денег их компании потеряли из-за атак. Сегодня их доля приближается к 50%.
«Как рассчитать убытки от потери интеллектуальной собственности или от ущерба, нанесенного репутации компании? — сокрушается Лобел. — Даже очень умным людям трудно прийти здесь к единому пониманию».
Пока служба безопасности не представит заслуживающих доверия цифр потерь, понесенных из-за слабости системы безопасности, совет директоров не станет прислушиваться к их просьбам о выделении денег на внедрение новых технологий или привлечение опытных специалистов (именно эти ресурсы чаще всего называются главными с точки зрения укрепления безопасности). Генеральный директор хочет знать, какие ценности приносит безопасность акционерам. Ответ на данный вопрос требует стратегического подхода, а этого, как мы уже видели, опытным специалистам в области безопасности явно не хватает.
ALLAN HOLMES. The Global State of Information Security 2006. CIO MAGAZINE. SEPTEMBER 15, 2006
Внутренняя сторона исследования
Совместное исследование под названием «Глобальное состояние информационной безопасности в 2006 году», организованное изданиями CIO и CSO, а также компанией PricewaterhouseCoopers, проводилось в апреле — мае 2006 года. Читателям журналов CIO и CSO вместе с клиентами PricewaterhouseCoopers из самых разных стран мира предлагалось ответить на вопросы электронной анкеты по электронной почте. Результаты, отраженные в данном отчете, базируются на информации, которая была получена от генеральных и финансовых директоров, руководителей ИТ-служб и служб безопасности, вице-президентов и директоров по ИТ и информационной безопасности, представляющих 50 различных государств.
Величина статистической погрешности исследования не превышает одного процента.
Отчет отражает текущее положение дел в отраслях самого широкого спектра, включая технологическую (10%), образовательную (10%), сферу консультаций
и профессиональных услуг (8%), правительственную (8%), телекоммуникационную (6%), а также финансовых и банковских услуг (4%).
32% респондентов сообщили, что годовой оборот их организаций составляет менее 100 млн. долл., 14% отметили, что он находится в диапазоне от 100 млн.
до 999,9 млн. долл., у 17% годовой объем продаж превысил миллиард долларов, 17% опрошенных представляют некоммерческие организации, а еще 17% не ответили на этот вопрос.
Специалисты, принимавшие участие в опросе, выполняют обязанности ИТ-директоров, технических директоров, вице-президентов, директоров или менеджеров по ИТ (22%), являются профессионалами в области информационной безопасности (12%), не имеют отношения к ИТ (12%) или же занимают другие должности в ИТ-службе (39%). 15% выбрали пункт «другое» или просто не ответили на этот вопрос.
Зависимость от масштабов
Похоже, небольшие компании не так страдают от атак, как крупные, но это вовсе не означает, что их безопасность находится на более высоком уровне.
Когда речь идет о безопасности, больше не всегда значит лучше.
Конечно, крупные компании по сравнению с небольшими предприятиями проявляют более высокую активность в области безопасности и проводят больше эффективных мероприятий. Соответственно, у них должно быть меньше брешей и негативных последствий, вызванных атаками. Не так ли?
Ничего подобного. Опрос выявил, что компании среднего звена (с оборотом от 100 миллионов до миллиарда долларов) имеют меньше брешей в системе безопасности по сравнению с более крупными предприятиями. Представители почти 30% компаний среднего звена утверждают, что надежность их систем безопасности никогда еще не подвергалась сомнению. И только в 16% крупных организаций был получен аналогичный ответ.
Кроме того, крупные компании в меньшей степени контролируют происходящее в их чрезвычайно обширных сетях. По сравнению с компаниями среднего масштаба там отсутствует достаточно четкое представление о количестве имеющихся у них брешей (эта ситуация характерна для 42% крупных компаний, 29% предприятий среднего звена и 16% небольших организаций с годовым оборотом менее 100 млн. долл.).
Увеличение бюджетов и штата сотрудников службы безопасности также не оказывает серьезного влияния на отражение и ликвидацию последствий атак. Доли средних и крупных компаний, в которых простой сети продолжается дольше одного дня, примерно равны и составляют около 10%.
Наконец, в компаниях среднего звена гораздо лучше представляют себе картину убытков, причиненных атаками. В 55% организаций подобного масштаба знали, на что они распространяются. В крупных компаниях полную осведомленность о потерях проявили только в 51% случаев.
Чем объясняется такое положение дел? Специалисты по безопасности говорят, что различия между предпринимаемыми мерами и результатами, которых удается достичь крупным компаниям и предприятиям меньшей величины, объясняются двумя основными факторами.
Крупные компании чаще подвергаются электронным атакам, потому что в случае успеха злоумышленники получают гораздо более весомую отдачу. Для крупных компаний характерна более сложная организация и уследить здесь за всем становится труднее. Впрочем, специалисты предупреждают, что разрыв между крупными и средними компаниями может даже увеличиться, если представители крупных предприятий не уделят самое серьезное внимание решению стратегических задач в области безопасности. Соответственно, компании среднего звена также смогут уменьшить число брешей в системе своей безопасности (а также причиняемого вследствие их наличия ущерба), если станут придерживаться той же линии.
Немного статистики
Службы безопасности крупных компаний располагают значительным бюджетом и имеют расширенный штат...
Бюджет безопасности, превышающий миллион долларов. Служба безопасности насчитывает более 11 сотрудников
... активнее использует новые технологии...
... Однако крупные компании сильнее страдают от брешей в системе безопасности
Доля предприятий каждой категории, представители которых утверждают, что у них нет брешей в системе безопасности
Хорошие новости
Отчетность упорядочена
Специалисты по ИТ и физической безопасности подчинены одному и тому же руководителю
Физическая безопасность интегрирована с безопасностью ИТ
28% респондентов отметили, что согласовывают политики безопасности с целями бизнеса (в 2004 году таких было 25%).
20% сообщили, что затраты на безопасность проводятся у них с учетом целей, стоящих перед бизнесом (в 2004 году об этом упомянули 15%).
В 69% организаций приоритеты данных и информации постоянно или периодически пересматриваются в зависимости от уровня риска, которому подвергается организация в случае получения неавторизованным пользователем доступа к этим сведениям.
Языком денег
Расходы на безопасность по отношению к общей сумме бюджета ИТ-службы растут
Плохие новости
Темпы включения в штатное расписание должностей начальников служб безопасности, относящихся к числу руководителей высшего звена, замедлились
Наличие должности директора по информационной безопасности или директора по безопасности
Директор по информационной безопасности
Индийские осложнения
Поскольку принимаемые в Индии меры безопасности отстают от темпов, характерных для остального мира...
... индийские компании в большей степени страдают от компьютерных преступлений...
10% индийских компаний подверглись компьютерным атакам, которые привели к простою их сетей в течение более чем двух дней. В США таких компаний насчитывалось лишь 5% от общего числа.
В Индии знают о трудностях.
Каковы ваши приоритеты?
Список приоритетных мероприятий на 2005 год
-
Восстановление после сбоев/обеспечение непрерывности функционирования бизнеса
-
Программы повышения уровня подготовки сотрудников
-
Резервное копирование данных
-
Стратегия обеспечения информационной безопасности в целом
-
Установка сетевых экранов
-
Внедрение системы централизованного обеспечения информационной безопасности
-
Периодический аудит безопасности
-
Контроль за действиями сотрудников
-
Мониторинг отчетов по безопасности
-
Инвестиции в защиту интеллектуальной собственности
Список приоритетных мероприятий на 2006 год
-
Резервное копирование данных
-
Установка сетевых экранов
-
Установка брандмауэров приложений
-
Восстановление после сбоев/обеспечение непрерывности функционирования бизнеса
-
Управление паролями пользователей
-
Мониторинг отчетов по безопасности
-
Периодический аудит безопасности
-
Обеспечение безопасного удаленного доступа
-
Внедрение инструментальных средств обнаружения шпионских программ, рекламного программного обеспечения и спама
-
Контроль за соблюдением политик безопасности
Программы обучения сотрудников (дополнительно)
Переход от решения стратегических к решению тактических задач
Соотношение между технологическими инициативами и инициативами, связанными с бизнес-процессами —
2005 год — 1:4
2006 год — 1,5:4
Правила? Какие правила?
Организации в США по-прежнему игнорируют законы о безопасности и защите конфиденциальной информации личного характера...
Доля американских организаций, представители которых признают необходимость соблюдения законов о безопасности, но не соблюдают их...
Доля компаний, находящихся за пределами США, представители которых признают необходимость соблюдения законов о безопасности, но не соблюдают их.
Где дело поставлено лучше всего? В финансовой области
Представители сектора финансовых услуг опережают всех остальных в вопросах управления конфиденциальной информацией...
... а следовательно, меньше страдают от успешных кибератак и связанных с ними последствий (таблица)