Рубрикатор |
Статьи | ИКС № 5 2009 |
Евгения ВОЛЫНКИНА  | 05 мая 2009 |
Требуется ёж иголками внутрь
ИТ-специалистам всегда было непросто обосновать перед руководством необходимость затрат на средства защиты ИТ-инфраструктуры. Кризис еще больше усложнил эту задачу, но он же заметно усилил угрозы информационной безопасности.
Практически все участники конференции «IDC IT Security Roadshow 2009 – Информационная безопасность сегодня: реалии экономики и защита бизнеса» говорили о сокращении в целом ряде компаний расходов на ИТ-инфраструктуру и средства ее защиты. Да, в последние годы, ког-да рост российской экономики стимулировался неадекватно высокими ценами на нефть, многие компании инвестировали в замену оборудования, в обновление версий ПО, во внедрение бизнес-приложений, особо не считая денег и потому, что «так делают все». Цены на нефть рухнули, и маятник качнулся в другую сторону: ИТ-бюджеты режут в разы, причем подчас сокращения происходят бездумно, без всестороннего анализа последствий такого шага. А они могут быть самыми серьезными, вплоть до фатальных, особенно если речь идет о сокращении инвестиций в средства ИБ.Недавний опрос ИТ-директоров компаний Центральной и Восточной Европы показал, что с развитием кризиса список угроз не изменился: более 60% опрошенных в числе серьезных и очень серьезных называют вирусы, взлом систем извне, утечку персональных данных и действия сотрудников-инсайдеров. Однако, по словам Т. Фарукшина, директора по консалтингу IDC в России и СНГ, роль инсайдеров в последнее время заметно возросла и спровоцировано это именно экономическим кризисом, поскольку многие компании проводят сокращение сотрудников, и в том числе ИТ-специалистов. Последние, обиженные на своих работодателей, обладают знаниями и необходимым инструментарием, чтобы при желании причинить вред своей бывшей компании. А сделать это захотят многие. По данным опросов, в США, Великобритании и Голландии, т.е. странах куда более законопо-слушных, чем Россия, 46% сотрудников готовы украсть корпоративную информацию в случае увольнения, а более 50%, в ожидании возможного сокращения, уже скопировали эту информацию.
Аналогичные результаты показали и исследования компании Symantec, о которых рассказал К. Керценбаум: 59% опрошенных на условиях анонимности признались, что хотя бы раз похищали (записывали на какие-либо носители, отправляли на личную электронную почту или распечатывали для личного использования) конфиденциальную информацию своей компании. При этом системы ИБ многих компаний защищены от взлома извне антивирусами, программами для защиты от шпионского ПО, межсетевыми экранами, системами защиты периметра корпоративной сети и т.п. Однако все эти меры бессильны перед действиями собственных сотрудников компании, находящихся внутри ИС. Поэтому защита должна быть «двухсторонней», с использованием технологий контроля утечек конфиденциальной информации и средств шифрования. Кроме того, она должна быть комплексной, что в современных условиях предполагает внедрение в корпоративной системе ИТ-стандартов (что особенно актуально для российских компаний), наличие системы защиты от внешних угроз, организацию контроля использования информации внутри компании с возможностью мгновенной блокировки несанкционированной передачи информации и создание системы управления инцидентами ИБ.
Многие участники рынка ИБ также считают, что неизбежным следствием нынешнего кризиса станет рост профессионального уровня киберпреступников за счет пополнения их рядов уволенными квалифицированными ИТ-специалистами. И это лишний довод в пользу усиления средств защиты.
Понятно, что сегодня далеко не каждая компания готова тратить деньги на сложные комплексные решения. Но определенное движение в этом направлении должно стимулировать российское законодательство. К 1 января 2010 г. все компании и организации, которые занимаются обработкой персональных данных, должны привести свои информационные системы в соответствие с ФЗ № 152 «О персональных данных» и соответствующими ему требованиями ФСТЭК и ФБС. Все специалисты по ИБ признают, что закон этот несовершенен и требует доработки, однако он заставит практически все компании заняться реализацией целого комплекса мер и внедрением средств безопасности. Правда, вступление в силу закона не означает, что диски с персональными данными физических лиц исчезнут из продажи (во всяком случае, мгновенно), но у граждан, которые сочтут себя пострадавшими, появится возможность подать в суд на тех, кто не имеет «ежа иголками внутрь» и потому допустил утечку их конфиденциальной информации.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!