Во время работы над этим спецвыпуском редакция PCWeek обнаружила: мнения представителей крупных компаний-производителей и интеграторов и потребителей в отношении проблемы ИТ-безопасности не совпадают. В рамках исследования значимости разнообразных видов угроз, с которыми сталкиваются отечественные компании, мы провели опрос руководителей ИТ-служб и подразделений этих компаний.
![]() Так руководители ИТ-лужб оценивают угрозы информационной безопасности |
Было предложено поставить каждой разновидности угроз определенный балл, соответствующий степени важности этой угрозы с точки зрения функционирования конкретного предприятия. Результаты опроса мы попросили прокомментировать ведущих отечественных экспертов в этой области. Приведенное ниже исследование не претендует на истину в последней инстанции, однако тенденции, которые оно отображает, по мнению экспертов, соответствуют действительности.
Владислав Радыш, менджер корпоративных проектов компании Cisco:
Результаты проведенного PCWeek/UE опроса среди руководящего звена ИТ-компаний относительно оценки угроз информационной безопасности совпадают с результатами аналогичных опросов, проводимых нами и другими аналитическими компаниями. ущественное отличие касается вопроса о шпионском ПО: респонденты PCWeek/UE с большим вниманием относятся к этой угрозе.
Создание такого ПО превратилось в целую индустрию, обслуживающую участников конкурентных рынков. В нашей стране эта проблема затрагивает как финансовый, так и индустриальный секторы экономики. В отдельных случаях шпионское ПО пишется чуть ли не специально для определенных организаций.
Следует отметить, что западные наши коллеги оценивают степень угроз информационной безопасности значительно выше. Это, вероятно, связано с ограниченностью средств контроля и мониторинга, доступных нашим ИТ-службам. Кроме того, показатели допуска приемлемости проблем в наших сетях выше.
Например, простой телефонной сети может быть замечен в течение 2–5 минут, простой же сети компьютерной — только в течение 10–15 минут. Как результат — кратковременные сбои или нарушения доступности информации не принимаются во внимание при оценке критичности тех или иных типов атак.
Очень высока оценка неумышленного вреда. Вероятно, к этому критерию респондентами были отнесены и ошибки администраторов. Однако традиционно этот фактор (ошибок администраторов) ниже значимости фактора аппаратных сбоев. На самом деле больше внимания должно уделяться политикам администрирования, предполагающим наличие средств и методик контроля действий администраторов.
Ошибочность оценок умышленного и неумышленного вреда частично объясняется отсутствием или формальным подходом к построению модели поведения нарушителя при формировании политики безопасности.
Низкая оценка проблем, связанных с мобильными устройствами, объяснима: подход к формированию безопасной инфраструктуры при подключении мобильных компьютеров и карманных ПК остается крайне поверхностным. Недостаточно внимания уделяется также безопасности беспроводных сетей. Западные эксперты угрозы, связанные с мобильными устройствами, оценивают в два раза выше.
Проблема спама не оценивалась бы столь остро в случае введения определенных внутренних политик на ограничения обмена данными и внедрении аппартно-программных средств анализа контента и ликвидации спама.
Александр Щонхор, начальник отдела ИТП S&T Софт-Троник:
![]() Александр Щонхор |
Безусловно, данное мнение является результатом того неутешительного опыта, который был накоплен с конца 80-х годов XX столетия мировым сообществом ИТ как в борьбе с компьютерными эпидеиями, так и в попытках повлиять на условия или очаги их зарождения.
Следует также согласиться, что прогрессирующая тенденция информационной взаимосвязи и взаимовлияния различных информационно-вычислительных сред и КИС будет способствовать образованию новых уязвимостей, являющихся благодатной почвой для успешного проявления компьютерных вирусов и сетевых червей.
Однако развитие технологий (к примеру, таких как межсетевые экраны с уровнем защиты приложений) и решений по антивирусной безопасности губительно для компьютерных вирусов и червей.
Практика проработки и применения подобного рода решений позволяет обоснованно утверждать: вероятность возникновения любого проявления деятельности компьютерных вирусов и сетевых червей в КИС понижается. При этом необходимо соблюдение двух основополагающих условий:
• технологичность решений (подразумевается их продуктивность и способность обеспечить высокий уровень поддержки);
• комплексное применение антивирусных решений и межсетевых экранов.
Комплексность применяемых решений и подходов обеспечивает полный контроль и предотвращение несанкционированной деятельности вредоносного кода по всем возможным каналам приёма и обработки информации в КИС.
Применение данного подхода позволяет обеспечивать стабильность и продуктивность функционирования КИС, существование компьютерных вирусов и сетевых червей внешних информационных сред определяется исключительно по периодическим отчётам средств контроля информационной безопасности.
Возвращаясь к результатам проведённого статистического опроса по оценке угроз информационной безопасности КИС, хочется отметить высокий уровень оценки неумышленного и умышленного вреда, а также аппаратных сбоев.
Действительность стоит воспринимать такой, какая она есть. Человеческий фактор угрозы, равный или превышающий технологический, чрезвычайно актуален. Поэтому необходимо акцентировать внимание общественности на правилах “лучшей практики”, изложенных в основных международных стандартах информационной безопасности. Применение данных правил, а самое главное — соблюдение непрерывности процессов контроля информационной безопасности, помогут достичь в компаниях необходимого уровня ответственности каждого служащего.
Александр Скуртул, консультант департамента ИT-косалтинга корпорации “Инком”:
Проведенный среди руководителей больших компаний опрос по оценке существующих угроз информационной безопасности показал: наибольшей угрозой считаются вирусы (приблизительно 71% опрошенных подтвердили это). Угрозам от мобильных устройств респонденты придают меньше значения (всего 15% опрошенных). Хотелось бы отметить, что опрашиваемые мало осведомлены о других не менее важных угрозах.
Активность крупных вирусных эпидемий и массовых атак в сети интернет постепенно снижается. Это довольно дорогое удовольствие для их организаторов и в большинстве случаев неэффективное.
Мобильные вирусы и черви одна из главных угроз будущего, поскольку именно мобильные технологии распространяются сейчас наиболее активно. Достаточно назвать только 2 примера. В феврале этого года в Санта-Монике (США) зафиксированы случаи заражения мобильных телефонов на витрине магазина. Расследование показало, что заражение произошло от обычного прохожего, шедшего мимо с инфицированным аппаратом.
Сегодня внутренние угрозы являются одной из наиболее актуальных проблем ИБ. Неправомерные действия сотрудников самих организаций причиняют наибольший вред, однако руководители не уделяют этому должного внимания (95% средств, выделяемых на ИБ, тратится на обеспечение безопасности от внешних атак). Значительным ущербом от неправомерных действий пользователей является нарушение конфиденциальности данных, приводящее к утечке информации.
Наибольший вред — 80% случаев утечки — происходит случайно, часто из-за неаккуратного обращения пользователей (к сожалению, значимость таких угроз признают только 44% опрошенных респондентов), и 15% — это целенаправленные неправомерные действия сотрудников (41% опрошенных признали значимость угрозы).
47% опрошенных респондентов с опаской относятся к червям, остальные же 53% не придают этому большого значения. Это говорит о малой осведомленности высшего руководства и необходимости обучения всех сотрудников компаний. В настоящее время эпидемии почтовых червей происходят значительно реже. Это объясняется активной деятельностью антивирусных компаний, однако на замену почтовым червям приходят черви для интернет-пейджеров и файлообменных сетей, защищенных гораздо хуже современных почтовых программ.
Опасность шпионского ПО (его боятся 44% опрошенных респондентов) и спама (41%) также пока надлежащим образом не оценивается руководством компаний. По данным ведущих провайдеров, ущерб от спама только в России в 2004 г. составил 150–200 млн. евро. Доля спама среди всех сообщений, пересылаемых на данный момент по электронной почте, оценивается разными экспертами по-разному, в основном — от 70% до 90%. В последнее время спам распространился и в системах “интернет-пейджинга”, прежде всего в ICQ.
Из-за недостаточной осведомленности руководства (38% придали значение угрозе) угрозы сбоя оборудования (DoS-атака “отказ в обслуживании”) являются одной из наиболее распространенных проблем современного интернета. Это услуга, которую можно заказать у компьютерных преступников за сравнительно небольшие деньги. Стоимость ее может составлять несколько сотен долларов, а ущерб оказывается огромным. Уже встречаются даже случаи шантажа подобными атаками. Не было еще ни одной компании, которая могла бы справиться с ней в одиночку. В качестве жертв таких атак можно назвать Amazon, eBay, Microsoft, SCO.
Не стоит также забывать о новых угрозах, таких как фишинг и фарминг, которые уже серьезно заявили о себе в Интернете. Суть сводится к перенаправлению (в фарминге автоматическое перенаправление) пользователей на фальшивые сайты, где пользователи рискуют сообщить преступникам информацию сугубо конфиденциального характера.
Ознакомление всего персонала компаний с проблемами информационной безопасности и способами их устранения, а также следование регламентам политики безопасности могут максимально минимизировать ущерб компании.
Дмитрий Петращук, отдел информационной безопасности компании “БМС-Консалтинг”:
![]() Дмитрий Петращук |
Концентрируя свое внимание только на проблеме вирусов, ИТ-директора рассуждают примерно так: “Самое опасное, что с нами может случиться, — вирусы, а антивирус у нас уже есть. Значит все в порядке”. Однако на самом деле те, кто опасается вирусов и червей, скорее всего, уже защищены от них, но не защищены от множества других угроз.
Мнения относительно проблем информационной безопасности в организациях очень различны. Так, по нашим наблюдениям, для банков самой большой угрозой является умышленный и неумышленный вред, который может привести к несанкционированному изменению платежных баз данных, сбою или утечке информации. Для телекоммуникационных компаний самую большую угрозу составляют аппаратные сбои, сетевые атаки и спам. Для государственных организаций на первое место всегда выходит угроза неумышленного вреда, причиняемого сотрудниками, ИТ-квалификация которых, как правило, достаточно низкая. И, наконец, в индустриальном секторе наибольшую критичность имеют угрозы, связанные с утечкой технологической и конструкторской документации.
Своеобразным индикатором состояния систем защиты на украинских предприятиях является низкая оценка угрозы от использования мобильных устройств. Следствием реализации этой угрозы всегда является утечка конфиденциальной информации.
Причем отследить факт такой утечки классическими средствами и способами практически невозможно. Проблема в том, что во многих организациях просто нет определенности с понятием “конфиденциальная информация”. Многие ИТ-директора считают, что конфиденциальной информации в организации вообще нет, и разглашение любых данных о деятельности компании вреда не принесет. Стало быть, защищаться незачем. Другим фактором является частое отсутствие в системе безопасности адекватных средств мониторинга и обнаружения несанкционированных действий пользователей.
Данное исследование является очень важным, так как помогает специалистам по защите информации лучше понимать, на чем нужно концентрироваться в первую очередь.