Три четверти организаций сообщают о росте числа внешних атак, а в 63% организаций отсутствует архитектура системы безопасности — таковы данные отчета «Эрнст энд Янг» на основе опросов 1850 руководителей в области информационной безопасности из 64 стран мира.
«Для защиты от угроз, исходящих от существующих и новых технологий, организациям необходимо коренным образом изменить подход к обеспечению информационной безопасности», — делают исследователи неутешительный вывод.
Так, одна из главных инноваций в деловой среде, облачные компьютерные технологии, никак не вдохновили на строгий надзор за провайдерами и применение методов шифрования 38% компаний. Внедряя облачные сервисы, компании сопоставляют риски от удаленного доступа с выгодой, которую они получают от того, что сотрудники не привязаны к офису, объясняет «РБГ» Рустэм Хайретдинов, CEO Appercut Security (входит в ГК InfoWatch), президент Ассоциации DLP-Эксперт. «Когда во мне борются предприниматель и „безопасник“, первый часто побеждает», — делится он уже личным опытом ведения бизнеса. «Но когда накапливается информация, потеря которой будет фатальна, компании уже начинают серьезно думать о безопасности», — продолжает он.
Мобильные устройства для работы в Интернете также набирают популярность у бизнесменов.
«Сорок четыре процента организаций в настоящее время разрешают использовать корпоративные или личные планшеты (аналогичный показатель за 2001 год составил 20%), с помощью которых сотрудники отправляют и получают значительные объемы информации, что существенно осложняет контроль», — считает Пол Ван Кессель, руководитель глобальной практики «Эрнст энд Янг» по оказанию услуг в области управления ИТ и информационными рисками. При этом лишь 40% организаций используют тот или иной способ шифрования данных на мобильных устройствах.
«Россия несколько отстает в использовании мобильных устройств для ведения бизнеса, но это связано с отставанием в проникновении технических новинок на рынок, отмечает Николай Самодаев, руководитель направления Управление ИТ и ИТ-рисками в России и СНГ „Эрнст энд Янг“, но это вопрос времени, как, например, и старт продаж в России айфона
Бороться с модой пользоваться личными планшетами в рабочих целях очень сложно в первую очередь потому, что инициатива идет сверху, отмечает Хайретдинов. «Такие инструменты появляются прежде всего у руководства, и управлять такими людьми политикой информационной безопасности невозможно — они выше по иерархии, чем „безопасники“. А то, что делают большие начальники, очень быстро расползается на средний менеджмент».
«Я видел „технические“ взломы мобильных компьютеров на конференциях, но мне не знакомы случаи, когда взламывали планшеты топ-менеджмента в реальной жизни», — продолжает Хайретдинов. Главная опасность в использовании планшета — то, что его можно потерять, замечает эксперт, ему знакомы не менее десяти случаев утери мобильных устройств с серьезной информацией «на борту». Для того, чтобы ей воспользоваться, нашедшему девайс даже не надо быть хакером: «люди плохо шифруют информацию или им неудобно пароль каждый раз вводить», — отмечает Рустэм Хайретдинов.
Еще один способ потерять все данные с «рабочего» планшета или ноутбука основан на жажде «халявы». Бесплатная точка доступа Wi-Fi в публичном пространстве, например, в аэропорту, может оказаться «зараженной» — и все отправленные пароли утекут злоумышленникам.
В исследовании отмечается, что более трех четвертей (77%) респондентов подтвердили повышение риска внешних атак, также 46% респондентов отмечают, что растут и внутренние уязвимости. Но это не связано с тем, что хакеров стало больше, объясняет Хайретдинов. «Просто компании, даже маленькие, выводят свои системы в Интернет — и количество объектов, которые можно атаковать, увеличилось». Внутренние же утечки связаны с распространением корпоративных веб-порталов, которые помогают работать не в офисе. «Здесь в основном все утечки происходят по халатности и безалаберности», — резюмирует собеседник «РБГ».
В целом организации постепенно наращивают свой потенциал в решении краткосрочных задач, но при этом не уделяют внимания проблемам, решение которых представляется необходимым для снижения общей угрозы информационной безопасности. 31% респондентов отметили увеличение числа случаев нарушения безопасности в течение последних двух лет.
Тем не менее в 63% организаций такая архитектура не создана, и лишь 16% респондентов считают, что их система информационной безопасности полностью отвечает потребностям организации. 51% опрошенных в мире организаций сообщили, что в следующем году планируют увеличить бюджет на информационную безопасность на 5%. Треть респондентов вложили в развитие информационной безопасности более 1 млн долл.
«Практика работы организаций России и СНГ в целом не отличается в лучшую сторону от общей полученной картины», — заключает Самодаев. Компании в основном проводят реактивные действия на те или иные инциденты; различные подразделения, которые в рамках одной организации так или иначе занимаются вопросами оценки и управления ИТ и информационной безопасностью, действуют зачастую разобщенно и лоскутно покрывают лишь явно видимые проблемы; информационные системы вроде и контролируются, но далеко не все, которые следует. В итоге получается как по Райкину — пуговицы пришиты отлично, карманы на месте, но костюм при этом «какой-то не такой».
