Год 2010-й знаменателен для российских компаний и организаций двумя рубежными событиями в области информационной безопасности (ИБ), подойти к которым они должны, как того хотелось бы установившим эти рубежи регуляторам, со стопроцентной готовностью.
Начиная с октября 2010-го совет PCI Security Standards Council обещает начать штрафовать российских участников платежных систем American Express, Discover Card, JCB, MasterCard и Visa за невыполнение требований стандарта PCI DSS. Это касается в основном российских компаний из финансового и торгового секторов (точнее, всех тех, кто передает, обрабатывает и хранит данные держателей платежных карт упомянутых систем). Ну а в декабре закончатся все отсрочки, на которые согласилось государство в начале текущего года ввиду фатальной неготовности операторов персональных данных, и санкции за несоответствие закону “О персональных данных” будут введены в полном объеме. А это уже касается всех структур, занимающихся как коммерческой, так и иной деятельностью, связанной с обработкой персональных данных, т. е. практически всех организаций, предприятий, фирм, действующих на территории России.
Учитывая серьезные изменения, которые российские организации должны будут внести в свои системы обеспечения ИБ (и неизбежно пойти при этом на немалые ресурсные затраты) для выполнения требований регуляторов, можно с уверенностью сказать, что им будут интересны результаты завершенных в конце прошлого года компанией Forrester Consulting исследований, в которых приняли участие руководители информационных отделов из 305 компаний по всему миру. Эти результаты могут помочь эффективнее распределять корпоративные ИБ-бюджеты между затратами на выполнение требований внешних регуляторов и затратами на защиту информации, критически важной для бизнеса.
Исследователи из Forrester Consulting ставили перед собой цель определить количество конфиденциальной информации в компаниях, уровень контроля за нею, побудительные мотивы разработки и выполнения корпоративных программ защиты информации, стоимость последствий инцидентов, связанных с утратой конфиденциальной информации. Защищаемые данные они разделили на конфиденциальные, обеспечивающие долговременные конкурентные преимущества компании (такие, как планы разработки продуктов, прогнозы прибыли, профессиональные секреты) и кастодиальные (custodial) данные, утрата которых связана с наказанием в соответствии с законом, регулирующим обращение с такими данными (к ним принадлежат данные о клиентах, медицинские сведения, пользовательская информация о платежных картах и т. п.).
Было установлено, что в среднем около 60% корпоративной информации относится к конфиденциальной (хотя в соотношении между конфиденциальной и кастодиальной информацией была выявлена существенная разница у предприятий и организаций разного вида деятельности; см. рис. 1). Проприетарные секреты компаний, согласно выводам исследователей, вдове ценнее, чем кастодиальные данные, к тому же их у компаний более чем в полтора раза больше по объему и именно на них в основном нацелены похитители. В то же время, как показали опросы, затраты на защиту и тех и других делятся примерно поровну.
Компаниям также следует обратить внимание на то, что инцидент, связанный с кражей информации, “стоит” в десять раз дороже, чем инцидент, произошедший из-за случайной утраты данных — сотни тысяч долларов против десятков тысяч. Важно учесть, что средние и малые компании злоумышленники атакуют гораздо (в разы) реже, чем крупные, ценность информации которых к тому же эксперты оценивают как примерно в двадцать раз более высокую, чем у небольших.
Аналитики утверждают, что за последние пять лет соответствие всевозможным законодательным требованиям, отраслевым стандартам (таким, как PCI DSS), существующим стандартам политик ИБ превратилось в основной движитель защиты информации. “Соответствие” съедает сегодня в среднем 39% корпоративного ИБ-бюджета (см. рис. 2). С этим согласны приблизительно 90% респондентов. При этом, как считают исследователи из Forrester Consulting, инвестиции, выделяемые для обеспечения такого соответствия, слишком завышены, а корпоративные секреты остаются в компаниях недооцененными и недозащищенными. Организации тратят большие средства на обеспечение соответствия регулятивным требованиям и защиту от случайных утечек связанной с этим информации, но в то же время недостаточно защищают от утечек другие, более ценные корпоративные данные, в том числе представляющие корпоративные секреты.
Аналитики из Forrester Consulting пришли к выводу, что затраты на обеспечение защиты в принявших участие в исследовании компаниях несоразмерны ценности защищаемой информации. Около 90% респондентов согласились, что главная цель их программ по безопасности ― обеспечить соответствие отраслевым требованиям (таким, как PCI DSS), законам о соблюдении конфиденциальности информации и недопустимости ее неправомерного использования, а также стандартным подходам в политиках обеспечения безопасности данных.
“Компании тратят деньги, чтобы защитить информацию о клиентах, их медицинские данные и сведения об их кредитных картах… Так и должно быть. Однако им следует уделять больше внимания защите своей интеллектуальной собственности и информации, которая имеет для них первостепенное значение, потому что утрата интеллектуальной собственности может привести к долговременной потере конкурентных преимуществ”, ― считает Сэм Карри, технический директор и директор по маркетингу компании RSA, подразделения систем безопасности в составе EMC.
Примерно 58% респондентов рассматривают инциденты, связанные с пользовательскими оплошностями (хищения и потери пользовательских устройств, ошибочные отправки информации по почте) как самые многочисленные. В то же время последствия для компаний таких инцидентов существенно менее разрушительны, нежели последствия остальных, которых заметно меньше (такие, например, как злонамеренные действия инсайдеров и внешних вредителей; см. таблицу). Так, один акт мошенничества ИТ-администратора стоит компании в среднем 452 тыс. долл., в то время как потеря пользователем ноутбука “всего лишь” 26 335 долл., хотя последние и случаются чаще.
Forrester предлагает компаниям руководствоваться представленными ею данными и защищаться не только от более частых, но менее разрушительных инцидентов, но и от менее частых, однако более дорогостоящих. В качестве эффективных средств борьбы с инсайдерскими угрозами эксперты предлагают полное шифрование данных на жестких дисках ноутбуков, DLP-системы, политики обнаружения защищаемой информации (например, о состоянии здоровья клиентов и их персональных идентификаторах), программные средства контроля за устройствами.
Подавляющее большинство ИБ-руководителей участвовавших в опросе компаний (95%) заявили, что знают, где хранится, откуда и куда передается важная корпоративная информация. В Forrester считают это явным преувеличением, ссылаясь в том числе и на то, что этого мнения придерживаются “безопасники” как крупных, так и небольших фирм, хотя данные исследования показывают, что в крупных компаниях инциденты случаются в четыре раза чаще, чем в небольших, и обходятся они примерно вдвое дороже. Значит, кто-то из респондентов ошибается в оценках ущерба от инцидентов и в своей осведомленности о надежности защиты данных. Поэтому эксперты рекомендуют компаниям поискать инструменты и методики более точных подсчетов ключевых показателей эффективности своих программ обеспечения ИБ.
Для исправления выявленной ситуации эксперты из Forrester, Microsoft и RSA предложили ряд рекомендаций, которые могут помочь организациям сбалансировать программы по обеспечению безопасности. Прежде всего им следует выделить у себя самые ценные информационные активы. Затем нужно создать перечень рисков, разделив их на те, что связаны с потерей а) конфиденциальной и б) кастодиальной информации; оценить и сбалансировать затраты на обеспечение соответствия регулятивным требованиям и затраты на защиту корпоративной конфиденциальной информации. Эксперты рекомендуют быть более бдительными во внешних информационных обменах, в том числе с партнерами, и обязательно оценивать эффективность своих программ по защите данных. Руководствуясь этими рекомендациями, российские компании могут внести поправки в процесс подготовки своих ИБ-систем с тем, чтобы они соответствовали требованиям регуляторов.