РАЗДЕЛЫ

Архив

Внутренние ИТ-угрозы в России 2004

≡ Архив | архивная статья | 21.01.2005 13:22

Компания InfoWatch провела всероссийское исследование в области корпоративной защиты от внутренних угроз информационной безопасности.

Общие выводы

Исследование «Внутренние ИТ-угрозы в России 2004» выявило целый ряд исключительно интересных фактов, которые могут представлять профессиональный интерес для специалистов в области информационной безопасности (ИБ), маркетинга и продаж.

В России только начинает формироваться культура профессионального отношения к ИБ:

— лишь 16% респондентов имеет выделенные отделы ИБ. В 94% случаев эти отделы были сформированы в течение последних 2 лет.
— 62% респондентов считают, что действия инсайдеров являются самой большой угрозой для российских организаций.
— 98% считает, что нарушение конфиденциальности информации — самая большая внутренняя ИТ-угроза.
— 89% считают электронную почту самым распространенным путем утечки конфиденциальной информации.
— 67% не осведомлены о наличии инцидентов в сети организации, связанных с утечкой данных.
— 99,4% допускают возможность наличия незарегистрированных инцидентов внутренней ИБ.
— 87% считают технические средства эффективным способом защиты. Однако всего 1% респондентов используют их, в то время как 68% вообще не предпринимают никаких действий.

Российские организации осознают опасность внутренних ИТ-угроз, но не знают как с ней бороться:

— 58% не осведомлены о существующих технологических решениях.
— 76% планируют внедрение систем защиты от нарушения конфиденциальности информации в ближайшие 2 года.

Чем больше организация, тем выше озабоченность угрозой утечки конфиденциальной информации. Рынок систем защиты от утечки данных (Anti-Leakage Software) только начинает формироваться и имеет большой потенциал. Наиболее активные игроки на отечественном рынке Anti-Leakage Software имеют возможность многократно увеличить доходы и принять участие в формировании международного рынка специализированных решений.

Методология

В процессе исследования, в период с 01.09 по 15.12.2004 г. были опрошены представители 387 государственных и коммерческих организаций Российской Федерации. Опрос проводился среди посетителей крупнейших отечественных ИТ-выставок (Softool-2004, Infosecurity 2004), а также непосредственно у респондентов тремя путями — при личной встрече в рамках устного интервью, с помощью телефонного интервью или по электронной почте. Во всех случаях респонденты отвечали на стандартный набор вопросов, составленный департаментом маркетинга InfoWatch. Для снижения уровня латентности и достижения наиболее правдоподобных результатов исследование проводилось на анонимной основе — все респонденты получили гарантии неразглашения источников. Приведенные ниже данные являются округленными до целых чисел. В некоторых случаях сумма долей ответов превосходит 100% из-за использования многовариантных вопросов.

Портрет респондентов

Респондентами исследования выступили высококвалифицированные специалисты — руководители и ведущие сотрудники ИТ-отделов и ИБ-отделов. В процессе выбора учитывался профессиональный опыт и стаж работы интервьюируемого лица на текущего работодателя. Для формирования наиболее точной статистической картины к участию в вопросе приглашались специалисты с не менее чем 5-летним стажем работы в области ИТ и 2-летним стажем работы на текущем месте. Все респонденты являются лицами, принимающими решения в области развития корпоративных информационных систем.

Как следует из данных, приведенных на рис.1, среди организаций-участников опроса преобладают предприятия с количеством сотрудников от 1000 до 2500 человек (35%). В тройку ведущих диапазонов также входят 2500–5000 (24%) и 500–1000 человек (16%). На долю крупного бизнеса и правительственных организаций (более 5000 сотрудников) пришлось 16%. В группу среднего и малого бизнеса (менее 500 сотрудников) попало 9% опрашиваемых. С другой стороны, данные рис.2 свидетельствуют, что в большинстве организаций-респондентов установлено от 100 до 250 рабочих станций (36%).

рис.1

Этот диапазон со значительным отрывом опережает группы «менее 100 компьютеров» (28%) и «от 250 до 1000 компьютеров» (21%). На долю крупных организаций (более 1000 компьютеров) пришлось 15%. Таким образом, можно заключить, что исследование базируется на опросе представителей предприятий среднего и крупного масштабов.

рис.2

Тройку лидеров по сфере деятельности респондентов составили торговля (23%), производство (18%) и финансовые услуги (14%). Во вторую группу с небольшой разницей вошли предприятия ТЭК (11%), министерства и ведомства (9%), ИТ и телекоммуникации (9%) и другие сферы (10%). По 3% опрашиваемых принадлежат к областям страхования и образования.

рис.3

Наконец, рассматривая профиль респондентов по занимаемой должности, можно видеть безусловное преобладание начальников ИТ-отделов (64%), которые с большим отрывом опережают начальников отделов ИБ (16%) и других ИТ-специалистов (18%). Подобное распределение респондентов имеет свои особенности. Более глубокое исследование проблемы показало, что должность начальника отдела ИБ в 94% случаев была введена в организации-респонденте не ранее 2 лет до проведения исследования. До этого проблемами защиты данных занимались ИТ-отделы, лишь незначительная часть которых (23%) имела выделенного сотрудника для решения проблем ИБ. Эта тенденция наглядно показывает осознание со стороны российских организаций необходимости адекватных мер для противостояния современным рискам. ИТ-угрозы достигли очень высокого качественного и количественного уровня, а информационные технологии стали неотъемлемой частью повседневной деловой активности. Таким образом, без специалиста в области ИБ вряд ли сможет обойтись какая-либо крупная организация, не рискуя поставить под угрозу свое нормальное функционирование.

рис.4

Вместе с тем, важно отметить, что подобные изменения наблюдаются преимущественно среди крупных предприятий. Средние и, тем более, малые предприятия до сих пор обходятся без выделенного специалиста по ИБ, а зачастую и без штатного ИТ-специалиста вовсе. Именно последние попали в группу «Другие», обозначенную на рис.4.

Исследование положения дел и отношения российских организаций к внутренним ИТ-угрозам выявило целый ряд противоречивых фактов, которым, однако, есть логичное объяснение. Первый же вопрос, целью которого было оценить опасность различных ИТ-угроз, показал, что традиционные «страшилки» в виде вирусов, хакерских атак и спама действительно переоценены общественным мнением и средствами массовой информации. Респонденты ранжировали наиболее серьезные угрозы и, как оказалось, наибольшую озабоченность вызывают действия инсайдеров (62%). Именно это, по мнению опрашиваемых, может представлять самое большое препятствие для нормальной работы организации.

В пятерку самых опасных угроз также вошли вредоносные программы (60%), хакерские атаки (52%), халатность сотрудников (44%) и спам (38%). Остальные варианты (аппаратные и программные сбои, финансовое мошенничество, кража оборудования) присутствовали в результатах опроса эпизодически.

Внутренние ИТ-угрозы в России

Необходимо отметить, что внимание к проблематике внутренней ИТ-безопасности растет одновременно с размером организации-респондента и меняется в зависимости от сферы деятельности. Например, в разрезе компаний с численностью сотрудников менее 500 человек на первое место выходит вопрос защиты от вредоносных программ.

С другой стороны, в организациях с 2500 и более сотрудников на первое место выходит угроза «действия инсайдеров». Этот факт показывает, что крупные компании имеют в штате квалифицированных специалистов по ИТ-безопасности и надежные технические средства защиты от внешних угроз, что позволяет им чувствовать относительный комфорт.

Озабоченность проблемой внутренних угроз существовала всегда. Однако до сих пор организации были ограничены в средствах реализации защиты преимущественно организационными мерами. Сейчас на рынок начинают выходить комплексные программные решения, благодаря чему у предприятий появляются дополнительные возможности для защиты конфиденциальной информации.

Гаральд Бандурин
ИТ-директор
Волжский каскад

Большинство малых и часть средних предприятий до сих пор не имеют выделенных сотрудников по защите информационных систем (ИС), недостаточно осведомлены о последних разработках в области защиты данных и зачастую используют пиратские копии ПО для ИТ-безопасности. Для них вирусы и хакерские атаки представляют гораздо большую угрозу, а контроль над действиями сотрудников может осуществляться альтернативными способами, без использования программных или аппаратных решений. Крупные организации менее эффективны в отслеживании инсайдеров средствами HR-менеджмента и службы физической безопасности, в то время как цена утечки информации возрастает пропорционально росту числа сотрудников.

рис.5

Помимо лидерства «действий инсайдеров» неожиданностью стала исключительно низкая озабоченность респондентов опасностью финансового мошенничества с использованием ИТ-систем. Дальнейшее изучение проблемы показало, что столь популярные на Западе интернет-банкинг и использование компьютера для финансовых транзакций еще недостаточно распространены в России. Это обстоятельство стало причиной игнорирования респондентами данной угрозы. Относительно высокий уровень озабоченности риском финансового мошенничества наблюдался только среди компаний, оказывающих финансовые услуги.

Самые опасные внутренние ИТ-угрозы

рис.6

Отношение респондентов к риску утечки информации коррелирует с распределением ответов на предыдущий вопрос. Чем крупнее организация, тем более актуальной для нее является проблема предотвращения утечки. Это связано с тем, что все важные данные дублируются на резервных накопителях для экстренного восстановления в случае искажения или утраты. С другой стороны, на больших предприятиях затрудняется контроль над обращением информации и существенно возрастает цена утечки. Потеря конфиденциальности влечет за собой материальный и имиджевый ущерб, в особых случаях — риск раскрытия государственной тайны. Эти обстоятельства определяют высокий уровень озабоченности данной проблемой со стороны крупного бизнеса и правительственных организаций.

Искажение или потерю информации легко восстановить из резервной копии. Утечка информации — необратимый процесс. Поэтому ошибка в защите конфиденциальных документов практически неисправима.

Исследование проблемы внутренних ИТ-угроз показало, что российские организации больше всего озабочены утечкой конфиденциальной информации: 98% респондентов поставили этот риск на первое место. Остальные угрозы отстают со значительным разрывом: искажение информации (62%), сбои в работе ИС по причине халатности персонала (15%), утрата информации (7%), кража оборудования (6%), другие (28%).

Пути утечки данных и оценка ущерба

При ответе на вопрос о технических путях утечки конфиденциальной информации мнения респондентов практически совпали. По аналогии с предыдущими вопросами было предложено ранжировать варианты ответов по степени критичности. В результате электронная почта, интернет, сетевые пейджеры и мобильные накопители (компакт-диски, USB-накопители) получили практически одинаковую оценку (80–90%). Остальные источники оказались позади с существенным отставанием (печатающие устройства — 34%, фото-принадлежности (в т.ч. мобильные телефоны с фотокамерами) — 8%). Заметную долю также получил вариант «другие» (51%).

рис.7

Детальное изучение инцидентов внутренней ИТ-безопасности, связанных с утечкой, утратой или искажением информации продемонстрировало весьма тревожный факт: подавляющее большинство респондентов не могут точно определить масштабы этой ИТ-угрозы.

рис.8

67% опрошенных затруднились ответить на поставленный вопрос (рис.8). Более или менее четкий ответ смогли дать лишь 6%, из которых 99% затруднились оценить нанесенный ущерб в финансовых показателях по причине отсутствия системы учета или нежелания терять время. Одновременно, 26% заявило об отсутствии такого рода инцидентов. Однако уточняющий вопрос о возможности существования неучтенных утечек выявил почти 100% латентность (99,4%): такие случаи наверняка имеют место, но остаются неучтенными или намеренно не фиксируются по различного рода причинам.

Защита от утечки данных: миф или реальность?

На фоне высокой степени озабоченности проблемой внутренней ИТ-безопасности буквально шокирует отношение респондентов к защите от этих угроз. В ходе изучения вопроса о номенклатуре используемых средств ИТ-безопасности выяснилось, что среди российских организаций наиболее популярными являются антивирусные программы (используются 100% опрошенных) и межсетевые экраны (68%). Остальные технологии (такие как шифрование, контроль доступа, антиспамовое ПО, VPN) присутствовали в структуре ответов эпизодически. Однако наибольшее удивление вызвал практически нулевой результат в области систем защиты от утечки конфиденциальной информации — ИТ-угрозы, которую большинство респондентов поставило на высшую ступень опасности.

рис.9

Эти данные наглядно показывают разрыв между оценкой критичности угрозы и реальными шагами по ее нейтрализации. Только следующий этап исследования смог внести ясность в эту противоречивую ситуацию. Вопрос о возможных путях защиты от внутренних угроз выявил явное смещение в пользу технических средств защиты: 87% респондентов посчитали, что это является наиболее простым и эффективным способом минимизировать риск утечки информации. Далее с большим отрывом следовали организационные меры (24%), ограничение связи с внешними сетями (17%), тренинги сотрудников (11%), системы физического доступа (6%) и другие способы (26%).

рис.10

Вместе с тем, исследование уже используемых систем защиты еще раз продемонстрировало крайнее пренебрежение угрозой. 68% респондентов в ответе на этот вопрос прямо заявило, что в их организациях вообще отсутствует какая-либо защита от утечки данных.

рис.11

Отдельного внимания заслуживает широкое применение ограничения связи с внешними сетями, прежде всего с интернетом. В первом случае 17% признали это достаточно эффективным средством защиты, а во втором — 15% заявили, что именно он и используется в организации.

Более глубокий анализ этой группы респондентов показал, что почти 100% ответивших оказались представителями государственных организаций. Такой высокий результат объясняется действием Указа Президента РФ #611 от 12 мая 2004 г. «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена». В частности, Указ запрещает российским предприятиям подключать к интернету информационные системы, в которых обрабатывается информация, содержащая государственную тайну, и служебная информация ограниченного распространения.

Чем крупнее организация, тем труднее обеспечить контроль над оборотом информации. В то же время всего одна утечка может привести к банкротству. В таких условиях остается удивляться, почему российские компании до сих пор столь инертны в плане внедрения адекватных средств защиты.

Объяснение на удивление низкого уровня использования технических средств и организационных мер нашлось в ответе на следующий вопрос о препятствиях на пути внедрения систем защиты от внутренних ИТ-угроз. В данном случае респондентам предлагалось выбрать только одну самую значимую причину — таковой оказалось отсутствие специализированных технологических решений (58%). Наиболее распространенная проблема, тормозящая внедрение ИТ — бюджетные ограничения — набрала всего лишь 19% голосов опрошенных. В то же время остальные трудности (нехватка персонала, юридические препятствия, отсутствие стандартов) присутствовали в результатах опроса эпизодически.

Ситуация с системами защиты от утечки данных напоминает перефразированную поговорку: гром грянул, но перекреститься нечем. Специалисты пришли к осознанию угрозы, но специализированных решений почти нет.

Дмитрий Мананников
Помощник Начальника Управления режима
Финансово Консалтинговая Группа «АКЭФ»

С точки зрения исследования наибольший интерес представляет уверенность респондентов в отсутствии технологических решений для защиты от утечки секретных данных. Как показывает анализ конкурентной ситуации, на рынке присутствует несколько достаточно известных продуктов, которые могут минимизировать риск нарушения конфиденциальности информации. При подробном собеседовании с респондентами оказалось, что большинство слышали об этих продуктах, но не представляли возможности их использования для таких специфических целей.

рис.12

Такое положение вещей однозначно указывает на большие перспективы рынка специализированных средств защиты. В условиях недостаточного предложения и большого потенциального спроса наиболее активные игроки смогут быстро занять доминирующее положение в сегменте как в России, так и во всем мире.

Некоторое удивление вызывает и другой результат опроса — низкая озабоченность юридическими препятствиями на пути внедрения систем защиты внутренней ИТ-безопасности. Вместе с тем в европейских странах именно эта проблема вызывает наибольшую обеспокоенность. Защита от утечки информации в любом случае связана с необходимостью сканирования данных пользователей (электронные письма, веб-трафик, файловые операции). Это обстоятельство может вступить в противоречие с действующим законодательством (тайна переписки), если внедрение не будут сопровождать соответствующие организационные меры (принятие политики обращения с электронной конфиденциальной информацией).

Среди технических средств обеспечения защиты от утечки конфиденциальной информации, планируемых к внедрению в течение ближайших 2 лет, респонденты особо выделили системы мониторинга электронной почты (34%) и интернет-трафика (18%). Более крупные организации предпочли внедрение комплексных систем мониторинга сетевых ресурсов, которые помимо означенных также включают контроль над файловыми операциями на уровне рабочих станций. Только 24% опрошенных заявили об отсутствии планов по внедрению специализированных систем защиты, в основном из-за бюджетных ограничений.