Главной угрозой стал человек

Деловая активность компаний, работающих на рынке информационной безопасности (ИБ), остается высокой даже в условиях экономического кризиса. Этому есть простое объяснение. Во-первых, поддерживать безопасность на требуемом уровне — жизненно важная задача для любой организации. Можно говорить об оптимизации бюджетов, эффективном использовании средств, экономии на модернизации ИТ-инфраструктуры, но ни один здравомыслящий руководитель не станет сокращать расходы, если в результате такого шага снизится уровень безопасности его компании. Во-вторых, чуть ли не ежедневно появляются все более изощренные вредоносные программы и другие угрозы, что заставляет клиентов приобретать новые решения.

Опасностей прибавилось

Сегодня, как отмечают эксперты, корпоративных заказчиков и конечных пользователей подстерегает большее число опасных ситуаций, нежели в докризисный период. Ничего удивительного в этом нет. Известно, что на фоне экономических трудностей всегда увеличивается уровень преступности. А в наш век стремительно набирает обороты преступность кибернетическая. Теперь взламывают не сейфы, а сайты, воруют деньги и грабят банки через Интернет.

Что же говорят по поводу сложившейся ситуации специалисты? В очередном отчете об угрозах интернет-безопасности, подготовленном аналитиками компании Symantec, отмечается, что вредоносная деятельность усиливается в странах с быстрорастущей инфраструктурой Интернета. За счет этого в 2008 г. сократилась доля стран с развитой инфраструктурой широкополосного доступа в общей картине вредоносной деятельности. В тройку «вредных» лидеров входят США, Китай и Германия. Их доли в прошлом году составили 23, 9 и 6% соответственно. При этом аналитики отмечают, что вклад этих стран по сравнению с 2007 г. уменьшился. Тогда он составлял 26, 11 и 7% соответственно. Вместе с тем доли некоторых других государств, входящих в первую «вредоносную» десятку, напротив, увеличились: Великобритании — с 4 до 5%, Бразилии и Испании — с 3 до 4%, Турции и Польши — с 2 до 3%.

Главным вектором вредоносной деятельности, как подчеркивают специалисты Symantec, являются Web-атаки. Распространенность Web-приложений, имеющих множество простых для использования уязвимостей, привела к преобладанию именно Web-угроз. Их опасность заключается в том, что большинство пользователей даже не подозревают, что были атакованы. Практически все предприятия для ведения бизнеса опираются на Web-инструменты, поэтому Интернет останется главной средой деятельности киберпреступников.

Следующий важный вывод исследователей — злоумышленники более, чем когда-либо прежде, сосредоточены на взломе систем конечных пользователей с целью финансового обогащения, а теневая экономика продолжает процветать и крепнуть. Например, создаются фирмы, где разработка вредоносных программ поставлена на промышленную основу, а над созданием кода трудятся десятки квалифицированных программистов. Известны случаи межнационального сотрудничества киберпреступников. Чистые пластиковые карты изготавливаются в одной стране, запись краденых реквизитов кредитных карт осуществляется в другой, а сбыт и использование поддельных карт — в третьей.

Данные кредитных карт по-прежнему возглавляют список товаров и услуг, рекламируемых на сайтах кибермошенников. Причем доля информации о кредитках выросла с 21% в 2007 г. до 32% в 2008 г. Вторая по популярности категория товаров — информация о банковских счетах. Ее удельный вес в прошлом году достиг 19% против 17% в 2007 г. Диапазоны цен на краденую информацию о кредитных картах и банковских счетах в 2008 г. не изменились и составили от 6 центов до 30 долл. за карту и от 10 до 1 тыс. долл. за банковский счет. Неужели у мошенников тоже есть свои «антикризисные» предложения?

Мнение аналитиков Symantec разделяют руководители российских ИТ-компаний, специализирующихся в области ИБ. «Эволюция компьютерных угроз связана в первую очередь с завершившейся криминализацией киберпреступности, — говорит Олег Гудилин, руководитель отдела стратегического маркетинга „Лаборатории Касперского“. — Если раньше хакеров и вирусописателей представляли как школьников и студентов, которые таким образом осваивают языки программирования и новые технологии, развлекаются и пытаются заявить о себе, то сегодня такой образ явно устарел. Подавляющее большинство современных киберпреступников это профессионалы высокого класса, все действия которых направлены на получение прибыли. Это могут быть и талантливые одиночки, но сегодня все больше киберпреступников объединяются в банды, зачастую международные».

Гудилин добавил, что мировой экономический кризис способствует росту киберпреступности, поскольку без работы осталось множество ИТ-специалистов. Кроме того, в трудные времена всегда увеличивается количество людей, желающих быстро обогатиться, невзирая на методы. «Зарплатный голод», возникший среди квалифицированных программистов, привлек на «темную сторону» сильные кадры, а конкуренция среди группировок хакеров заставляет их действовать более активно. В результате сегодня подавляющую часть вредоносных программ составляют не вирусы с неким деструктивным функционалом, а различные троянские программы, нацеленные на воровство конфиденциальных данных и получение контроля над чужими ПК.

Эту точку зрения разделяет Александр Чигвинцев, менеджер RSA, подразделения безопасности московского представительства EMC. «В последнее время как в нашей стране, так и за рубежом отчетливо прослеживается тенденция к увеличению случаев мошенничества в приложениях дистанционного банковского обслуживания», — подчеркнул он.

По словам Владимира Гайковича, генерального директора группы компаний «Информзащита», один из самых распространенных типов угроз — воздействие при помощи вредоносных программ. «Людей в Интернете становится все больше и больше, а программы все менее и менее надежны. И получить извне тот или иной „подарок“ становится все проще», — сказал он. Также растет число DDоS атак, при которых злоумышленники делают недоступными Web-представительства той или иной компании в Интернете.

«Массовые фишинговые атаки на конечного пользователя с целью кражи персональных и финансовых данных, а также с целью включения компьютера жертвы в бот-сеть стали нормой, — комментирует Владимир Иванов, системный инженер московского представительства компании Cisco. — Можно сказать, технологии атак достигли операционной зрелости, злоумышленники научились решать проблемы масштабирования при управлении крупными системами, обеспечивать высокую доступность управляющих серверов и защиту от противодействия правоохранительных органов. Именно эта зрелость является причиной роста ущерба, наносимого как частным пользователям, так и организациям».

В числе других угроз, активизировавшихся в прошлом году, специалисты называют атаки на мобильные телефоны и смартфоны, а также появление огромного количества троянских программ, нацеленных на кражу паролей и других данных пользователей онлайн-игр. Пристальное внимание кибермошенников привлекли и социальные сети. Этот сервис популярен, им пользуются миллионы людей, к тому же в атаке на пользователей таких сетей злоумышленникам помогает психологический момент. Большинство людей уже не открывают подозрительные файлы и не переходят по непонятным ссылкам. Когда же ссылка приходит от твоего друга из социальной сети — об осторожности забывают.

Важная тенденция, которая в ближайшее время также окажет влияние на рынок ИБ, — развитие беспроводных технологий. «Здесь угрозу может представлять несанкционированное подключение к беспроводным корпоративным сетям», — говорит Юлия Грекова, глава московского представительства компании Check Point. Еще один аспект — развитие систем мобильного доступа в Интернет (GPRS, CDMA, публичные сети Wi-Fi, WiMAX). Это означает, что сотрудник, недовольный строгими корпоративными правилами доступа во всемирную сеть, вполне может обойти их, самостоятельно подключив к корпоративному компьютеру модем GPRS, CDMA, Wi-Fi или WiMAX. Таким образом, появляется «черный ход» в корпоративную сеть, минуя межсетевой экран.

Имя им — легион

Самой тревожной тенденцией, порожденной кризисом, специалисты считают активизацию инсайдеров и, как следствие, резкое увеличение объемов похищаемых данных.

«Из-за масштабных сокращений сильно возрастает угроза хищения информации сотрудниками фирм», — говорит Денис Дерюгин, менеджер по развитию бизнеса Symantec компании OCS. Ссылаясь на результаты исследований Symantec, Дерюгин отметил, что примерно 60% увольняемых сотрудников уносят с собой конфиденциальную информацию. «Чаще всего это сведения о заказчиках и финансовые данные», — пояснил он. 82% респондентов, принявших участие в опросе, заявили, что их бывшая компания не проверила состояние документации перед тем, как эти люди ушли с работы. А 24% опрошенных сказали, что и после увольнения имели доступ к компьютерной сети своей бывшей фирмы. В ходе исследований также выявилось, что 53% респондентов записали информацию на DVD, 42% — на USB, а 30% отправили ее на личный почтовый адрес. 61% респондентов, сообщивших о краже данных, указали, что были недовольны своим работодателем.

«Самая серьезная угроза — это злонамеренные действия людей внутри организации, — заявил Владимир Гайкович. — Подчеркиваю, не вынос информации из компании, не передача ее третьим лицам, а любые действия, направленные на получение материальной выгоды. Эта угроза опасна потому, что ее реализуют, как правило, компетентные специалисты, в основном в рамках своих полномочий. И основной прямой ущерб компаниям наносит как раз это».

Михаил Калиниченко, генеральный директор компании S.N.Safe&Software, также считает, что сейчас для любого предприятия наиболее опасны именно внутренние угрозы. «Это связано с негативными тенденциями на рынке труда, увольнениями сотрудников либо снижением их доходов», — заметил он. Обострение внутренних конфликтов, обиды служащих — все это создает предпосылки для различных злоупотреблений.

О том, что на информационную безопасность прямо влияет не только экономическая ситуация, но и психологический климат в обществе, говорят специалисты компании Paragon. Они утверждают, что психологический аспект играет существенную роль, когда речь заходит об инсайдерах и утечках информации. Сегодня все чаще появляются сообщения об утере или краже служебных данных, причем не только на территории России, но и по всему миру.

По мнению аналитиков Paragon, количество таких угроз за последнее время выросло на 10–15%. Причин много, но одна из главных — волна сокращений, прокатившаяся в течение последних шести месяцев. Негативные эмоции сотрудников, обиды и страх стали серьезной угрозой для компаний. Даже лояльные сотрудники часто запасаются данными на случай увольнения, говорят специалисты московского представительства Check Point.

С другой стороны, кризис повлиял на платежеспособность фирм, вследствие чего стали сокращаться бюджеты, что, в свою очередь, привело к поиску недорогих альтернатив. В частности, клиенты стали обращать внимание на свободно распространяемое ПО, но, как считают специалисты компании Paragon, для корпоративного сектора эти решения нельзя назвать надежными с точки зрения ИБ. В итоге предприятия столкнулись не только с проблемой увеличения числа уязвимостей, но и с многочисленными утечками информации.

Интересные данные были получены фирмой Perimetrix. В недавно опубликованном отчете «Инсайдерские угрозы в России’09» говорится о том, что самыми опасными угрозами по-прежнему остаются утечки информации и халатность персонала. Доли этих угроз по сравнению с прошлым годом изменились незначительно, в то время как опасность всех внешних угроз (вирусы, спам, атаки хакеров), напротив, существенно снизилась (см. рис. 1).

«Высокая опасность внутренних угроз была заметна еще в прошлом году, — отмечает Денис Зенкин, директор по маркетингу фирмы Perimetrix. — Опасности утечек информации и халатности служащих опережали атаки внешних злоумышленников уже тогда. Этот долгосрочный тренд объясняется рядом вполне понятных причин — более высоким ущербом от внутренних утечек информации, меньшим проникновением средств защиты и принципиально новой постановкой задачи безопасности. За год ситуация кардинально не изменилась».

По словам Артема Хазова, директора по продажам фирмы Aflex Software, наиболее опасны те угрозы, которые компания не смогла предотвратить, ибо именно они становятся главной проблемой для безопасности бизнеса. «Сегодня ситуация такова, что большинство угроз сосредоточено внутри компании, а не за ее пределами, и главная из них — так называемый человеческий фактор, — говорит Хазов. — Часто сотрудники непреднамеренно наносят ущерб. Но гораздо опаснее умышленные действия людей, имеющих доступ к корпоративной информации».

Владимир Ульянов, руководитель аналитического центра компании Perimetrix, говорит, что в подавляющем большинстве случаев нарушители внутренней безопасности не несут практически никакой ответственности: 45% из них наказывают строгим выговором, а 51% злонамеренных инсайдеров увольняются по собственному желанию.

Изучением природы и характера утечек данных занимаются также в компании InfoWatch. Проведя очередное глобальное исследование инцидентов внутренней безопасности, эксперты компании установили, что чаще всего информация «покидает стены» коммерческих предприятий. На втором месте оказались общественные и учебные заведения. А самые дисциплинированные сотрудники трудятся в государственных организациях (см. рис. 2). В InfoWatch отмечают, что по сравнению с 2007 г. распределение утечек практически не изменилось. Разница составляла не более 1–2%, что укладывается в рамки статистической погрешности. Зато налицо существенный рост количества намеренных утечек. Если в 2007 г. эта цифра составляла 29% общего числа зарегистрированных инцидентов, то в 2008 г. она достигла 46% (см. рис. 3).

Ситуация на рынке тревожная, но не безнадежная

Что же произошло на отечественном рынке ИБ за последний год? Как повлиял кризис на позиции компаний?

Алексей Лукацкий, менеджер по развитию бизнеса московского представительства Cisco, считает, что расстановка сил практически не изменилась, поскольку позиции компаний формируются не под влиянием новых угроз, а определяются рыночными механизмами. «Гораздо важнее, кто активнее продвигает свои продукты, кто больше вкладывает в бизнес, — подчеркнул он. — А в этом плане ничего за последнее время не поменялось». Но утверждать, что изменений нет, было бы тоже не совсем правильно, продолжает Лукацкий. В России открыли представительства западные игроки, которые раньше работали через партнеров. Это компании Kerio, Trend Micro, McAfee и др. Однако появление офисов заметного влияния на рынок пока не оказало.

По мнению Алены Марковой, аналитика компании Entensys, сейчас сложно определить поведение рынка ИБ, а также прогнозировать рост или спад продаж. С одной стороны, этот рынок не насыщен, растут угрозы, растет и спрос на решения, постоянно появляются новые компании, особенно в секторе СМБ, которым требуются качественные продукты для обеспечения защиты. С другой стороны, компании стремятся сократить затраты, в том числе на решения по безопасности, отказываются или откладывают приобретение тех или иных продуктов, порой заменяя их бесплатными аналогами.

Несколько иной точки зрения придерживается Сергей Земков, управляющий директор «Лаборатории Касперского» в России. «Кризис затронул все сектора экономики, и рынок ИБ не исключение, — заявил он. — Единственное отличие в том, что последний пострадал в меньшей степени, чем любые другие отрасли. И связано это с тем, что безопасность информации — один из ключевых моментов функционирования бизнеса любой организации». Руководители это прекрасно понимают и потому поддерживают системы ИБ в «боеспособном» состоянии. «Прежде всего это относится к антивирусным решениям, — продолжает Земков. — Данный сегмент — один из немногих, которые даже в период кризиса демонстрируют положительную динамику. Темпы роста сократились, но продажи антивирусных продуктов продолжают расти». Его слова подтверждают исследования компании Perimetrix (см. рис. 4).

Высокий спрос на средства антивирусной защиты отмечают и в компании «Аксофт». «Речь идет о комплексных решениях, включающих защиту как конечных точек сети, так и почтовых и файловых серверов, — рассказывает Вадим Корольков, генеральный директор. — Следом идут средства резервного копирования. Отчетливо наблюдается повышение интереса к решениям по URL-фильтрации и контролю присутствия пользователя в Интернете. Невозможно не отметить возросший спрос на решения DLP (Data Leakage Prevention)».

Вадим Корольков отметил, что в целом набор средств защиты не изменился. Это прежде всего антивирусное ПО, которое развивается и приобретает функционал, ранее не доступный (контроль подключаемых устройств, контроль доступа к сети и пр.). Именно поэтому многие производители стараются изменить свое позиционирование на рынке и предпочитают называть себя производителями средств защиты.

По мнению Кирилла Керценбаума, старшего технического консультанта представительства Symantec, рынок антивирусных решений сформирован и, несмотря на кризис, продолжает стабильно расти. Каких-либо серьезных изменений в списке ключевых игроков не предвидится. «Время, когда компании ежегодно мигрировали с одного антивируса на другой, прошло, — заметил он. — Каждый клиент нашел для себя оптимальное решение». Впрочем, это справедливо лишь в отношении крупных заказчиков. Компании из сегмента СМБ более свободны в принятии решений и не прочь перейти на новый продукт, особенно если этот переход осуществляется в рамках маркетинговой программы того или иного вендора и сулит хорошие скидки.

Керценбаум считает, что в России состав первой пятерки поставщиков решений в области ИБ («Доктор Веб», «Лаборатория Касперского», ESET, Symantec, Trend Micro; компании перечислены в алфавитном порядке) не изменится. Перестановки внутри этой пятерки возможны (рокировка четвертого и пятого мест), но это не окажет большого влияния на рынок. О том, что передела рынка не будет, заявляет и Михаил Кондрашин, генеральный директор Центра компетенции и дистрибуции Trend Micro. «Ведущие игроки сохранят свои позиции, но акценты смещаются, — говорит он. — Деньги, которые есть на рынке, тратятся на поддержание существующей инфраструктуры и решение точечных задач».

Вадим Корольков отметил, что позиции лидеров российского антивирусного рынка очень сильны. «Даже в условиях кризиса на разных его этапах объем закупок антивирусных продуктов не сократился, а по ряду производителей мы отмечаем неуклонный рост, — сказал он. — Значительные усилия для укрепления своих позиций на российском рынке предпринимают мировые лидеры, которые пока существенно отстают от своих конкурентов». Компания Trend Micro, третий в мире игрок рынка защиты информации, в разгар кризиса открыла офис в Москве и планирует значительные инвестиции в развитие партнерского канала. Не теряют надежды завоевать свою долю и сильные «середнячки». Так, BitDefender, предпринимавшая неоднократные попытки покорить российского пользователя, пробует сделать это уже с помощью компании «Аксофт» как официального дистрибьютора.

Кризис привел к уменьшению и реструктуризации спроса на рынке ИБ, считает Владимир Гайкович. Постоянные покупатели из госсектора, телекоммуникационной и нефтегазовой отраслей либо существенно урезали свои бюджеты, либо начали кредитоваться за счет поставщиков. Реструктуризация спроса заключается, по словам Гайковича, прежде всего в том, что появилась высокая и неудовлетворенная потребность в профессиональных консалтинговых услугах, то есть таких услугах, которые позволяют оптимальным образом решить проблему клиента в области безопасности. «Заказчики начинают понимать разницу между профессиональными услугами и профессиональными разговорами о таких услугах», — сказал он.

По оценке Сергея Осинцева, директора по развитию компании «Айдеко», значительно уменьшился объем проектных решений системных интеграторов, так как ИТ-бюджеты всех крупных заказчиков сократились. Продажи ПО уменьшились не так сильно. «Меньше всего пострадали подписки на ПО и антивирусные продукты, — отмечает Осинцев. — Упал спрос на комплексные системы с высокой стоимостью внедрения, растет интерес к разработкам, которые „точечно“ решают текущие проблемы. Российские продукты стали более конкурентоспособными за счет цены и лучшей технической поддержки».