Сэкономим на ИТ-безопасности?
24 марта в Москве прошла конференция IDC IT Security Roadshow 2009 «Информационная безопасность сегодня: реалии экономики и ожидания заказчиков», в которой приняли участие представители ведущих компаний рынка ИТ-безопасности. Две главные темы, которые так или иначе прозвучали почти во всех докладах, — проблемы информационной безопасности в условиях кризиса и проблемы обоснования инвестиций в период сокращения ИТ-бюджетов. Некоторые соображения, высказанные на данной конференции, легли в основу этой статьи.
В период кризиса перед руководителями большинства компаний остро встал вопрос о сокращении издержек, в том числе и в сфере ИТ, где затраты в последние предкризисные годы росли рекордными темпами. В конце 2008 года (в начале кризиса) многие российские компании предпочли занять выжидательную позицию, сократив до минимума затраты на ИТ. Однако подобная стратегия не может быть долгосрочной. Особенность текущего кризиса, в отличие от кризиса десятилетней давности, состоит в том, что большинство российских компаний имеют серьезные ИТ-инфраструктуры, которые прочно интегрированы в бизнес, и для многих отказ от ИТ практически означает отказ от бизнеса. Если обойтись без ИТ невозможно, то нужно понять, от какой части ИТ-затрат отказаться все-таки можно.
Согласно рассуждениям, изложенным в докладе IDC, все ИТ-затраты условно можно разделить на три вида: затраты, ориентированные на поддержку, на миграции/обновления, на инновации (табл. 1).
Очевидно, что без замены вышедшего из строя оборудования, особенно если речь идет о непрерывности бизнеса, не обойтись, от расходных материалов тоже отказаться не получится. А вот многие проекты из категории «миграции/обновления», такие как переход на новые ПК, обновление версий офисных программ, могут быть отложены. Таким образом, в период кризиса структура затрат на ИТ по версии IDC должна быть такой, как указано в табл. 2. При этом, как полагают аналитики IDC, расходы на ИТ-безопасность не только не могут быть сокращены, но и, возможно, потребуют более пристального внимания и дополнительных инвестиций. То есть в табл. 2 ИТ-безопасность в структуре затрат на ИТ в период кризиса присутствует не только в разделе «Поддержка», но и в разделе «Инновации».
Чем же можно обосновать такую позицию? Попробуем разобраться. Убедить главу компании в необходимости инвестиций в ИБ в период урезания бюджетов подчас достаточно сложно. Отдача от таких инвестиций выражается не в том, что случилось и принесло прибыль, а в том, чего не случилось и что соответственно предотвратило убыток. На запрос о выделении средств на дополнительные системы информационной безопасности зачастую приводят такие сомнительные контрдоводы, как «в кризис нам не до развития систем безопасности», «наши данные не являются столь важными, чтобы кто-то хотел их украсть» или «с нами это, скорее всего, не произойдет».
Для того чтобы не быть голословными, рассуждая о том, насколько возросла или уменьшилась актуальность инвестиций в ИБ в кризисный период, необходимо прибегнуть к какой-либо методике. Существуют количественные методики оценки возврата инвестиций от внедрения систем безопасности типа:
ROI = (C1xN1 + C2xN2 + C3xN3 + ... + CnxNn)/TIC,
где C1 и C2...Cn — средняя стоимость инцидента ИБ; N1 и N2...Nn — количество инцидентов ИБ в год; ТIС (Total Implementation Cost) — стоимость покупки и внедрения ИБ-решения.
Поскольку данных по России о стоимости инцидентов разных категорий нет, такую методику можно использовать для анализа качественной картины. Выберем наиболее важные категории угроз и проанализируем, какие из видов угроз уменьшились в период кризиса, а какие — увеличились.
Для восьми типов угроз мы получим следующее выражение:
ROI = (C1xN1 + C2xN2 + C3xN3 + C4xN4 + C5xN5 + C6xN6 + C7xN7 + C8xN8)/TIC
где C1 — вирусные атаки; C2 — хакерские атаки; C3 — DDoS-атаки; C4 — интернет-мошенничество; C5 — инциденты ИБ (IM-агенты); C6 — инциденты ИБ по вине «мобильных» сотрудников; C7 — потери по причине несоблюдения требований; C8 — потери от деятельности инсайдеров, утечки данных.
Итак, рассмотрим, как последние события, прежде всего кризис, повлияли на те или иные категории.
Вирусы
Как сообщают антивирусные компании, кризис, затормозивший разработку разных типов ПО, не привел к снижению темпов роста вредоносного ПО. Ежедневно появляются десятки тысяч новых вредоносных программ и модификаций уже существующих вирусов. Экспоненциальный характер роста количества вирусных программ продолжился в 2008-2009 годах. При этом уже к концу 2008 года общее количество вредоносных программ превысило 15 млн.
Среднее время заражения сетевого незащищенного компьютера составляет сегодня менее 20 мин. Угрозы становятся все более комплексными. В период кризиса часть программистов, которые теряют работу (или не могут ее получить), попадает в стан тех, кто зарабатывает на написании вредоносного кода. Причем данная деятельность в последнее время становится все более бизнес-ориентированной. Согласно данным, приведенным в докладе Дмитрия Малинкина из «Лаборатории Касперского», в 2008 году крупных эпидемий (из которых вирусописателям сложно извлечь коммерческую выгоду) не было, зато наметился стремительный рост количества троянских программ, ориентированных на кражу информации, которая в большинстве случаев относится к банковским аккаунтам и онлайн-играм (рис. 1).
Рис. 1. Динамика роста количества вирусных программ (источник: «Лаборатория Касперского»)
Согласно исследованию «Лаборатории Касперского», в 2008 году перестали появляться «эксклюзивные» вредоносные программы (создававшиеся одним-двумя людьми) — данный бизнес становится все более профессиональным и приобретает элементы групповой работы, присущие процессу написания сложного коммерческого ПО.
Из тенденций последнего времени следует отметить возвращение файловых вирусов, которые, наряду со своей традиционной функцией (заражением файлов), теперь крадут информацию и способны распространяться с помощью сменных накопителей. Ожидается новый виток эволюции классических файловых вирусов, их усложнение и использование методов заражения файлов другими классами вредоносных программ. Вирусописатели продолжают проявлять повышенную активность в поиске новых уязвимостей в популярном ПО, в первую очередь в Microsoft Office и Microsoft Windows. Обострилась проблема руткитов ситуация осложняется тем, что большинство антивирусных компаний до сих пор не уделяет должного внимания обнаружению и лечению активных руткитов. Активно развиваются ботнеты, которые стали основным источником распространения спама, DDoS-атак и рассылки новых вирусов.
По данным «Лаборатории Касперского», в 2009 году продолжат свое развитие новые технологии, в частности концепция Malware 2.0. Речь идет о новом поколении вредоносных программ, для которых характерно отсутствие единого центра управления зомби-сетью за счет использования принципа организации, заложенного в файлообменных сетях, где каждый узел хранит информацию только о нескольких соседних и обменивается с ними командной информацией. Заражение компьютера выполняется в несколько этапов. Для Malware 2.0 характерна модульная структура с обновлением модулей. Причем на каждом зараженном компьютере собирается свой набор вредоносных функций, адаптированный к его ресурсам. Для Malware 2.0 характерно применение систем передачи мгновенных сообщений с целью заражения компьютера и управления им. На смену концепции Malware 2.0 приходит новая — Malware 2.5, концепция функционирования гигантских распределенных систем-ботнетов, придуманная русскоязычными хакерами и реализованная во вредоносных программах Rustock.C, Sinowal (буткит) и некоторых других, которая продемонстрировала свою высокую эффективность и надежность.
Растет число атак на мобильные телефоны, при этом начинается их коммерциализация.
Согласно прогнозам «Лаборатории Касперского», в 2009 году продолжится дифференциация вредоносных программ по платформам, что коснется всех без исключения платформ и операционных систем, кроме Microsoft Windows. Этот процесс тоже станет следствием усиления конкуренции киберпреступников на технологическом уровне и их активной борьбы за увеличение числа зараженных компьютеров. По мере того как все больше устройств подключается к Интернету и к системам компьютерной автоматизации, количество угроз, связанных с проникновением в них вирусов, также растет.
Не менее утешительны и данные лаборатории Panda Security, которая констатирует активное развитие банковских троянов (предназначены для кражи логинов и паролей к банковским сервисам, номеров счетов и др.), возрождение классических вредоносных кодов — вирусов, адаптированных к новым потребностям.
Рост киберпреступности
Коэффициенты - (хакерские атаки, DDoS-атаки, интернет-мошенничество), фигурирующие в нашей формуле оценки возврата инвестиций от внедрения систем безопасности, напрямую связаны с ростом киберпреступности. В кризис, в период нехватки легальных рабочих мест, актуальным становится нелегальный заработок, при этом происходит всё большая дифференциация киберпреступников, а каждая деятельность в зависимости от трудоемкости и опасности приобретает свою рыночную цену (табл. 3).
В период кризиса новостные бюллетени пестрят сообщениями об атаках хакеров, краже информации и т.п. Вот лишь несколько примеров:
- декабрь 2008 года — хищение с помощью внедренной вредоносной программы данных, записанных на магнитных носителях кредитных карт, у процессинговой компании Heartland Payment Systems (100 млн клиентов);
- январь 2009 года — хищение хакерами информации пользователей из базы данных британского сайта вакансий Monster, включая личные имена, пароли, телефонные номера, адреса электронной почты. На сайте на тот момент было зарегистрировано 4,5 млн пользователей;
- февраль 2009 года — взлом серверов Federal Aviation Administration (США). Похищено 45 тыс. записей с информацией о бывших и нынешних сотрудниках организации.
По мере развития систем интернет-банкинга дальнейшее развитие получают фишинг — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям, и фарминг — автоматическое перенаправление пользователя на фальшивый веб-сайт, когда он пытается войти на официальный веб-сайт финансовой или коммерческой организации. По состоянию на начало 2008 года в мире было зафиксировано более 30 тыс. фальшивых сайтов финансовых организаций, при помощи которых злоумышленники собирали различную информацию о клиентах. Активность злоумышленников в этом направлении с момента наступления кризиса существенно возросла. По свидетельству большинства аналитиков, фишинг и другие формы мошенничества в Сети в ближайшее время будут только набирать обороты.
По данным Symantec, киберпреступники уже начали обыгрывать кризисную ситуацию. Появилась информация о случаях спам-сообщений, в которых говорится о тяжелом положении того или иного банка и предлагается срочно спасти за небольшую плату половину размещенного в нем вклада.
Подпольная киберэкономика стала международной. По данным «Лаборатории Касперского» и Symantec, на черном киберрынке лучше всего продается информация о кредитных картах для доступа к банковским счетам и персональные данные граждан. По мнению экспертов, одной из главных причин успеха киберпреступников в этой области является то, что многие системы интернет-банкинга используют устаревшие и уязвимые методы аутентификации.
IM-агенты и социальные сети
Пару лет назад широко обсуждалась тема жесткого контроля доступа в Интернет на работе. Появилось немало программ, ограничивающих сотрудникам доступ к запрещенным ресурсам и снижающих угрозу утечки информации. Однако концепция Web 2.0 свидетельствует, что общение с лучшими представителями сетевого сообщества — это огромный потенциал для компании, что ставит под сомнение необходимость ограничения доступа в Сеть для работников умственного труда. Запрещаемые одно время программы Skype и разного рода мессенджеры тоже вовсю используются в силу своей экономичности. А уж в «Одноклассниках» сидят почти все поголовно в рабочее и нерабочее время. Одним словом, социальная активность сотрудников растет, и проконтролировать, где целевой, а где нецелевой веб-доступ, очень сложно. При этом проблемы, возникающие из-за неконтролируемого доступа в сеть с рабочих мест, никуда не исчезли. Больше социальной активности — выше риск утечки информации.
По данным «Лаборатории Касперского», социальные сети стали основной мишенью атак в 2008 году. По прогнозам «Лаборатории Касперского», в 2009 году будет наблюдаться переход от концептуальных угроз и пробных атак в социальных сетях к массовым атакам.
Социальные сети содержат персональную информацию, которая может быть использована в том числе и злоумышленниками. Обманчивая атмосфера доверия ведет к предоставлению конфиденциальной информации «по дружбе». Практически каждый может представиться там коллегой по увлечению.
Многие пользователи наиболее распространенной в России социальной сети «Одноклассники.ру» уже получали письма со ссылкой на вирус. Пример такого послания — просьба проголосовать за фотографию какой-либо претендентки на титул «Мисс Рунет». Пройдя по модифицированному адресу, пользователь видит фото претендентки и отзывы людей, якобы уже проголосовавших за нее. Далее при нажатии на ссылку «Отдать свой голос» посетителю сайта предлагается скачать видеоролик, в то время как на самом деле на компьютер скачивается вирусная программа.
«Мобильные» сотрудники
Известно, что с увеличением количества «мобильных» сотрудников вероятность инцидентов ИБ возрастает. Что происходит во время кризиса? С одной стороны, количество командировок, в которые сотрудники едут со своим ноутбуком, уменьшилось, с другой стороны, многие сотрудники в период кризиса переводятся на внештатный режим работы, уходят в неоплачиваемые отпуска, переходят на неполный рабочий день с целью экономии средств. Офисные сотрудники переходят на режим работы из дома. Так что нередки случаи, когда офисный ноутбук становится домашним, а доступ к нему получает вся семья.
Соответствие требованиям и стандартам ИБ
В последние годы все больше отечественных компаний выходит на международный рынок, работает в тесной интеграции с западными партнерами, и их ИТ-инфраструктура все в большей степени подпадает под требования международных требований и стандартов по ИТ-безопасности (рис. 2). Очевидно, что отсутствие у отечественных компаний систем безопасности международного уровня тормозит перспективы их сотрудничества с западными фирмами. Однако проблемы возникают не только у тех компаний, которые выходят на международный рынок.
Рис. 2. Международные стандарты по ИТ-безопасности
В январе 2007 года вступил в силу Федеральный закон РФ «О персональных данных», обязательный как для коммерческих, так и для государственных организаций. Согласно этому закону, информационные системы, запущенные в эксплуатацию до даты вступления в силу названного закона (то есть до января 2007 года), должны быть приведены в соответствие с законодательством не позднее 1 января 2010 года. Остальные по умолчанию должны изначально ему соответствовать. Организациям, которые хотят избежать санкции государственных органов, входящих в систему контроля за обработкой персональных данных, пора принимать меры по выявлению наличия информационных систем, обрабатывающих персональные данные, и определению оснований для их обработки, особенно в вопросе передачи третьим лицам. Необходимы анализ существующих мер защиты, используемых в системе, и приведение их в соответствие с требованиями закона. Как известно, диапазон каналов утечки персональных данных весьма широк — это и электронная почта, и неконтролируемый выход в веб-пространство, и съемные USB-накопители, и мобильные компьютеры, и многое другое.
Инсайдеры
Термин «инсайдер» трактуется весьма широко. С точки зрения мотивов различают халатных, манипулируемых, обиженных, нелояльных, подрабатывающих, внедренных инсайдеров и т.д.
Очевидно, что в период кризиса причин для перехода сотрудника из категории «лояльный» в категорию «инсайдер» более чем достаточно: увольнение, отпуск без содержания, отмена бонусов — всё это отнюдь не способствует лояльности сотрудника.
По данным CyberArc, 46% из опрошенных служащих в США, Великобритании и Нидерландах готовы украсть корпоративную информацию в случае увольнения. Более 50% уже скопировали данную информацию в ожидании возможного увольнения, 71% точно будут использовать на новом месте работы конфиденциальные данные прежнего работодателя. Автору неизвестны результаты подобных опросов в России, но очевидно, что у нас процент сотрудников, готовых прибрать к рукам корпоративные данные, не меньше.
***
Итак, краткий анализ показывает, что все факторы (кроме С5 и С6, которые возросли незначительно или остались неизменными) существенно повысились, при этом опасность утечки информации, спровоцированной недовольными инсайдерами С8, возросла многократно.
Далее полезно узнать, какова относительная значимость отдельных видов угроз. О том, насколько критичны разные виды угроз, позволяют судить опросы, проведенные компаниями IDC (рис. 3) и Perimetrix (рис. 4).
Рис. 3. Угрозы ИТ-безопасности, по мнению CIO стран Центральной
и Восточной Европы (источник: IDC CEMA Security Roadshow, 2008)
Рис. 4. Угрозы ИТ-безопасности в России (источник: Perimetrix, 2009)
Как видно из рис. 4, на первом месте стоит угроза утечки данных — фактор, который в период кризиса может возрастать многократно.
Таким образом, вывод однозначен: потери от инцидентов ИБ будут расти быстрее, нежели стоимость внедрения ИБ-решения. А следовательно, экономить на ИТ-безопасности весьма накладно, особенно в период кризиса.
В статье использованы материалы IDC, «Лаборатории Касперского» и Trend Micro