Rambler's Top100
Статьи ИКС № 11 2013
Лилия ПАВЛОВА  11 ноября 2013

Осеннее обострение-2013

Инфобезопасность входит в осень каскадом специализированных форумов, и трехнедельное обострение деловой активности порой напоминает «день сурка» – те же люди, сквозные темы и проблемы. Впрочем, безопасности много не бывает.

Регуляторная гиперактивность

С недавних пор и регуляторы приняли за аксиому, что нормативных актов в инфобезопасности не бывает много. Да и собственно регуляторов. Если несколько лет назад для их перечисления хватило бы пальцев одной руки, то сегодня, как подсчитал Алексей Лукацкий (Cisco), уже не менее 16 госструктур выпустили собственные, причем не согласованные ни с экспертами, ни между собой, нормативные акты в области защиты информации – документы, устанавливающие требования по защите данных, лицензированию деятельности, оценке соответствия, установлению квалификационных требований к специалистам. Только за последние два года издано 200 документов (столько же – за предыдущие 20 лет), и еще около 40 на подходе. Конвейер нормативных актов выдает в среднем четыре документа в месяц. «Раньше безопасники жаловались, что приходится работать со старыми документами, сейчас жалуются, что невозможно работать с огромным количеством новых требований», – резюмировал А. Лукацкий на DLP-Russia.

ФСБ и СФ о терминах не договорились При обилии документов подзаконного уровня самая вершина нормативной пирамиды только-только формируется. Как отметил на INFOBEZ-EXPO Дмитрий Финогенов (ФСБ), в условиях отсутствия всеобъемлющего международного права и даже единого понятийного аппарата возрастает роль национального права и документов, которые в России принято называть документами стратегического планирования. К таковым он отнес сформулированные в 2012 г. «Основные направления государственной политики по безопасности АСУ ТП», предусматривающие комплексную программу совершенствования госрегулирования, развития технологий и решения кадровых вопросов до 2020 г., а также вышедший 15 января 2013 г. указ Президента РФ № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ», где ФСБ предписывается создать подразделение, которое должно выполнить практически полный спектр работ по киберзащите российских ресурсов. В указе в первую очередь обращается внимание на защиту ресурсов госорганов, а также на взаимодействие с операторами и компаниями, имеющими лицензии на оказание ИБ-услуг.

Кроме того, по словам Д. Финогенова, в настоящее время дорабатывается законопроект «О безопасности критической информационной инфраструктуры Российской Федерации», содержащий комплекс правовых, организационных и технических мер по созданию и эксплуатации системы безопасности объектов критической информационной инфраструктуры, а также их взаимодействию с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак. Как сообщил Д. Финогенов, проект закона уже прошел общественные обсуждения, антикоррупционную экспертизу и первый круг согласований с федеральными органами исполнительной власти.

Очевидно, что в «в верхах» всерьез взялись за стратегическое планирование национальной инфобезопасности. Вот и Совет Федерации не отстает, разрабатывает Стратегию кибербезопасности России. Как пояснил Александр Шепилов (СФ), кибербезопасностью государства профессионально занимаются специальные органы, а основным фокусом, ради которого СФ инициировал разработку стратегии, должна стать кибербезопасность бизнеса и гражданина. При этом упор будет сделан на технической стороне вопроса, которая «более понятна». Это заявление свидетельствует о некотором смещении акцентов в идеологии документа.

Напомним, в 2012 г. сенатор Руслан Гаттаров объявил о разработке Стратегии кибербезопасности России как в первую очередь политического документа («не слишком технического»), в котором должны быть обозначены стратегические подходы к обеспечению кибербезопасности государства, бизнеса, общества, отдельных граждан. Возможно, перефокусировка произошла в процессе обсуждений проекта документа. По словам А. Шепилова, еще одна поправка, вероятно, будет принята по рекомендации Минкомсвязи: в окончательной редакции предлагается назвать его не стратегией, а концепцией стратегии кибербезопасности России, что упростит согласование документа со всеми заинтересованными ведомствами. Это можно будет сделать до конца текущего года, после чего «в понятные сроки» можно доработать собственно стратегию.

По всей видимости, концептуальный документ согласовать легче, чем стратегию. В то же время в каком бы статусе этот документ ни принимался, его коренной смысл остается неопределенным. Как заметил Дмитрий Костров (Минкомсвязь), сегодня в российском законодательстве термин «кибербезопасность» как таковой отсутствует – и, возможно, следует для начала все же законодательно его ввести. А. Шепилов полагает, что «терминологический спор» затормозит продвижение документа. «Мы не считаем вопрос терминологии принципиальным. Гораздо принципиальнее вопрос конкретных действий и мер, которые будут прописаны и реализованы», – уверен представитель Совета Федерации. Кто прав? Думается, все понимают, что «кибербезопасность» – это безопасность в киберпространстве. Но стоит ли наступать на очередные грабли, полагаясь на интуитивный понятийный аппарат? Ведь сколько раз убеждались: как договоришься о терминах – так потом и пойдет работа…

Персданные утекают

Особое место в законотворческой деятельности занимает закон «О персональных данных», очередные изменения в который сейчас подготовлены. Как пояснил А. Шепилов, эти изменения нацелены на снижение технических требований к защите ИСПДн компаний, обрабатывающих персональные данные. В настоящее время большинство операторов персданных эти требования не выполняют, предпочитая выплачивать незначительные штрафы. А если бы выполняли, то, по словам А. Шепилова, общие затраты на их реализацию составили бы 5% ВВП. «Это огромные деньги, и у большинства компаний нет средств на исполнение высоких требований по защите ИСПДн, – признал представитель СФ. – Мы рассчитываем, что принятие законопроекта хотя бы частично снимет существующие противоречия. Думаем, что, если дело не касается гостайны, государство должно оставить право выбора систем защиты персданных операторам, но гораздо более жестко спрашивать за выявленные факты их утечки». Одновременно со смягчением требований к хранению данных сенаторы предлагают увеличить штраф за утечки с нынешних десяти тысяч до миллиона рублей.

Пока же утечки становятся все масштабнее. В первом полугодии 2013 г. аналитическим центром InfoWatch зафиксировано в мире 496 случаев утечки конфиденциальной информации, что на 18% больше, чем за аналогичный период прошлого года, сообщила на конференции DLP-Russia Наталья Касперская (ГК InfoWatch). На самом деле утечек гораздо больше: по оценке InfoWatch, число зарегистрированных случаев, упомянутых в СМИ, публичных материалах компаний и госорганов, составляет лишь 1–5% числа всех подобных инцидентов. По данным центра, скомпрометировано более 258 млн записей, причем больше всего (93,8%) утечек информации связано с персональными данными и чаще всего – из госорганов и медицинских учреждений. Количество случайных и злонамеренных утечек примерно равно.

Интересно, что по количеству опубликованных утечек (42 случая) Россия вышла на второе место, обогнав Великобританию. Безусловным лидером являются США (312 случаев или 62,9% всех произошедших) – главным образом потому, что в этом государстве действует закон, обязывающий компании размещать в прессе информацию о каждом случае компрометации данных. Если такая норма будет принята у нас, это окажет позитивное влияние на рост рынка DLP-систем, считает Н. Касперская. Но нужно ли самим компаниям обязательство «посыпать голову пеплом»? С другой стороны, поскольку после опубликования понесенные убытки списываются, есть риск, что у нас быстро все «утечет и спишется»…

П. Головлев (справа): «Бюджет инфобезопасности – это доверие руководства плюс русский Цена безопасности

Подсчитать реальный размер убытков от утечки информации крайне сложно, поскольку к ним относят и репутационные потери, и косвенный ущерб (прямой ущерб указывается крайне редко). Обнародованный в СМИ ущерб (затраты на ликвидацию последствий утечек, судебные разбирательства, компенсационные выплаты), понесенный компаниями вследствие утечек информации в первом полугодии 2013 г., составил $3,67 млрд, сообщает аналитический центр InfoWatch. В действительности же, если учесть подводную часть айсберга незарегистрированных случаев, ущерб гораздо больше.

Сейчас в мире, по данным последнего отчета Ponemon Institute «2013 Cost of Cyber Crime Study», среднегодовой уровень расходов на противодействие кибератакам в расчете на одну организацию составляет $11,56 млн (от $1,3 до $58 млн), что на 26% больше, чем в 2012 г. Ущерб, наносимый кибератаками российским компаниям, оценили эксперты «Лаборатории Касперского» совместно с аналитической компанией B2B International. Оказалось, что крупные предприятия несут убытки, связанные с ИБ-инцидентами, в размере $650–700 тыс., мелкие – порядка $14 тыс. По мнению аналитиков, существенно уменьшить угрозы и уровень расходов на борьбу с киберпреступностью помогают современные аналитические средства в сфере безопасности и сетевых технологий (например, системы Security Information and Event Management, SIEM). Однако, как показывает практика, убедить бизнес в необходимости внедрения таких систем весьма непросто.

Принято считать, что бюджет на информационную безопасность составляет 5–10% бюджета ИТ. Как заметил на DLP-Russia Рустэм Хайретдинов (Appercut Security), по этой логике цена разминирования должна составлять 5–10% стоимости мины. «На самом деле расходы на безопасность должны рассчитываться исходя из рисков, а не из бюджета ИТ, – убежден эксперт. – Пока же работает остаточный принцип». Инфобезопасность не приносит денег, но окупается в комплексе, резюмировали и участники дискуссии об эффективности ИБ, развернутой в рамках Infosecurity Russia. Как заметил Павел Головлев (СМП Банк), 75% организаций банковской отрасли могут вложить в информационную безопасность в год всего-навсего 5 млн руб., поскольку в маркетинговом триумвирате «быстро, качественно, дешево» бизнес всегда выбирает первую и третью позиции. «Безопасность – это категория качества, которая останется в провале, пока в умах законодателей не произойдет смена идеологии. – уверен П. Головлев. – До сих пор на информацию пытаются "натянуть" вещное право, а она сродни здоровью человека. Соответственно, защита информации сравнима со здравоохранением. Чтобы инфобезопасность была реальной, она должна стать социальным бизнесом».

Когда сдвинется парадигма?

В нынешнем году интересное исследование отечественного рынка информационной безопасности обнародовала группа независимых российских экспертов. По их оценке, объем рынка составляет $1399 млн. Из 13 рассмотренных сегментов наибольшую долю занимают сетевая безопасность ($570 млн) и системы антивирусной защиты ($400 млн), за ними следуют аппаратные средства двухфакторной аутентификации ($91 млн) и консалтинг инфобезопасности ($83 млн). Единицы процентов в общем пироге занимают системы IDM, инструментальные средства анализа защищенности, системы DLP, системы защиты от НСД, образовательные услуги, системы контентной фильтрации, системы сбора и корреляции событий, мероприятия по безопасности, аудит безопасности.

На этом подробно сегментированном рынке не представлены системы «высшего пилотажа» – анализа рисков на основе «больших данных». Их просто пока не существует. Как отметила в своем программном выступлении на DLP-Russia Н. Касперская, большие данные уже анализируются в маркетинге, в рознице, в интернет-рекламе, в поисковых системах, в социальных сетях – но не в информационной безопасности предприятий. Сегодня системы защиты информации используются разрозненно: отдельно контентные (DLP, антиспам, веб-фильтрация), отдельно инфраструктурные (антивирус, межсетевой экран, SIEM, IDS/IPS, НСД и др.), отдельно шифровальные. При этом анализируются только технические явления. Между тем основные риски в инфобезопасности создают люди (халатность, переманивание, хищение информации, инсайд).

К слову, проведенный в августе-сентябре 2013 г. компанией LETA анонимный опрос 1100 офисных работников из нескольких сотен российских компаний различных сфер деятельности показал, что каждый пятый готов за вознаграждение передать третьим лицам конфиденциальную информацию, к которой он имеет доступ; 85% не осознают угрозы взлома корпоративной сети через электронную почту и открывают письма от незнакомых отправителей, 60% пересылают корпоративную информацию на личные почтовые ящики, чтобы поработать с ней из дома и т.д.

Системы комплексного анализа рисков и угроз на основе «больших данных» о персонале и инфраструктуре предприятия, способные минимизировать угрозы человеческого фактора, появятся, по мнению Н. Касперской, в ближайшие три-пять лет. Они смогут анализировать поведение людей, проводить совместный анализ всех источников и потоков данных для раннего выявления и прогнозирования угроз, выполнять ретроспективный анализ, формулировать единые решающие правила для вычисления итоговых рисков персонала и ИБ-систем. «Это позволит перейти от парадигмы реагирования на угрозы к парадигме детектирования и оценки роста рисков в критических точках», – считает Н. Касперская.

Тенденция интеллектуализации систем защиты информации обозначилась вполне явно. Как заметил на Infosecurity Russia Игорь Ляпунов («Инфосистемы Джет»), все средства «айтишного» бизнес-анализа проецируются на инфобезопасность, и способы обработки собираемых массивов «больших данных» настолько сложны, а задачи настолько неординарны, что создание систем такого класса дает большой драйв самим разработчикам.

Впрочем, наверняка системы такого уровня должны стоить дорого – и совсем не очевидно, что бизнес, с трудом выделяющий бюджеты на «простую инфобезопасность», будет готов платить мил-лионы долларов даже за «самую умную безопасность».

* * *
При всем тематическом сходстве DLP-Russia, InfoSecurity Russia и INFOBEZ-EXPO «лица необщим выраженьем» обзавелось каждое мероприятие.

Отличительной чертой Info-Security остается ее выставка, собирающая наибольшее количество экспонентов. Экспозиция INFOBEZ в этом году сильно скукожилась, зато деловая программа креативила все три дня. На DLP атмосфера интеллигентная: аналитика, прогнозы, экспертиза. К слову, со следующего года это мероприятие «расфокусируется», тематика его расширится, а сама конференция будет переименована в Business Information Security Summit (BISS). То есть следующей осенью появится еще одно мероприятие «про всю инфобезопасность»...

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!