Несмотря на своеобразный полукриминальный, полуромантический флер и собственную яркую мифологию, информационная безопасность как отдельное направление в ИТ развивалась на массовом рынке не слишком энергично. Положение с реальной защищенностью информационных ресурсов остается весьма плачевным. Достаточно сказать, что в большинстве организаций ИТ-департаменты финансируются по остаточному принципу. В энергетике, например, только в результате больших усилий топ-менеджеров РАО «ЕЭС» удалось выделить средства на ИТ в отдельную статью бюджета, чтобы они не смешивались с иными затратами и расходовались именно на то, для чего были запланированы.
«Расходы на ИБ в организациях чаще всего планируются по принципу “что останется от средств, выделенных на ИТ в целом”, — считает Владимир Баланин, руководитель отдела информационной безопасности компании TopS BI. — Служба информационной безопасности есть менее чем в половине российских компаний, при этом распределение по отраслям очень неравномерное». По его мнению, такое подразделение и разработанные им корпоративные стандарты, политики, регламенты ИБ, средства контроля их исполнения есть у большинства кредитных организаций. Существует стандарт Центробанка, и хотя его исполнение не является обязательным, ему если и не следуют дословно, то по крайней мере ориентируются на него. А у промышленных предприятий ситуация иная: служба ИБ редко выделяется как самостоятельное подразделение, и ее функции оказываются размытыми между ИТ-отделом и службой безопасности. Наблюдается и некая географическая неравномерность: чем дальше от Москвы, тем хуже обычно обстоят дела с информационной безопасностью. На эту картину накладывается разница в развитии холдингов федерального масштаба: компании, давно развивающиеся в рамках единой структуры, как правило, защищены значительно лучше, чем только что приобретенные.
«Однако в последние два года происходят заметные перемены, обусловленные объективным ростом стоимости коммерческой информации и осознанием ее ценности, — отмечает Владимир Баланин. — Этот процесс затрагивает уже не отдельные сферы деятельности, где такое понимание присутствовало традиционно (например, силовые ведомства), а подавляющее большинство компаний, в разной мере, разумеется. Так, на финансовом рынке усиливается конкуренция, развивается потребительское кредитование, ведутся ипотечные и страховые программы, при этом утечки конфиденциальных данных наносят заметный урон репутации и приводят к оттоку клиентов. Практика показывает, что в среднем крупный банк или телекоммуникационный оператор теряет 10 — 15% клиентов после утечек информации, о которых стало известно».
Добывающие и промышленные холдинги выходят на международные рынки ценных бумаг, привлекают инвестиции, а для этого нужно иметь международные сертификаты соответствия требованиям стандартов в области ИБ. Промышленные предприятия тесно сотрудничают с зарубежными клиентами и партнерами, обмениваются с ними документацией, в том числе конструкторской. Подобные контракты предусматривают специально оговоренную серьезную ответственность за нарушения в области ИБ, несанкционированный доступ к данным, утечки и повреждение информации.
Экономика и оргвопросы
Что меняется? Прежде всего система бюджетирования. Информационная безопасность выделяется в самостоятельный блок задач в рамках ИТ и финансируется целевым образом, отдельной строкой. Вырабатываются методики оценки информационных рисков, поднимаются вопросы возврата инвестиций в ИБ. «Общепринятых правил, сложившихся стандартов в этой области пока нет, — говорит Владимир Баланин. — Даже термин ROSI, “возврат инвестиций в безопасность”, ставший в США и Западной Европе общепринятым, у нас пока не прижился. Однако определенные практические, основанные на реальной российской и мировой статистике закономерности уже известны, и на них можно опираться при инициировании проектов и последующей оценке их эффективности».
Идут организационные изменения. Многим руководителям становится очевидно, что традиционное место специалистов по ИБ внутри ИТ-отдела — возможно, не самое лучшее, не самое правильное для их эффективной работы, поскольку даже при самом добросовестном ИТ-директоре ситуация «сами делаем — сами себя и проверяем» оптимальной быть не может. Кроме того, сотрудники службы общей безопасности, ранее не обращавшие на ИБ особого внимания, начали воспринимать эту деятельность как часть работы по защите компании от угроз любого рода. Теперь службы безопасности стараются выстроить некую единую (с технологических и организационных позиций) систему, включающую ИТ и ИБ как компоненты общего решения. «Практика показывает, что вполне работоспособной оказывается следующая схема, — поясняет Владимир Баланин. — Отдел ИБ выделяется в независимое от службы безопасности и ИТ-службы подразделение. Входящие в него ИТ-специалисты несут технологическую экспертизу (в любом случае настраивать прокси-серверы и сетевые экраны придется им), а знания законодательства, навык составления инструкций и контроля их соблюдения вносят сотрудники службы безопасности. Общий язык они обычно находят быстро. Отдел подчиняется непосредственно директору по ИБ, а он отчитывается лишь перед первым лицом компании. Одновременно создается комитет по ИБ, куда входят представители и ИТ-отдела, и службы ИБ, и иных заинтересованных подразделений. Сегодня все больше компаний переходят на подобные организационные решения, поскольку именно такой подход позволяет выстроить работу службы ИБ оптимальным образом». Разумеется, одними реорганизациями здесь не обойтись. Важную роль играют стандарты, в первую очередь ISO/IEC 27001:2005.
Пока в России всего несколько компаний прошли сертификацию по этому стандарту, но подготовку к ней ведут многие. Специалисты подчеркивают, что ISO/IEC 27002 (бывший стандарт ISO/IEC 17799:2005) — это действительно лучшие практики, годами вырабатывавшийся оптимальный подход к построению комплексной системы информационной безопасности. Поэтому кроме стратегических задач, в том числе по росту капитализации, стандарт поможет решить и назревшие практические проблемы в области информационной безопасности и даже предотвратить их появление.
Специалисты из TopS BI отмечают также возможность и целесообразность применения в ИБ сервисного подхода, организационных принципов и метрик, зафиксированных в библиотеке ITIL. Но при всей очевидности такого тезиса большинство российских компаний только начинают присматриваться к данному подходу.
Обучение и сертификация
Есть и еще одна перемена: быстро набирает популярность обучение и сертификация специалистов по ИБ. «Число специалистов, желающих получить сертификат в этой области, постоянно растет, — говорит Владимир Баланин. — Зарубежные компании очень требовательны к наличию сертификатов CISA [Certified Information Systems Auditor], а кроме того, сертификация сегодня действительно служит основой профессионального роста». Сертифицированных вендорами специалистов по ИБ, в отличие от сетевых инженеров, пока мало, и ценятся они высоко, поэтому желающих получить официальное подтверждение своей квалификации хватает.
Правда, сделать это трудней, чем, скажем, получить CNNA или иные подобные статусы. Ведь сетевые сертификации проводятся значительно дольше, свод знаний для них хорошо разработан и структурирован, специалисту легко подготовиться к экзамену самостоятельно, поскольку материалов (книг, сетевых ресурсов) по этой теме достаточно. Подготовиться же для сдачи экзаменов по ИБ совсем не просто: как утверждают эксперты, в этой области пока нет структурированных учебных материалов, сведения и требования разрозненны, а воедино их собрать очень сложно, и наконец некоторые сертификации требуют личного присутствия соискателей на подготовительных занятиях. В командах компаний-интеграторов сертифицированные по ИБ специалисты уже есть, а вот в ИБ-службах предприятий-клиентов их почти нет. Причины традиционные, только для ИБ они еще острей, чем для ИТ-службы: специалистов не хватает, нет возможности отрывать их от работы и посылать учиться. Да и дорого. И (возможно, это основная причина) «из Москвы еще никто не возвращался» после обучения: если говорить о среднем уровне дохода в столице и глубинке, то контраст слишком велик.
Не ради славы
«Сегодня атаки на информационные системы носят в основном криминальный характер, — подчеркивают специалисты TopS BI. — Прошли времена, когда вирусы создавались “просто так”, ради славы Герострата. Теперь организация атак, разработка новых вирусов являются способом заработать деньги. На хакерских сайтах достаточно статей на тему “как заработать деньги в Интернете” с подробным описанием, что для этого нужно делать. Большей частью мы сталкиваемся с результатами планомерных злонамеренных действий».
Еще одним фактором, обуславливающим нарушения системы ИБ и утечку конфиденциальной информации, остается саботаж сотрудников. Причины разные: обида на компанию, желание отомстить начальнику и т. д. Не стоит сбрасывать со счетов несовершенство политик доступа внутри корпоративной сети. Например, защита бухгалтерской информации далеко не всегда на высоте, а кому приятно узнать, что коллега получает вдвое больше вашего за ту же работу? Не случайно сегодня все больше внимания уделяется вопросам формирования корпоративной культуры — это один из способов снизить уровень «внутренних» угроз.
Проблемой может стать и недостаточная компетенция в области ИБ специалистов ИТ-службы. «Если у провайдера неправильно сконфигурировано оборудование и вы знаете, что вот на этом конкретном канале работает банк, то можете поток его данных перенаправить в какую-то промежуточную точку, там сохранить их и в дальнейшем как угодно обрабатывать, — рассказывает Владимир Баланин. — Инциденты такого типа это уже прямое следствие некомпетентности ИТ-персонала».
Вообще «человеческий фактор», как всегда, остается самым значимым, и подавляющее большинство инцидентов по ИБ связаны именно с людьми. В крупных международных компаниях и российских фирмах, тесно сотрудничающих с зарубежными партнерами, уже стали обычным делом регулярные тренинги персонала (причем сотрудников не только ИТ-службы, но и многих других подразделений компаний), где разъясняются опасности и формы угроз ИБ, приводятся примеры, даются рекомендации, как избежать проблем. Например, для банков основной угрозой является фишинг, и реакция на него сотрудников крайне важна. И по-прежнему из-за несовершенства корпоративных систем антивирусной защиты массовые инциденты ИБ провоцируют такие действия персонала, как выход с рабочего места на развлекательные интернет-сайты или заражение офисного компьютера в результате работы с файлами, принесенными из дома на мобильном носителе.
Другой распространенный «прокол» — бесконтрольная раздача прав доступа. На фиксированное время кому-то был дан доступ к ресурсу, но потом об этом все забыли, а доступ остался. «Без внедрения стандартов, включая разработку политик доступа к данным и хранения информации, эти проблемы не решаются, — считает Владимир Баланин. — Но если в компании ведется масштабное внедрение ИТ-систем, особенно если это самостоятельная разработка, то нужды бизнеса заставляют айтишников двигаться вперед очень быстро, стремительно наращивая функциональность систем. В такой ситуации даже при строгой регламентации процедур ИБ безопасность страдает практически всегда. Не хватает времени тестировать новые приложения, не говоря уже о системах защиты». В таких условиях действенный способ проверки системы ИБ — тест на проникновение (penetration test), выполняемый сторонней фирмой или группой лиц. Специалисты TopS BI отмечают, что эта услуга стала широко востребованной, поскольку позволяет быстро выявить слабые места и устранить их. «Изнутри» сделать это не получается при всем желании. «Чтобы обеспечить надежность, необходим некий тюнинг системы ИБ, — подчеркивает Владимир Баланин. — А для этого нужно время. Разобраться во всех нюансах, покопаться как следует в системе и обнаружить уязвимые места как раз и помогают тесты на проникновение».