Иллюзия безопасности
Создать эффективную комплексную систему защиты данных дешевле, чем устранять последствия от потерь информации. Но большинство компаний над этим даже не задумываются
Когда уволенная под Рождество Маурин Кастенада Раймон решила прихватить на память коробку с обрезками документов, она вряд ли предполагала, что может склеиться из этого конфетти. Но злосчастная коробка вместе с ее содержимым попала к Патрику Даниэльсу из Amalgamated Bank, обрезки были склеены, и миру открылась ужасная тайна одного из многочисленных финансовых партнерств Enron, с помощью которых компания скрывала от акционеров истинные размеры своего долга. Разгоревшийся скандал довел одного из топ-менеджеров корпорации до самоубийства, ускорил банкротство самого Enron, которое стало крупнейшим за всю историю бизнеса, и привел к краху члена "большой пятерки" аудиторов Arthur Andersen, покрывавшего его махинации. Кстати, из Andersen, как выясняется, тоже коробками несли документы.
Конечно, не коробка миссис Раймон стала причиной катастрофы Enron. К тому времени ситуацией в корпорации заинтересовалась уже Комиссия по ценным бумагам. И все же: что хорошего можно сказать об управлении компанией, из которой спокойно выносят строго конфиденциальные документы, пусть они и нашинкованы?
Между тем Enron, хоть и яркий, но, как оказывается, совершенно типичный случай грубейшего нарушения принципов информационной безопасности компании. Исследование, проведенное недавно KPMG, показывает, что многие компании, увы, относятся к информационной безопасности весьма легкомысленно.
Укол зонтиком
В рамках проведенного (совместно с CheckPoint, Symantec и RSA, а также при участии Secure Computing Magazine) исследования, KPMG опросила 641 человека из числа старших менеджеров крупнейших корпораций мира - тех, у кого годовой оборот свыше 50 млн долларов США. Примерно четверть выборки составили госструктуры, 22% - финансовые организации, 26% - компании, работающие в потребительском секторе и 27% - в области информационных технологий и коммуникаций. Это были компании, работающие по всему миру - в Европе и на Ближнем Востоке, в Африке и в странах Азиатско-Тихоокеанского региона, в Северной и Южной Америке. Руководитель управления информационными рисками KPMG Сергей Татарченко говорит, что в исследовании принимали участие и российские компании. И хотя он отказался сообщить их названия, по его словам, общая ситуация в них примерно соответствует тому, что происходит в других крупнейших корпорациях мира. А дела обстоят очень плохо.
Как показало исследование, менее чем в половине опрошенных компаний принципиальные решения по вопросу информационной безопасности принимаются на уровне советов директоров. В остальных ее, по-видимому, считают проблемой битов и байтов, поскольку возложили ее решение на сотрудников отделов информационных технологий. Исключение (и в России и в мире) составляет финансовый сектор, где руководство все же осознает, что информация является основным товаром компании и прорехи в ее защите могут привести к разрушительным последствиям. Но и в этом секторе лишь в 60% компаний информационной безопасностью озаботилось высшее руководство. В четырех же компаниях сообщили, что этой проблемой вообще не занимается никто.
Поскольку руководство большинства компаний спокойно относится к этой проблеме, отделы информационных технологий тоже расслабились. В подавляющем большинстве компаний не ведется учет нарушений информационной безопасности, нет соответствующей отчетности. А в результате руководство, как правило, имеет довольно слабое представление о том, насколько эффективны вложения в защиту. При этом, как подчеркивает Сергей Татарченко, у старших менеджеров нет представления даже о том, являются ли эти вложения недостаточными или избыточными.
Характерно, что пренебрежительное отношение к проблеме информационной безопасности проявляется не только на управленческом уровне, но и в поведении самих руководителей компаний. Очевидно, что нарушения информационной защиты со стороны высших менеджеров компании могут принести ей наибольший ущерб. Но именно высшие менеджеры чаще всего и обходят систему защиты, требуя себе исключительных полномочий в доступе к информации. И она растворяется в многочисленных ноутбуках, PDA и мобильных телефонах, забытых в такси, аэропортах и конференц-холлах. По статистике, эти устройства - одни из самых "забываемых" предметов в мире. Но в отличие, скажем, от зонтика потерянный портативный компьютер может слишком многое рассказать о его владельце и компании, хозяином которой он является.
Что делать?
Хорошая защищенность - миф Девяносто шесть процентов респондентов полагают, что достаточно хорошо защищены от нарушений информационной безопасности. Однако они признали, что в их компаниях:
не проводится тестирование средств информационной безопасности, а значит, нет уверенности, что они окажутся эффективными на практике - 10%;
нет систем обнаружения вторжений - 52%;
не ведется учет нарушений политики информационной безопасности - 65%;
информационные системы в течение последнего года подвергались одной или нескольким атакам - 87%;
менеджеры, ответственные за информационную безопасность, не смогли сообщить сумму, затраченную в течение года на обеспечение информационной безопасности - 57%. |
KPMG советует компаниям не обольщаться на счет возможностей имеющихся средств защиты информации. Для того чтобы оценить эффективность применяемых мер, KPMG рекомендует компаниям в рамках общего аудита пройти и аудит информационной безопасности.
По мнению специалистов KPMG, компаниям следует использовать "комплексный подход, покрывающий все аспекты информационной безопасности". Суть его в том, чтобы все звенья системы информационной безопасности были развиты пропорционально (см. схему), поскольку причинно-следственные связи пронизывают всю систему и сбой хотя бы в одном из ее звеньев может поставить под удар не просто систему безопасности, а весь бизнес компании.
Для того чтобы минимизировать совокупные риски, возникающие вследствие нарушенной информационной безопасности, нужно страховаться от подобных потерь. Этот вид страхования - относительно новый продукт на рынке, но в России уже есть компании, которые его предлагают. В частности, страхование от риска физического уничтожения данных и прочих потерь, связанных с информацией, предлагают "Ингосстрах" и РОСНО.
В числе спонсоров исследования KPMG была компания Symantec - один из мировых лидеров среди поставщиков решений в области безопасности компьютерных систем, а потому трудно избавиться от подозрений в том, что на деле все обстоит не так страшно, как выглядит в докладе. Но, как говорит Сергей Татарченко, в задачу аудиторов не входило кого-то напугать и заставить потратиться. KPMG попробовала определить основные проблемы и оценить готовность компаний эффективно реагировать на новые риски, возникающие в связи с быстрой информатизацией бизнеса.
К цифрам и выводам исследования можно относиться скептически. Но если вы не хотите в один прекрасный день обнаружить на Митинском рынке кассеты с записью ваших переговоров, номерами телефонов и кредитных карточек, хотя бы задумайтесь над тем, что проблема информационной безопасности действительно существует.
Таблица 1. Вирусов и хакеров в компаниях боятся больше всего
| Доля положительных ответов респондентов на вопрос "Какие условия вы считаете наиболее важными для обеспечения информационной безопасности компании?" (%) |
|---|
| Защита от компьютерных вирусов | 22 |
| Защита от хакеров | 21 |
| Контроль удаленного доступа | 17 |
| Безопасность при работе с Интернетом | 10 |
| Конфиденциальность данных | 5 |
| Обучение пользователей | 5 |
| Обеспечение безопасности при взаимодействии с партнерами в ходе электронной торговли | 5 |
| Защита от мошенничества внутри компании | 4 |
| Защита от кражи/потери данных и информации | 4 |
| Другие | 7 |
| Источник: KPMG |
Таблица 2. Десять миллионов долларов потерь
Только прямые убытки компаний от нарушений информационной безопасности составляют в среднем 108 тыс. долларов США в год. Косвенный же ущерб значительно больше
| Инциденты | Доля пострадавших (%) | Количество компаний, сообщивших об инциденте | Потери рабочего времени (дней в году, в среднем) | Средняя величина убытка | Максимальный заявленный убыток (млн долл. в год) |
|---|
| Инциденты, связанные с компьютерными вирусами | 390 | 61 | 68 | 162 | 10 |
| Кражи аппаратного обеспечения | 246 | 38 | 21 | 98 | 3 |
| Взлом систем электронной почты (в т. ч. "спам") | 183 | 29 | 12 | 16 | 0,2 |
| Кражи программного обеспечения | 102 | 16 | 19 | 104 | 3 |
| DOS-атаки (действия, вынуждающие компьютерную систему работать в режиме максимальной нагрузки, что в итоге приводит к ее отказу) | 91 | 14 | 24 | 53 | 0,5 |
| Взлом веб-сайтов | 79 | 12 | 84 | 32 | 0,2 |
| Отказ критических информационных систем | 79 | 12 | 80 | 15 | 4 |
| Потери документов (на бумажных носителях) | 78 | 12 | 11 | 37 | 0,2 |
| Потеря конфиденциальной информации | 35 | 5 | 18 | 197 | 1,5 |
| Искажения входящей и исходящей информации | 23 | 4 | 14 | 14 | 0,1 |
| Источник: KPMG |
24.04.2002
Марина Шпагина
Эксперт, Цифровой мир #2 (18)