Введение
Программы обмена мгновенными сообщениями (IM - Instant Messaging), изначально рассчитанные на домашних пользователей, сегодня стали полноценным инструментом бизнес-коммуникаций. Зачастую, общение с помощью популярных IM-клиентов позволяет добиться более тесных и дружественных контактов, нежели использование традиционных способов связи, таких как телефон или электронная почта. Однако наряду с очевидными достоинствами, IM-программы имеют и ряд недостатков - они отвлекают служащих от своей основной деятельности и, что более важно, являются потенциальной брешью в системе безопасности предприятия.
Угрозы, связанные с IM-технологиями, достаточно разнообразны. Во-первых, существует масса вредоносных программ, атакующих пользователей тех или иных IM-протоколов. Во-вторых, уязвимости в программах-клиентах могут служить прекрасной мишенью для хакерских нападений. И, в-третьих, через IM-сети постоянно передается конфиденциальная информация, которую достаточно легко перехватить. Ну а если в вашей компании появился инсайдер, то эту информацию не надо даже перехватывать - ему вполне достаточно просто выслать своему внешнему контакту по IM-клиенту.
Настоящее исследование посвящено изучению рисков, которые возникают в компаниях при использовании IM-клиентов, а также тому, как организации реагируют на эти риски. Основная цель исследования - определить угрозы ИТ-безопасности, связанные с применением IM-программ в российских компаниях, и предложить наиболее эффективные методы защиты от них.
Основные выводы
* Подавляющее большинство (92,4%) респондентов признают опасность IM-технологий, но практически каждый второй (48,6%) на практике бездействует и полностью игнорирует возникающие риски ИТ-безопасности.
* Основная угроза, возникающая при использовании IM-клиентов, это утечка конфиденциальной информации (42,3%), что совершенно справедливо: каждый четвертый респондент (24,5%) согласился, что постоянно пересылает классифицированные сведения через IM-клиент, а еще 15,8% затруднились дать однозначный ответ.
* Почти половинка компаний (41, 4%), защищающихся от IM-угроз, используют блокировку трафика, а почти треть (27,0%) - административные ограничения. Таким образом, респонденты предпочитают запрещать IM-трафик, вместо того, чтобы контролировать это эффективное средство коммуникации.
* Лишь чуть больше половины (57,9%) респондентов, использующих блокировку трафика, считают эту меру эффективной. Напротив, три четверти компаний уверены, что административные ограничения (74,7%) и мониторинг IM-трафика (78,9%) являются эффективным средством защиты от IM-угроз.
* Несмотря на высокие риски, компании малого бизнеса (до 100 рабочих станций) на 23,8% реже используют специальные средства для защиты от IM-угроз, нежели крупные корпорации (более 501 пользователя). Последние защищаются также далеко не всегда - меры принимаются только в 66,8% случаев.
Методология исследования
Исследование проводилось в период с 1 мая по 1 июня 2007 года. В процессе сбора первичных статистических данных участвовал 1101 респондент из различных стран, заполнивших онлайн-анкеты (см. приложение) на портале SecurityLab.ru. Вопросы, приведенные в анкете, были адресованы, прежде всего, профессиональной аудитории SecurityLab.ru, которая традиционно состоит из опытных специалистов в области информационных технологий и информационной безопасности.
Отметим, что первое российское исследование, посвященное безопасности IM-клиентов в корпоративной среде, было проведено аналитическим центром InfoWatch в середине 2005 года («Интернет-пейджеры: брешь внутренней безопасности или будущее средство бизнес-коммуникакий?»). Несмотря на то, что база респондентов в прошлом и настоящем исследованиях значительно отличаются, некоторые параллели между ними провести все-таки можно. Поэтому, сравнивая нынешние результаты с показателями двухлетней давности, аналитический центр InfoWatch будет останавливаться только на самых общих тенденциях.
Приведенные ниже данные являются округленными до десятых долей целых чисел. В некоторых случаях сумма долей ответов превосходит 100% из-за использования многовариантных вопросов.
Потрет респондент
На рис. 1 представлен портрет респондентов по количеству компьютеризированных рабочих мест в организации. Наибольшая часть опрошенных сотрудников работают преимущественно в малых компаниях (61,3%), имеющих не более 100 рабочих станций. На долю среднего бизнеса (101-500 компьютеризированных мест) пришлось 21,7%. Оставшаяся часть респондентов (17,0%) представляет, соответственно, крупный бизнес. В дальнейшем результаты опроса будут сегментированы в зависимости от размеров бизнеса респондентов.
Используемые IM-клиенты
Согласно результатам исследования (рис. 2), подавляющее большинство пользователей (74,3%) используют сервис ICQ, что свидетельствует о высокой популярности данной программы в России. Правда, более половины (54,3%) респондентов применяют не только ICQ, но и другие IM-программы, а значит, несколько увеличивают вероятность возможных рисков. По сравнению с результатами двухлетней давности, ситуация практически не изменилась: IM-клиенты не используют 12,8% опрошенных, причем влияние отличий в базе респондентов на этот фактор можно считать несущественным.
Таким образом, технологии IM стали полноценным средством бизнес-коммуникации. Версия об их возможном отмирании в связи с проблемами безопасности не выдержала проверки временем. Бизнес-выгода, которую приносит использование IM, настолько велика, что абсолютное большинство компаний готовы применять IM-клиенты, невзирая на их очевидную незащищенность. Последний тезис прекрасно понимают и злоумышленники, что неизбежно приведет к распространению вредоносных программ, эксплуатирующих уязвимости пейджеров. Не стоит забывать и о внутренних угрозах - то есть, об инсайдерах, использующих IM-каналы.
Влияние IM на ИТ-безопасность
На рис. 3 приведена диаграмма, демонстрирующая основные угрозы, возникающие в связи с применением IM-программ. Нетрудно заметить, что в списке угроз лидирует утечка конфиденциальной информации, которую отметили 42,3% опрошенных. Риски, связанные с вирусными атаками и нецелевым использованием ИТ-ресурсов, набрали примерно по 20% голосов, спам и реклама - по 10,0%. Отметим, что только 7,6% респондентов считают, что использование IM-клиентов полностью безопасно.
Следующий вопрос исследования касался наиболее серьезной угрозы IM - утечки конфиденциальной информации (рис. 4). Как выяснилось, только 59,7% респондентов уверены в том, что они никогда не пересылают классифицированную информацию по IM-каналам, а 24,5% опрошенных, напротив, периодически ее пересылают. Рискнем предположить, что реальное количество людей, занимающихся подобными вещами, гораздо выше - многие попросту не хотят в этом себе признаться.
Регламенты и политик
Введение различных политик и регламентов является, наверное, самым простым способом снижения рисков от использования IM-программ. Тем не менее, 62,0% респондентов представляют компании, которые таких регламентов не имеют. Более того, лишь у 14,9% респондентов действие политик можно считать эффективным. Данные, говорящие о применении политик на предприятиях, приведены на следующей диаграмме (рис. 6)
В таб. 1 показана зависимость факта использования политик от размера организации-респондента. Нетрудно заметить, что чем больше компания - тем выше вероятность наличия регламента и его эффективного применения. Вместе с тем, с точки зрения малого бизнеса опасность утечек может оказаться даже выше - если крупная корпорация потерпит убытки и восстановится, то небольшая компания рискует стать банкротом после кражи всего нескольких важных документов.
Таб. 1. Эффективность политик в компаниях различного размера
|
Малый бизнес |
Средний бизнес |
Крупный бизнес |
Политика отсутствует |
69,2% |
61,9% |
39,5%
|
Политика действует эффективно |
9,3% |
18,0% |
28,1% |
Политика есть, но он не имеет никакой силы |
10,9% |
11,1% |
13,7% |
Затрудняюсь ответить |
10,6% |
9,0% |
18,7% |
Исходя из полученных данных, напрашиваются два основных вывода. Во-первых, эффективный регламент значительно (примерно в два раза) снижает риск утечки, однако не исключают его полностью. Во-вторых, наличие неэффективного регламента не только не снижает, но и даже повышает вероятность пересылки конфиденциальных данных. Поэтому, если организация хочет ввести регламент использования IM-программ - то она должна позаботиться об его эффективности.
Защита от IM-угроз на практике
Остальные способы защиты от IM-угроз приведены в диаграмме на рис. 6. Из полученных данных следует, что практически половина компаний (46,6%) никак не защищаются IM-угроз, а среди использующихся методов преобладают запретительные меры (блокировка трафика). Чисто контролирующие меры (мониторинг) пока не получили широкого распространения - по всей видимости, их внедрение сопряжено с техническими проблемами и сопротивлением пользователей.
Как и следовало ожидать, крупные организации принимают различные меры защиты от IM-угроз гораздо чаще. Огорчает другое - прирост наблюдается в основном за счет строго запретительных мер таких, как блокировка трафика. Применение контролирующих мер, напротив, находится во всех компаниях примерно на одном и том же низком уровне (8-10%).
По мнению экспертов аналитического центра InfoWatch, сегодня существуют инструменты, позволяющие эффективно применять контролирующие меры, такие как мониторинг и архивирование трафика. Складывая всю информацию в хранилище, организация существенно снижает вероятность утечки. Пользователи понимают, что пересылаемая информация где-то сохраняется, поэтому ведут себя осмотрительно. Ну а в тех случаях, когда утечка все-таки произошла, заархивированные данные помогут найти злоумышленника. Наконец, создание IM-архива является обязательным условием ряда нормативных актов и международных стандартов.
Таб.3. Корреляция между мерами защиты и размером фирмы-респондента
|
Малый бизнес
|
Средний бизнес
|
Крупный бизнес
|
Административные ограничения |
13,0% |
14,7% |
14,9% |
Блокировка трафика |
16,5% |
29,4% |
30,2% |
Мониторинг |
8,1% |
7,2% |
9,9% |
Архивирование |
0,6% |
1,9% |
2,2% |
Другие меры |
5,8% |
6,2% |
10,6% |
Никакие меры не применяются |
56,0% |
40,6% |
32,2% |
В таб. 4 находятся данные, демонстрирующие зависимость применяемых мер от наиболее опасных угроз. Из полученных результатов следует сразу несколько основных выводов. Во-первых, административные меры и блокировка трафика являются некими универсальными способами защиты от большинства IM-угроз. Во-вторых, применение мониторинга наиболее разумно в тех случаях, когда основной риск для вашей компании заключается в утечке конфиденциальной информации. В-третьих, практически половина пользователей, признавших угрозы IM-программ, никак от этих угроз не защищаются.
Таб. 4. Зависимость защитных мер от степени опасности угрозы
|
Утечка конфиденциальной информации
|
Вирусные атаки
|
Нецелевое использование ИТ-ресурсов
|
Административные ограничения |
14,2% |
14,3% |
16,4% |
Блокировка трафика |
25,4% |
18,2% |
29,1% |
Мониторинг |
12,0% |
4,9% |
5,3% |
Архивирование |
1,6% |
0,4% |
1,1% |
Другие меры |
6,6% |
5,9% |
4,3% |
Никакие меры не применяются |
40,2% |
56,3% |
43,8% |
Рекомендации по защите от IM-угроз
Помимо вопроса об уже применяющих способах защиты, исследование также ставило своей целью выяснить, какие методы защиты следует применять по мнению самих респондентов. Как оказалось, распределение ответов по используемым (рис. 6) и рекомендованным (рис. 7) мерам значительно отличаются. Отметим, что на рис. 7 сумма ответов превосходит 100%, поскольку респондентам предлагалось выбрать несколько вариантов ответа.
В отличие от «используемых» методов, большинство «рекомендованных» методов предполагают контролирующие способы воздействия на пользователей. С одной стороны, это объясняется непопулярностью запретительных мер, с другой - понимаем преимуществ использования IM с точки зрения бизнеса компании.
Эффективность методов, применяемых на практике
В рамках исследования, аналитический центр InfoWatch попытался оценить эффективность «применяемых» методов, в зависимости от «рекомендованных» методов. Полученные результаты подтвердили тезисы предыдущего абзаца - только 57,9% респондентов, использующих блокировку трафика, назвали эту меру «рекомендованной». В отношении административных ограничений и мониторинга эти доли заметно выше, они составляют 74,7% и 78,9% соответственно. Таким образом, можно сделать вывод о том, что блокировка трафика является самой нерекомендуемой и непопулярной мерой защиты от IM-угроз.
В завершение обратимся к диаграмме (рис. 8), демонстрирующей незащищенность респондентов, признавшихся в пересылках конфиденциальной информации. Исследование показало, что 60,3% компаний, в которых работают данные сотрудники, вообще не защищаются от IM-угроз. Очевидно, что если подобная ситуация сохранится, то внутренние нарушители обязательно ею воспользуются.
Заключение
Данное исследование подтвердило правильность тех тенденций, которые были сформулированы два года назад. Как мы уже неоднократно отмечали, IM-технологии стали стандартным средством коммуникации, применяемым в подавляющей массе компаний. Представители этих фирм постепенно осознают угрозы, связанные с IM, и начинают применять различные методы защиты. В то же время, до сих пор существует масса никак не защищенных организаций, являющихся потенциальной мишенью для инсайдеров.
Дальнейшее развитие IM-программ как средства бизнес-коммуникаций представляется вполне определенным. С одной стороны, будет расти количество инструментов защиты, с другой - спрос на эти инструменты со стороны клиентов. Численность организаций, в принципе игнорирующих защиту IM-каналов, будет, таким образом, снижаться. Очевидно, что усилия компаний в области защиты IM (как поставщиков, так и заказчиков) будут подстегиваться возрастающим количеством угроз, как со стороны внешних нарушителей, так и в особенности со стороны инсайдеров.