Развитие IT обернулось новыми угрозами для бизнеса

Три четверти организаций сообщают о росте числа внешних атак, а в 63% организаций отсутствует архитектура системы безопасности - таковы данные отчета "Эрнст энд Янг" на основе опросов 1850 руководителей в области информационной безопасности из 64 стран мира.

"Для защиты от угроз, исходящих от существующих и новых технологий, организациям необходимо коренным образом изменить подход к обеспечению информационной безопасности", - делают исследователи неутешительный вывод.

Так, одна из главных инноваций в деловой среде, облачные компьютерные технологии, никак не вдохновили на строгий надзор за провайдерами и применение методов шифрования 38% компаний. Внедряя облачные сервисы, компании сопоставляют риски от удаленного доступа с выгодой, которую они получают от того, что сотрудники не привязаны к офису, объясняет "РБГ" Рустэм Хайретдинов, CEO Appercut Security (входит в ГК InfoWatch), президент Ассоциации DLP-Эксперт. "Когда во мне борются предприниматель и "безопасник", первый часто побеждает", - делится он уже личным опытом ведения бизнеса. "Но когда накапливается информация, потеря которой будет фатальна, компании уже начинают серьезно думать о безопасности", - продолжает он.

Мобильные устройства для работы в Интернете также набирают популярность у бизнесменов.

"Сорок четыре процента организаций в настоящее время разрешают использовать корпоративные или личные планшеты (аналогичный показатель за 2001 год составил 20%), с помощью которых сотрудники отправляют и получают значительные объемы информации, что существенно осложняет контроль", - считает Пол Ван Кессель, руководитель глобальной практики "Эрнст энд Янг" по оказанию услуг в области управления ИТ и информационными рисками. При этом лишь 40% организаций используют тот или иной способ шифрования данных на мобильных устройствах.

"Россия несколько отстает в использовании мобильных устройств для ведения бизнеса, но это связано с отставанием в проникновении технических новинок на рынок, отмечает Николай Самодаев, руководитель направления Управление ИТ и ИТ-рисками в России и СНГ "Эрнст энд Янг", но это вопрос времени, как, например, и старт продаж в России айфона 5-го поколения".

Бороться с модой пользоваться личными планшетами в рабочих целях очень сложно в первую очередь потому, что инициатива идет сверху, отмечает Хайретдинов. "Такие инструменты появляются прежде всего у руководства, и управлять такими людьми политикой информационной безопасности невозможно - они выше по иерархии, чем "безопасники". А то, что делают большие начальники, очень быстро расползается на средний менеджмент".

"Я видел "технические" взломы мобильных компьютеров на конференциях, но мне не знакомы случаи, когда взламывали планшеты топ-менеджмента в реальной жизни", - продолжает Хайретдинов. Главная опасность в использовании планшета - то, что его можно потерять, замечает эксперт, ему знакомы не менее десяти случаев утери мобильных устройств с серьезной информацией "на борту". Для того, чтобы ей воспользоваться, нашедшему девайс даже не надо быть хакером: "люди плохо шифруют информацию или им неудобно пароль каждый раз вводить", - отмечает Рустэм Хайретдинов.

Еще один способ потерять все данные с "рабочего" планшета или ноутбука основан на жажде "халявы". Бесплатная точка доступа Wi-Fi в публичном пространстве, например, в аэропорту, может оказаться "зараженной" - и все отправленные пароли утекут злоумышленникам.

В исследовании отмечается, что более трех четвертей (77%) респондентов подтвердили повышение риска внешних атак, также 46% респондентов отмечают, что растут и внутренние уязвимости. Но это не связано с тем, что хакеров стало больше, объясняет Хайретдинов. "Просто компании, даже маленькие, выводят свои системы в Интернет - и количество объектов, которые можно атаковать, увеличилось". Внутренние же утечки связаны с распространением корпоративных веб-порталов, которые помогают работать не в офисе. "Здесь в основном все утечки происходят по халатности и безалаберности", - резюмирует собеседник "РБГ".

В целом организации постепенно наращивают свой потенциал в решении краткосрочных задач, но при этом не уделяют внимания проблемам, решение которых представляется необходимым для снижения общей угрозы информационной безопасности. 31% респондентов отметили увеличение числа случаев нарушения безопасности в течение последних двух лет.

Тем не менее в 63% организаций такая архитектура не создана, и лишь 16% респондентов считают, что их система информационной безопасности полностью отвечает потребностям организации. 51% опрошенных в мире организаций сообщили, что в следующем году планируют увеличить бюджет на информационную безопасность на 5%. Треть респондентов вложили в развитие информационной безопасности более 1 млн долл.

"Практика работы организаций России и СНГ в целом не отличается в лучшую сторону от общей полученной картины", - заключает Самодаев. Компании в основном проводят реактивные действия на те или иные инциденты; различные подразделения, которые в рамках одной организации так или иначе занимаются вопросами оценки и управления ИТ и информационной безопасностью, действуют зачастую разобщенно и лоскутно покрывают лишь явно видимые проблемы; информационные системы вроде и контролируются, но далеко не все, которые следует. В итоге получается как по Райкину - пуговицы пришиты отлично, карманы на месте, но костюм при этом "какой-то не такой".