Международные компании спешат внедрять новые технологии и средства связи, при этом вопросы информационной безопасности остаются на втором плане. Об этом говорится в ежегодном международном исследовании Ernst&Young. По результатам исследования, которое было проведено среди 1700 организаций по всему миру, стремление перевести свой бизнес «на цифру» и влиться в глобальную структуру «облачной» обработки данных приводит к тому, что потребности бизнеса все меньше соизмеряются со способностью решать новые сложные задачи по обеспечению информационной безопасности. Так, 72% респондентов прогнозируют повышение уровня риска вследствие возросших внешних угроз. В то же время лишь около трети из опрошенных в ходе исследования компаний пересмотрели стратегию информационной безопасности за последние 12 месяцев.
«Все больше крупных компаний из разных отраслей работают на основе компьютерных программ, а их продукция представляет собой онлайн-услуги. Куда ни взгляни, в основе лежит передача данных. Столкнувшись с условностью границ, необходимостью пользоваться услугами «облачной» обработки данных и создавать бизнес-модели в «облаке», компании задаются вопросом: как реагировать на появление новых рисков и нуждаются ли их стратегии в пересмотре? В данном вопросе необходимо переходить от краткосрочных решений к более глобальному подходу, включающему в себя установление долгосрочных стратегических корпоративных целей», – говорит Пол ван Кессел, руководитель глобальной практики Ernst&Young по оказанию услуг в области информационных технологий и ИТ-рисков.
Метод «постоянного давления»
Для начала следует осознать, что современная корпоративная ИТ-инфраструктура включает в себя различные элементы: от аккаунта компании в какой-либо социальной сети до смартфона сотрудника отдела продаж, по которому тот связывается с клиентами, и многое другое. «Чтобы выстроить надежную защиту от внешних угроз, к основным из которых относятся таргетированные атаки, необходимо иметь полное представление обо всех возможных векторах нападений и выработать для них соответствующие сценарии реагирования. Кроме этого, необходимо принять за аксиому, что не существует «магических» операционных систем, которые не подвергаются атакам злоумышленников, и любой элемент ИТ-инфраструктуры уязвим. Однако это не означает, что невозможно обеспечить надежную защиту корпоративной сети. Поэтому дальнейшим шагом для компании должна стать разработка правильной политики безопасности, где было бы прописано все, что разрешено и запрещено. На следующем этапе можно переходить к поиску оптимального защитного продукта», – отметил «Капитал.kz» Александр Ерофеев, руководитель управления маркетинговых исследований «Лаборатории Касперского».
По словам Романа Карася, управляющего продажами в ритейле G Data Software в России и СНГ, для успешного парирования постоянно возрастающих угроз безопасности компаниям и их IT-департаментам, прежде всего, нужно пересмотреть существующие в каждой конкретной системе информационные риски в соответствии с изменившейся типологией угроз. И на основе этого анализа выявить наиболее опасные проблемы, которые необходимо устранить в первую очередь. И здесь удобнее всего к существующей системе угроз применить метод «постоянного давления», когда система продолжает работать, а экспертная группа находит слабые «звенья» в существующей системе защиты и предлагает максимально полный набор сценариев вероятных атак. Путем эмуляции выполнения этих атак на корпоративную IT-инфраструктуру по различным сценариям определяется актуальность имеющейся защиты, выявляются эффективные или недействующие механизмы осуществления безопасности. По итогам отработки сценариев составляется перечень изменений и улучшений как общей IT-структуры компании, так и в отдельных программных или аппаратных элементах, и принимаются экономически взвешенные решения. Из решений выбираются в основном следующие: менять ли всю систему, ее элементы, добавлять специальные защитные элементы или можно ограничиться модернизацией или даже настройкой определенных элементов. Решения специально расположены в порядке убывания стоимости, а значит, и улучшения финансовых показателей эксплуатации IT в компании. Если есть заинтересованность в конфиденциальности, целостности и доступности данных, то часто выбора просто нет, и, как минимум, к существующей системе нужны будут дорогостоящие дополнения. «Встречаются и ситуации, хотя они больше характерны для ситуации резкого повышения требований к самим бизнес-процессам, когда без замены всей системы не обойтись, и сама эта замена будет самым эффективным решением из всех перечисленных», – говорит Роман Карась.
В свою очередь Александр Ерофеев считает, что компания должна принять концепцию «нулевой толерантности». Это означает, что не допускается, например, возможность использования в системе критически важного приложения, для устранения уязвимости в котором не скачано соответствующее обновление, выпущенное производителем; на компьютерах отсутствует антивирусная защита; не установлены настройки сетевого экрана. Базовые вещи необходимо зафиксировать еще до того, как будет внедрена сложная политика безопасности. Когда все элементы ИТ-инфраструктуры компании будут защищены, то это будет своего рода знаком и для злоумышленников, которые сто раз подумают, прежде чем решат предпринять что-либо в отношении данной организации.
«В настоящее время мы наблюдаем распространенное среди представителей бизнеса представление о том, что существуют абсолютно безопасные виртуальные решения или платформы. Это справедливо только отчасти, применительно к отдельным видам угроз, но совершенно неверно, например, для таргетированных атак, цель которых проникновение в корпоративную сеть и кража оттуда информации. Если раньше достаточно было установить антивирус на компьютерах и внедрить базовые политики в области защиты информации, то сейчас этого уже недостаточно и нужен более современный подход», – говорит г-н Ерофеев.
По мнению Романа Карася, стратегии и политики информационной безопасности требуют постоянного пересмотра. Связано это с тем, что окружение и сама компания постоянно меняются, вместе с этими процессами меняются и факторы, прямо или косвенно влияющих на безопасность.
С одной стороны, вызывает оптимизм тот факт, что в ближайший год 59% респондентов планируют увеличить бюджет на обеспечение информационной безопасности. Тем не менее, лишь 51% респондентов заявили, что у них имеется документально оформленная стратегия информационной безопасности. С другой стороны, согласно данным исследовательской организации Gartner, IT-затраты в регионе EMEA в 2011 году могут сократиться на 1,4% по сравнению с 2010 годом и составить 604 млрд евро. Приоритетным направлением финансирования в сфере информационной безопасности в ближайшее время будет обеспечение безопасности «облачной» обработки данных. В целом же, согласно прогнозам Gartner, в следующем году на публичные «облачные» сервисы в регионе EMEA будет потрачено порядка 16 млрд евро, что составляет не менее 3% от общих корпоративных затрат на IT в регионе. По итогам 2012 года эта цифра может преодолеть рубеж в 20 млрд евро.
Облака или тучи?
Некоторые компании сейчас только стали задумываться о переходе к стратегиям виртуализации, другие, более склонные к изменениям и не боящиеся новизны, начали переход к «облакам», а самые смелые уже перешли. Несмотря на очевидную необходимость использования технологий «облачной» обработки данных, организации все еще не могут определить последствия применения данной технологии и поэтому прилагают еще большие усилия для лучшего понимания ее влияния и связанных с ней рисков. Согласно данным исследования Ernst&Young, 61% организаций в течение следующих нескольких лет пользуются или собираются воспользоваться услугами «облачной» обработки данных.
«Складывается ощущение, что в условиях отсутствия четких рекомендаций многие организации принимают необоснованные решения: либо начинают использовать технологию «облачной» обработки данных, будучи совершенно к этому не готовыми и не приняв во внимание связанные с этим риски, либо вообще отказываются от «облачных» технологий. Несмотря на то, что многие организации внедрили технологию «облака», большинство сделали это неохотно», – отмечает Пол ван Кессел.
Интересно, что 48% респондентов отметили внедрение технологии «облачной» обработки данных в качестве «сложной» или «очень сложной» задачи, а более половины респондентов не применяли каких-либо средств по контролю рисков, возникающих в связи с использованием «облачных» технологий
Выслушав аргументы всех трех категорий, можно даже сделать выводы, что все они отчасти правы, комментирует Роман Карась. Первые говорят, что высока стоимость перехода, закупки лицензий на виртуализацию, некоторые технологии сырые, безопасность пока из поставщиков «облачных» услуг никто не гарантирует и т.п. Вторые говорят, что переводят в «облака» только ресурсы, потеря которых не повлияет на вопросы выживания компании, и в, то же время, оттачивают приемы управления «частными» облаками перед переходом к глобальным и т.п. Третьи же рассказывают всем, что они на острие инноваций, резко снизили расходы, так как нет простоя серверов, и вместо рабочих станций используются недорогие «тонкие» клиенты. Поэтому во втором и третьем случаях нужна будет дополненная или принципиально новая стратегия безопасности, так как изменятся классические зависимости: из связки «клиент-сервер» риски перейдут в связку нескольких облаков с тысячами клиентов.
По мнению Романа Карася, от жесткой вертикали иерархии «клиент-сервер», где администратор был царь и бог, мы пришли к многовекторности «облаков», где в разных зонах могут быть разные правила. Именно здесь и возрастет роль стратегий защиты и корпоративных политик обеспечения безопасности, так как во многих случаях в «облаке» значение будет иметь не запретительная модель – запреты и ограничения администратора, а грамотность и добрая воля пользователя – разрешительная модель.
«Управление «облачными» технологиями – сложная задача, сопряженная с новыми рисками. Главное требование, которое следует предъявлять к поставщику таких решений, – это полная прозрачность. Важно понимать, как компания-провайдер осуществляет хранение данных, их шифрование, обработку, доступ к ним и многое другое. При этом необходимо также учитывать и некоторые возможные юридические проблемы, поскольку с точки зрения законодательства понятия «облако» не существует», – говорит Александр Ерофеев.
Угроза от «таблетки»
Применение планшетных мобильных устройств и смартфонов занимает второе место в списке наиболее серьезных проблем, с которыми сталкиваются компании при внедрении новых технологий, говорится в исследовании Ernst&Young. При этом более половины респондентов рассматривают данную проблему как сложную или очень сложную. Согласно данным исследования, в настоящее время 80% международных организаций используют или собираются использовать планшетные мобильные устройства.
Их использование позволяет повысить эффективность работы сотрудников, поэтому полностью отказаться от них невозможно. Вместо этого мобильные устройства следует надежно защитить, считает Александр Ерофеев, установив, например, специальное антивирусное решение. Основная проблема заключается в том, что на них хранится большой объем конфиденциальной информации, либо сведений, которые могут быть использованы для извлечения таких данных. Другими словами, это ключ к специфической информации о бизнесе компании. С этой точки зрения мобильные устройства представляют собой одну из самых серьезных проблем в области ИТ-безопасности для организаций и предприятий.
«Если устройства перемещаются, то риски их потери, повреждения, похищения, атаки на них повышаются многократно. Так, спецслужбы и подразделения безопасности компаний часто создают специальные секретные сети, где обрабатываются данные, содержащие коммерческую, технологическую и государственную тайну. В этих сетях используются только стационарные настольные ПК, лишенные интерфейсов для копирования данных, жестких дисков и всех прочих сетевых контроллеров, кроме проводного к секретному серверу компании. Эти рабочие станции часто еще и намертво монтируют в элементы помещений. Так снижаются риски от мобильности устройств», – комментирует Роман Карась. Но еще более часто компании по требованиям ведения бизнес-процессов хотят, чтобы сотрудники были постоянно на связи и для этого предлагают им поддерживающие непрерывность передачи данных мобильные устройства. И если риски от вредоносного кода или атак хакеров еще можно как-то минимизировать, то возможность потери или повреждения данных возрастает многократно. Поэтому вместе с ростом скорости передачи информации по беспроводным каналам связи возможно появление в скором будущем мобильных устройств в форм-факторе «тонких» устройств, когда данные будут храниться в «корпоративном облаке»: при потере устройства и его стоимость меньше, и заблокировать его можно очень быстро, и данные останутся в «облаке».
Как заставить лошадь пить воду?
Для того чтобы контролировать потенциальные риски, связанные с использованием социальных сетей, организации принимают жесткие меры. Согласно исследованию Ernst&Young, больше половины из них – 53% – вместо того, чтобы приспособиться к переменам, просто блокируют доступ к соответствующим сайтам. Большинство респондентов – 72% – в качестве основного риска отметили внешние умышленные атаки. Такие атаки могут осуществляться в связи с информацией, полученной посредством использования социальных медиаресурсов с целью отправления определенных фишинговых сообщений адресным получателям.
В сети есть масса публикаций, где доказаны как вред, так и польза от посещения соцсетей сотрудниками. Конечно, работодатель заинтересован в том, чтобы сотрудники как можно больше времени тратили на работу и как можно меньше – на непроизводственные цели. И администраторы, которые блокируют доступ к определенным сайтам, и некоторые производители ПО для ограничения доступа к непроизводственным ресурсам пытаются уменьшить потери рабочего времени. Насколько эффективны такие меры и есть ли им альтернатива?
«Во-первых, социальные сети – неотъемлемая часть современной жизни и ограничение доступа к подобным ресурсам может привести к тому, что сотрудники будут бесконтрольно заходить на них с помощью мобильных устройств. Кроме того, следует понимать, что социальные ресурсы для определенной группы сотрудников, например, работающих в отделе маркетинга или продаж, – это эффективный канал коммуникации с окружающим миром. Сам по себе запрет не будет эффективным решением в данном случае», – считает Александр Ерофеев. Вместо этого следует контролировать общение сотрудников в социальных сетях в зависимости от стоящих перед ними производственных задач. Но делать это нужно абсолютно прозрачно, объясняя причины таких мер. При этом особое внимание стоит уделить любой активности в социальных сетях, связанной с выгрузкой и загрузкой файлов, поскольку это может привести случайно или преднамеренно к потере важной информации. Осуществить все эти меры контроля возможно с помощью современных ИТ-технологий и существующих защитных решений.
«Здраво рассуждая, лошадь можно легко завести в воду, но заставить ее пить эту воду чрезвычайно трудно, почти невозможно. Поэтому лишенный доступа в соцсеть сотрудник начинает убивать время другими способами – от перекура до пиджака на стуле и «самоволки» через дыру в заборе», – говорит Роман Карась. Теперь представим, что приходит срочный крупный заказ, и наш сидящий в соцсети менеджер по продажам видит параллельно свою почту и отвечает на него за 4 минуты, а менеджер конкурента, гоняющий чай в бухгалтерии с милыми девушками, через полтора часа. Догадайтесь, какой компании достанется срочный заказ при всех остальных равных условиях…Конечно, в сети полно бесплатных программ-анонимайзеров, пропускающих трафик по шифрованному каналу через прокси-сервер. И система блокировки не может заблокировать соцсеть, так как адрес веб-сайта до прокси-сервера и обратно зашифрован. «Из основных мер я больше склонен к мотивации, повышению дисциплины, тим-билдингу – тогда сотрудники сами будут отвечать за свои результаты, тем более в том случае, если в команде хорошие отношения, и все стараются не подводить друг друга», – считает он.
