Внутренние ИТ-угрозы в России 2006
Утечка конфиденциальной информации
Данная статья обобщает результаты третьего ежегодного исследования «Внутренние ИТ-угрозы в России 2006». В ходе реализации проекта компания InfoWatch опросила 1450 отечественных государственных и коммерческих организаций. Исследование ставило своей целью выявить наиболее опасные угрозы ИТ-безопасности и средства защиты от них, а также скрытые опасения респондентов, касающиеся сохранности их конфиденциальных данных.
Как известно, внутренние инциденты часто приводят к утечке персональных или конфиденциальных данных. Из года в год убытки от каждого из этих видов утечек растут на 20-25%. По оценкам аналитического центра InfoWatch, в 2006 году экономика США, например, потеряла более 60-65 млрд долл. вследствие утечек приватных сведений. Аппроксимируя этот результат на мировую экономику, можно утверждать, что общий ущерб от этих инцидентов составляет около 500 млрд долл. Между тем это лишь одна сторона медали, поскольку неучтенной осталась другая угроза — утечка конфиденциальной информации. Исходя из собственного опыта расследования инсайдерских инцидентов, аналитический центр InfoWatch по итогам года оценивает совокупные потери мировой экономики из-за утечки коммерческих секретов в 175 млрд долл. Таким образом, в сумме оба вида утечек обходятся ежегодно почти в 700 млрд долл. Однако уже в следующем году с учетом инфляции и ежегодного роста убытков на 20-25% эта цифра может превысить триллион долларов.
Однако не будем сгущать краски. Наряду с отрицательными моментами наблюдается целый ряд положительных тенденций. Во-первых, как показало исследование «Внутренние ИТ-угрозы в России 2006», число российских компаний, внедривших системы защиты от утечек, возросло за последний год почти в пять раз. Во-вторых, в нашей стране наконец-то появился закон «О персональных данных». Это лишь первый, но самый трудный шаг, с помощью которого России удастся упорядочить оборот приватных сведений граждан. Таким образом, есть все основания полагать, что сегодня вполне возможно эффективно защититься от внутренних угроз. Обратимся теперь к ключевым результатам исследования.
Общие выводы
Обеспокоенность внутренними угрозами ИБ среди российских организаций достигла апогея. Например, индекс опасности утечки информации на 50% опережает аналогичный показатель для любой из внешних угроз. Между тем госструктуры и представители частного сектора поставили на первое место утечку информации отнюдь не случайно, поскольку отчетливо осознают все негативные последствия этого инцидента: прямые финансовые убытки (46%), удар по репутации (42,3%) и потерю клиентов (36,9%). При этом организации начинают присматриваться к своим служащим все более пристально. Свыше 40% респондентов уже зафиксировали за 2006 год более одной утечки, а почти 20% — более пяти утечек.
Любопытно отметить, что доля организаций, внедривших защиту от утечек, возросла за последний год на 500%, то есть в пять раз. Положительная динамика налицо, и это не может не радовать, в то же время о массовом внедрении речи пока не идет. Пока лишь каждая десятая компания внедрила эффективное решение на основе ИТ, однако девять из десяти планируют сделать это в ближайшие два-три года. Таким образом, есть все основания полагать, что проникновение систем защиты от утечек на российский рынок продолжится и дальше, причем затронет абсолютно все отрасли экономики. Мы находимся на пороге экспоненциального роста данного сегмента.
Угрозы ИБ в России
По сравнению с прошлым годом спектр самых опасных угроз ИБ несколько изменился (рис. 1). На первом месте по-прежнему остается кража информации (65,8%). Ее индекс опасности подрос на 1,8% по сравнению с 2005 годом и на 3,8% по сравнению с 2004-м. Однако уже на втором месте оказалась халатность сотрудников (55,1%). Этого варианта ответа в прошлогоднем исследовании не было, поэтому не представляется возможным проследить за динамикой изменения индекса опасности этой угрозы. Тем не менее уже сейчас можно сделать несколько важных выводов. Например, вирусные атаки заняли лишь третье место, набрав 41,7% голосов. Если сравнивать с 2005 годом, то эта угроза потеряла целых 7,3 процентных пункта, а если с 2004-м — сразу 18,3%. Вероятно, именно этот рейтинг опасности позволил такой угрозе, как халатность сотрудников, сразу же занять второе место в списке самых опасных угроз ИБ.
Рис. 1. Наиболее опасные угрозы ИБ
На четвертом месте оказалась угроза, которая тоже не входила в предыдущие исследования, — саботаж (33,5%). Судя по всему, можно утверждать, что высокий рейтинг опасности саботажа обусловлен тем, что респонденты постепенно теряют чувство страха перед внешними угрозами. Если в случае с халатностью служащих приводился пример снижения рейтинга вирусных атак, то в данном случае налицо потеря лидирующих позиций со стороны хакерских атак. Именно хакерские атаки занимают пятое место с 23,4% голосов. Другими словами, за прошедший год эта угроза потеряла 24,6%, а за два прошедших года — 28,6%.
Таким образом, если пересчитать ответы на вопрос о том, какие угрозы ИБ являются наиболее опасными для опрашиваемых, разделив их на внутренние и внешние угрозы, то можно увидеть, что инсайдеры превалируют над вирусами, хакерами и спамом. Для построения соответствующей диаграммы (рис. 2) в категорию внутренних угроз были отнесены халатность сотрудников, саботаж и финансовое мошенничество, а в категорию внешних угроз — вирусы, хакеры и спам. После этого суммарный рейтинг опасности каждой категории был нормирован так, чтобы сумма равнялась 100%. Отметим, что угрозы кражи информации, различных сбоев и кражи оборудования специально не были отнесены ни к одной из групп. Дело в том, что они могут быть реализованы как изнутри, так и снаружи либо вообще без вмешательства человека (например, аппаратные сбои).
Рис. 2. Соотношение опасности внутренних
и внешних угроз ИБ
Полученные результаты (см. рис. 2) показывают, что респонденты гораздо больше обеспокоены внутренней ИБ, чем защитой от внешних угроз. Кроме того, следует учитывать, что неклассифицированные риски, например кражу информации или оборудования, чаще всего относят к внутренним угрозам. В данном случае это не было сделано, чтобы не добавлять угрозам со стороны инсайдеров дополнительного веса. Однако, как показали расчеты, даже в этом случае внешние риски заметно уступают внутренним угрозам.
Внутренние угрозы ИБ
Выяснив, что самые опасные угрозы ИБ исходят изнутри организации, вполне логично изучить структуру инсайдерских рисков. Как показали результаты следующего вопроса (какие угрозы внутренней ИБ являются наиболее опасными для опрашиваемых) — рис. 3, в списке самых опасных внутренних угроз с огромным отрывом лидирует нарушение конфиденциальности информации (70,1%). Его ближайший конкурент — искажение информации (38,4%) — отстает на целых 31,7%. Другими словами, риск утечки ценной информации волнует респондентов почти в два раза больше, чем любая другая инсайдерская угроза.
Рис. 3. Самые опасные угрозы внутренней ИБ
Между тем индекс опасности этой угрозы в 2005 году достигал 100%, а в 2004-м — 98%. На первый взгляд может показаться, что обеспокоенность респондентов утечкой конфиденциальной информации за 2006 год несколько снизилась, однако тщательный анализ показывает, что это не так. Прежде всего, в варианты ответов были добавлены две новые угрозы, которые не учитывались в предыдущих исследованиях, — саботаж (26,2%) и мошенничество (19,3%). Легко видеть, что эти риски заняли третье и четвертое места в списке наиболее опасных угроз, так что включение их в опросный лист было совершенно оправданным. С учетом того, что каждый респондент по-прежнему мог выбрать только три варианта ответа, представляется наиболее вероятным, что две новые угрозы отобрали часть голосов у угрозы «нарушение конфиденциальности». Кроме того, нет никаких объективных причин полагать, что за прошедший год риск утечки снизился. Напротив, 2006 год прошел под знаком инсайдеров. На это указывают пять крупных утечек, которые были зафиксированы в России и СНГ, а также почти полторы сотни инцидентов внутренней ИБ в других частях света.
Самые крупные утечки 2006 года в России и СНГ
Дата |
Организация |
Потенциальный ущерб |
Август, 2006 год |
Российские банки, занимающиеся потребительским кредитованием |
Удар по репутации и серьезный подрыв доверия к отечественному финансовому сектору |
Август, 2006 год |
Банк «Первое ОВК» (поглощен Росбанком в 2005 году) |
Ухудшение имиджа, плохое паблисити, массовый отток клиентов |
Сентябрь, 2006 год |
МЦС (Мобильная цифровая связь), владелец марки Velcom |
Удар по репутации, потеря лояльных клиентов |
Октябрь, 2006 год |
«Вэб Хостинг» (владелец марки Valuehost) |
Массовый отток клиентов, юридические издержки, удар по имиджу |
Декабрь, 2006 год |
«Русский стандарт», ХКФ-банк, Росбанк, Финансбанк, Импэксбанк и др. |
Плохое паблисити, ухудшение репутации всего банковского сектора |
Комментируя высокий индекс опасности таких угроз, как саботаж и мошенничество, следует отметить, что респонденты совершенно справедливо обратили свое внимание на эти риски. Дело в том, что среди опрошенных компаний преобладают представители крупного бизнеса. Между тем чем больше компания, тем выше шансы совершения корпоративной диверсии или умышленного искажения финансовых отчетов. Кроме того, проблеме саботажа серьезное внимание в 2006 году уделили журналисты и различные исследовательские институты. Один из респондентов во время интервью заметил, что если бы журналисты не акцентировали внимание на проблеме ИT-саботажа и в Интернете не появились бы отчеты CERT, Секретной службы США и других организаций, то его компания даже не знала бы, что такие риски существуют.
Утечка конфиденциальной информации
Итак, наиболее опасной угрозой ИБ является утечка конфиденциальной информации, совершаемая инсайдерами. В этом году перед респондентами впервые был поставлен вопрос о наиболее плачевных последствиях, возникающих вследствие утечек (рис. 4). Как оказалось, более всего респонденты озабочены прямыми финансовыми убытками (46%). На втором месте — ухудшение имиджа и общественного мнения (42,3%), а на третьем — потеря клиентов (36,9%).
Рис. 4. Наиболее плачевные последствия утечки
Кроме того, респонденты озабочены снижением конкурентоспособности (25,2%) организации, что является скорее следствием целого ряда других негативных последствий утечки. Между тем лишь каждый десятый (10%) упомянул среди наиболее плачевных последствий юридические издержки и судебное преследование, что свидетельствует о неразвитости правоприменительной практики в России. Напомним, что в 2006 году в России был принят закон «О персональных данных», который вступил в силу в нынешнем феврале и создал все предпосылки для того, чтобы компания, допустившая утечку, могла быть привлечена к ответственности. Тем не менее эксперты компании InfoWatch сомневаются, что лишь наличие правильного закона поможет положить конец незаконному обороту персональных данных. Чтобы достичь успеха, необходимо еще вынести несколько судебных решений, наказывающих те организации, которые допускают утечки.
На следующем этапе исследования аналитический центр InfoWatch предложил респондентам указать самые распространенные каналы утечки информации. Распределение ответов представлено на рис. 5. Заметим, что наибольшей популярностью среди инсайдеров пользуются мобильные накопители (86,6%), электронная почта (84,8%) и Интернет (82,2%). По сравнению с 2005 годом первые две позиции не поменялись, а вот Интернет потеснил с третьего места сетевые пейджеры, которые в 2006 году набрали только 74,5% и заняли четвертое место.
Рис. 5. Каналы утечки
Между тем особо тревожным представляется существенно возросший рейтинг опасности печатающих устройств. В 2006 году он составил 60,9%, в то время как в 2005-м был равен лишь 34%. Дополнительные вопросы респондентам, указавшим на этот канал утечки, помогли выяснить, что многие организации уже имеют достаточно зрелую систему ИT-безопасности, которая включает либо средства фильтрации исходящего сетевого трафика, либо ограничительные меры по доступу к внешним сетям. Что же касается принтеров и других печатающих устройств, то они остаются незащищенными, поэтому инсайдеры переключают свое внимание именно на них.
Наконец, одним из самых важных моментов исследования стал вопрос о количестве утечек конфиденциальной информации, которые респонденты допустили в течение 2006 года (рис. 6). Как и в 2005 и 2004 годах, лидером оказалось стандартное «Затрудняюсь ответить», поскольку слишком многие респонденты еще не используют специализированные решения для выявления утечек. Однако положительный сдвиг уже налицо: если в 2004 году затруднения возникли у 67%, а в 2005-м — у 62%, то в 2006 году только у 44,8% всех опрошенных организаций.
Рис. 6. Количество утечек
Столь же позитивным представляется тот факт, что существенно возросла доля респондентов, достаточно точно ответивших о количестве утечек. Так, практически каждый четвертый (24%) сообщил, что его компания допустила от одной до пяти утечек. В 2005 году об этом заявили лишь 7% организаций. Почти каждый восьмой (12,9%) указал, что его компания зафиксировала от шести до 25 утечек за год. Этот показатель вообще возрос с 0% в 2005 году до 12,9% в 2006-м. Другими словами, у респондентов появилась возможность фиксировать утечки или наблюдать результаты утечек во внешней среде организации. Точно такая же динамика наблюдается у группы, заявившей о более чем 25 утечках. В 2005 году ни один респондент не выбрал данный ответ, а в 2006-м это сделали уже 4,6%.
Остановимся теперь на довольно любопытном ответе — «Ни одной утечки не было». Доля этих респондентов сократилась с 31% в 2005 году до 13,7% в 2006-м. Судя по всему, за прошедшие 12 месяцев организации осознали, что подвержены внутренним угрозам и постоянным утечкам точно так же, как и весь остальной бизнес. Если раньше респонденты просто заявляли, что у них нет утечек, не подтверждая свои заявления какими-либо логическими доводами, то теперь их уверенность испарилась. Многие из тех респондентов, которые входят в 13,7% компаний, обошедшихся без утечек, уже установили комплексные системы внутренней ИБ. Однако к этой теме мы вернемся в одной из следующих глав.
Средства защиты
В сфере средств ИБ за последний год не произошло сколько-нибудь значительных изменений (рис. 7). По-прежнему пальму первенства удерживают антивирусы (98,6%), межсетевые экраны (73,9%) и средства контроля доступа (50,8%). Сразу отметим, что небольшое снижение индекса использования антивирусных средств (с 100 до 98,6%) было неизбежно вследствие существенного расширения базы респондентов. В то же время на четвертом месте оказались программы защиты от спама, которые за 2006 год прибавили 13,5% и достигли отметки в 30,5%. Далее в рейтинге наиболее популярных средств ИБ стоят системы обнаружения и предотвращения вторжений (23%) и системы защиты от утечек (10,5%). Последний факт необходимо отметить отдельно, поскольку средства внутренней ИБ впервые опередили популярную технологию VPN (7,5%). Заметим, что в опросном листе специально не уточнялось, какие именно средства защиты от утечек могут использоваться респондентами, так что в этом пункте были указаны самые разнообразные меры: фильтры исходящего почтового трафика и Интернета, комплексный контроль над рабочими станциями, блокирование USB- и других портов, мониторинг выводимых на печать документов и т.д.
Рис. 7. Средства ИБ
Таким образом, использование средств защиты от утечек всего за год возросло практически в пять раз: с 2 до 10,5%. Можно сделать вывод, что начинают сбываться прогнозы, сделанные еще в исследовании «Внутренние ИТ-угрозы в России 2004». Так, около 80% респондентов в 2004 и 2005 годах планировали внедрять системы защиты от утечки в ближайшие два-три года. На основании этих данных аналитический центр InfoWatch еще три года назад прогнозировал взрывной рост рынка внутренней ИБ, что сейчас и происходит. Например, компания InfoWatch по результатам 2006 года увеличила число своих клиентов в три раза, а оборот — в два раза. Более того, топ-менеджмент фирмы отмечает растущий интерес к системам защиты от утечек со стороны ведущих системных интеграторов и представителей, в том числе среднего бизнеса.
Тем не менее уровень проникновения в 10,5% нельзя считать удовлетворительным на фоне той угрозы, которую представляют внутренние нарушители и утечки конфиденциальной информации. На протяжении двух лет аналитический центр InfoWatch опрашивал респондентов относительно препятствий на пути внедрения системы защиты от утечек, при этом подавляющее большинство организаций затруднялось дать какой-либо ответ. Эксперты InfoWatch списывали это на психологическую неготовность российского бизнеса к борьбе с инсайдерами. Следует отметить, что этот вывод нашел свое подтверждение в исследовании текущего года (рис. 8).
Рис. 8. Препятствия на пути внедрения защиты от утечки данных
Итак, наиболее сложным препятствием на пути внедрения защиты от утечки является психологическая неготовность (25,4%). За ней следуют бюджетные ограничения (20,6%), нехватка квалифицированного персонала (17,5%), отсутствие технологических решений (14,8%) и стандартов (12,2%).
По сравнению с результатами прошлого года, наблюдается ряд тенденций. Во-первых, в 2006 году только 5,7% респондентов затруднились ответить на вопрос. В 2005-м этот показатель был на уровне 18%. Так что за прошедшие 12 месяцев респонденты, как минимум, обратили свое внимание на проблему внутренней ИБ и изучили препятствия на пути реализации эффективных мер противодействия. Во-вторых, доля организаций, указавших на отсутствие технологических решений, снизилась за 2006 год с 29 до 14,8%, а за последние два года вообще на 43,2% (с 58 до 14,8%). Оба эти достижения были достигнуты за счет грамотного информирования бизнес-сообщества средствами массовой информации, а также эффективной просветительской политики поставщиков.
Между тем, если говорить о нехватке персонала и бюджетных ограничениях, то за 2005 год существенных изменений в этих показателях не происходило. Таким образом, респонденты по-прежнему оказываются психологически не готовыми к внедрению эффективных решений для защиты от внутренних нарушителей. Тем не менее уже достигнутый уровень проникновения в 10,5% являет собой положительную динамику.
На следующем этапе аналитический центр InfoWatch предложил респондентам определить наиболее эффективные пути защиты от утечек (рис. 9). Речь здесь идет о тех решениях, которые представляются организациям наиболее адекватными и приемлемыми для решения проблемы внутренней ИБ, но по ряду причин (см. выше) не используемых респондентами на практике.
Рис. 9. Наиболее эффективные пути защиты от утечки
Наиболее эффективным средством являются комплексные информационные продукты (44,8%). Эта мера лидирует уже на протяжении трех лет, поэтому можно смело утверждать, что в ближайшие годы именно в этом направлении будет происходить наибольший рост рынка внутренней ИБ.
Далее следуют организационные меры (25,3%), тренинги персонала (21,6%) и ограничение связи с внешними сетями (18,1%). Таким образом, можно рассчитывать, что после преодоления психологических препятствий и бюджетных ограничений (см. рис. 8) финансовые ресурсы, выделяемые на защиту от утечек, будут распределяться как раз в этих долях. Однако наибольшая часть бюджета придется на комплексные продукты на основе ИТ.
Этот вывод косвенно подтверждают результаты последнего вопроса: аналитический центр InfoWatch предложил респондентам определить свои планы на ближайшие два-три года. Согласно распределению ответов (рис. 10), девять из десяти (89,9%) организаций планируют внедрить в ближайшие три года ту или иную систему защиту от утечек.
Рис. 10. Планы по внедрению защиты от утечек на ближайшие три года
Наибольшим вниманием респондентов пользуются комплексные решения (32,8%), средства мониторинга интернет-трафика (23,9%) и системы мониторинга рабочих станций (18,6%). Замыкает цепочку лидеров система мониторинга электронной почты (14,6%). Ее некоторое запоздание можно объяснить тем, что часть организаций уже использует фильтры исходящих сообщений.
Заключение
За последние три года внутренние угрозы ИБ ничуть не утратили своей актуальности. По-прежнему наибольшую обеспокоенность у респондентов вызывают кража конфиденциальной информации и халатность сотрудников, но теперь в этот ряд добавился еще информационный саботаж. Сравнение индексов обеспокоенности внутренними и внешними угрозами ИБ показывает, что именно инсайдерские риски превалируют в списке наиболее опасных угроз. Более того, наибольший рейтинг опасности приходится на утечку конфиденциальной информации. Как показало исследование, респонденты очень хорошо осведомлены о негативных последствиях таких инцидентов: о прямых и косвенных финансовых убытках, долгосрочном ущербе для репутации, потере имеющихся клиентов и трудностях в привлечении новых.
Если говорить о предотвращении утечек, то положительная динамика налицо. Каждая десятая организация уже использует те или иные средства защиты, хотя о по-настоящему массовом внедрении можно говорить в перспективе только ближайших трех лет. Что же мешает бизнесу и госструктурам заняться внедрением защиты от утечек прямо сейчас? Оказывается, респонденты психологически не готовы пойти на такой шаг. Правда, девять из десяти респондентов планируют установить системы внутренней ИБ уже в ближайшие два-три года. Таким образом, тенденция налицо, причем если в прошлом году темпы были крайне низкими, то сегодня они уже впечатляют: за 2006 год число респондентов, внедривших системы внутренней ИБ, возросло на 500%.
 |
|
