Несмотря на появление все новых и новых программ по ИБ, человеческий фактор, по-прежнему, самое слабое звено в цепи оборонительных заграждений. Даже самые современные и близкие к совершенству технологии защиты не могут обезопасить компании от проблем с безопасностью. И если ущерб от внешних угроз неуклонно снижаются, то потери от инсайдерского вмешательства становятся все масштабнее.

В текущем году год ущерб от проблем с безопасностью вырос практически вдвое, дойдя до отметки в 350 тыс долл. на одну опрошенную организацию. Этот показатель заметно больше прошлогоднего результата (168 тыс долл). Интересно, что в течение предыдущих пяти лет средний ущерб от проблем с ИБ неуклонно падал.

Практически пятая часть (18%) организаций, испытавших за год хотя бы один инцидент, заявила о том, что они столкнулись с "направленной" атакой. Другими словами, действия злоумышленников были направлены на поражение конкретной компании.

В этом году впервые максимальные потери респондентов оказались связаны с финансовым мошенничеством, а не с вирусными атаками, которые лидировали в течение последних семи лет.

Угроза нецелевого использования сетевых ресурсов инсайдерами (например, просмотр порнографии или скачивание пиратских программ) оказалась самой актуальной проблемой ИБ (59%). За ней следуют вирусы (52%), лидировавшие в прошлогоднем рейтинге.

Несмотря на общий рост ущерба от проблем с безопасностью, только 46% респондентов за последний год стали свидетелями инцидентов в этой области. Эта цифра уменьшалась на протяжении последних трех лет: в прошлом году с различного рода проблемами столкнулось 53%, а в позапрошлом - 56% участников опроса.

29% организаций, испытавших проблемы с ИБ, заявили о компьютерных вторжениях в правоохранительные органы. В прошлом году таких компаний было 25%.

Расходы на интернет-безопасность растут

Для начала респондентам был задан вопрос о том, какая часть расходов приходится на информационную безопасность. Результаты нынешнего исследования практически не отличаются от прошлогодних. Количество компаний, тратящих на ИБ очень много или очень мало средств, несколько сократилось, а значит - бюджеты на ИБ в целом стабилизировались. Для 44% респондентов они находятся в интервале от 3 до 10%. В прошлом году этот показатель составлял 27%.

Общая доля расходов на ИБ незначительно увеличилась по сравнению с 2006 годом. Это означает, что расходы на безопасность растут чуть быстрее затрат на ИТ в целом. В данном исследовании появилось сразу несколько новых вопросов. Один из них касался затрат на подготовку персонала в общем объеме инвестиций в безопасность. Как выяснилось практически половина (48%) респондентов уделяют этому аспекту крайне незначительное внимание. Авторы опроса отчасти объясняют низкие показатели тем фактом, что некоторые обучающие меры (например, уведомления на интранет-порталах) очень дешевы. Но при этом подчеркивают, что до реальных инвестиций в обучение компаниям пока далеко.

Несмотря на огромное количество упоминаний в прессе, аутсорсинг в области ИБ остается не слишком востребованным. Только 2% организаций отдают сторонним подрядчикам более 80% функций по безопасности, а 61% респондентов вообще не пользуются аутсорсингом. В целом, популярность аутсорсинга незначительно выросла, однако этот рост находится в границах статистической погрешности.

Потери, проблемы и новые угрозы ИБ

Основная часть отчета CSI посвящена угрозам ИБ и уже произошедшим инцидентам. 46% респондентов испытали хотя бы одну проблему с безопасностью в прошлом году, примерно столько же - не испытывали, а остальные затруднились ответить. Отметим, что количество "проблемных" компаний падает на протяжении последних трех лет - в прошлом году они составляли 53%, а в позапрошлом - 56%. На эти изменения влияют два фактора: во-первых, опыт мошенников растет, а значит - их атаки становятся более незаметными. А, во-вторых, растет защищенность самих компаний от разнообразных угроз.

Количество компаний, имевших проблемы с ИБ, 2006 (в % от общего числа)

Источник: CSI/FBI Computer Crime and Security Survey, 2007

Те компании, которые зафиксировали хотя бы один инцидент, рассказали об их количестве. В полученных сведениях заметно одно интересное обстоятельство. Количество компаний, испытавших более 10 инцидентов, резко выросло в нынешнем году и достигло отметки в 26%. Авторы исследования CSI никак не объясняют эту тенденцию.

Количество инцидентов информационной безопасности* (в % от общего числа)

• вопрос задавался респондентам, испытавшим как минимум один инцидент

Источник: CSI/FBI Computer Crime and Security Survey, 2007

По данным CSI, в этом году позиции вирусов, возглавлявших список с 2000 года, потеснила угроза нецелевого использования сетевых ресурсов инсайдерами (то есть, любыми внутренними сотрудниками). Подобные инциденты зафиксировали 59% респондентов, в то время как с вирусами столкнулись только 52%.

В целом, практически все типы инцидентов сдали свои позиции, если сравнивать с предыдущим годом. Кроме "нецелевого использования сетевых ресурсов" выросла лишь угроза "потери мобильных носителей и ноутбуков" (50%), а также несколько не самых популярных типов угроз. Отметим, что более половины угроз безопасности связаны с кражей или потерей конфиденциальных данных с участием сотрудников организации.

Среди общей массы инцидентов информационной безопасности выделяются "направленные" атаки.

Количество "направленных" атак на компании, 2007 (в % от общего числа)

Источник: CSI/FBI Computer Crime and Security Survey, 2007

В отличие от "глобальных" эпидемий, "направленные" атаки проводятся для взлома инфраструктуры конкретно взятой, известной заранее компании. В нынешнем году CSI впервые опросила организации на предмет "направленных" атак и получила довольно интересные результаты. Оказалось, что примерно пятая часть (18%) респондентов испытала хотя бы одну "направленную" атаку. Этот факт в очередной раз говорит о росте опыта мошенников, а также об их стремлении зарабатывать реальные деньги, а не виртуальное уважение.

Рейтинг угроз

Только 194 компании из общей базы опрошенных респондентов согласились предоставить данные о понесенном ущербе. В рейтинге наиболее опасных (в денежном отношении) угроз сменился лидер - на первом месте с солидным отрывом оказалась угроза "финансового мошенничества", опередившая вирусы, возглавлявшие список ранее. В своем отчете CSI не формулирует определения "финансового мошенничества", поэтому трудно сказать, что именно подпадает под данную угрозу. По всей видимости, имеется в виду некая корректировка финансовых данных теми сотрудниками компании, которые имеют на это право. Другими словами, "финансовое мошенничество" полностью относится к категории внутренних угроз.

Отметим, что в отчете CSI не приведен ущерб от кражи конфиденциальной информации. Вернее, этот ущерб разнесен сразу на несколько пунктов. Если суммировать потери от краж всех типов конфиденциальных данных со всех разновидностей устройств - то можно получить цифру в 10 млн долл Таким образом, эта угроза мгновенно окажется на втором месте.

В любом случае, к этим выводам CSI следует относиться с известной долей скепсиса. Во-первых, все цифры брались из ответов компаний-респондентов, а как они рассчитывали ущерб - это очень большой вопрос. Во-вторых, некоторые типы угроз (и, прежде всего, кража конфиденциальных данных) сопровождаются серьезными косвенными потерями, которые крайне трудно оценить.

Один из главных результатов исследования отражен на следующей диаграмме. Легко подсчитать, что средний заявленный ущерб в прошлом году составил 350 тыс долл. в расчете на одну компанию. Этот показатель впервые увеличился за последние пять лет - до нынешнего года он неуклонно падал.

О чем говорит такое положение вещей? По всей видимости, уменьшение ущерба от проблем с безопасностью, наблюдавшееся в последние несколько лет, в итоге завершилось. Если тенденция увеличения среднего ущерба продолжится и в будущем году, значит, сегодня мы находимся у истоков нового витка компьютерных угроз, связанных уже не с внешней, а с внутренней безопасностью.

Ущерб от различных типов угроз в расчете на одного респондента, 2006 (в долларах США)

Источник: CSI/FBI Computer Crime and Security Survey, 2007

Следующий вопрос исследования касался соотношения внутренних и внешних угроз. По сравнению с прошлым годом это соотношение практически не изменилось: организации по-прежнему серьезно обеспокоены обоими классами угроз.

Хотелось бы добавить, что внутренние угрозы (а именно - потери конфиденциальной информации) весьма специфичны. Дело в том, что практически все утечки сопровождаются не только прямыми, но и косвенными потерями, которые практически невозможно подсчитать. Более того, в большинстве случаев именно косвенные (репутационные) потери являются наиболее значимыми для компаний. К тому же, инсайдерские "проделки" гораздо труднее обнаружить, чем ту же деятельность вирусов. Поэтому эксперты предполагают, что "реальная" раскладка ущерба по внутренним и внешним угрозам серьезно отличается от данных CSI.

Отметим, что аналогичное соотношение можно подсчитать, используя диаграмму на рис. 4. Суммируя ущерб от внутренних угроз легко получить сумму в 34 млн долл. - то есть, более половины всех потерь, которые понесли компании-респонденты.

Технологии защиты и бездействие полиции

Как и в предыдущих исследованиях, респондентов попросили озвучить технологии ИБ, которые используются в их компаниях.

Стоит отметить, что никаких серьезных изменений за прошедший год не произошло. Заметим лишь, что в исследовании по непонятным причинам отсутствуют упоминания о решениях класса ILD&P (комплексные системы защиты от утечек). Конечно, можно утверждать, что часть функционала ILD&P-систем попадает в различные категории рейтинга, однако ни одна категория не покрывает этот функционал полностью. По всей видимости, уровень проникновения ILD&P крайне низок даже в Америке.

Еще один традиционный вопрос исследования касался реакции компаний на случившийся инцидент. В полученной раскладке можно увидеть как сущие банальности, так и весьма интересную информацию. Как выяснилось, американские компании не слишком верят правоохранительным органам - только 29% респондентов сообщают об инцидентах в полицейские инстанции. И лишь 24% компаний консультируются перед этим со своими юристами. Более того, в 30 случаев из 100 организации стараются сделать все возможное, чтобы информация о случившемся инциденте не просочилась наружу.

Причины, по которым респонденты не обращаются в правоохранительные органы после инцидентов, 2006 (в % от общего числа)

Источник: CSI/FBI Computer Crime and Security Survey, 2007

Причины, из-за которых компании не обращаются в правоохранительные органы, оказались весьма разнообразными. Обращает на себя внимание вторая строчка списка - американские организации просто не верят, что правоохранительные органы смогут им как-то помочь. Все это до боли напоминает российские реалии.

Что же в результате?

В конце исследования CSI приводит некоторые комментарии к полученным результатам. По мнению авторов, несмотря на существенный рост ущерба от проблем с ИБ ситуация остается достаточно комфортной для организаций. Их текущие потери пока не сравнимы с тем ущербом, который наблюдался в начале нынешнего столетия. С другой стороны, более чем двукратный рост средних издержек может послужить первым "звоночком" к дальнейшим проблемам с безопасностью.

CSI подчеркивает, что несколько лет назад происходила едва ли не спортивная борьба между создателями вирусов и профессионалами по информационной безопасности. Сегодня мы имеем более сложную картину. Злоумышленники действуют в два этапа: сначала атакуют корпоративные сети, а потом используют полученные данные для атаки на физических лиц. В этом свете, перед техническим миром возникает принципиально важная задача, связанная с управлением идентификацией пользователей. По большому счету, все кражи персональных данных происходят именно из-за проблем с идентификацией - в противном случае, эти данные никому бы не понадобились.

В целом, большая часть полученных ответов наглядно показывают, что актуальность внутренних угроз растет, в то время как актуальность внешних падает. Добавим, что эта тенденция наблюдается на протяжении нескольких последних лет - и вряд ли в будущем она прекратится.

Алексей Доля

• Обратиться в «Интерфейс» за дополнительной информацией/по вопросу приобретения продуктов
• Подписаться на рассылку "Безопасность компьютерных сетей и защита информации"