Нарушения ИБ. Интернет и безопасность корпоративного информационного пространства

Нарушения ИБ. Интернет и безопасность корпоративного информационного пространства

Результаты опроса

М.С.Савельев
Заместитель директора по маркетингу
Компании "Информзащита"

Эффективная стратегия защиты корпоративной информационной среды (ИС) требует не только стремления к обеспечению всесторонней безопасности сети компании, но и анализа настоящего положения дел в этой области и оценки предпринимаемых действий для анализа существующих рисков и предупреждения нарушений. Результаты исследования, проведенного журналом "Information Security/Информационная безопасность", могут оказаться полезными для изучения проблем информационной безопасности (ИБ) компании.

Результаты данного опроса красноречиво свидетельствуют о том, что основная угроза безопасности корпоративного информационного пространства исходит именно изнутри компании.

"Гигиена" информационной системы компании

Практически никто из опрошенных не сталкивался со значительными нарушениями ИБ компании со стороны внешних злоумышленников (рис. 1). Половина респондентов утверждает, что на их памяти не случалось попыток проникновения в корпоративную ИС извне. Правда, для абсолютно точного заключения было бы интересно учитывать и еще один факт: имеют ли компании, участвующие в опросе, средства для обнаружения и предотвращения внешних атак, но такой вопрос не был задан.

В повседневной практике довольно часто приходится сталкиваться с тем, что, невзирая на наличие в своем арсенале средств защиты, отделы ИБ компаний и организаций не в состоянии успешно их эксплуатировать. Косвенным подтверждением тому служит картина ответов на вопрос "Насколько развито управление системой обеспечения ИБ?" (рис. 2): неэффективно используется даже такое "гигиеническое" средство защиты, как антивирус. В компаниях почти пятой части респондентов не осуществляется настройка опций автоматического обновления антивирусных баз – этот вопрос отдается на откуп пользователям. Отсюда совершенно очевидно следующее: руководство и IT-специалисты компаний-респондентов могут просто не подозревать о том, какие события происходят в их системах. К слову, современные угрозы, такие, как, например, бот-вирусы, можно обнаружить лишь по едва уловимым признакам, а точнее – только путем анализа тщательно настроенных средств защиты.

Самый опасный нарушитель – пользователь

Вопреки весьма расхожим в 2006 г. утверждениям об огромной опасности, исходящей от инсайдерских угроз, опрос журнала показал, что большая часть инцидентов в реальном опыте специалистов по ИБ – это неумышленные, непреднамеренные действия пользователей (рис. 3). Фактически пользователи нарушают установленные в организации правила использования корпоративной ИС, незлонамеренно совершив то или иное действие (рис. 4). Причем характерно, что правила поведения в области ИБ для сотрудников компаний предусмотрительно описаны (рис. 2) и в политике по информационной безопасности, и в обязанностях сотрудников, и в прочих документах. Несмотря на засвидетельствованное участниками анкетирования наличие в их компаниях специальных инструкций и документов по ИБ, имеет место множество нарушений безопасности из-за неосведомленности пользователей.

Не происходит ли это потому, что требования документов по ИБ до сотрудников не доводятся? Вответе на вопрос " Как сотрудники Вашей компаний узнают о своих обязанностях в области соблюдения ИБ?" (рис. 5), 15% респондентов заявили, что подобные требования существуют лишь на бумаге, и сотрудников организаций о них никак не информируют. Регулярные тренинги в области защиты информации проводятся лишь в пятой части опрошенных компаний. В подавляющем же большинстве случаев специалисты по ИБ несколько самонадеянно полагают, что сотрудники каким-то образом самостоятельно должны овладеть содержимым нормативных документов по безопасности. Смею утверждать, что даже ознакомление "под роспись" не дает никакого эффекта: мы все привыкли формально подписываться под инструкциями по технике безопасности, не вникая в их суть. Нередко и вовсе обходится без такового.

В погоне за тремя зайцами

Чем же для нас чреваты 10% выявленных нарушений? Судя по равномерному распределению ответов на вопрос "Охарактеризуйте важность корпоративной информации" (рис. 6), немногие из специалистов по ИБ действительно разбираются в сущности защищаемого бизнеса. Конечно, и сам вопрос задан несколько прямолинейно, но в практике довольно часто приходится сталкиваться с тем, что в погоне за тремя зайцами (целостностью, конфиденциальностью и доступностью) многие готовы ловить не то, что критично, а то, "кого легче поймать". Порой такие попытки начинают терять связь со здравым смыслом: в какой-то момент все силы службы безопасности затрачиваются на ограничение возможности использовать USB-носители, и при этом никак не контролируются электронная почта, факсы, принтеры и другие средства, позволяющие отправить информацию за пределы организации. Проблемы восстановления информации и работоспособности системы в случае сбоя вообще остаются без внимания. А между прочим это одна из главных угроз, если доверять результатам ответов на вопрос: "Укажите типы пользования информационными ресурсами компании сотрудниками с нарушением установленных режимов в прошлом году?" (рис. 4).

Не таким ли непониманием объясняется выявленное опросом противоречие: несмотря на огромное значение, которое руководство компаний придает вопросам безопасности (рис. 7), увеличить финансирование на обеспечение ИБ и совершенствовать системы защиты TOP-менеджеры не спешат (рис. 8).

Специалисты по безопасности "в собственном соку"

Из исследования совершенно очевидно, что многие специалисты по безопасности "варятся в собственном соку": отвечая на вопрос "К каким мерам по управлению и экспертизе ИБ обращалась Ваша компания за прошедший год?" (рис. 9), только 12,5% опрошенных заявили о том, что пользуются услугами и консультациями профессиональных консультантов по безопасности. Еще чуть более 6% обращаются к мировым стандартам и практикам. Остальные предпочитают сверять действительность лишь с собственным опытом и опытом своих коллег. Следует особо отметить тот факт, что значительная часть опрошенных уверена: количество инцидентов, связанных с ИБ, в будущем будет только расти, и выявлять их станет сложнее (рис. 10). Однако большинство респондентов надеются на некоторую панацею, на палочку-выручалочку в виде какого-то высокотехнологичного решения, которое спасет их от надвигающейся опасности. Отрадно констатировать, что основные надежды связываются именно с правильным выстраиванием и управлением процессами защиты. И это подтверждает наблюдаемый сегодня рост интереса к принимаемым международным стандартам по безопасности. Современные специалисты осознанно стремятся использовать рекомендации стандартов в повседневной деятельности.