Внутренняя IT-безопасность. Интервью с компанией InfoWatch

Компания InfoWatch провела масштабное исследование внутренней ИТ-безопасности в России и представила итоговый отчет на своем web-сайте (http://www.infowatch.ru/downloads/docs/report2004.pdf, 450 Кб).

Прежде всего, стоит отметить, что это - первое именно российское исследование проблематики внутренней ИТ-безопасности. В опросе приняло участие около 400 крупных и средних российских компаний. С более подробным портретом респондентов (по количеству сотрудников и профилю деятельности компании, должности опрашиваемых лиц и т.д.) можно ознакомиться в самом отчете.

Самая интересная часть отчета посвящена наиболее опасным внутренним ИТ-угрозам, путям утечки данных и оценке ущерба. Исследование показало, что российские организации больше всего озабочены утечкой конфиденциальной информации: 98% респондентов поставили этот риск на первое место. Остальные угрозы отстают со значительным разрывом: искажение информации (62%), сбои в работе ИС по причине халатности персонала (15%), утрата информации (7%), кража оборудования (6%), другие (28%).


Аналитики InfoWatch объяснили это следующим образом: "Чем крупнее организация, тем более актуальной для нее является проблема предотвращения утечки. Это связано с тем, что все важные данные дублируются на резервных накопителях для экстренного восстановления в случае искажения или утраты. С другой стороны, на больших предприятиях затрудняется контроль над обращением информации и существенно возрастает цена утечки. Потеря конфиденциальности влечет за собой материальный и имиджевый ущерб, в особых случаях - риск раскрытия государственной тайны. Эти обстоятельства определяют высокий уровень озабоченности данной проблемой со стороны крупного бизнеса и правительственных организаций".

Среди технических путей утечки конфиденциальной информации респонденты по степени критичности выделили: электронную почту, Интернет, сетевые пейджеры и мобильные накопители (компакт-диски, USB-накопители). Эти "лазейки" получили практически одинаковую оценку (80-90%). Остальные источники оказались позади с существенным отставанием.


Еще одним интересным вопросом исследования стала проблема оценки ущерба, вызванного действиями инсайдеров (утечка, утрата или искажение информации). Результат выявил весьма тревожный факт: подавляющее большинство респондентов не могут точно определить масштабы этой ИТ-угрозы. 67% опрошенных затруднились ответить на поставленный вопрос.


Более-менее четкий ответ смогли дать лишь 6%, из которых 99% затруднились оценить нанесенный ущерб в финансовых показателях по причине отсутствия системы учета или нежелания терять время. Одновременно, 26% заявило об отсутствии такого рода инцидентов. Однако уточняющий вопрос о возможности существования неучтенных утечек выявил почти 100% латентность (99,4%): такие случаи наверняка имеют место быть, но остаются неучтенными или намеренно не фиксируются по различного рода причинам.

Однако особый интерес представляют общие результаты исследования. Во-первых, удалось официально подтвердить то, о чем уже давно известно многим ИТ-профессионалам. А именно: в России только начинает формироваться культура профессионального отношения к ИТ-безопасности. Лишь 16% респондентов имеют выделенные отделы ИБ. В 94% случаев эти отделы были сформированы в течение последних 2 лет. Также 62% респондентов считают, что действия инсайдеров являются самой большой угрозой для российских организаций, а 98% считает, что нарушение конфиденциальности информации - самая большая внутренняя ИТ-угроза. При этом 89% считают электронную почту самым распространенным путем утечки конфиденциальной информации.

Но основной интерес представляют следующие данные: 67% не осведомлены о наличии инцидентов в сети организации, связанных с утечкой данных, 99,4% допускают возможность наличия незарегистрированных инцидентов внутренней ИБ, 87% считают технические средства эффективным способом защиты. Однако всего 1% респондентов используют их, в то время как 68% - вообще не предпринимают никаких действий!

Другими словами, российские организации осознают опасность внутренних ИТ-угроз, но не знают, как с ними бороться: 58% не осведомлены о существующих технологических решениях.

С одной стороны ИТ-профессионалы осознают грозящую опасность, с другой стороны - они не предпринимают никаких мер. На практике это означает, что сотрудник государственной или частной компании почти всегда имеет беспрепятственную возможность выслать конфиденциальные сведения за пределы внутренней сети предприятия. В его распоряжении оказывается целый ряд интернет-служб, а также мобильные носители. В данном контексте уместно упомянуть случаи утечки баз данных пенсионного фонда или налоговой службы, а также клиентов различных мобильных операторов страны.

Проблема усугубляется не только тем, что в компаниях не внедряются технические решения, которые способны проконтролировать выполнение политики внутренней ИТ-безопасности, но еще и отсутствием самой политики и заранее подготовленных документов, закрепляющих политику законодательно. На практике это означает, что государственный служащий или сотрудник оператора сотовой связи может даже не понести ответственность за свои преднамеренные действия.

За комментариями мы обратились к Денису Зенкину, директору по маркетингу компании InfoWatch.


Алексей Доля: Денис, как вы можете объяснить тот факт, что почти все IT-профессионалы понимают, какую угрозу представляют собой умышленные и неумышленные противоправные действия сотрудников компании, а также, насколько эффективны технические средства защиты от этих угроз, но лишь единицы применяют эти самые технические средства, а все остальные - попросту бездействуют?

Денис Зенкин: Это действительно весьма противоречивый факт, который выявило наше исследование. С одной стороны - налицо понимание респондентов опасности внутренних ИТ-угроз. С другой - почти полное отсутствие адекватных шагов по решению проблемы. Однако более глубокое изучение вопроса показало, что на рынке отсутствуют комплексные специализированные решения, которые можно было бы применить для снижения риска утечки конфиденциальной информации. Причем решения не только технологические, но также включающие мероприятия организационно-правового характера. В том числе создание и внедрение положения о конфиденциальности, модификация трудовых договоров, возможные изменения в структуре ИТ и ИБ-отделов.

В целом можно сказать, что рынок систем против утечки данных (Anti-Leakage Software) только начинает формироваться. Одновременно с ним начинает формироваться и культура серьезного отношения к проблеме. Подобное развитие прошло и отношение к антивирусам: еще 5 лет назад этот вид ПО считался необязательным дополнением к компьютеру, а сейчас без него просто немыслима нормальная работа в Интернет. Мы уверены, что одновременно с развитием рынка такую же метаморфозу претерпит и отношение к защите от внутренних ИТ-угроз.


Алексей Доля: Какие компании сегодня представлены на международном рынке систем защиты от утечки данных (Anti-Leakage Software)? А какие - на отечественном?

Денис Зенкин: Одним из основных результатов проведенного исследования является вывод, что сегодня рынок Anti-Leakage Software начинает только формироваться. Это относится как к пониманию необходимости защиты со стороны заказчиков, так и созданию соответствующих систем со стороны разработчиков. Таким образом, сейчас еще рано говорить об игроках-лидерах мирового рынка, равно как об игроках вообще. Исследование конкурентной ситуации, как в России, так и в мире показало, что пока отсутствуют комплексные решения для нейтрализации угрозы нарушения конфиденциальности информации. Существует ряд непрофильных систем, которые можно при определенной доводке использовать для защиты от утечки данных, а также ряд точечных специализированных систем. В этом смысле, без ложной скромности, можно сказать, что InfoWatch является в своем роде единственным, уникальным решением, которое создано специально для решения данной конкретное задачи и контролирует все возможные пути утечки.


Алексей Доля: Как вы оцениваете эффективность подхода, в котором средства для защиты от утечки конфиденциальных данных интегрированы в антивирус на рабочей станции или персональный брандмауэр? Такой подход реализован, например, в Norton Personal Firewall 2005 (модуль Privacy Control).

Денис Зенкин: Вектор такого подхода направлен в несколько иную плоскость, а именно - плоскость защиты от внешних угроз (в первую очередь - троянских программ). В ней, безусловно, он имеет перспективы и может считаться достаточно эффективным. InfoWatch обеспечивает защиту от утечки информации с участием внутреннего человеческого фактора, основываясь на специфической базе контентной фильтрации почты и web-трафика, распределении прав доступа пользователей и архивации всех электронных транзакций для ретроспективного анализа. Для решения подобных задач требуется абсолютно отличный подход, нежели в случае с Privacy Control.


Алексей Доля: Как вы считаете, в каких случаях в компаниях целесообразно выделять отдельного специалиста (группу или отдел) для обеспечения внутренней IT-безопасности? В каких случаях следует поручить обеспечение собственной внутренней IT-безопасности профессионалам из третьих компаний, специализирующихся на подобных услугах?

Денис Зенкин: Безусловно, трудно определить эталон, универсальный для всех заказчиков. Невозможно выработать единый стандарт даже для предприятий схожего масштаба, поскольку на подход к организации внутренней безопасности влияет слишком много разноплановых факторов. Как показывает российская практика, выявленная в ходе нашего исследования, лишь 16% российских предприятий и организаций имеют выделенные отделы ИТ-безопасности, причем 94% из них были созданы не более 2 лет назад. Зарубежная реальность свидетельствует, что практически в каждой крупной компании существует независимый отдел ИТ-безопасности, подчиняющийся непосредственно первому лицу компании. Такой подход вполне логичен: от устойчивого функционирования ИТ-инфраструктуры зависит судьба предприятия и поэтому безопасности уделяется столь большое внимание.


Алексей Доля: Спасибо за комментарии и всего доброго!