Поделиться
Компании признали свою ИТ-незащищенность
Ежегодное исследование консалтинговой фирмы PricewaterhouseCoopers (PwC) по информационной безопасности (The Global State of Information Security 2007) показало, что современные компании осознали собственную незащищенность перед различными типами угроз. Вера во "всемогущее ПО" утеряна.На самом деле, проблема "злонамеренных" инсайдеров является только вершиной айсберга. По сведениям аналитического центра компании Perimetrix, большая часть "внутренних" утечек осуществляется по причине банальных ошибок персонала, либо недостаточно жестких политик безопасности. "Случаи умышленного инсайда происходят сравнительно редко, - говорит Данил Анисимов. – Гораздо чаще утечки возникают в результате кражи компьютеров, случайной публикации данных на веб-сервере или ошибки при создании электронного письма. Бороться с умышленным инсайдом очень сложно – на первом этапе необходимо исключить "случайные" утечки и только потом задумываться о дальнейших мерах".
Нужна ли классификация данных
Задачи, возникающие перед службой ИБ, можно условно разделить на две части – с одной стороны, это обеспечение непрерывности бизнеса, с другой – защита от различных утечек информации. В этом свете большая часть внутренних (и как мы видели выше – наиболее опасных) угроз связана со второй из обозначенных задач.
Независимо от конкретного способа защиты, первым шагом к построению "утечкозащищенной" инфраструктуры является классификация всех имеющихся данных. Реалии бизнеса таковы, что информация должна покидать пределы организации, поскольку компания всегда взаимодействует с партнерами, клиентами или регулирующими органами. Очевидно, что выделить конфиденциальные сведения в общей массе исходящих данных можно только тогда, когда организация знает, что именно является конфиденциальным. А получить такое знание без классификации имеющихся данных не представляется возможным.
Исследование PwC показало, что организации уделяют классификации информации слишком мало внимания – только 33% респондентов заявили о том, что они проводят инвентаризацию всех пользовательских данных. Список всех носителей, содержащих корпоративные сведения, имеется только у 31% респондентов. Вместе с тем, более половины (53%) опрошенных компаний имеют стратегию по управлению жизненным циклом данных, а три из пяти организаций (61%) шифруют информацию в процессе передачи.
Меры по защите информации в современных организациях
Источник: PwC, Perimetrix, 2008
По мнению экспертов компании Perimetrix, лучшие практики ИБ предполагают применение тех или иных мер защиты в зависимости от уровня конфиденциальности данных. Однако опрос PwC показывает, что современные организации пренебрегают классификацией данных и применяют меры защиты не только там, где это нужно. В результате, с одной стороны, растут расходы на безопасность (поскольку приходится защищать неконфиденцильную информацию), с другой – избыточные средства безопасности начинают мешать нормальной работе.
"Конечно, вы можете закрыть все локальные порты всех рабочих станций корпоративной сети, убрав, тем самым, риски утечки информации через мобильные носители, - говорит Владимир Ульянов. – Но тогда менеджер вашей компании не сможет скинуть презентацию на флешку, либо ему придется терять время и писать письмо в службу безопасности. Классификация данных, безусловно, стоит каких-то денег, но наша практика показывает, что эти инвестиции очень быстро окупаются".
Следите за своими партнерами
Кроме внутренних и внешних угроз, существуют и "смешанные" проблемы безопасности, связанные с обработкой конфиденциальных данных "третьими" компаниями (сервис-провайдерами и партнерами, подрядчиками и поставщиками). Различные исследования показывают, что озабоченность безопасностью партнеров с каждым годом неуклонно возрастает, а количество "партнерских" инцидентов – все время увеличивается. По данным последнего исследования института Ларри Понемона (Ponemon Institute, 2007 Annual Survey: Cost of a Data Breach), примерно 40% утечек допускают именно "третьи" компании, а не прямые владельцы информации.
Исследование PwC подтвердило последний тезис и наглядно показало обеспокоенность организаций за действия собственных партнеров. По результатам опроса, только 15% респондентов до конца уверены в защищенности своих партнеров, а 13% - убеждены в их незащищенности.
Уверенность организаций в защищенности партнеров
Источник: PwC, Perimetrix, 2008
Вместе с тем, далеко не все организации занимаются оценкой уровня безопасности "третьих" компаний. Ни один из способов защиты, приведенных в опросе PwC, не сумел набрать более 50% голосов респондентов. На деле, во многих компаниях проблема безопасности партнеров попросту игнорируется, что может привести к существенным инцидентам в дальнейшем.
Доля организаций, использующих различные способы оценки защищенности своих партнеров
Источник: PwC, Perimetrix, 2008
Из полученной информации, в частности, следует, что комплексная политика безопасности должна учитывать риски, связанные обработкой информации "третьими" компаниями. В противном случае весь комплекс внутренней защиты может оказаться попросту бесполезным, поскольку данные "утекут" через другую организацию.
По мнению аналитиков PwC, результаты опроса показали, что отрасль информационной безопасности выходит на новый уровень зрелости. Несмотря на активное внедрение различных продуктов, компании не стали защищеннее, однако они стали гораздо лучше понимать природу угроз и структуру реальных проблем, с которыми необходимо бороться. Как говорится, предупрежден – значит вооружен.
По всей видимости, на следующей стадии развития отрасли организации поймут, как надо защищаться от наиболее опасных (читай – внутренних) угроз, и только потом будут внедрять конкретные системы защиты. Фактически, сегодня рождается новый рынок информационной безопасности, который станет логичной эволюцией существующий сейчас отрасли.
Алексей Доля
Поделиться
Короткая ссылка
