 |
Назад в библиотеку |
|
Международная аудиторско-консалтинговая фирма PricewaterhouseCoopers, партнер компании InfoWatch, и издательский дом CXO Media, выпускающий журналы CIO и CSO, провели третье ежегодное исследование «Global Information Security Survey» (далее GISS 2005). В опросе приняли участие более 13 тыс. компаний из более 60 стран мира (в том числе из России).
Опрос GISS 2005 охватил все вопросы обеспечения корпоративной ИТ-безопасности, начиная от бюджетных вопросов и заканчивая проблемой соответствия требованиям законодательства. В данной статье рассматриваются лишь та часть GISS 2005, которая имеет отношение к внутренней ИТ-безопасности, так как данное исследование впервые позволили выявить тот факт, что бывшие и нынешние сотрудники компании ответственны более, чем за половину всех инцидентов ИТ-безопасности, а если учитывать еще временных служащих (контрактников и консультантов), клиентов и партнеров предприятия, то внутренними можно считать 8 инцидентов из 10.
В этой части исследования респондентам предлагалось сообщить об используемых технических и организационных мерах по защите приватных данных в компаниях. Наиболее популярными оказались следующие: тренинги и программы для повышения осведомленности сотрудников (58%), безопасность веб-транзакций (54%), передача данных только в зашифрованном виде (51%), политика приватности на внутреннем веб-сайте (47%), ежегодный пересмотр политики приватности (45%) и политика приватности на внешнем веб-сайте (40%).
 |
В ответе на следующий вопрос респонденты сообщили о внедренных мерах, предназначенных для обеспечения ИТ-безопасности в компании. Все ответы были разбиты на три группы: люди, процессы, технологии. В первой группе рассматривались только те меры, которые так или иначе задействуют персонал компании, ко второй категории были отнесены такие мероприятия, как аудит, оценка рисков и т.д. В третью группу попали уже конкретные программные и аппаратные продукты. Если рассматривать меры ИТ-безопасности, связанные с персоналом компании, то наибольшей популярностью пользуются:
 |
Определенный интерес представляют процессы, связанные с ИТ-безопасностью, так как именно на их плечи ложатся функции обеспечения взаимодействия между сотрудниками и конкретными технологиями (продуктами). Вторая группа ответов GISS 2005 продемонстрировала, что самыми популярными процессами являются:
Важно заметить, что с ростом масштаба организации мониторинг действий сотрудников становится все более и более популярным. При средней величине 47% он достигает:
Таким образом, озабоченность проблемами внутренней ИТ-безопасности значительно возрастает с ростом масштаба самой компании.
 |
Наконец в третьей категории, посвященной продуктам и технологиям, наиболее популярными оказались: средства для создания резервных копий (84%), сетевые брандмауэры (82%), пароли пользователей (80%), программные брандмауэры (70%) и средства обеспечения безопасности в сети (61%). Интересно отметить:
Прежде всего, исследование GISS 2005 позволило установить, что за прошедший год 36% респондентов зарегистрировали, по крайней мере, один инцидент ИТ-безопасности, 28% — 2 инцидента и 23% — 3 инцидента.
 |
На следующем этапе респонденты определили источник инцидентов. Хотя 63% проблем были вызваны атаками хакеров, на долю бывших и нынешних сотрудников компании пришлось 20% и 33% соответственно. Другими словами, 53% инцидентов, то есть более половины, вызваны злонамеренными действиями самих служащих предприятия. Более того, в эту цифру не входят временные сотрудники (консультанты и контрактники), а также клиенты и партнеры по бизнесу. Заметим, что общая сумма долей значительно превышает 100%, так как компании фиксировали более одного инцидента, каждый из которых мог быть вызван несколькими причинами.
Часть исследования, посвященная последствиям зарегистрированных инцидентов, позволила выявить, что в подавляющем большинстве случаев были скомпрометированы конфиденциальные или приватные сведения, стала возможной кража личности, или компания понесла прямые убытки вследствие потери или повреждения внутренних записей. Таким образом, все современные атаки направлены именно на чувствительные корпоративные данные вне зависимости от того, являются ли они сведениями о заказчиках, служащих или новых разработках предприятия.
 |
 |
Что касается оценки ущерба, то 71% респондентов сообщили, что компания понесла прямые финансовые убытки вследствие указанных выше инцидентов, а 40% заявили о краже интеллектуальной собственности, принадлежащей фирме. Вдобавок, 64% респондентов согласились, что следствием инцидента стал подрыв репутации компании. Почти половина (43%) предприятий столкнулась с исками и судебными разбирательствами из-за инцидента ИТ-безопасности. Если говорить о денежном выражении ущерба, то 47% компаний затруднилось его оценить, а 29% сообщили, что не понесли финансовых потерь. Однако 13% оценили свой ущерб в размере до 10 тыс. долларов, а 1% - более 1 млн. долларов.
Результаты GISS 2005 полностью согласуются с исследованием «Внутренние ИТ-угрозы в России», которое компания InfoWatch провела в начале 2005 года. Прежде всего, российское исследование позволило выявить, что 62% компаний убеждено, что именно инсайдеры являются наиболее опасной угрозой ИТ-безопасности. GISS 2005 подтвердило это мнение: 53% инцидентов вызваны именно действиями бывших или нынешних служащих, а 60% - инсайдерами (включая контрактников и консультантов). Почти все (98%) респонденты российского опроса согласились, что нарушение конфиденциальности информации – самая большая внутренняя угроза. Если же посмотреть на последствия зарегистрированных инцидентов, выявленные GISS 2005, то в 77% случаев были скомпрометированы или украдены чувствительные сведения, а в 46% они были уничтожены или повреждены.
Таким образом, именно цифровые активы компании (интеллектуальная собственность, конфиденциальная корпоративная информация, приватные записи клиентов и служащих) являются сегодня объектом атаки. Самой опасной угрозой этим активам следует признать инсайдеров. Такое положение дел характерно для более полусотни стран, охваченных исследованием GISS 2005, в том числе и для России.
|