Защита конфиденциальных данных, как стратегический риск

Георгий Иванов

«Результаты опроса “Enterprise@Risk: 2007 Privacy & Data Protection Survey”, выполненного компаниями Deloitte & Touche LLP и Ponemon Institute, наглядно показывают, что организации продолжают испытывать трудности с управлением и защитой конфиденциальных данных. Собранные сведения говорят о том, что инциденты, связанные с утечками приватных данных, происходят очень часто — 85% респондентов заявили о, как минимум, одной утечке, случившейся в течение последнего года. При этом, несмотря на рост количества утечек, организации продолжают использовать преимущественно реактивные меры уже после того, как тот или иной инцидент имел место быть. Специалисты в области информационной безопасности и приватности заявили о том, что ликвидация последствий утечек по-прежнему является их основной деятельностью, а на проактивные меры — разработку стратегии, аналитику и обучение — выделяется сравнительно мало времени.

Какие меры предпринимают организации для обеспечения достаточной защиты конфиденциальных данных? И, что даже более важно, насколько эффективны эти меры? Чтобы ответить на поставленные вопросы, авторы исследования провели анализ ролей, обязанностей и распределения времени тех людей, которые отвечают за защиту информации в организациях-респондентах. Чтобы понять особенности этих мер, мы разделили всех участников опроса на две группы: в первую входят люди, непосредственно связанные с управлением конфиденциальными данными, а во вторую — специалисты по безопасности, часть обязанностей которых касается приватности.

Результаты опроса показывают, что организации продолжают менять отношение к защите конфиденциальных данных. Роль этой функции постепенно возрастает, поскольку организации осознают важность информации как своего ключевого актива. Исследование показало, что традиционный реактивный подход теряет свою эффективность и компании стараются управлять данными на основе стратегических проактивных мер, которые пронизывают всю организацию.

Рена Миарс (Rena Mears), Global and US Privacy & Data Protection Leader, Deloitte & Touche LLP, и Ларри Понемон (Larry Ponemon), основатель и глава Ponemon Institute LLC»

Во врезке приведено введение к ежегодному исследованию компании Deloitte на тему защищенности конфиденциальных данных. Опрос «Enterprise@Risk: 2007 Privacy & Data Protection Survey» был проведен в сотрудничестве с институтом Понемона — широко известным в узких кругах учреждением. Основатель этого института — Ларри Понемон — является активным борцом за защиту приватных данных и даже умеет оценивать реальный ущерб от их утечек. Собственно, в данной статье и будут приведены основные результаты исследования компании Deloitte.

Ключевые тезисы: стратегия и риски

Очередное исследование Deloitte в области информационной безопасности интересно прежде всего своим форматом. Дело в том, что некоторые страницы PDF-отчета полностью закрашены корпоративным фиолетовым цветом и содержат всего одну фразу, которая, по замыслу авторов опроса, должна передавать ключевой смысл. Мы записали эти фразы в таблицу, а затем прокомментировали их.

Ключевые тезисы исследования Deloitte «Enterprise@Risk:
2007 Privacy & Data Protection Survey»

Тезис Deloitte	Комментарий
Если оценить репутационные и операционные потери, возникающие в результате утечки, становится понятно, что эта проблема является стратегическим риском, который требует внимания топ-менеджмента компании	Кому, как не Ларри Понемону, лучше знать стоимость одной утечки данных. Каждый год Ponemon Institute проводит специальное исследование, посвященное средней стоимости утечки данным. По данным института, общая стоимость потери одной учетной записи в 2007 году составила 197 долл., что на 7% выше показателей предыдущего опроса. Из этих цифр, в частности, следует, что потеря 50 тыс. учетных записей (это типичный случай) обойдется компании в 10 млн долл. А это большие и вполне «стратегические» деньги
Допустив утечку, компании часто используют реактивный подход, при котором каждый инцидент рассматривается как отдельный проект. Такие тактические меры не могут покрыть стратегический риск	С этим тезисом довольно трудно спорить. Тактические меры не могут покрыть стратегический риск по определению. Компании используют реактивный подход, поскольку им надо ликвидировать последствия утечки. А сравнительная непопулярность проактивных мер прослеживается в каждом аналитическом опросе?— посмотрите на проникновение решений класса DLP (защита от утечек данных), которые фактически такими мерами и являются
Организации, использующие эффективные и всеобъемлющие программы обучения, имеют высокий потенциал для снижения рисков, связанных с приватными данными	Давно известно, что защита от внутренних угроз в целом (не только от утечек данных) является комплексной задачей, которая требует как организационных, так и технических мер. Согласно данным другого опроса Deloitte «2007 Global Security Survey», 91% организаций обеспокоены проблемами, возникающими в результате ошибок персонала. В этом плане обучение сотрудников является действительно важным фактором
Результаты опроса показывают, что организации начинают понимать суть мер, необходимых для покрытия рисков по управлению и защите приватных данных	А как же иначе? Допустив первую утечку, компания старается не допустить вторую. Поэтому она стремится понять, как ее можно избежать. Рынок систем по защите от утечек данных (Data Leakage Prevention, DLP) появился сравнительно недавно и теперь очень быстро взрослеет

В целом авторы исследования полагают, что «без управления рисками по защите данных организация не может достигнуть долгосрочного успеха». Интересно, что этот тезис никак не зависит от индустрии и абсолютно не связан с масштабом организации. Проблема становится еще сложнее, если вспомнить о различных нормативных актах, которые часто выдвигают противоречивые требования к организациям, особенно в тех случаях, когда эти организации имеют глобальные масштабы…

Исследования Deloitte ограничивались американскими организациями, однако проблема защиты приватных данных не менее остро стоит и в России. По мнению экспертов компании Perimetrix, отечественным организациям еще очень далеко до понимания стратегической сути данной проблемы. «Если российская организация хоть как-то пытается бороться с утечками — это уже очень хорошо, — полагают эксперты Perimetrix. — К сожалению, большинство компаний просто игнорируют эту проблему, а в результате подвергают себя очень серьезным рискам. Однако по мере взросления мирового рынка взрослеет и его российский сегмент, а значит — стратегический подход к утечкам данных рано или поздно станет нормой и в нашей стране».

Статистика: инциденты и потери

Весь предыдущий раздел покажется безосновательным, если не будет подкреплен статистическими данными об инцидентах. Проанализировав ответы 827 респондентов, исследователи Deloitte и Ponemon Institute пришли к выводу, что утечки происходят, причем случается это регулярно. Так, среди всех респондентов, ответивших на вопрос о количестве инцидентов, только 6,5% с уверенностью заявили о том, что никаких утечек в их компании не произошло (рис. 1). Хотя, быть может, они об этих утечках просто не знали.

Рис. 1. Количество внутренних утечек конфиденциальных данных

Абсолютное большинство (78,7%) опрошенных указали, что в их организации было не менее шести утечек конфиденциальных данных. Если вспомнить о том, что средняя стоимость одной утечки составляет, по оценке Ларри Понемона, 6,3 млн долл., то картина становится просто удручающей.

Напомним, что американские законы обязывают компании оповещать клиентов о случившихся утечках конфиденциальной информации. По оценкам все того же Ponemon Institute, это довольно затратное мероприятие обходится примерно в 15 долл. за учетную запись, если не принимать во внимание репутационные издержки. Другими словами, в случае утечки 10 тыс. записей компании придется потратить 150 тыс. долл. на оповещение клиентов и лишиться энной суммы в результате ухудшившейся репутации, потерянных клиентов, судебных разбирательств и консультаций с регуляторами. Сведения о количестве утечек, требовавших обязательного оповещения, приведены на рис. 2.

Рис. 2. Количество утечек, требовавших оповещения клиентов

Таким образом, более 63% опрошенных специалистов столкнулись за последний год с двумя и более утечками, требовавшими оповещения. Безусловно, эта цифра гораздо ниже показателей по общему количеству инцидентов, однако все равно она весьма значительна.

Несмотря на то что текущая версия российского законодательства не обязывает проводить оповещения, суть проблемы от этого не меняется. Эксперты компании Perimetrix полагают, что большинство отечественных утечек остаются без внимания СМИ и общественности, поскольку руководители компаний не хотят выносить сор из избы. Другое дело, что конечный ущерб от этого меньше не становится. По данным другой консалтинговой фирмы — PricewaterhouseCoopers, российские компании потеряли 170 млн долл. от нарушения прав интеллектуальной собственности и значительно больше — от других инсайдерских преступлений (рис. 3).

Рис. 3. Затраты, связанные с наиболее распространенными
инсайдерскими преступлениями

Однако вернемся к исследованию Deloitte. На следующей диаграмме, показанной на рис. 4, приведены данные о количестве учетных записей, потерянных в результате самой существенной за последний год утечки. Легко увидеть, что большинство ответивших на вопрос специалистов упомянули об инциденте, затронувшем более тысячи приватных записей, — а такая утечка стоит уже очень больших денег. Показательно, что 21,5% респондентов даже не знают, какое количество записей было скомпрометировано.

Рис. 4. Количество записей, скомпрометированных в результате
наиболее масштабной утечки

Добавим, что 7,6% респондентов, указавших на отсутствие потерянных записей, скорее всего, столкнулись с другим типом инцидентов, связанным с потерей корпоративных секретов, а не приватной информации клиентов. Реальный ущерб от подобных утечек оценить весьма трудно, поскольку он существенно зависит от размера и специфики компании, а также от количества и качества потерянных данных.

Статистика: люди

В предисловии к исследованию указано, что в рамках опроса был проведен анализ ролей, обязанностей и времени специалистов, участвующих в процессе защиты конфиденциальных данных. Надо сказать, что этому анализу посвящена едва ли не половина всего исследования Deloitte. При этом практически все выводы, полезные для российских читателей, касаются рабочего времени сотрудников.

Как выяснилось, современные специалисты по безопасности занимаются совсем не тем, чем им следует заниматься в идеале. Диаграмма, демонстрирующая фактическое и идеальное распределение времени, приведена на рис. 5. Из нее следует ряд простых выводов:

Рис. 5. Текущее и идеальное распределение времени специалистов
по приватности данных

основная деятельность специалистов сегодня связана с ликвидацией последствий утечек (23%), выполнением текущих целей (18%), а также разработкой и внедрением систем защиты (12,15%);
в идеале специалисты должны уделять больше времени стратегическому планированию (23%), разработке программ обучения (10%) и заниматься аналитикой/оценкой текущего состояния систем защиты (8%);
в идеале специалисты должны тратить меньше времени на ликвидацию последствий утечек (10%), административные задачи (5%), а также непосредственное внедрение систем защиты (8%).

Таким образом, специалисты хотят больше времени уделять стратегии и меньше — тактике и операционной деятельности. Легко заметить, что среди обязанностей, которым уделяется мало времени, присутствуют исключительно долгосрочные и проактивные задачи. И наоборот — избыточно много времени уделяется таким реактивным мерам, как ликвидация инцидентов и доработка систем защиты. Сюда же входят и административные задачи, которым, как показывает практика, всегда уделяется слишком много времени.

Остальные выводы Deloitte, связанные с деятельностью специалистов, мы приводить не будем, поскольку они не несут ни практически полезной, ни любопытной информации. Исключением является рис. 6, на котором приведена вилка зарплат американских специалистов по приватности и информационной безопасности. К россиянам эта информация никакого отношения не имеет, однако дает возможность порадоваться за материальное благополучие заокеанских коллег по цеху.

Рис. 6. Вилка зарплат западных специалистов по приватности
и информационной безопасности (в год)

Статистика: технологии

Поскольку большая часть исследования Deloitte посвящена людям, на технологии было выделено всего две страницы отчета. Но несмотря на это, некоторые выводы, касающиеся технологий, в исследовании все-таки содержатся.

Начнем с того, что из всего многообразия решений и систем по информационной безопасности аналитики Deloitte выделили продукты, имеющие прямое отношение к защите конфиденциальных данных. После этого каждого из участников опроса попросили назвать те классы решений, которые использует его предприятие. По итогам этих изысканий была составлена диаграмма, представленная на рис. 7.

Рис. 7. Технологии защиты конфиденциальных данных

Из полученного распределения аналитики Deloitte делают вывод, что организации реагируют на требования рынка, внедряя технологии для защиты приватных данных. Вместе с тем уровень проникновения специализированных средств для защиты от утечек (инвентаризация данных, мониторинг данных, DLP-системы) пока недостаточно высок. Причины такой ситуации Deloitte видит в «непонимании стратегических рисков, стоящих перед современных компаниями», в «молодости рынка систем защиты приватных данных», а также в «недозрелости, высокой стоимости и сложности» представленных на рынке решений.

По всей видимости, в ближайшие годы будет наблюдаться резкий рост внедрений именно этих классов решений. Для такого роста существует сразу несколько предпосылок: во-первых, проблема утечек действительно актуальна, во-вторых, многие современные компании уже внедрили базовые технологии защиты, а в-третьих, предложение решений в данном сегменте будет неуклонно расти.

По мнению специалистов компании Perimetrix, российская ситуация ненамного отличается от западной. «Российский рынок систем защиты от утечек данных растет в разы уже несколько лет подряд, — считают эксперты Perimetrix. — Мы полагаем, что он будет расти так и дальше, поскольку количество защищенных компаний до сих пор не слишком велико. По всей видимости, одним из факторов роста станет конкуренция между поставщиками, которая появилась только в нынешнем году. До этого момента на рынке присутствовал фактически только один вендор и у заказчиков не было реальной альтернативы его решениям».

Заключение

Добавить принципиально новые суждения к приведенным тезисам довольно трудно. Исследование Deloitte еще раз доказало, что проблему лучше предотвратить, чем бороться с ее последствиями в дальнейшем. Судя по результатам опроса, американские компании потихоньку учатся мыслить стратегически и стремятся рассматривать утечки данных как стратегический и глобальный риск. Наверное, в условиях информационного общества это единственный подход, который имеет право на жизнь. Пока же нам остается надеяться, что стратегическое мышление по инерции дойдет и до российских предприятий, которые станут защищать свою приватную информацию гораздо более активно.

КомпьютерПресс 3'2008

1999	1	2	3	4	5	6	7	8	9	10	11	12
2000	1	2	3	4	5	6	7	8	9	10	11	12
2001	1	2	3	4	5	6	7	8	9	10	11	12
2002	1	2	3	4	5	6	7	8	9	10	11	12
2003	1	2	3	4	5	6	7	8	9	10	11	12
2004	1	2	3	4	5	6	7	8	9	10	11	12
2005	1	2	3	4	5	6	7	8	9	10	11	12
2006	1	2	3	4	5	6	7	8	9	10	11	12
2007	1	2	3	4	5	6	7	8	9	10	11	12
2008	1	2	3	4	5	6	7	8	9	10	11	12
2009	1	2	3	4	5	6	7	8	9	10	11	12
2010	1	2	3	4	5	6	7	8	9	10	11	12
2011	1	2	3	4	5	6	7	8	9	10	11	12
2012	1	2	3	4	5	6	7	8	9	10	11	12
2013	1	2	3	4	5	6	7	8	9	10	11	12