Необходима двухсторонняя защита

Ситуация с регистрацией утечек конфиденциальной информации в 2005 году, как и в прошлом, 2004 году, продемонстрировала, что российские органы власти едва ли могут оценить масштабы и последствия проблемы в сфере ИТ-безопасности в рамках собственной деятельности. В тоже время инциденты проходят незамеченными, так как в информационных системах нет комплексных технических средств обнаружения и предотвращения утечек информации.

Cтраницы:   1   2   следующая

В то время, как органы государственной власти практически повсеместно установили высокоэффективные системы защиты от внешних угроз ИТ-безопасности, они до сих пор остаются уязвимыми перед угрозами внутренними.

Большинство в 2005 году вообще не предпринимало никаких шагов в направлении установки специализированных ИТ-систем защиты от утечки данных. В этой связи, уже в 2006 году высока вероятность настоящего взрыва рынка и череда крупных реализованных проектов. Но препятствия на этом пути — психологическая неготовность, неосведомленность о существующих технологических решениях, нехватка квалифицированных специалистов, отсутствие федеральных стандартов и обязательных требований — могут в значительной степени отодвинуть этот взрыв спроса на следующий, 2007 году.

Зарегистрированные инциденты

Результаты первичного опроса (диаграмма «Количество утечек конфиденциальной информации») о количестве инцидентов в этой области выявили, что 31% респондентов не зарегистрировали ни одного случая, лишь 7% — от 1 до 5, и 62% затруднились ответить на вопрос. То есть российские органы власти как правило не могут оценить масштабы и последствия проблемы в сфере ИТ-безопасности, в том числе связанных с утечками информации, в рамках собственной деятельности. Вместе с тем, дополнительный вопрос к участникам исследования из первой группы о существовании неучтенных инцидентов показал, что их большая часть (88%) допускают такую возможность. Причем практически все из них (94%) признались, что инциденты проходят незамеченными, потому что в информационных системах отсутствуют комплексные технические средства обнаружения и предотвращения утечек.

Количество утечек конфиденциальной информации 2004-2005 гг.

Количество утечек конфиденциальной информации

Источник: исследование InfoWatch и CNews Analytics

Наконец, 7%-группа респондентов, которые зарегистрировали от 1 до 5 инцидентов, показала полное единодушие в ответе на дополнительный вопрос об оценке ущерба вследствие утечки. Ни один из них не проводил подобную оценку.

ИТ-безопасность изнутри и снаружи

Самым популярным средством ИТ-безопасности среди государственных организаций являются антивирусы (диаграмма «Популярные средства ИТ-безопасности»). Респонденты не просто поставили их на первое место (100%), но как один заверили, что их сети надежно защищены от вредоносных программ. Данный факт лишний раз доказывает, что органы власти уверены в том, что ситуация с вирусными атаками находится под контролем.

Совместное исследование InfoWatch и CNews Analytics выявило небольшой рост популярности межсетевых экранов — их используют уже не 68%, а 73% респондентов. В следующую по популярности группу систем защиты вошли средства контроля доступа (23%), фильтры спама (17%), IDS/IPS (системы обнаружения и предотвращения вторжений, 15%), VPN (8%) и другие инструменты (27%).

Популярные средства ИТ-безопасности 2004-2005 гг.

Популярные средства ИТ-безопасности

Источник: исследование InfoWatch и CNews Analytics

Один из самых важных выводов исследования состоит в том, что на практике органы государственной власти практически беззащитны перед инсайдерскими угрозами. Структура ответов на последний вопрос (диаграмма «Популярные средства ИТ-безопасности») продемонстрировала крайне низкую популярность систем выявления и предотвращения утечек. Хотя по сравнению с 2004 годом рост составил 100%, абсолютная величина этого показателя (2%) свидетельствует о сохранении исключительно противоречивой ситуации.

Прогрессивный авангард (2%) — это как раз те органы власти, которые уже либо внедрили специализированную систему защиты от инсайдеров, либо тестируют ее и готовятся к внедрению в ближайшее время. 

Таким образом, налицо резкий контраст: с одной стороны, ничто так сильно не волнует органы власти, как инсайдеры и утечка конфиденциальных данных, а с другой, мало кто решился внедрить соответствующие механизмы защиты.

Чтобы выяснить причины такого положения дел, респондентам был предложен вопрос о препятствиях на пути внедрения систем защиты от инсайдеров (диаграмма «Препятствия для внедрения защиты от утечки данных»). Анализируя распределение ответов в 2005 и 2004 годах, удалось установить важный факт: доля ответа «отсутствие технологических решений» снизилась вдвое — с 58% до 29%. Хотя именно эта причина осталась основной, ее количественное изменение свидетельствует, что органы государственной власти стали более осведомлены о рынке специализированных продуктов и услуг. Это, безусловно, заслуга поставщиков систем защиты от инсайдеров, которым не просто удалось вдвое увеличить число (диаграмма «Популярные средства ИТ-безопасности») государственных организаций, защищенных от утечки конфиденциальных данных, но и утолить наполовину (диаграмма «Препятствия для внедрения защиты от утечки данных») информационный голод, связанных с недостатком сведением о существующих решениях и организационно-технических аспектах проблемы. Таким образом, налицо положительная тенденция — все больше и больше органов власти реализуют свои опасения в виде систем защиты от инсайдеров.

Препятствия для внедрения защиты от утечки данных 2004-2005 гг.

Препятствия для внедрения защиты от утечки данных

Источник: исследование InfoWatch и CNews Analytics

Следует отметить, что помимо отсутствия информации о специализированных решениях, государственные организации столкнулись еще с несколькими проблемами: бюджетные ограничения (17%), нехватка квалифицированного персонала (14%), отсутствие стандартов (9%), юридические препятствия (2%), другое (11%).

В этой связи необычно выглядит высокий процент респондентов, затруднившихся ответить на вопрос. Можно предположить, что представители этой группы еще не преодолели психологический барьер для внедрения защиты от утечки конфиденциальной информации. С одной стороны, они не видят причин «почему нет», но еще не готовы сказать окончательное «да». По всей видимости, именно эти органы власти ближе всего подошли к порогу практической реализации защиты и в следующем году будут готовы реализовать проекты защиты от инсайдеров. В этой связи, в 2006 году весьма вероятен настоящий взрыв рынка и череда крупных реализованных проектов.

Также важно отметить три другие группы респондентов. Прежде всего, налицо снижение доли «бюджетных ограничений» — обычно это препятствие является ключевым на пути любых информационных проектов. Вдобавок, ровно в два раза выросла доля обеспокоенных нехваткой квалифицированного персонала (с 7% до 14%; в качестве причины большинство называет относительно низкие зарплаты ИТ-специалистов). Другими словами, складывается ситуация прямо противоположная положению вещей в индустрии информационных технологий: средства есть, но некому их осваивать. Наконец, интересна динамика показателя «отсутствие стандартов» как препятствия для внедрения защиты от утечки данных. Дело в том, что такие проекты отличаются высокой сложностью, сочетают разнообразные технические и организационные аспекты. В результате государственные организации часто не могут точно определить методику внедрения. По сути, они выступают в роли первопроходцев.

В то время, как отдельные органы государственной власти совместно с поставщиками самостоятельно ищут оптимальный вариант, России пора задуматься о разработке федерального стандарта защиты данных. Это уже сделали большинство развитых стран. К тому же многие международные стандарты уже оказывают влияние на российские субъекты: Акт Сарбаниса-Оксли, Basel II, ISO 17799 и многие другие. Российский стандарт мог бы укрепить общий уровень защищенности и обеспечить синхронизацию с мировыми тенденциями, причем не только в госсекторе, но и в сфере частного бизнеса. Более того,  необходимость такого стандарта диктуется потребностью в унифицированном оптимальном подходе к реализации проектов ИТ-безопасности, а принятие соответствующего нормативного акта в состоянии поднять престиж страны.

Cтраницы:   1   2   следующая

CNews Analytics


Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2006 г.

Toolbar | КПК-версия | Подписка на новости  | RSS