Внутренние IT-угрозы в России 2007-2008: итоги и прогнозы

Источник: viruslist

Аналитический центр InfoWatch подводит итоги прошедшего года и представляет очередное глобальное исследование инцидентов в сфере внутренней информационной безопасности. Цель исследования - анализ всех утечек конфиденциальной информации (в том числе персональных данных), упоминавшихся в СМИ в 2007 году. Рассмотрены были инциденты в различных отраслях деятельности, произошедшие во многих странах мира.

Еще в 2004 году аналитический центр InfoWatch приступил к формированию базы инцидентов. На сегодняшний день она содержит несколько тысяч записей. Именно этот массив данных послужил основой для исследования.

Откуда утекает информация

В прошлом году аналитики сошлись во мнении, что точных географических закономерностей в утечках конфиденциальной информации выявить не удастся. Если черпать информацию из сообщений СМИ, то выборка по странам получится далекой от репрезентативности. В каждой конкретной стране свой состав масс-медиа, собственные правила и традиции обнародования той или иной информации, кое-где и языковой барьер.

На рисунке ниже представлено распределение инцидентов по типу организаций, в которых они происходили. В прошлом году мы разделяли эти организации на государственные и негосударственные. Ныне кроме государственных органов и негосударственных коммерческих предприятий выделены также негосударственные некоммерческие организации (в основном это учебные заведения).


Распределение инцидентов по типу организации

В 2006 году в аналогичном исследовании InfoWatch с двумя градациями (государственные и негосударственные организации) наблюдалось распределение 34% и 66% соответственно. В 2007 доля государственных органов уменьшилась до 22%. Поскольку информация, позволяющая предположить изменение политики обнародования утечек, отсутствует, остается сделать заключение, что в госорганах дали больший эффект предпринятые меры защиты.

Внедрить определенные меры в государственной структуре несколько легче, поскольку проще преодолеть законодательные ограничения. Имеется в виду действующий почти во всех странах запрет на перлюстрацию сообщений, передаваемых по различным каналам связи. В разных странах вопрос по обходу этого запрета решается по-своему. Вполне понятно, что государственные службы имеют здесь ряд преимуществ.

Другой причиной снижения доли госсектора является то, что проблема защиты персональных данных стала весьма популярной. Внимание общественности и СМИ привлекают не только действительно опасные утечки конфиденциальной информации (зачастую из государственных органов). Стало модным поднимать шум по поводу любых утечек - даже тех, которые не могут нанести финансового и/или репутационного ущерба. Круг организаций, обрабатывающих "безопасные" данные, более широк. В него входят в основном негосударственные структуры.

Следует отметить, что доля учебных заведений довольно велика. С одной стороны, у них нет сильного коммерческого стимула защищать информацию о клиентах (учащихся), с другой - дисциплина их сотрудников, очевидно, ниже, чем на государственной службе. Оба этих фактора не позволяют надеяться, что доля инцидентов в вузах в ближайшие годы существенно уменьшится.

Аналитики InfoWatch полагают, что в ближайшие 3 года следует ожидать роста абсолютного количества инцидентов, связанных с утечками приватных данных. А "государственная" доля будет медленно снижаться - в основном за счет увеличения числа организаций. Степени защищенности от утечек в государственном и негосударственном секторах сейчас несильно различаются и вряд ли будут существенно различаться в будущем.

Природа утечек

Ниже представлено распределение утечек по типу информации. Коммерческая тайна и "ноу-хау" (секрет производства) объединены в одну категорию, поскольку в большинстве стран это одно и то же. Хотя в России "ноу-хау" формально относится к интеллектуальной собственности, по сути это - инновация в законодательстве. Тем более, подобные юридические нюансы невозможно различить при анализе сообщений СМИ. В категорию "Другое" попала государственная тайна, а также случаи, когда тип информации не известен.


Распределение инцидентов по типу конфиденциальной информации

В 2006 году в аналогичном исследовании InfoWatch доля персональных данных была ниже - 81%. По нашему мнению, увеличение показателя на 12% в течение года превышает статистическую погрешность и отражает реальный рост числа инцидентов с похищением персональных данных. По мере "виртуализации" экономики, развития электронного бизнеса ценность конфиденциальной информации растет, и появляется все больше возможностей для мошенничества. Следовательно, развивается спрос на приватные данные. Этим и вызвано увеличение числа утечек. Ценность же конфиденциальной информации другого рода (государственная тайна, "ноу-хау", коммерческая тайна) если и растет, то не так быстро.

В ближайшем будущем ожидается дальнейшее увеличение стоимости персональных данных. Однако количество случаев их похищения возрастет вряд ли, поскольку во всех странах вводятся меры по усилению контроля над ними.

Пути утечек

Для разработки организационно-технических средств защиты от утечек необычайно важно знать о каналах, по которым несанкционированно передается информация.

На следующей диаграмме представлено распределение утечек по виду носителя, который использовался для перемещения данных за пределы информационной системы.


Распределение утечек по типу носителя

По сравнению с 2006 годом доля мобильных устройств сократилась на 11%, доля сетевых каналов возросла на 13%. Доли прочих типов носителей остались в пределах статистической погрешности. Очевидно, что с ростом утечек через Интернет возрастает актуальность систем защиты информации.

Обращает на себя внимание почти полное отсутствие утечек по электронной почте (всего 1 случай). Хотя, казалось бы, этот канал - наиболее доступный и удобный. Дело в том, что удобен он не только для несанкционированной передачи информации, но и с точки зрения контроля. Наряду с серьезными системами защиты от инсайдеров на рынке много примитивных, а подчас и шарлатанских средств. Как правило, они ориентированы на электронную почту - ее проще всего перлюстрировать или архивировать. Очевидно, именно поэтому злоумышленники опасаются передавать по ней похищенную информацию. Случайная же отправка конфиденциальных данных в электронном письме весьма маловероятна.

При создании и внедрении средств защиты от утечек следует учитывать, какие именно каналы (носители) пользуются наибольшей популярностью у злоумышленников.

Если подсчитать статистику отдельно для организованных и случайных утечек, то мы увидим, что мобильные носители и сетевые каналы являются основными во втором случае. Чаще всего происходит кража ноутбука без цели похищения содержащихся в нем данных или случайное "расшаривание" файла (предоставление общего доступа). Для намеренной кражи конфиденциальных данных наиболее характерно похищение стационарного компьютера или жесткого диска (категория "Другое"); сюда же относятся неустановленные каналы утечек.



Распределение случайных (вверху) и организованных (внизу)
утечек по типу носителя

Разделение инцидентов на умышленные и неумышленные можно сделать достаточно четко. Небольшую трудность вызывают лишь случаи кражи ПК. Если злоумышленник имел целью похищение персональных данных, то утечка относится к разряду организованных. Если же его умысел был направлен на компьютер как на дорогостоящую технику, то утечка информации считается непреднамеренной, происшедшей в силу случайности или беспечности. В сообщениях прессы обычно имеются если не точные данные, то по крайней мере обоснованные предположения о целях похитителей.

На следующей диаграмме показано деление инцидентов на умышленные и случайные.


Соотношение числа случайных и организованных утечек

При введении в организации системы защиты разница между организованными и случайными утечками будет играть важную роль. Например, при постановке на контроль онлайнового интернет-трафика система сможет предотвратить все 27% неумышленных инцидентов, но гораздо меньше 18% умышленных. Мошенник действует разумно и, как правило, знает о контролирующей системе. Поэтому он постарается воспользоваться иным каналом - тем, который не контролируется. Поскольку эксплуатировать системы контроля полностью скрыто вряд ли возможно, эффективность предотвращения умышленных инцидентов в реальности будет ниже, чем показатель на соответствующей диаграмме.

В предыдущем исследовании соответствующие показатели были похожими: 23% против 77%. Разницу между 2006 и 2007 годами можно объяснить статистической флуктуацией. Мы не усматриваем причин, по которым соотношение между видами утечек могло измениться.

Очевидно, что не только борясь с инсайдерами, но и избегая случайностей и не допуская беспечности персонала, можно существенно снизить число инцидентов, а значит, уменьшить соответствующие издержки. Для многих организаций хотя бы предотвращение случайных утечек уже оправдывает затраты на систему безопасности.

Латентность

Большинство случаев, освещаемых прессой, относятся к передаче конфиденциальных данных по каналам связи, пересылке или перевозке содержащих их носителей. В этом случае два или более субъекта стремятся переложить ответственность друг на друга. Весьма значительна часть инцидентов, при которых утечка становится очевидна посторонним. К примеру, ее замечают клиенты компании, либо приватная информация оказывается проиндексированной поисковыми системами. Очень мало случаев обнаружения утечки данных внутри организаций.

Очевидна тенденция ко всеобщему сокрытию инцидентов. Когда в дело не замешаны посторонние, это сделать легче. В некоторых странах организации обязаны сообщать об утечках, даже если вредные последствия не являются неизбежными. Впрочем, умалчивают об утечках и в этом случае.

Вывод: значительная часть утечек конфиденциальной информации скрывается, особенно когда о них известно лишь самим пострадавшим предприятиям. Статистика по подобным случаям, скорее всего, нерепрезентативна.

Тенденции

Ниже перечислены выявленные тенденции рынка обнаружения и предотвращения информационных утечек - ILDP (Information Leakage Detection and Prevention).

1. Отсутствие стандартов и единого подхода.

Следует отметить, что, хотя средства защиты от утечек поставляются многими фирмами, до сих пор не сформированы единые стандарты защиты от них. Ни на уровне писаных правил, ни на уровне обычаев делового оборота. Среди потребителей ILDP-решений также не отмечается единства технических требований.

Впрочем, возникновение подобных стандартов и традиций для аналогичных систем - систем защиты от вредоносных программ и спама - заняло несколько лет.

2. Неэффективность чисто технических решений.

Каждая задача должна решаться адекватными методами. Поскольку проблема утечек конфиденциальной информации - это проблема социально-экономическая, то и средства для ее решения должны быть такими же. Применение различных технических средств возможно, но лишь в качестве инструмента для проведения той или иной организационной политики. Решение проблемы исключительно техническими средствами попросту невозможно. На каждое техническое решение непременно найдется контррешение, и так далее.

Кроме того, задача осложняется юридическим аспектом. Тайна связи и тайна частной жизни защищаются законом во всех странах. Во многих государствах (в том числе в России) эти права неотчуждаемы, то есть отказ от права будет недействительным. Организовать защиту от утечек таким образом, чтобы она не вступала в конфликт с местным законодательством, непросто. Для этого над проектом должны работать не только инженеры, но и юристы, причем начиная с самого раннего этапа.

Тем не менее, многие из имеющихся на рынке продуктов представляют собой лобовое техническое решение и предусматривают, по сути, обычную перлюстрацию или фильтрацию трафика, пересекающего защищаемый периметр сети. Разумеется, такие примитивные решения преодолеваются как злоумышленниками, так и работниками. К тому же они обычно влекут нарушение конституционных прав работников и, следовательно, несут дополнительные правовые риски для предприятия. И наконец, чисто технические решения вызывают недовольство и снижение лояльности работников, вред от чего может перевесить пользу.

Организационные, финансовые и правовые вопросы можно решить только в том случае, если защита от утечек начинается именно с их рассмотрения. Если проект начинают составлять не "технари", а соответствующие специалисты. Техническая сторона проекта при этом должна быть вторичной (если она вообще нужна).

3. Отсутствие комплексного подхода.

Необходимо отметить, что производители средств противодействия утечкам почти не применяют комплексного подхода. Как правило, предлагаемые средства контролируют только один канал, реже - два. Чаще всего это электронная почта или веб-трафик.

Если контроль пары каналов имеет какую-то пользу для борьбы со случайными утечками, то против организованных он совершенно бесполезен.

4. Поглощения и интеграция.

На первый взгляд, интеграция решений по защите от утечек в коммуникационную технику и ПО выгодна. Но ни одного подобного решения до сих пор не выпущено. Максимум, до чего дошли производители, - программный интерфейс для подключения средств защиты (в том числе от утечек). Но и такие интерфейсы пока редкость в межсетевых экранах, маршрутизаторах, точках доступа и т.п.

Тем не менее, производители активно продвигаются в этом направлении. Уже имело место приобретение некоторыми производителями средств ILDP с целью их использования в продуктах общего назначения.

В ближайшие годы полная интеграция вряд ли свершится. К примеру, аналогичные продукты - антивирусы и антиспам-системы - так и не интегрировались окончательно в почтовые сервера и ОС.


Страница сайта http://test.interface.ru
Оригинал находится по адресу http://test.interface.ru/home.asp?artId=17130