"Безопасность в Интернет"

Информационная безопасность в фактах и цифрах

Последние несколько лет ознаменовались быстрым развитием информационных технологий,
и в частности, связанных с сетью Internet. Многие компании уже не могут обойтись
без применения в своем бизнесе автоматизированных систем, построенных на использовании
сети Internet, например, электронные магазины. "Внешняя сеть несет в себе опасность",
- говорит Инно Бейкер, директор по информационным технологиям корпорации Forum, занимающейся
консультационными услугами в области образования. "Вы создаe:те туннель в другую
среду, которую не можете контролировать. Но прибыли от бизнеса в этой среде слишком
велики, чтобы их игнорировать". И, раз отказаться от использования перспективных
информационных технологий невозможно, надо научиться оценивать все опасности, которые
эти технологии несут с собой.
Именно эту цель ставили перед собой компании InformationWeek и PricewaterhouseCoopers
при проведении летом этого года глобального опроса в 50 странах мира среди 1600 специалистов
в области защиты информации. Данная статья основана на материалах этого опроса и
позволяет специалистам и руководителям предприятий правильно спланировать построение
своей системы обеспечения информационной безопасности.
Построение комплексной системы защиты
Не секрет, что построение эффективной и надежной системы защиты возможно только в
случае поэтапной реализации комплекса мер по обеспечению информационной безопасности
организации. К таким этапам можно отнести: разработку политики безопасности, выбор
технических средств защиты информации, обучение сотрудников и периодический компьютерный
аудит.
Первый этап - разработка политики безопасности. Как один из шагов, на данном этапе
анализируются возможные пути реализации атак и ущерб от них, строится модель потенциального
нарушителя, разрабатываются документы, регламентирующие деятельность по защите информации
на предприятии.
Опрос показывает, что самая распространенная угроза безопасности в 1997 году - это
компьютерные вирусы. Если в 1991 году вирусная угроза была зафиксирована 22% опрошенных,
а в 1992 году - 44%, то в прошлом году эта цифра достигла шестидесяти с лишним процентов.
Опрос респондентов говорит о том, что большая часть угроз по-прежнему исходят изнутри
компании: 58% опрошенных компаний предполагают, что один или более сотрудников и
других авторизованных пользователей злоупотребляли своими правами в прошлом году
(в 1991 году эта цифра равнялась 75% ). Опасность, исходящая от внешних злоумышленников,
оказалась не так велика, как это можно себе представить благодаря прессе и телевидению
 . Неавторизованные пользователи проникали в корпоративные сети только в 24% случаев;
поставщики и покупатели являются источниками атак только в 12% случаев. "Соотношение
внутренних/внешних угроз раньше составляло, как правило, 80/20", говорит Марк
Лобел из PricewaterhouseCoopers. "Сейчас, ситуация несколько изменилась, - 60/40".
Среди тех респондентов, которые смогли определить свои потери за прошедшие 12 месяцев
вследствие использования злоумышленниками уязвимостей в системе защиты, 84% сказали,
что они потеряли от $1000 до $100000 долларов США. Остальные 16% опрошенных сообщили,
что они потеряли более чем $100000 долларов США.
"Имеют место значительные финансовые потери, о которых люди даже не подозревают",
- говорит Брюс Мэрфи, исполнительный директор компании PricewaterhouseCoopers. "Я
думаю, что они занижают свою оценку". Действительно, 49% опрошенных не знают,
были ли у них в прошедшем году электронные кражи. Только 28% сказали, что уверены,
что они не понесли каких-либо финансовых потерь. Мэрфи говорит, что если компании
повысят уровень защищенности своих систем за счет внедрения средств обнаружения атак,
то они будут более осведомлe:нными не только об источниках нарушений безопасности,
но и о величине ущерба, наносимого вследствие несанкционированного доступа к электронным
ресурсам.
Другое изменение по сравнению с предыдущими годами- это зафиксированное в результате
опроса изменение качественного состава людей, непосредственно участвующих в процессе
принятия решений, связанных с безопасностью. В то время как реализация системы защиты
остаe:тся в руках технических специалистов, ответственность за проектирование системы
защиты, частично переходит в их технических отделов в коммерческие - отделы продаж
и маркетинга.
"Мы движемся в направлении передачи управления безопасностью из рук IT-персонала
в руки бизнес-персонала", - говорит Кармин Виллани, эксперт по безопасности
корпорации McKesson. Например, Виллани политику безопасности разрабатывает, а представитель
компании, работающий с клиентами, отвечает за еe: применение.
Повсюду, распределение ответственности за защиту вызывает напряжe:нные взаимоотношения
и приводит к необоснованным решениям. "Технические специалисты хотят ограничить
при помощи межсетевых экранов весь трафик, во чтобы то ни стало. Но люди, работающие
в отделах продаж и маркетинга, не хотят, чтобы их ограничивали в чем-либо. Результат
- руководству приходится принимать решения о том, в чем они совершенно не смыслят",
- говорит Роджер Уолтерс, эксперт консультационной фирмы Booz, Allen & Hamilton.
И такие разногласия не лучшим образом сказываются на уровне защищенности всей организации.
Работа в разных отраслях промышленности, государственная принадлежность накладывает
свой отпечаток на политику безопасности, принятую в организации. Для разных составляющих
политики безопасности устанавливаются разные приоритеты. Например, создание команды
реагирования на нарушения безопасности считается приоритетным только в 3% опрошенных
организаций. В то время как обучение сотрудников требованиям безопасности поставили
на первое место 44% компаний. Число организаций, озабоченных решением проблемы 2000
года пока также невелико - всего 5%. Хотя постепенно эти цифры изменяются в сторону
увеличения.
Стоимость защиты
Многие руководители задают вопрос - сколько стоит система защиты информации? "С
защитой начали считаться на самой первой стадии построения нашей информационной системы"
- сказал Кармин Виллани. "Мы рассматриваем защиту как самый важный показатель
нашей системы". За прошедшие несколько лет, говорит Виллани, корпорация McKesson
потратила более 500000 долларов США на различные средства защиты информации, включая
идентификаторы SecureID для всех сотрудников, межсетевые экраны и т.п.
"Намного дешевле привести защиту в порядок, когда Вы разрабатываете и внедряете
информационную систему, чем возвращаться к ней после и заново налаживать что-то ещe:",
- говорил Марк Лобел, консультант по защите в PricewaterhouseCoopers. Добавление
защитных функций на стадии проектирования, увеличивает общую стоимость проекта на
5 - 10 процентов. В то время как встраивание эффективных защитных механизмов в уже
работающую систему приводит к неоправданно большим расходам. Если вообще возможно.
Несмотря на то, что многие организации отказываются платить за защиту информации
при проектировании своей информационной системы, позднее, когда им придe:тся заниматься
ее восстановлением после атаки, вероятно, они уже не совершат этой ошибки дважды.
Примером может служить одна крупная финансовая компания, которая приобрела систему
для ведения электронной коммерции, работающую под управлением операционной системы
Windows NT. Позднее, в процессе реализации проекта, фирма наняла компанию Cambridge
Technology Partners для того, чтобы получить от них рекомендации по информационной
безопасности. По совету Cambridge фирма перешла с платформы Windows NT на платформу
Unix, но этот переход вызвал грандиозный перерасход финансовых средств. "Экспертам
пришлось вернуться обратно на совет директоров со шляпой в руке. Не очень приятно
попасть в такую ситуацию", говорит вице-президент компании Cambridge Пол Келли.
Технические средства
Согласно опросу, выбору технических средств уделяется наибольшее внимание. Иногда
во вред другим этапам построения комплексной системы защиты информации. В целом,
выбор средств защиты информации определяется наиболее распространенными угрозами.
Т.к. наиболее частыми нарушениями безопасности являются вирусы, то и средства защиты
от них являются самыми распространенными среди опрошенных компаний (более 90%). Следующим
распространенным средством защиты являются межсетевые экраны. Средства адаптивного
управления безопасностью, такие как системы анализа защищенности и обнаружения атак,
пока применяются не столь широко, как того требуют динамично изменяющиеся сетевые
технологии. Но, судя по имеющейся тенденции, спрос на такие средства постоянно растет.
Периодический компьютерный аудит
Удивителен тот факт, что более 40 процентов опрошенных компаний не предпринимают
никаких мер по периодическому анализу защищенности своей информационной системы.
Это крайне важный шаг в построении системы защиты информации любого предприятия.
Пересмотр политики безопасности в соответствии с текущей ситуацией и, в частности,
пересмотр перечня конфиденциальных данных не осуществляется 43% опрошенных компаний.
Несмотря на то, что 19 процентов проводят этот процесс ежедневно, другие 14 процентов
пересматривают такой перечень только один раз в год.
Обучение
Другой ключевой момент при построении комплексной системы обеспечения информационной
безопасности - обучение конечных пользователей требованиям политики безопасности.
Но это должна быть "не просто ежегодно издаваемая брошюра", - говорит Джим
Паттерсон, вице-президент по защите и телекоммуникациям в нью-йоркской компании OppenheimerFunds.
Например, OppenheimerFunds временами выставляет большую картонную фигуру по имени
"Мистер Защита" около своего города Денвер. Персонаж одет как бейсбольный
судья и держит колоду разных карт с различными советами по защите информации для
1800 сотрудников OppenheimerFunds.
По данным опроса, обучение конечных пользователей считается важной задачей в 44%
опрошенных компаний, а обучение технических специалистов новым технологиям в области
безопасности - только в 9%.
Электронная коммерция
Большое внимание в проводимом опросе уделено электронной коммерции. И это понятно.
Обеспечение информационной безопасности никогда не являлась главной целью компаний
в бизнесе. И пока ещe: большинство IT-менеджеров рассматривают "доверие",
как основное требование при ведении бизнеса, в т.ч. и с помощью электронных магазинов,
расположенных на Web-серверах. Как следствие, в компаниях, которые для увеличения
своих прибылей используют электронные магазины, количество нарушений больше, чем
в компаниях, которые используют "стандартные" способы продаж (график 1).
Можно привести и другие цифры:
  Серверы, связанные с продажей продуктов или услуг через сеть Internet подвергались
нападениям, приблизительно, на 10% чаще, чем сервера, не используемые для проведения
финансовых сделок.
  22% фирм, занимающихся продажами через Web-сервера, имели потери информации, и
только 13% компаний, не продающих продукты через Internet, столкнулись с этой же
проблемой.
  12% респондентов, имеющих электронные магазины, сообщили о краже данных и торговых
секретов, и только три таких случая зафиксировано у компаний, не продающих продукты
через систему Web.
Однако опрос, проведенный компаниями PricewaterhouseCoopers и InformationWeek, показывает,
что вопросам защиты информации при осуществлении электронного бизнеса начинают уделять
все больше внимания.
Заключение
Итак, какие же выводы можно сделать по результатам данного опроса? Во-первых, продолжается
рост числа компьютерных вирусов и, связанных с ними, нарушений безопасности. По некоторым
оценкам, число вирусов удваивается каждый год. Как следствие, антивирусные средства
являются самыми распространенными средствами защиты информации.
Во-вторых, лишний раз подтвердился тезис, что в коммерческом секторе основная цель
защиты информации - это обеспечение целостности информации и доступности систем,
ее обрабатывающих. Поэтому растет число компаний, применяющих системы резервного
копирования и средства обнаружения атак нарушающих доступность систем (атаки типа
"отказ в обслуживании").
В-третьих, по-прежнему основными источниками нарушений безопасности являются сотрудники
организации. Поэтому возрастает число средств защиты информации, которые обеспечивают
необходимый уровень защищенности даже в случае атак, совершаемых авторизованными
пользователями (антивирусные программы, средства обнаружения атак и т.п.).
В-четвертых, все большее применение Internet для совершения электронных сделок приводит
к росту числа средств, обеспечивающих защиту IP-сетей, таких как, межсетевые экраны,
средства контроля Java и ActiveX и т.п. С другой стороны, средства обеспечения VPN
не столь распространены, как это казалось раньше. Связано это с тем, что пока наиболее
распространенным типом соединения с Internet является dialup (и, как следствие, использование
более дешевых защищенных модемов). Кроме того, функции организации VPN интегрированы
во многие межсетевые экраны и приобретение средств VPN считается нецелесообразным.
В целом, происходит постепенная смена приоритетов. Если раньше основное внимание
уделялось применению технических средств защиты информации, то сейчас на первый план
выходит управление рисками, применение систем анализа защищенности и т.п. Согласно
опросу, даже, если компании достаточно эффективно внедряют самые лучшие механизмы
безопасности, они ищут пути повышения уровня защищенности своих ресурсов.