Недавно у всемирно известного производителя одежды Gap был украден ноутбук с приватными данными. Он пропал из офиса кадрового агентства, которое сотрудничает с Gap. Похищенная информация не была зашифрована, и под угрозой оказались личные данные 800 тыс. человек, пытавшихся устроиться на работу в компанию. По оценкам аналитического центра InfoWatch, ущерб от этой утечки информации составит десятки миллионов долларов. Gap, естественно, не хочет повторения подобных инцидентов и пересматривает корпоративные правила защиты.
Институт компьютерной безопасности США (Computer Security Institute) представил отчет 2007 CSI Computer Crime and Security Survey с результатами опроса 494 специалистов по ИБ. Выяснилось, что 59% респондентов сталкивались в 2006 году с инсайдерской угрозой и только 52% – с серьезным вирусными вторжениями. Эксперты InfoWatch считают этот факт вполне закономерным. Примечательно, что внутренние угрозы стали страшнее вирусов впервые за всю историю опросов CSI. На третьем месте по важности (50% ответов) оказалась потеря носителей с конфиденциальными данными (прежде всего, ноутбуков).
Только 46% респондентов признали, что сталкивались с нарушениями корпоративной ИТ-безопасности за последний год. Отметим, что со временем данный показатель несколько уменьшился: в 2006 году он составлял 53%, а в 2005 – 56%. Впрочем, это может свидетельствовать и о том, что атаки стали более изощренными и незаметными. Кроме того, 25% опрошенных заявили, что атаки на их сети были целенаправленными.
Тревожный симптом – увеличение среднего ущерба предприятий от инцидентов, связанных с ИБ. Он достиг 350 тыс. долл., причем столь высокие цифры зафиксированы впервые за последние пять лет (до 2007 года средний ущерб от проблем в области защиты только снижался).
Российские компании теперь тоже чаще подвергаются внутренним угрозам, что доказало последнее исследование InfoWatch данных почти 1500 предприятий. За 2006 год в базе инцидентов InfoWatch появились почти 200 новых записей, а совокупные годовые потери мировой экономики от инсайдерских атак российские эксперты оценивают на уровне 700 млрд долл. Отмечен и положительный момент: число российских организаций, внедривших системы защиты от утечки данных, возросло почти в пять раз.
Индекс опасности утечки информации опережает аналогичный показатель любой из внешних угроз. Среди отрицательных последствий внутренних инцидентов называют прямые финансовые убытки (46%), удар по репутации (42,3%) и потерю клиентов (36,9%). Организации начинают пристально присматриваться к действиям своих сотрудников, и свыше 40% респондентов зафиксировали в 2006 году более одной утечки информации.
На первом месте рейтинга самых опасных угроз InfoWatch остается кража информации (65,8% голосов). Ее индекс опасности вырос на 1,8% по сравнению с 2005 годом. За ней следует халатность сотрудников (55,1%), а вирусные атаки занимают лишь третье место (41,7%). По сравнению с 2005 годом этот вид угроз потерял 7,3 процентных пункта, а по сравнению с 2004 годом – 18%. На четвертом месте оказалась угроза, которая не входила в предыдущие исследования, – саботаж (33,5%). Хакерские атаки занимают пятое место (23,4%), и они потеряли за прошедший год 24,6 процентных пункта. Таким образом, борьба с инсайдерами по актуальности обгоняет защиту от вирусов, хакеров и спама.
Впервые аналитический центр InfoWatch включил в анкету вопросы о нормативном регулировании в сфере ИБ. Почти 25% организаций зафиксировали возросшее нормативное давление со стороны государственных органов, а 5,8% признали, что это давление возросло существенно. Характерно, что такие организации оказались банками либо представителями сектора телекоммуникаций. Углубленное исследование показало, что финансовые учреждения страдают от «гнета» соглашения Basel II и стандарта Банка России по ИБ, а телекомы – от вступившего в силу закона «О персональных данных». Наиболее эффективным средством борьбы с разными угрозами опрошенные считают комплексные информационные системы (44,8%).
В ходе выставки-конференции Infosecurity Russia менеджер по развитию продуктов InfoWatch Дмитрий Скомаровский представил комплексный подход к поддержке внутренней безопасности на основе бета-версии AMBIT – системы следующего поколения, обеспечивающей конфиденциальность и целостность данных. Она позволяет в режиме реального времени одновременно контролировать все «популярные» каналы утечки информации – принтеры, съемные носители, мобильные устройства, Internet, почту и т.д. Осуществляется прозрачный мониторинг действий с файлами на уровне операционной системы. При выявлении утечки нежелательные действия блокируются и заносятся в журнал, а сотрудник службы безопасности получает уведомление. Записи о данных, покидающих корпоративную сеть, и действиях пользователей аккумулируются в центральном хранилище, благодаря чему возможен сбор доказательных материалов. В любой момент можно распечатать сведения о том, кто и как работал с конфиденциальной информацией.
Многоуровневая контентная фильтрация, организуемая AMBIT на уровне межсетевого шлюза, предотвращает пересылку данных по сетевым протоколам TCP/IP (generic), SMTP, HTTP(S), IM (ICQ, AOL, MSN). Система блокирует утечку данных с рабочих станций, периферийных и мобильных устройств посредством контроля над действиями авторизованных пользователей. Под наблюдение службы ИБ попадает работа с файлами на рабочей станции, сменном носителе, сетевом ресурсе, доступ к внешним интерфейсам ПК (USB, COM, LPT, FireWire, IrDA) и внешним носителям (CD/DVD, HDD). Данные оказываются защищенными даже за пределами корпоративной сети (например, при работе сотрудников на ноутбуках за пределами офиса).
Достоинствами решения InfoWatch AMBIT, по мнению Скомаровского, являются его масштабируемость и управляемость. Однажды установленное ядро системы позволяет оперативно подключать новые перехватчики трафика для мониторинга специфических потоков данных. Сейчас предлагаются перехватчики электронной почты (SMTP), Web-трафика (HTTP), ICQ и съемных носителей (USB/CD и др.). В будущем спектр возможностей AMBIT будет расширен за счет перехватчиков обращений к базам данных (Microsoft SQL, Oracle Database), проприетарных протоколов Microsoft Exchange и Lotus Notes, сетевых принтеров, мониторинга операций с документами на рабочих станциях. Скомаровский сообщил, что дополнительные опции появятся в I–II квартале следующего года.