Парадигма, которая меняется
Ключевые выводы: логика и парадоксы
Принцип 1. Смена приоритетов: компании стремятся успевать за меняющимся профилем угроз
Принцип 2. Управление доступом: главная инициатива в области ИБ
Принцип 3. Безопасность приложений: необходима проактивность
Принцип 5. Защита данных: многоуровневые подходы
Принцип 6. Люди остаются слабым звеном
Принцип 7. Директор по информационной безопасности: эволюция продолжается
Принцип 8. Отношения с третьими компаниями: необходимость и новая область риска
Снова о принципе 5: угрозы и защита от них
Выводы: куда меняется парадигма
Рассуждать об информационной безопасности можно бесконечно. Еще несколько лет назад эта отрасль была сравнительно небольшой, в ней присутствовало всего несколько типов решений, а сильных вендоров можно было пересчитать по пальцам. Однако со временем ситуация радикально изменилась. Индустрия безопасности разрослась, и к ряду классических угроз добавились новые проблемы, связанные с деятельностью инсайдеров и профессиональных мошенников. Как следствие, едва ли не каждая консалтинговая компания проводит массу исследований на эту тему, пытаясь отличить правду от масс-медийного вымысла. В настоящей статье мы рассмотрим отчет об исследовании известной фирмы Deloitte под звучным и многообещающим названием «2007 Global Security Survey».
На обложке отчета о ежегодном исследовании Deloitte по информационной безопасности изображена открытая дверца сейфа с шестеренками, за которой видна небольшая часть центра обработки данных. Судя по названию исследования — «The shifting security paradigm» («Меняющаяся парадигма безопасности»), — ключевую роль в этом дизайнерском ансамбле играют именно шестеренки. По замыслу авторов они символизируют радикальные перемены в сфере решений по информационной безопасности (ИБ) и даже изменения в самой парадигме безопасности. В данной статье мы рассмотрим, куда именно, с точки зрения консультантов Deloitte, движется эта парадигма.
Исследователи Deloitte не пытались объять необъятное и ограничили свои изыскания финансово-кредитными организациями. В рамках исследования были опрошены представители 169 крупнейших финансовых институтов, находящихся в различных уголках земного шара. Надо сказать, что выборка респондентов получилась весьма представительной: среди компаний-участников — крупнейшие игроки финансового рынка из числа ведущих банков мира, а также финансовых, страховых и платежных компаний. Распределение респонентов по регионам представлено на рис. 1.
Рис. 1. Участники опроса Deloitte: распределение по регионам
Исследователи Deloitte изложили основные результаты исследования в разделе с говорящим названием «Ключевые выводы». Имеет смысл рассмотреть эти выводы в первую очередь.
Ключевые выводы: логика и парадоксы
В общей сложности исследователи Deloitte сформулировали восемь ключевых принципов развития рынка информационной безопасности. Мы аккуратно выписали эти принципы, а эксперты компании Perimetrix любезно согласились прокомментировать их.
Принцип 1. Смена приоритетов: компании стремятся успевать за меняющимся профилем угроз
Исследователи Deloitte выделили пять наиболее значимых инициатив 2007 года в области информационной безопасности (рис. 2):
Рис. 2. Наиболее значимые инициативы 2007 года в области ИБ
- управление доступом и идентификацией (50% респондентов);
- совместимость с требованиями регуляторов (49%);
- подготовка и обучение персонала (48%);
- управление безопасностью (37%);
- обеспечение непрерывности бизнеса (37%).
Некоторые из этих инициатив (например, совместимость с требованиями регуляторов) появляются в списке с завидным постоянством, другие отражают веяния современного рынка.
Эксперты Deloitte отмечают, что инициативы в области периметральной защиты от внешних угроз не попали в список наиболее актуальных проблем. При этом они полагают, что компаниям требуется «глубинная защита» с использованием проактивных технологий и организационных мер.
Комментарий Perimetrix. Первый принцип Deloitte отлично согласуется с общемировыми тенденциями в области ИБ. Аналитики давно говорят, что в современном мире меняется профиль угроз — от защиты инфраструктуры компании переходят к защите информации как от внешних, так и от внутренних злоумышленников. При этом внутренняя защита (защита от внутренних угроз) становится едва ли не главным стимулом для всей индустрии ИБ. Поэтому неудивительно, что в списке инициатив Deloitte нет ни одного пункта, связанного с типично внешними проблемами.
Принцип 2. Управление доступом: главная инициатива в области ИБ
Описывая второй принцип, Deloitte приводит типичные данные о доступе в современных организациях. Оказывается, в 45% случаев аудит выявляет у пользователей информационных систем избыточные права, в 30% — недостаточно хорошее протоколирование, а в 28% — несоответствие прав и бизнес-процессов компании (рис. 3). Интересно, что из 17 учетных записей, которые создаются для нового сотрудника, после его увольнения удаляется только 10.
Рис. 3. Основные проблемы ИБ, выявленные после аудита
Проблемы, связанные с управлением доступом, известны давно: с одной стороны, чем меньше доступ, тем хуже организация работает, с другой — чем больше доступ, тем больше проблем с безопасностью. Кроме того, всегда есть сотрудники, которые заведуют системой управления доступом и имеют едва ли не большие возможности, чем члены Совета директоров, руководители ИТ-подразделений и руководители службы безопасности (С*О). Соблюсти баланс и построить хорошо работающую систему в таких случаях действительно очень трудно.
О важности управления доступом говорит недавняя история с французским банком Societe Generale. Напомним, что малоизвестный трейдер банка Жером Кервьель получил доступ к огромным ресурсам Societe Generale и проторговался на 5 млрд евро.
Комментарий Perimetrix. На самом деле система управления доступом отнюдь не является панацеей. Дело в том, что, какую систему ни внедряй, все равно найдутся сотрудники, имеющие легальный доступ к конфиденциальным или секретным данным. Проконтролировать этот доступ на уровне системы идентификации невозможно по определению — ведь доступ-то действительно разрешен. Но именно сотрудники с легальным доступом могут так навредить организации, что мало не покажется.
Поэтому поверх системы управления доступом должна работать другая система, способная отслеживать действия, которые производят с информацией легальные пользователи. Фактически это и есть система защиты от утечек данных (Data Loss Prevention, DLP). Понятно, что ее создание бессмысленно без системы управления доступом. Сейчас мы наблюдаем пик интереса к таким системам — а значит, через пару лет придет очередь уже DLP-решений.
Принцип 3. Безопасность приложений: необходима проактивность
Аналитики Deloitte резонно утверждают, что для финансовых организаций чрезвычайно важны онлайн-приложения, например как средство дешевой и эффективной коммуникации с клиентами. Однако безопасность таких приложений, к сожалению, оставляет желать лучшего — как правило, они создаются без учета перспективы кибератак и других проблем. В результате при возникновении атаки организация просто восстанавливает приложение, то есть действует реактивно. А надо действовать проактивно, поскольку с развитием Глобальной сети даже незначительный простой сервиса приводит к серьезным финансовым потерям.
Короче говоря, Deloitte предлагает думать о безопасности на уровне жизненного цикла разработки ПО, а не затыкать дыры после его завершения.
Комментарий Perimetrix. Нечто подобное мы уже видели. Лет пять назад всем известная корпорация Microsoft объявила о том, что при разработке всех ее продуктов будет использоваться методология Security Development Lifecycle. Компания Deloitte фактически говорит о тех же вещах, но только в рамках отдельного финансового института.
Надо сказать, что в случае с Microsoft новая методология действительно себя оправдала: сегодня продукты корпорации вызывают заметно меньше нареканий по безопасности, чем раньше. Однако здесь необходимо провести четкую грань между грамотной пиар-активностью и реальной защищенностью решений. Объективно оценить, стали ли современные продукты Microsoft более безопасными, чрезвычайно трудно.
Хотелось бы добавить, что компания Perimetrix успешно применяет методологию жизненного цикла для защиты конфиденциальных данных от утечек (Secret Documents Lifecycle). Если в случае разработки ПО компания-разработчик следит за безопасностью на каждой стадии этого процесса, то решения Perimetrix контролируют приватные документы на каждой стадии их жизни. Таким образом, обеспечиваются максимально высокий (более 99%) уровень безопасности и уверенность в том, что данные не покинут пределы организации. Подробная информация о данной технологии размещена на сайте www.perimetrix.com.
Принцип 4. Главный парадокс ИБ: проблемы привлекают внимание топ-менеджмента, но не попадают под его контроль
Пожалуй, самый парадоксальный вывод нынешнего исследования Deloitte. Опросив респондентов, аналитики пришли к выводу, что топ-менеджмент компаний не занимается разработкой стратегии безопасности. Только 10% бизнес-лидеров считают, что проблема ИБ входит в круг их обязанностей (рис. 4).
Рис. 4. Стратегия в области информационной безопасности (принцип 4)
Заключения Deloitte выглядят особенно удивительными на фоне опросов предыдущих лет, когда количество таких бизнес-лидеров достигало 60-70% и, кроме того, стабильно росло год от года. Судя по всему, внятно объяснить нынешний провал не могут даже представители Deloitte.
Комментарий Perimetrix. В данном случае комментарий будет кратким. Мы таких тенденций не видим — внимание топ-менеджеров к проблеме ИБ все время возрастает. По крайней мере, на территории России. Мне кажется, что в Deloitte просто что-то напутали. Например, значимо изменили формулировку вопроса, который задавался респондентам.
Принцип 5. Защита данных: многоуровневые подходы
В этом принципе исследователи Deloitte еще раз подчеркивают, что «традиционный подход к информационной безопасности, основанный на защите периметра и инфраструктуры, становится менее эффективным», а у большинства финансовых организаций «имеются долгосрочные проблемы с конфиденциальными данными собственных клиентов». Поэтому Deloitte выдвигает предположение о том, что «организации продолжат уделять внимание процессам сбора, хранения, архивирования и удаления приватных данных». А под многоуровневым подходом Deloitte подразумевает внедрение различных решений по безопасности, направленных на защиту данных, а не периметра сети.
Комментарий Perimetrix. Именно эта тенденция обусловила создание таких компаний, как Perimetrix. Мы прекрасно осознаем важность защиты и можем поделиться нашими знаниями с другими игроками рынка. Более того, наша компания способна защитить приватные данные от посягательства внешних и внутренних злоумышленников.
Принцип 6. Люди остаются слабым звеном
В предисловии к исследованию Адель Малек (Adel Malek), руководитель группы управления ИТ-рисками и сервисами Deloitte, приводит очень точное сравнение. По его словам, дети всегда были самым большим счастьем и в то же время проблемой собственных родителей. По аналогичному принципу строятся взаимоотношения компании и ее сотрудников, которые являются, с одной стороны, главным активом, а с другой — головной болью любой организации.
По данным опроса Deloitte, 91% опрошенных беспокоят проблемы безопасности, причинами которых являются ошибки сотрудников. Действительно, большинство проблем ИБ так или иначе связано с ошибками сотрудников. Именно поэтому инициативы в области подготовки и обучения персонала попали в список из принципа 1.
Комментарий Perimetrix. В данном случае Deloitte приводит весьма банальный тезис, который, впрочем, не теряет своей актуальности. Логично предположить, что на фоне постоянного развития технологий защиты основные проблемы будут находиться где-то за пределами программно-аппаратной части. Мне кажется, что люди действительно являются основной проблемой ИБ. Посмотрите на те же утечки — большинство из них происходит по причине незнания, халатности или элементарного разгильдяйства. Спланированные кражи информации с участием инсайдеров случаются гораздо реже.
Принцип 7. Директор по информационной безопасности: эволюция продолжается
Количество организаций, в которых существует позиция директора по ИТ-безопасности (CISO), продолжает расти. В нынешнем году таковых оказалось 84% — на 9% больше, чем год назад. Большинство (81%) CISO подчиняются другим менеджерам C*O и фокусируются на стратегической, а не на тактической деятельности. Последняя тенденция особо подчеркивается Deloitte.
Комментарий Perimetrix. Еще несколько лет назад не существовало понятия стратегического управления ИБ. Согласитесь, что составлять стратегический план внедрения антивируса или файервола просто глупо. Теперь же, когда количество и разнообразие решений в области ИБ огромно, такая потребность возникла. CISO приходится выбирать пути развития, поскольку внедрять все классы представленных на рынке продуктов нереально и совершенно нерентабельно.
Очевидным следствием «стратегической ориентации» CISO является рост этой позиции в корпоративной иерархии. Так оно, в общем-то, и происходит (рис. 5).
Рис. 5. Сферы ответственности современных CISO (принцип 7)
Принцип 8. Отношения с третьими компаниями: необходимость и новая область риска
Не секрет, что общее количество информации растет. Увеличивается и количество данных, передающихся между различными компаниями. Таким образом, возникает проблема защиты собственной информации, которая находится в руках партнеров.
В реальности избежать такой ситуации очень трудно. Даже самый простой интернет-доступ, как правило, предоставляется провайдером, который теоретически может «смотреть» всю передающуюся информацию. И что делать в таких ситуациях — совершенно непонятно.
Комментарий Perimetrix. Можем добавить, что в мире произошла масса утечек по вине третьих транспортных компаний, которые теряли носители с приватными данными. Чтобы обезопасить себя от таких утечек, надо шифровать приватные данные, тщательно контролировать их состояние (по крайне мере знать, какие компании имели к ним доступ) и упорно работать с собственными партнерами. К сожалению, для этой проблемы нельзя придумать универсального решения.
Снова о принципе 5: угрозы и защита от них
На наш взгляд, именно пятый вывод исследования Deloitte является основным. Следствия из него проходят красной нитью через большинство других тезисов, выдвинутых аналитиками в рамках исследования. Поэтому, по нашему глубокому убеждению, тема защиты от разнообразных угроз заслуживает отдельного и более подробного разговора.
Суть пятого принципа Deloitte можно сформулировать так: защищайте данные, а не инфраструктуру. Посмотрим, каким образом этот принцип вытекает из современного профиля угроз (табл. 1).
Общий индекс опасности вычисляется по формуле: 0*(процент 0-1) + 1*(процент 2-3) + 2*(процент 4-5).
Как видите, в первой тройке опасных угроз оказались две угрозы, направленные на персонал организации (фишинг и социальная инженерия), а также угроза утечки конфиденциальных данных. Интересно, что все перечисленные атаки нацелены на получение конфиденциальной информации злоумышленниками. Более классические «инфраструктурные» угрозы (вирусы, спам, DoS-атаки) находятся значительно ниже, и это в определенной степени показательно. Сравнительно высокая опасность вирусов и спама объясняется переоценкой ценностей злоумышленников, которые становятся все более профессиональными. Современный вирус создается не для забавы, а ради решения конкретных задач, а именно — для получения все тех же конфиденциальных данных. Хакерской романтики уже давно не существует, что создает дополнительные трудности в плане защиты.
Еще одним результатом исследования Deloitte оказались сравнительно слабые позиции некоторых широко обсуждаемых угроз. Так, известные проблемы с безопасностью беспроводных сетей оказались на пятом месте с конца, незначительно опередив виртуальных кибертеррористов. Интересно, что практически все web-угрозы также расположились в конце списка. По всей видимости, финансовые организации не опасаются за уязвимость онлайновых приложений.
Угроза финансового мошенничества (как внешнего, так и внутреннего) не сумела набрать большой индекс опасности. Однако не следует забывать, что, согласно ежегодному отчету «CSI 2007 Computer Crime and Security Survey», именно финансовое мошенничество оказалось в начале списка самых высокозатратных угроз, опередив ближайшего конкурента едва ли не в три раза. Добавим, что опрос Deloitte проводился задолго до нашумевшего скандала с банком Societe Generale и его трейдером-неудачником, потратившим 5 млрд евро. Можно предположить, что если бы исследование проводилось сегодня, то индекс опасности финансового мошенничества (особенно внутреннего) был бы гораздо выше.
Кроме опасности тех или иных угроз, специалисты Deloitte попробовали оценить защищенность различных организаций от тех или иных проблем с ИБ. В табл. 2 приведены классы технологий защиты и статусы их использования в настоящее время.
Если сопоставить данные табл. 1 и 2, то получится очень интересная картина. Совершенно неудивительно, что большинство финансовых организаций уже обезопасило себя от вирусов, червей и спама. А вот от фишинга, который возглавляет список угроз, защищена лишь половина респондентов. Еще хуже обстоят дела с угрозой утечки конфиденциальных данных: специализированные продукты для защиты имеют только 35-40% организаций, а половина компаний не собирается внедрять такие решения в течение ближайшего года. Что касается остальных угроз из верхней части списка — социальной инженерии и ошибок персонала, — то защититься от них технически довольно трудно, здесь более эффективно применять организационно-образовательные меры.
В качестве приоритетных внедрений респонденты отметили системы управления доступом, идентификационными данными пользователей и их паролями. Сравнительно много компаний планирует также внедрять продвинутые решения в области управления инфраструктурой безопасности — системы управления логами, инцидентами и уязвимостями. Наконец, третьим приоритетом организаций являются продукты для защиты от внутренних угроз — утечки конфиденциальных данных (в том числе через IM), а также от финансового мошенничества.
Выводы: куда меняется парадигма
В завершение рассказа об исследовании Deloitte приведем еще одну диаграмму. На рис. 6 показаны ответы респондентов на вопрос об опасности внешних и внутренних угроз. Как видите, внутренние угрозы вызывают гораздо больше опасений, нежели внешние.
Рис. 6. Защита от внешних и внутренних угроз
Подобная ситуация обусловлена сменой парадигмы безопасности, о которой мы не раз говорили выше и даже называли ее пятым выводом исследования Deloitte. На самом деле тезис о защите данных вместо инфраструктуры является ключевым, именно он отражает кардинальную смену парадигмы. Следствием этой смены является рост опасности внутренних угроз, ведь получить доступ к информации изнутри значительно проще. В будущем эта тенденция будет только усиливаться, и современные компании должны иметь это в виду.
Универсального способа для борьбы с новыми угрозами, наверное, не существует. Если компания действительно хочет чувствовать себя в безопасности, она должна быть готова приобретать дорогостоящие решения и принимать еще более затратные организационные меры. На современном российском рынке информационной безопасности присутствует масса решений практически во всех обозначенных классах. Каждый потенциальный покупатель должен проанализировать возможные варианты и выбрать тот, который наилучшим образом подходит именно ему.
Определенный дефицит решений наблюдается разве что в сегменте DLP, состоящем из специализированных систем защиты от утечек данных. Однако после появления компании Perimetrix с ее идеологией Secret Documents Lifecycle на рынке теперь есть реальная альтернатива. Мы уверены, что рынок информационной безопасности в целом и сегмент DLP в частности будут успешно расти в будущем, радуя аналитиков Deloitte и других подобных организаций.