СНГ: информационная безопасность бизнеса
СНГ: информационная безопасность бизнеса
По миру одна за другой прокатываются эпидемии компьютерных вирусов. Атаки типа DDoS и действия хакеров-одиночек, использующих дыры в программном обеспечении, надолго выводят из строя важнейшие информационные узлы. Добавьте сюда бесконечный поток спама, неквалифицированные действия сотрудников-"ламеров" и промышленный компьютерный шпионаж — и попытайтесь представить себе, какие убытки несет ежедневно мировой бизнес от нарушения нормальной работы информационных систем, потери жизненноважных данных и множества других проблем, перечислять которые можно практически бесконечно.
Картина "поля битвы"
Понятно, что руководители всех мировых компаний из года в год вынуждены выделять все больше времени и средств для защиты своих информационных систем. Но если в США и Европе это давно стало нормой ведения любого бизнеса, то в странах СНГ руководители очень многих компаний, наоборот, практически не занимаются вопросами стратегии и политики информационной безопасности. А если и занимаются, то основное внимание уделяют решению совсем не тех проблем, которыми озабочены их западные коллеги.
Учитывая растущую роль предприятий постсоветского пространства в мировой экономике, известная компания Ernst & Young провела подробный анализ и сопоставление проблем, мнений и действий по вопросам информационной безопасности компаний стран СНГ в сравнении с ведущими мировыми компаниями. Результатом стала публикация исследования "Международный опрос 2003 года по информационной безопасности. Обзор результатов по странам СНГ". Наиболее интересные моменты из этого исследования мы и хотели бы представить вашему вниманию. Сразу оговоримся, что речь пойдет преимущественно о крупных структурах: банках, производственных, добывающих и перерабатывающих предприятиях, сетях торговли и т.п.
Основные выводы, к которым пришли эксперты Ernst & Young, таковы: проблемы IT-безопасности компаний в странах СНГ достаточно специфичны: в основном это недостаточная системная интеграция, использование устаревшей инфраструктуры и отсутствие комплексного подхода к внедрению средств обеспечения информационной безопасности. Но самые большие сложности все же оказались связаны с неэффективным управлением вопросами информационной безопасности предприятия. Дело в том, что на Западе в последние годы стало практически аксиомой следующее: за IT-безопасность должно отвечать высшее руководство корпорации. Причина — необходимость стратегического управления вопросами информационной безопасности и повышения требований к отказоустойчивости систем. У нас же (в СНГ) все происходит с точностью до наоборот. Как свидетельствуют результаты опроса Ernst & Young, в большинстве компаний из стран СНГ считается, что основную ответственность за обеспечение компьютерной и коммуникационной безопасности должен нести директор по информационным системам (или руководитель отдела IT) либо руководитель службы безопасности. То есть управленцы второго эшелона, непричастные непосредственно к основному бизнесу компании. Такой подход в корне противоречит западной практике, когда ответственность за координацию вопросов безопасности возложена на совет директоров.
Более того: есть еще один весьма тревожный момент. В ходе исследования выяснилось, что лица, ответственные за информационную безопасность предприятия, достаточно редко докладывают высшему руководству о происшествиях, связанных с информационной безопасностью, предпочитая решать возникающие проблемы собственными силами. Как правило, эти сотрудники боятся быть обвиненными в некомпетентности со всеми вытекающими отсюда последствиями. Если обратиться к статистике, то выясняется, что сведения о произошедших IT-инцидентах сразу доводятся до высшего начальства примерно в 40% компаний. Причем это, как правило, компании, специализирующиеся на компьютерных и/или коммуникационных технологиях, либо представительства западных корпораций.
Основная проблема: отказ всего, что может отказать
Исследование, проведенное Ernst & Young, показало, что перед компаниями стран СНГ стоят те же проблемы, связанные с отказами в работе информационных систем, что и перед зарубежными компаниями. Проведенные в странах СНГ опросы показали, что за минувший год более половины из них сталкивались с неожиданными выходами из строя (отказами) важных информационных систем более чем на несколько часов. Можно себе представить последствия даже одного подобного отказа, к примеру, для банка или компании мобильной связи.
В целом же основные причины сбоев в работе важнейших систем распределились следующим образом. На первом месте, что называется, "ноздря в ноздрю", идут отказ аппаратуры и отказ систем связи — по 36%. Чуть отстают сбои в работе программного обеспечения (чаще системного, реже прикладного) — 30%. Ощутимо реже причиной сбоев становятся компьютерные вирусы и черви, хотя доставшиеся им 23% маленькими никак не назовешь. Три другие проблемы: перегрузки системы, операционные ошибки и атаки DDoS, — получили по 14% соответственно. Нарушения со стороны сотрудников — 9% причин сбоев. Все остальные причины в сумме составили 46%. Нетрудно заметить, что общая сумма намного превышает 100% — это связано с тем, что при опросах представители компаний, как правило, называли по несколько основных IT-проблем на своем предприятии.
Казалось бы, приведенная статистика расставляет все по своим местам. Но топ-менеджеры предприятий стран СНГ, тем не менее, почему-то склонны видеть в качестве главной угрозы своим информационным системам компьютерные вирусы, а также внутренние угрозы, вызванные недобросовестными сотрудниками. В их число вошли атаки DDoS и хищения конфиденциальной информации. Однако потеря клиентских данных и доступ сторонних консультантов к IT-системам не считаются почему-то серьезной проблемой.
Кто уверен в себе
Проведенное Ernst & Young исследование также выявило, что следствием многолетней компьютерной отсталости стран СНГ стала нехватка у топ-менеджеров уверенности в уровне обеспечения IT-безопасности своих предприятий. Попросту говоря, руководители ощущают себя малокомпетентными и беззащитными перед "внешней кибернетической угрозой". Только менее половины участников опроса в странах СНГ заявили, что их компании могут достаточно уверенно выявить уязвимые места в своих IT-системах. В большинстве своем они же оценили свой уровень защиты важнейшей деловой информации как соответствующий мировому уровню или просто как достаточный.
Также половина опрошенных уверена, что сможет выявить хакерские атаки на свои информационные системы. Но далеко не все из них уверены в способности своей компании продолжать деятельность в случае хакерской атаки, вирусного поражения или иной экстренной ситуации. И хотя в большинстве компаний разработаны планы обеспечения деятельности в экстренной ситуации, они, очевидно, не являются полными, не протестированы и, соответственно, малоэффективны в реальной кризисной ситуации, связанной с угрозой информационной безопасности.
Интересный факт: компании, ранее уже сталкивавшиеся, например, с проникновением в систему вирусов или атаками хакеров, более уверены в своей безопасности, чем те, у кого подобных проблем прежде не было. Видимо, это как раз та ситуация, когда урок, что называется, "пошел впрок".
На что тратятся деньги
В рассматриваемом нами отчете Ernst & Young говорится буквально следующее: "Решения в области IT-безопасности в СНГ реализуются, в основном, для минимизации рисков, ликвидации уязвимых мест, защиты репутации, создания доверительных отношений с партнерами и соблюдения законодательства. 13% участников опроса в СНГ признали, что они не соблюдают действующие нормативные документы в области безопасности, а еще 27% заявили, что они не обязаны выполнять подобные требования". Не самая лестная оценка, надо признать… Как указывается в исследовании (да это, собственно, и так было понятно), больше всего денег на развитие и защиту своих компьютерных и телекоммуникационных систем тратят компании, сами работающие в сфере информационных технологий, а также компании банковского сектора, финансовые и телекоммуникационные компании.
А вот еще одна малоприятная цитата из доклада Ernst & Young: "Менее 40% участников опроса в СНГ подтвердили, что проводят регулярное обучение среди своих сотрудников по вопросам безопасности информационных технологий. Еще меньше (20%) постоянно проводят соответствующие семинары и инструктажи. При этом в СНГ лишь небольшое число компаний по сравнению с другими странами передает эти функции бизнеса на субподряд или внешнее управление".
Все становится на свои места, если посмотреть на структуру вложения средств в информационную безопасность предприятиями стран СНГ. Больше всего денег уходит на обеспечение непрерывности деятельности и ее восстановление в экстренных ситуациях. Немного меньше — на совершенствование технологий: обновление "железа", коммуникаций и ПО. С большим отрывом следуют затраты на привлечение сторонних консультантов и подрядчиков, а также на наем на работу высококвалифицированных профессионалов. И меньше всего денег тратится на обучение и повышение квалификации собственного персонала. Комментарии тут, как говорится, излишни.
Резюме
Ситуация с обеспечением информационной безопасности компаний стран СНГ далека от идеальной, и даже до западных стандартов в этой области нам еще расти и расти. Тем не менее, прогресс налицо: на IT-безопасность выделяется с каждым годом все больше средств. Также растет спрос на специалистов соответствующего профиля и на услуги специализированных фирм. Косвенно перемены к лучшему подтверждаются еще и тем, что на рынке появляется все больше "защитных" программных продуктов собственной — стран СНГ — разработки. В общем, все не так уж плохо.
К сожалению, проведенное исследование при всей его полезности не дает ответа на один принципиальный вопрос: в какую же "копеечку" влетают сбои IT-систем предприятий экономикам стран СНГ?
Понятно, что подсчитать сумму убытка в данном случае весьма и весьма непросто, но сделать это рано или поздно придется. И, кажется, после опубликования этих данных расходы на IT-безопасность вырастут на порядки.
Денис Лавникевич
По миру одна за другой прокатываются эпидемии компьютерных вирусов. Атаки типа DDoS и действия хакеров-одиночек, использующих дыры в программном обеспечении, надолго выводят из строя важнейшие информационные узлы. Добавьте сюда бесконечный поток спама, неквалифицированные действия сотрудников-"ламеров" и промышленный компьютерный шпионаж — и попытайтесь представить себе, какие убытки несет ежедневно мировой бизнес от нарушения нормальной работы информационных систем, потери жизненноважных данных и множества других проблем, перечислять которые можно практически бесконечно.
Картина "поля битвы"
Понятно, что руководители всех мировых компаний из года в год вынуждены выделять все больше времени и средств для защиты своих информационных систем. Но если в США и Европе это давно стало нормой ведения любого бизнеса, то в странах СНГ руководители очень многих компаний, наоборот, практически не занимаются вопросами стратегии и политики информационной безопасности. А если и занимаются, то основное внимание уделяют решению совсем не тех проблем, которыми озабочены их западные коллеги.
Учитывая растущую роль предприятий постсоветского пространства в мировой экономике, известная компания Ernst & Young провела подробный анализ и сопоставление проблем, мнений и действий по вопросам информационной безопасности компаний стран СНГ в сравнении с ведущими мировыми компаниями. Результатом стала публикация исследования "Международный опрос 2003 года по информационной безопасности. Обзор результатов по странам СНГ". Наиболее интересные моменты из этого исследования мы и хотели бы представить вашему вниманию. Сразу оговоримся, что речь пойдет преимущественно о крупных структурах: банках, производственных, добывающих и перерабатывающих предприятиях, сетях торговли и т.п.
Основные выводы, к которым пришли эксперты Ernst & Young, таковы: проблемы IT-безопасности компаний в странах СНГ достаточно специфичны: в основном это недостаточная системная интеграция, использование устаревшей инфраструктуры и отсутствие комплексного подхода к внедрению средств обеспечения информационной безопасности. Но самые большие сложности все же оказались связаны с неэффективным управлением вопросами информационной безопасности предприятия. Дело в том, что на Западе в последние годы стало практически аксиомой следующее: за IT-безопасность должно отвечать высшее руководство корпорации. Причина — необходимость стратегического управления вопросами информационной безопасности и повышения требований к отказоустойчивости систем. У нас же (в СНГ) все происходит с точностью до наоборот. Как свидетельствуют результаты опроса Ernst & Young, в большинстве компаний из стран СНГ считается, что основную ответственность за обеспечение компьютерной и коммуникационной безопасности должен нести директор по информационным системам (или руководитель отдела IT) либо руководитель службы безопасности. То есть управленцы второго эшелона, непричастные непосредственно к основному бизнесу компании. Такой подход в корне противоречит западной практике, когда ответственность за координацию вопросов безопасности возложена на совет директоров.
Более того: есть еще один весьма тревожный момент. В ходе исследования выяснилось, что лица, ответственные за информационную безопасность предприятия, достаточно редко докладывают высшему руководству о происшествиях, связанных с информационной безопасностью, предпочитая решать возникающие проблемы собственными силами. Как правило, эти сотрудники боятся быть обвиненными в некомпетентности со всеми вытекающими отсюда последствиями. Если обратиться к статистике, то выясняется, что сведения о произошедших IT-инцидентах сразу доводятся до высшего начальства примерно в 40% компаний. Причем это, как правило, компании, специализирующиеся на компьютерных и/или коммуникационных технологиях, либо представительства западных корпораций.
Основная проблема: отказ всего, что может отказать
Исследование, проведенное Ernst & Young, показало, что перед компаниями стран СНГ стоят те же проблемы, связанные с отказами в работе информационных систем, что и перед зарубежными компаниями. Проведенные в странах СНГ опросы показали, что за минувший год более половины из них сталкивались с неожиданными выходами из строя (отказами) важных информационных систем более чем на несколько часов. Можно себе представить последствия даже одного подобного отказа, к примеру, для банка или компании мобильной связи.
В целом же основные причины сбоев в работе важнейших систем распределились следующим образом. На первом месте, что называется, "ноздря в ноздрю", идут отказ аппаратуры и отказ систем связи — по 36%. Чуть отстают сбои в работе программного обеспечения (чаще системного, реже прикладного) — 30%. Ощутимо реже причиной сбоев становятся компьютерные вирусы и черви, хотя доставшиеся им 23% маленькими никак не назовешь. Три другие проблемы: перегрузки системы, операционные ошибки и атаки DDoS, — получили по 14% соответственно. Нарушения со стороны сотрудников — 9% причин сбоев. Все остальные причины в сумме составили 46%. Нетрудно заметить, что общая сумма намного превышает 100% — это связано с тем, что при опросах представители компаний, как правило, называли по несколько основных IT-проблем на своем предприятии.
Казалось бы, приведенная статистика расставляет все по своим местам. Но топ-менеджеры предприятий стран СНГ, тем не менее, почему-то склонны видеть в качестве главной угрозы своим информационным системам компьютерные вирусы, а также внутренние угрозы, вызванные недобросовестными сотрудниками. В их число вошли атаки DDoS и хищения конфиденциальной информации. Однако потеря клиентских данных и доступ сторонних консультантов к IT-системам не считаются почему-то серьезной проблемой.
Кто уверен в себе
Проведенное Ernst & Young исследование также выявило, что следствием многолетней компьютерной отсталости стран СНГ стала нехватка у топ-менеджеров уверенности в уровне обеспечения IT-безопасности своих предприятий. Попросту говоря, руководители ощущают себя малокомпетентными и беззащитными перед "внешней кибернетической угрозой". Только менее половины участников опроса в странах СНГ заявили, что их компании могут достаточно уверенно выявить уязвимые места в своих IT-системах. В большинстве своем они же оценили свой уровень защиты важнейшей деловой информации как соответствующий мировому уровню или просто как достаточный.
Также половина опрошенных уверена, что сможет выявить хакерские атаки на свои информационные системы. Но далеко не все из них уверены в способности своей компании продолжать деятельность в случае хакерской атаки, вирусного поражения или иной экстренной ситуации. И хотя в большинстве компаний разработаны планы обеспечения деятельности в экстренной ситуации, они, очевидно, не являются полными, не протестированы и, соответственно, малоэффективны в реальной кризисной ситуации, связанной с угрозой информационной безопасности.
Интересный факт: компании, ранее уже сталкивавшиеся, например, с проникновением в систему вирусов или атаками хакеров, более уверены в своей безопасности, чем те, у кого подобных проблем прежде не было. Видимо, это как раз та ситуация, когда урок, что называется, "пошел впрок".
На что тратятся деньги
В рассматриваемом нами отчете Ernst & Young говорится буквально следующее: "Решения в области IT-безопасности в СНГ реализуются, в основном, для минимизации рисков, ликвидации уязвимых мест, защиты репутации, создания доверительных отношений с партнерами и соблюдения законодательства. 13% участников опроса в СНГ признали, что они не соблюдают действующие нормативные документы в области безопасности, а еще 27% заявили, что они не обязаны выполнять подобные требования". Не самая лестная оценка, надо признать… Как указывается в исследовании (да это, собственно, и так было понятно), больше всего денег на развитие и защиту своих компьютерных и телекоммуникационных систем тратят компании, сами работающие в сфере информационных технологий, а также компании банковского сектора, финансовые и телекоммуникационные компании.
А вот еще одна малоприятная цитата из доклада Ernst & Young: "Менее 40% участников опроса в СНГ подтвердили, что проводят регулярное обучение среди своих сотрудников по вопросам безопасности информационных технологий. Еще меньше (20%) постоянно проводят соответствующие семинары и инструктажи. При этом в СНГ лишь небольшое число компаний по сравнению с другими странами передает эти функции бизнеса на субподряд или внешнее управление".
Все становится на свои места, если посмотреть на структуру вложения средств в информационную безопасность предприятиями стран СНГ. Больше всего денег уходит на обеспечение непрерывности деятельности и ее восстановление в экстренных ситуациях. Немного меньше — на совершенствование технологий: обновление "железа", коммуникаций и ПО. С большим отрывом следуют затраты на привлечение сторонних консультантов и подрядчиков, а также на наем на работу высококвалифицированных профессионалов. И меньше всего денег тратится на обучение и повышение квалификации собственного персонала. Комментарии тут, как говорится, излишни.
Резюме
Ситуация с обеспечением информационной безопасности компаний стран СНГ далека от идеальной, и даже до западных стандартов в этой области нам еще расти и расти. Тем не менее, прогресс налицо: на IT-безопасность выделяется с каждым годом все больше средств. Также растет спрос на специалистов соответствующего профиля и на услуги специализированных фирм. Косвенно перемены к лучшему подтверждаются еще и тем, что на рынке появляется все больше "защитных" программных продуктов собственной — стран СНГ — разработки. В общем, все не так уж плохо.
К сожалению, проведенное исследование при всей его полезности не дает ответа на один принципиальный вопрос: в какую же "копеечку" влетают сбои IT-систем предприятий экономикам стран СНГ?
Понятно, что подсчитать сумму убытка в данном случае весьма и весьма непросто, но сделать это рано или поздно придется. И, кажется, после опубликования этих данных расходы на IT-безопасность вырастут на порядки.
Денис Лавникевич
Компьютерная газета. Статья была опубликована в номере 38 за 2003 год в рубрике безопасность :: разное