Тема информационной безопасности (ИБ) впервые выносится на IT-Summit, отметил ведущий дискуссию Кирилл Корнильев, генеральный директор IBM EE/A. Дело в том, что сложился упрощенный взгляд на ИБ — мол, это специфический вид деятельности, которым занимаются узкие специалисты и который почти не касается первых лиц компаний — как заказчиков, так и ИТ-фирм, предлагающих решения по ИБ. По его мнению, такое отношение не совсем корректно по двум причинам.

Во-первых, сейчас многие крупные предприятия в России создают свои ИС, и если с самого начала грамотно не решить вопросы построения бизнес-процессов и инфраструктуры ИС, то функции ИБ, безусловно, «просядут». В то же время для ИТ-компаний подобный целостный подход к ИБ — это возможность расширения бизнеса.

Во-вторых, ИБ, возможно, представляет интерес с точки зрения позиционирования России в мировой системе разделения труда в сфере ИТ. Конечно, пояснил Кирилл Корнильев, это может быть и другое направление. Но, с другой стороны, а почему бы не ИБ?!

«Первый блин» в кругу первых лиц, как и ожидал ведущий, вылился не столько в дискуссию, сколько в брифинг, помогающий им понять проблематику и сегментацию сферы ИБ и, возможно, свое место в ней.

Об основных угрозах ИБ и тенденциях в области борьбы с компьютерными преступлениями рассказал Сергей Башук (Бюро специальных технических мероприятий МВД РФ). Очевидно, что с проблемами ИБ могут столкнуться все предприятия и все граждане, сказал он, и количество преступлений в этой сфере с каждым годом растет, хотя темпы роста в последнее время замедлились. Сейчас здесь можно отметить несколько основных тенденций.

  1. Увеличилось количество общеуголовных преступлений с использованием компьютерной техники, не типичных для сферы ИТ, — кражи, шантаж и т. п.
  2. Киберпреступники все чаще объединяются с традиционным уголовным криминалитетом. Немало случаев, когда осужденные участники раскрытых хакерских групп, отбывая свои сроки в местах не столь отдаленных, завязывают там отношения с уголовным криминалитетом и обогащенные этими новыми знаниями возвращаются к своей хакерской деятельности.
  3. Компьютерные атаки становятся более интеллектуальными и более целенаправленными, чем прежде, и используются бизнесом как один из методов конкурентной борьбы.
  4. Преступления, связанные с ИБ, все чаще носят экономический характер, на их подготовку и совершение выделяются большие суммы, нередко для этого покупаются юрлица, адресное пространство в Интернете и оборудование и пр.

«Большинство (70–80%) компьютерных преступлений, — сообщил Сергей Башук, — с которыми мы сталкиваемся, связаны именно с хищениями денежных средств, в то время как другие виды преступлений (вроде хищения трафика) постепенно отмирают. Это связано в том числе со все большей доступностью удаленных услуг — интернет-магазинов, интернет-банкинга и т. п. Кстати, удивляет, что у некоторых компаний, предоставляющих удаленный доступ к довольно большим деньгам, слабые средства авторизации — логин, пароль и всё... Часто мы сталкиваемся и с проблемой инсайда, которая периодически возникает у компаний, давно действующих на рынке. Это один из самых сложных видов преступлений, и раскрываются они только при взаимодействии со службой безопасности пострадавшей компании. Нас, как работников МВД, волнует проблема инсайда и не очень грамотного отношения компаний к своей ИБ, поскольку сэкономленная где-то копейка может потом принести большие убытки».

Он обратил внимание на отсутствие доверия бизнеса к правоохранительным органам: нередко руководители компании, подвергшейся кибератаке злоумышленников, уклоняются от взаимодействия со специалистами МВД, опасаясь, что последние не ограничатся раскрытием данного преступления и только сферой ИБ, а начнут «копать» бизнес компании. И не всегда этих руководителей удается переубедить.

«Я представляю то подразделение управления «К», которое занимается раскрытием компьютерных преступлений. И если вам позвонят наши сотрудники с просьбой о взаимодействии, я прошу вас отнестись к этому с пониманием», — обратился к присутствующим Башук.

Владимир Мамыкин, директор по ИБ компании Microsoft в России, говоривший о тенденциях развития рынка ИБ, привел многочисленные статистические данные, в основном зарубежные.

«Бизнес идет в Интернет, клиенты идут в Интернет, и от того, как их данные будут там защищены, зависит, будут они у вас покупать или нет», — подчеркнул он.

Центры хакерства и вирусописательства, в свое время сложившиеся в западных странах, а затем переместившиеся в основном в Россию и Китай, сейчас смещаются дальше — в Мексику и страны Африки, отметил Мамыкин. Основные причины этого — усилия отечественных законодателей и МВД, а также быстрый рост нашей ИТ-индустрии, которая «высасывает» кадры хакеров, предлагая работу в приличных компаниях за приличную «белую» зарплату.

Но большинство потенциальных злоумышленников интересует уже не «завал» систем как хобби, а зарабатывание денег. Это стало очевидно после того, как в классификаторах компьютерных преступлений была введена графа «Финансовое мошенничество».

«Анализ данных о расходах на ИБ в мелких, средних и крупных компаниях США позволяет сделать следующий вывод, — отметил Владимир Мамыкин. — Если вы большая компания, то не нужно обращать внимание на то, как защищаются ваши менее крупные коллеги или конкуренты. Вам необходим более высокий уровень защиты, чтобы возможные атаки не нанесли вам имиджевого ущерба». К сожалению, сложность развертывания современных систем ИБ и работы с ними, как правило, существенно превышает первоначальные вложения.

По данным исследований, в западных странах компании тратят на ИБ примерно 5% своего ИТ-бюджета, в России же, по оценкам спецслужб, озвученным на недавнем «Инфофоруме», всего 0,5%.

«Если бы мы умели разговаривать с финансовыми директорами компаний и объяснять им, почему нужно тратить деньги на ИБ, мы тоже могли бы довести долю расходов на нее до 5%», — считает Владимир Мамыкин.

Он отметил также такую тенденцию на рынке ИБ, как концентрация разработки продуктов для ИБ в руках крупных игроков, в том числе в результате приобретений успешных мелких и средних компаний. Цель такой стратегии — создание простых в управлении интегрированных систем ИБ. Тем не менее этот сегмент рынка не пустеет, возникают все новые игроки, потому что угрозы ИБ постоянно растут.

Александр Соколов, генеральный директор компании «Элвис+», посвятил свое выступление анализу информационных рисков как части проблемы обеспечения непрерывности бизнеса.

У очень многих компаний, отметил он, именно информационные активы составляют основную долю их стоимости, а не здания, не станки и т. п. К сожалению, компании часто не представляют четко, какими информационными активами они располагают, и еще чаще не знают, сколько эти активы стоят. И обычно самое сложное — это определение ценности тех или иных активов, грозящих им уязвимостей и их финансовых последствий. «Провести стоимостную оценку, оценить ROI очень трудно, — подчеркнул Соколов, — все равно, что оценить, когда окупится покупка сейфа или строительство пожарной вышки. Да, может, никогда. И дай Бог, чтобы никогда!»

Источников угроз много, но главные среди них, и внутри компании, и вовне, — это люди. И если уж в компании поняли, что система ИБ необходима, то нужно грамотно ее спроектировать, затем реализовать и не забывать, что она должна непрерывно меняться — как меняются люди и окружающий мир.

О связи между ИБ и стратегией обеспечения устойчивости бизнеса говорил Сергей Иванищак, генеральный директор Ассоциации ЕВРААС.

По его мнению, существует ряд вызовов и проблем, на которые традиционные подходы к ИБ пока не дают адекватных ответов. Например, не существует объективных показателей и границ ИБ, поэтому для оценки реальных систем ИБ используются в основном эвристические методы, а наличие множества стандартов, методик и регламентов оценки также косвенно свидетельствует о невозможности четкой объективной оценки уровня ИБ.

Одна из новых тенденций в сфере ИБ, по мнению Сергея Иванищака, — это сокращение количества информации, которую необходимо скрывать и на государственном уровне, и на уровне компаний, все чаще стремящихся к открытости.

Возникает и новая проблема — как обеспечивать ИБ в этом новом мире, где, казалось бы, нечего скрывать, но нападение возможно практически в любой момент и из любой точки.

По данным последнего исследования Ernst&Young, в России 41% нарушений ИБ совершили топ-менеджеры компаний, т. е. люди, воспользовавшиеся своими легальными возможностями.

В этом открытом мире, считает он, работают такие подходы, как ставка на скорость изменений и реакции, поскольку угрозы всегда запаздывают, переход от защиты информации к ее маскировке и мимикрии. Возможно, пришло уже время отказаться от деления безопасности на личную, экономическую и информационную.

Марат Гуриев, директор государственных программ IBM ЕЕ/А, в качестве ключевого фактора, воздействующего в том числе и на сферу ИБ, отметил увеличение темпов освоения инноваций. «От линейных графиков мы уже перешли к логарифмическим, — сказал он. — Поэтому новый и большой пласт проблем в сфере ИБ будет связан с ростом сложности систем, которыми управляют и с которыми взаимодействуют люди, а «сложность» самих людей, увы, ограничена».