Обзор подготовлен

версия для печати
Российские инсайдеры остаются безнаказанными

Российские инсайдеры остаются безнаказанными

По данным ежегодного исследования Perimetrix «Инсайдерские угрозы в России 2009», российские инсайдеры практически всегда остаются безнаказанными. Сотрудники, допускающие утечки по неосторожности и халатности, в 45% случаев наказываются строгими выговорами, а специалисты, сознательно укравшие информацию, в большинстве (51%) случаев просто увольняются с работы. В данной статье рассматриваются основные результаты исследования, а также тенденции российского рынка информационной безопасности (ИБ), которые непосредственно связаны с этими результатами.

Угрозы ИБ

Методология исследования была построена на онлайн-анкетировании респондентов на нескольких популярных интернет-порталов. В общей сложности, в рамках исследования было опрошено 1046 специалистов по информационным технологиям и информационной безопасности из компаний различных отраслей экономики.

Основной вопрос исследования оказался достаточно предсказуемым. Респондентам предлагалось выбрать четыре наиболее опасные угрозы ИБ из общего списка существующих рисков. Из получившегося распределения вытекает ряд  характерных тенденций. Во-первых, самыми опасными угрозами по-прежнему остаются утечки информации и халатность персонала – доли этих угроз изменились незначительно, и эти изменения находятся в рамках погрешности исследования. А вот опасность практически всех внешних угроз (вирусов, хакеров и спама), напротив, существенно уменьшилась. По-видимому, этот тренд  объясняется общей успокоенностью компаний в отношении угроз внешней безопасности.

Наиболее опасные угрозы ИБ (можно выбрать до четырех вариантов)

Здесь и далее красным цветом отмечены наиболее явные тренды

Источник: Perimetrix, 2009

На самом деле, большая опасность внутренних угроз была заметна еще в прошлом году – угрозы утечки информации и халатности служащих опережали атаки внешних злоумышленников уже тогда. По мнению аналитиков Perimetrix, этот долгосрочный тренд объясняется рядом вполне объяснимых причин – более высоким ущербом от внутренних утечек информации, меньшим проникновением средств защиты и принципиально новой постановкой задачи безопасности. За год ситуация кардинально не изменилась, однако приоритеты специалистов продолжили движение в сторону внутренних угроз, и потому опасность внешних угроз продолжила закономерно падать. 

Среди остальных трендов выделяется резкий рост опасности угрозы кражи оборудования (с 25 до 38%), которая также непосредственно связана с утечками информации. Действительно, в случае кражи любого носителя (флэшки, ноутбука и даже персонального компьютера или сервера) возникают существенные риски утечки. Рост опасности кражи оборудования можно объяснить как субъективными факторами (публикации в прессе, появление негативной аналитики ), так и объективными тенденциями отрасли (внимание грабителей к цифровым носителям, законодательное регулирование). Можно предположить, что опасность данной угрозы будет расти в дальнейшем, поскольку объективных факторов для ее покрытия на рынке пока не наблюдается.

Инсайдерские угрозы

Следующая группа вопросов исследования касалась специфики угроз внутренней безопасности или инсайдерских угроз. На каждый из следующих трех вопросов респондентам предлагалось выбрать два наиболее подходящих ответа.

Как и в прошлом году, наиболее опасной угрозой внутренней ИБ была признана утечка информации, которую отметили более половины (55%) респондентов. Однако наибольший рост показала вторая по опасности угроза, связанная с искажением корпоративной (и преимущественно финансовой) документации. В нынешнем году ее опасность подскочила сразу на 17% и практически сравнялась с опасностью утечек информации.

По мнению аналитического центра Perimetrix, данная тенденция является значимой и объясняется целым рядом причин. Во-первых, в 2008 году произошел ряд громких инсайдерских скандалов, непосредственно связанных с искажением корпоративной документации и финансовым мошенничеством. Именно в эту категорию угроз можно отнести действия трейдера Societe Generale Жерома Кервьеля, который привел свой банк к многомиллиардным убыткам, не имея на это никаких полномочий.

Во-вторых, на ответы респондентов, скорее всего, повлиял мировой финансовый кризис и общая нестабильность современного бизнеса. В таких условиях несанкционированное искажение информации (и тем более, несанкционированные финансовые операции) могут привести бизнес к совершенно непредсказуемым последствиям.

Наиболее опасные угрозы внутренней ИБ (можно выбрать до двух вариантов)

Источник: Perimetrix, 2009

И, в-третьих, рост обеспокоенности данной угрозой можно объяснить неспособностью современных решений с ней бороться. Если утечки конфиденциальной информации вполне реально отследить, то сделать это с несанкционированными искажениями значительно труднее – особенно если эти искажения вносятся санкционированным пользователем. На данный момент единственный способ борьбы с такого рода угрозами находится в плоскости логгирования и архивирования всех действий пользователей с конфиденциальными документами. 

Какая информация чаще всего «утекает» из российских компаний? Ответ на этот вопрос показал, что в группу особого риска по-прежнему попадают персональные данные, набравшие 68% голосов респондентов (на 11% больше, чем в год назад). Впрочем, эта тенденция говорит не о росте количества утечек персональных данных, а об обеспокоенности современных компаний за их защищенность.

Действительно, 2008 год ознаменовался усилением нормативного прессинга со стороны регуляторов рынка. За этот период времени появились сразу несколько подзаконных актов и постановлений, направленных на защиту именно персональных данных, как наиболее критичной категории конфиденциальной информации. Несмотря на то, что ряд участников рынка высказывают определенные сомнения в качестве и непротиворечивости этих актов, ужесточение нормативного прессинга наблюдается уже сегодня. Как следствие, растет и обеспокоенность компаний за сохранность обрабатываемых персональных данных.

Информация, наиболее подверженная утечке (можно выбрать до двух вариантов)

Источник: Perimetrix, 2009

Опасность утечки других категорий информации за последний год существенно не изменилась. Компании по-прежнему опасаются утечек сведений о деталях конкретных сделок (40%), финансовых отчетов (41%), интеллектуальной собственности и бизнес-планов (по 19%).

Похожая ситуация наблюдается и в отношении популярных каналов утечки (рис. 4), опасность которых осталась на прошлогоднем уровне. Наиболее опасным каналом по-прежнему остаются мобильные накопители (70%), за которыми следует электронная почта (52%) и интернет-каналы (33%). Опасность печатающих устройств за последний год несколько выросла (с 18 до 23%), а интернет-пейджеров, напротив, упала (с 17 до 13%).

Самые популярные каналы утечки (можно выбрать до двух вариантов)

Источник: Perimetrix, 2009

В целом, говоря о каналах утечки, можно заметить слабый тренд к уравниванию их опасностей. Распределение нынешнего года оказалось чуть более равномерным, чем прошлогодние результаты – показатели наиболее опасных каналов незначительно упали, а «середнячков», напротив, выросли. Возможно, данная тенденция говорит о более четком понимании проблемы утечек, которую можно решить, только закрыв все возможные каналы  - от мобильных накопителей до фотопринадлежностей. Ведь даже один незакрытый канал автоматически означает уязвимость, потенциальную угрозу безопасности и отличный шанс для злонамеренного инсайдера.

Весьма интересные результаты были получены после анализа ответов на следующий вопрос – о количестве зафиксированных утечек. Если прошлогодние респонденты были уверены в своих ответах, то чуть ли не половина (42%) участников нынешнего опроса затруднилась назвать точное количество инцидентов.

Эксперты аналитического центра Perimetrix объясняют полученные результаты ростом осведомленности специалистов и их профессиональным развитием. Специалист по безопасности может быть уверен в точном количестве утечек, только если в его компании развернуто сразу несколько специализированных систем защиты – а в большинстве случаев, такого положения дел не наблюдается. В этом свете совершенно неудивительно, что в нынешнем году к респондентам пришло понимание собственной незащищенности в области защиты от внутренних угроз.

Количество утечек в 2008 году

Источник: Perimetrix, 2009

Если не учитывать последний вариант ответа и пронормировать данные по остальным вариантам, то можно сделать вывод о незначительном увеличении среднего количества утечек. Данный тренд логично объясняется общей канвой развития отрасли и наращиванием компетенции компаний в области информационной безопасности. За последний год защищенность компаний могла только увеличиться, а вместе с ней, выросло и количество обнаруженных утечек.

Средства защиты

После детального описания существующих угроз логично перейти к статистике используемых средств защиты. Их краткий список приведен на рис. 6.

Легко заметить, что абсолютно все респонденты используют в своей работе антивирусы, межсетевые экраны и те или иные средства контроля доступа. Вслед за ними располагаются системы обнаружения/предотвращения вторжений (70%), антиспам-фильтры (75%) и инструменты для создания виртуальных частных сетей (63%). Отметим, что все перечисленные средства защиты направлены на защиту внешних угроз, опасность которых (как следует из предыдущего раздела), неуклонно падает.

Самые популярные средства ИБ (можно выбрать неограниченное число вариантов)

Источник: Perimetrix, 2009

Впрочем, и резкого роста популярности решений для внутренней защиты в нынешнем году не случилось. Проникновение криптографических продуктов и специализированных систем защиты от утечек осталось примерно на том же уровне. Несмотря на огромную актуальность внутренних проблем, компании не спешат приобретать продукты, которые представлены на современном рынке.

Почему же ожидаемый скачок так, по сути, и не случился? Сегодня существует сразу несколько ответов на этот вопрос. Во-первых, большинство представленных на рынке продуктов имеют длительный цикл внедрения, и ожидать от них резкого роста проникновения бессмысленно. А во-вторых, на рынке систем защиты от утечек было ограничено предложение – больше половины года на нем присутствовал только один традиционный игрок (InfoWatch). Компания Perimetrix официально представила свой продукт только в сентябре 2008 года, а западные вендоры (Symantec, Websense и др.) вели весьма пассивную политику и концентрировались на продвижении других классов продуктов.

Чтобы обрисовать краткосрочные перспективы развития рынка, обратимся к вопросу о наиболее актуальных препятствиях к внедрению систем защиты. Структура этих препятствий в нынешнем году серьезно поменялась – на первое место вышли бюджетные ограничения, доля которых выросла практически в два раза, с 26 до 46%. Причина данной тенденции непосредственно связана с кризисом ликвидности и банальной нехваткой свободных денег среди компаний-заказчиков.

Вместе с тем, потенциальные заказчики не слишком довольны и эффективностью представленных на рынке решений. По-видимому, значительное падение доли (с 49 до 35%) не говорит о росте эффективности решений и объясняется «кризисным» перераспределением голосов респондентов в сторону других ответов. Таким образом, перед вендорами по-прежнему стоят масса нерешенных задач в области создания более качественных продуктов.

Препятствия на пути внедрения защиты от утечек данных

Источник: Perimetrix, 2009

На основании полученной статистики можно делать выводы о перспективах дальнейшего развития российского рынка систем защиты от утечек информации. По мнению аналитического центра Perimetrix, в ближайшем году этот рынок будет устойчиво, но не слишком быстро расти. Благодаря незащищенности компаний и низкому проникновению систем защиты, спрос на подобные решения будет достаточным большим, а предложение – ограниченным. Новые игроки рынка вряд ли сумеют за ближайший год раскрутить маховик продаж, а старые - не смогут реализовать много технологически отсталых продуктов. К негативным факторам необходимо также отнести влияние кризиса и падение платежеспособности потенциальных заказчиков.

Однако в среднесрочной перспективе (2-3 года) на рынке должен произойти резкий скачок вперед. Спрос на системы безопасности не будет к этому времени удовлетворен, на рынке начнут полноценно работать новые игроки, влияние кризиса постепенно сойдет на нет, и у заказчиков появятся свободные ресурсы. Не стоит забывать и об ужесточении регулирующих мер государства, которые также приведут к стимулированию спроса на комплексные защитные системы.

Ответственность нарушителя внутренней ИБ

Еще одной интересной темой нынешнего исследования стала ответственность нарушителей внутренней безопасности. В рамках опроса респондентам предлагалось описать карательные меры, которые применяются к халатным сотрудникам и злонамеренным инсайдерам.

Как выяснилось, в случае случайной утечки информации сотруднику редко грозят серьезные санкции типа увольнения (9%) или материального взыскания (13%) – в большинстве случаев (45%) компании предпочитают простить сотрудника, сделав ему строгий выговор. Отметим, что в 15% случаев инсайдеры и вовсе остаются безнаказанными, а 11% компаний принимают меры в зависимости от тяжести потерянной информации.

Какие меры обычно применяются к сотрудникам, допустившим случайную утечку информации?

Источник: Perimetrix, 2009

Ситуация со злонамеренными инсайдерами во многом аналогична – как и в случае халатных сотрудников, компании редко идут на самые жесткие меры (рис. 9). В большинстве случаев (51%) инсайдера попросту увольняют, а  вернее – побуждают его написать заявление об уходе по собственному желанию. До судебного разбирательства дело доходит крайне редко (9%), поскольку компании резонно предпочитают не выносить сор из избы. Понятно, что громкие инсайдерские скандалы привлекают внимание прессы и негативно влияют на репутацию компаний.

Какие меры обычно применяются к сотрудникам, допустившим спланированную утечку информации?

Источник: Perimetrix, 2009

Таким образом, и халатные, и злонамеренные инсайдеры, как правило, остаются практически безнаказанными. Для первой категории нарушителей утечка, скорее всего, обернется легким испугом, а для второй – увольнением с работы и, может быть, подрывом деловой репутации. Такие последствия вряд ли могут напугать нарушителя, что, в свою очередь, приводит к росту опасности инсайдерской угрозы. 

Направление развития рынка

В предыдущих разделах были рассмотрены основные тенденции развития рынка внутренней безопасности. Если же говорить об ИБ-отрасли в целом, то именно внутренняя безопасность должна стать основным драйвером этого направления в течение ближайших трех лет.

На данный момент примерно 40% российских компаний заявляют о планах внедрения защиты от утечек в течение ближайших трех лет. 35% организаций собираются внедрить криптографические системы для хранящихся данных, а еще 33% - системы управления информационной безопасностью. Следом располагаются системы контроля идентификацией и доступом, а также ИТ-системы физической безопасности.

Планы по наращиванию систем ИБ в ближайшие три года

Источник: Perimetrix, 2009

Таким образом, сегодня можно выделить два основных вектора развития рынка. Первый из них смотрит в сторону внутренней безопасности, второй – в сторону интеграции разрозненных систем и построения единой управляющей инфраструктуры. Последняя задача особенно важна, поскольку в современных (и особенно крупных) компаниях используется целый зоопарк практически не связанных друг с другом систем защиты. Естественно, компаниям становится крайне тяжело всем этим зоопарком управлять.

Что же касается внутренней безопасности, то причины популярности данного вектора очевидны – компании стремятся построить адекватную защиту для до сих пор непокрытых угроз.

Заключение

В целом исследование показало, что ситуация с внутренней безопасностью в российских компаниях по-прежнему остается весьма плачевной. Организации практически всех отраслей и размеров продолжают допускать утечки – только 5% респондентов заявили об отсутствии каких-либо инцидентов в течение последнего года. Вместе с тем, имеются и положительные тенденции – гораздо большее количество специалистов стали осознавать собственную незащищенность и уязвимость своей компании перед действиями инсайдеров.

Уровень проникновения систем защиты от внутренних угроз в течение 2008 года вырос, хотя и не слишком значительно. Больше половины компаний до сих пор пытаются бороться с утечками исключительно с помощью административных мер, не решаясь на внедрение технических системы защиты. Отметим, что не слишком значительный рост рынка отчасти объясняется ограниченным предложением и низким качеством доступных заказчикам продуктов.

Одним из негативных фактором, повышающих опасность внутренних угроз является слишком слабая ответственность нарушителей – халатные инсайдеры, как правило, наказываются строгим выговором, а злонамеренные – увольнением из компании без негативных записей в трудовой книжке. Нарушителям внутренней безопасности редко грозят серьезные санкции, такие как судебное преследования или материальные взыскания.

По мнению аналитического центра Perimetrix, в течение ближайшего года рынок внутренней безопасности продолжить расти, однако не слишком быстро. Такая ситуация связана как с внешними факторами (финансовым кризисом), так и с внутренними реалиями рынка (прежде всего, ограниченностью предложения и ресурсов вендоров). Высокий спрос на комплексные системы защиты, впрочем, имеется уже сегодня, однако он будет реализован только спустя два-три года, по мере стабилизации финансовой ситуации и активного развития новых игроков.

Владимир Ульянов

Toolbar | КПК-версия | Подписка на новости  | RSS