Осмысление затрат
Подводя итоги 2010 г. можно заметить сохраняющиеся, как минимум, и как максимум – растущие - бюджеты затрат на ИБ в российских компаниях и госструктурах. Однако вопрос рациональности и эффективности расходования этих средств остается пока открытым. С одной стороны, такое усиление финансирования задач, определяемых действиями регуляторов, позволяет надеяться, что информационная безопасность наконец-то воспринимается как комплексный процесс, в котором велика роль не только технической, но и организационной составляющей.
А как из года в год твердят эксперты рынка ИБ, использование технических средств информационной безопасности в отрыве от организационных во многих случаях обессмысливает затраты и оставляет в итоге инфраструктуру незащищенной.
С другой стороны, вряд ли здесь можно сделать вывод о принципиально большем внимании, уделяемом теперь политикам безопасности в компаниях. Последняя требует гораздо больше усилий, в том числе и со стороны топ-менеджмента, как на этапе разработки, так и на этапе внедрения, нежели чем просто использование технических средств для определенных задач. Еще один неприятный в связи с ней нюанс – политика направлена на людей, а не на машины, и ее реализацию невозможно автоматизировать.
В итоге имеют место примеры нелепых, вроде бы, но при этом результативных проникновений – скажем, на уровне тестовых. Например, вспоминается случай, когда для проникновения в корпоративную сеть крупной компании, расходы которой на информационную безопасность составляют $2 млн в год, потребовалось лишь половина рабочего дня. Сначала выяснилось, что администраторы компании оставили себе на внешних межсетевых экранах открытый доступ. Далее были использованы известные уязвимости в клиентском ПО, таком как Adobe Reader и Flash (в последнее время уже научились устанавливать обновления для уязвимостей в ОС, но лишь немногие всерьез обращают внимание на обновления для пользовательских программ). Затем выяснилось, что на части коммутаторов используются пароли по умолчанию. После этого оставалось лишь просканировать сетевой трафик, выловить пароль администратора – и получить полный контроль над сетью.
Подобные ситуации, понятно, не единичны, тем более что по оценкам экспертов, 80% в области информационной безопасности в России – это все же проекты инфраструктурного характера, не затрагивающие организационные процессы предприятия, такие как миграция антивирусного ПО, замена одного сетевого экрана на другой, установка различных дополнительных средств защиты. Такие проекты осуществляются в стремлении обеспечить соответствие требованиям законодательства или ради воспроизведения существующих в отрасли “лучших практик”. Важно, что оба этих мотивирующих фактора мало связаны с внутренними потребностями организации и во многом носят формальный характер.
Вот и получается, что внешне соблюдая требования стандартов и законов, компании уходят от собственной реальности – в первую очередь, “смотрят, что устроит регулятора, а что его не устроит”, и это негативно сказывается на фактическом уровне защищенности корпоративных сетей.
Соответственно, выделяемые на ИБ средства явно требуют от российских компаний более сбалансированного подхода, основанного на анализе бизнес-рисков. Уделяя внимание не только технической части но и организационной.