Обзор подготовлен

версия для печати
Как сдержать рост расходов на ИБ?

Как сдержать рост расходов на ИБ?

Доля расходов на информационную безопасность по отношению к ИТ-бюджетам компаний постоянно растет, причем опережающими темпами. Но этот рост не может длиться бесконечно, иначе со временем инвестиции в ИТ превратятся в значительной части в затраты на ИБ. И смысл тратиться на новые ИТ-проекты в итоге пропадет.

Темпы роста расходов на обеспечение информационной безопасности уже долгое время превышают динамику ИТ в целом. Согласно данным IDC, в 2006 году на программное обеспечение, направленное на защиту компьютерных данных, во всем мире потратили около 8 млрд долл. По прогнозам IDC, к 2010 году эта цифра может значительно увеличиться и достигнуть отметки в 50 млрд долл. Аналитики уверены, что рынок средств защиты данных будет самым быстрорастущим.

В ходе исследования, проведенного по заказу Cisco независимой компанией InsightExpress, были опрошены более двух тысяч удаленных сотрудников и ИТ-специалистов, работающих в различных отраслях и компаниях разного размера в 10 странах. Исследование еще раз подтвердило наличие тренда, согласно которому расходы на безопасность будут расти из-за больших финансовых потерь, которые несут компании, подвергающиеся сетевым атакам и атакам на отдельных сотрудников, в том числе удаленных.

Тенденция к повышению расходов на информационную безопасность налицо

Страна Динамика
Индия 83% (60% увеличат расходы более чем на 10%)
Китай 83% (58% увеличат расходы более чем на 10%)
Бразилия 68% (56% увеличат расходы более чем на 10%)
Германия 61% (31% увеличат расходы более чем на 10%)
Италия 60% (35% увеличат расходы более чем на 10%)
Британия 58% (29% увеличат расходы более чем на 10%)
Австралия 55% (30% увеличат расходы более чем на 10%)
США 53% (27% увеличат расходы более чем на 10%)
Франция 49% (22% увеличат расходы более чем на 10%)
Япония 24% (15% увеличат расходы более чем на 10%)
Всего 62% (37% увеличат расходы более чем на 10%)

Источники: InsightExpress, Cisco, 2008

Джон Стюарт (John Stewart), главный директор Cisco по вопросам безопасности, считает, что большие группы сетевых пользователей в Китае, Индии и Бразилии пока не подверглись нападению Code Red, NIMDA и других печально знаменитых вирусов и сетевых червей в той же степени, как их коллеги в США, Великобритании, Франции, Германии и Японии. Но проникновение интернета, рост числа мобильных и удаленных сотрудников, а также возрастание объемов использования всемирной сети в качестве бизнес–инструмента однозначно приводят к возрастанию роли ИБ и затрат на ее обеспечение.

Это не только мировой тренд, все выше сказанное касается и России. По предварительным данным CNews Analytics, рынок ИБ у нас в стране увеличился с 250-260 млн долл. в 2006 году до 330-350 млн долл. Однако и у госорганов, и у бизнеса, кроме специализирующихся на соответствующих решениях вендоров, этот факт вызывает все большее и большее беспокойство. С чем это связано?

Что несут угрозы ИБ?

По данным тестовой лаборатории AV Test, в 2007 году ею было описано 5,49 млн новых уникальных образцов вредоносного кода, что более чем в пять раз превышает показатель 2006 года (972,606). О факте экспоненциального роста продуктов компьютерного андеграунда в течение последних нескольких лет заявляют все без исключения антивирусные компании.

В ответ на действия последних хакеры объединяют ударные силы различных типов внешних угроз — вредоносный код, фишинг, спам и т.д. В результате появляются многоступенчатые атаки — сначала взламывают пользующиеся популярностью и доверием сайты, затем через них получают доступ к целевым пользователям. Сначала идет незаметное вторжение для создания плацдарма, а впоследствии организуются полноценные атаки. Что характерно, эти последующие этапы могут быть сконструированы и меняться в соответствии с требованиями криминальных заказчиков.

Очень часто "на помощь" внешним нарушителям приходят внутренние — инсайдеры. 1,5 млрд долларов — сумма, в которую оценивался мировой рынок внутренней ИT-безопасности 2006 году. По итогам 2007 года ожидается, что этот показатель достигнет отметки 2,5 млрд долл. В исследовании "2006 Annual Study — Cost of Data Breach", проведенном Ponemon Institute, утечка сегодня приносит компании средний ущерб в размере 4,8 млн долларов, что также значительно превышает прошлые показатели.

Чтобы оценить масштабы утечек в российских организациях, стоит вернуться к исследованию компании InfoWatch "Внутренние ИТ-угрозы в России 2006". Каждая четвертая отечественная организация (24%) допустила в 2006 году от 1 до 5 утечек, а почти каждая восьмая (12,9%) — от 6 до 25. Таким образом, почти половина всех респондентов (41,5%) зафиксировала в 2006 году минимум одну утечку конфиденциальной информации.

Страдают от киберпреступности и обычные граждане. Одной из набирающих силу угроз, направленной на интернет–пользователей, является фишинг. Так, например, по данным аналитиков Gartner, в США в 2007 году из-за атак этого типа было потеряно 3,2 млрд долларов. При этом  с конца июля 2006 по август 2007 года пострадало 3,6 млн человек (2,3 млн — за предыдущий период). Средняя потеря на инцидент выросла с 888 долларов до 1,244.

Сколько нужно тратить на безопасность?

При анализе этой статистики встает вопрос — на что же именно предприятия тратят ИБ-бюджет и, соответственно, какие угрозы пытаются ликвидировать? Аналитиками Gartner было выяснено, что около 90% среднестатистических атак американские компании отражают без дополнительного увеличения ИБ-бюджета по отношению ко всему ИТ-бюджету. Для этого обычно достаточно затрат до 5% (12% — если добавить сюда системы обеспечения непрерывности бизнеса и  доступности данных в случае катастроф).

Кстати, цифра 5% подтверждается и последним исследованием Deloitte — "2007 Global Security Survey". 36% опрошенных компаний тратят на ИБ 4-6% от всех затрат на ИТ (в прошлом году эта доля составляла 14%). Еще 44% компаний тратят на ИБ не более 3%.

Можно сделать вывод, что средства борьбы с оставшимися 10% угроз и определяют основной прирост затрат на информационную безопасность. Что же это за угрозы? Вариант ответа на этот вопрос можно получить из данных Deloitte. Респондентам был задан вопрос о пяти наиболее значимых инициативах в области ИБ в 2007 году. В их числе были указаны, в частности, системы идентификации и доступа; меры, предпринятые с целью обеспечения соответствия требованиям по ИБ; тренинги с целью повышения осведомленности персонала, а также меры по защите от катастроф и для обеспечения непрерывность бизнеса.

Главные инициативы в области информационной безопасности

Инициативы в области безопасности Актуальность
1 Системы идентификации и доступа
(Access and Identity Management)
50%
2 Соответствие требованиям по ИБ
(Security regulatory compliance (including internal audit))
49%
3 Тренинги и повышение осведомленности персонала
(Security training and awareness)
48%
4 Защита от катастроф и непрерывность бизнеса
(Disaster recovery and business continuity)
37%
5 Управление безопасностью
(Governance for security)
37%

Источник: Deloitte, 2008

Как видно, в таблице нет ни одного "классического" средства безопасности в чистом виде. Почему? Потому, что, не взирая на наличие пусть даже самого лучшего, но специализированного продукта, все равно остаются "дыры" в информационных системах. Заткнуть их все за разумные деньги просто невозможно — цена вопроса может стать сопоставимой с потерями от инцидентов.

Чтобы выполнить необходимые требования разного рода регулирующих органов и обеспечить достаточный уровень безопасности, компании все больше и больше ресурсов уделяют риск-менеджменту (или его элементам), на основе которого и принимаются решения  об уровне инвестиций. В итоге расходы на ИБ предприятий стран с развитой экономикой и мощным отраслевым регулированием информационной безопасности ее отраслей, стабилизировались в 2007 году в среднем на отметке 5% от ИТ-бюджетов. Этого в целом ряде случаев достаточно, чтобы не реагировать на происшествия, а упреждать их.

Что касается России, то, согласно данным CNews Analytics, подобное соотношение характерно лишь для "отдельных вертикальных рынков с развитой экономикой" — телекоммуникаций и финансов. Здесь также существует аналогичное западному регулирование со стороны государства и Центрального Банка РФ. Остальная часть экономики тратит на безопасность не более 2% от ИТ-бюджета.

Вадим Ференец / CNews Analytics

Константин Архипов
Panda Security

Константин Архипов:

Старыми способами обеспечивать безопасность уже просто невозможно

На вопросы CNews ответил Константин Архипов, директор Panda Security в России.

CNews: Как развивался рынок ИБ в России и странах СНГ за последний год? Какие факторы определяли его рост?

Константин Архипов: В прошлом году рынок информационной безопасности продолжил расти и динамично развиваться. Факторы, определяющие этот рост, также остались прежние. Просто все больше и больше пользователей начинают понимать, что обеспечивать безопасность своего предприятия "по старинке" уже не получится.

Сегодня ИТ отделы предприятий, в ведении которых находится обеспечение информационной защиты, нуждаются в максимально автоматизированных решениях, ведь нагрузка на ИТ постоянно увеличивается. И старыми способами обеспечивать безопасность становится уже просто невозможно. Решения, которые у них были установлены, уже, возможно, устарели. Или, если они использовали нелегальное ПО, то нет возможности использовать техподдержку производителя и другие сервисы. А зачастую без этого сегодня уже сложно обойтись. Поэтому компании начали обновлять свои решения безопасности. Плюс, конечно, положительно повлияла на рынок и политика государства, направленная на борьбу с пиратством.

Полный текст интервью

Toolbar | КПК-версия | Подписка на новости  | RSS