Бизнесу не нужна стопроцентная защита информационных систем
Во вторник, 3 марта, в Москве состоялся круглый стол по информационный безопасности, организованный CNews Conferences и CNews Analytics, на котором производители средств защиты и заказчики обсудили актуальные проблемы отрасли. По мнению вендоров, ситуация на рынке плачевная, так как отрасль ИБ вынуждена идти в арьергарде разработок злоумышленников, закрывая новые уязвимости. Заказчики считают, что даже в случае известных уязвимостей внедрение ИБ не всегда оправдано по экономическим причинам.
Чем более совершенными и сложными становятся информационные системы, тем более изощренными становятся приемы киберпреступников. На корпоративном рынке невозможно встретить представителей бизнеса, которым еще не доводилась сталкиваться с инцидентами в сфере ИБ. По данным «Лаборатории Касперского», представители бизнеса чаще всего жалуются на вредоносное ПО — 77%, спам –74%, фишинговые атаки –28% (внешние угрозы), а также на уязвимости в ПО — 48%, случайные утечки конфиденциальной информации по вине сотрудников — 36% и намеренные утечки через сотрудников — 23% (внутренние угрозы).
Деятельность киберпрестпуников наносит серьезный ущерб экономике. Годовые потери российский предприятий от действий хакеров оцениваются в $20 млрд, домашние пользователи ежегодно теряют $1,4 млрд. «Угрозы возникают не на пустом месте в качестве хобби, это результат целенаправленной деятельности, подкрепленной экономическими стимулами», — подчеркнул Дмитрий Халин, директор департамента технологической политики Microsoft Россия.
Рецепт для защиты предприятия давно известен: это четкая организационная структура, правильно составленная модель угроз, применение лучших практик по защите информационных систем. Тем не менее, обеспечить стопроцентную защищенность невозможно, констатировали участники дискуссии. «Индустрия ИБ действует пассивно, закрывая новые уязвимости, которые используют злоумышленники, вместо того, чтобы вкладывать деньги в R&D с целью обнаружения потенциальных угроз и упреждения атак», — отметил генеральный директор Qrator Labs Александр Лямин.
С точки зрения заказчиков стопроцентная защита не только невозможна, она не нужна в принципе. Менеджер по ИБ компании «Эльдорадо» Константин Коротнев привел пример, как производится оценка экономической целесообразности мер ИБ в его компании. Руководством устанавливается планка допустимого ущерба, на который компания готова «закрыть глаза». Для угроз, потенциальный вред от которых превышает эту сумму, проводится анализ доступных средств ИБ, и внедрение осуществляется только в том случае, если затраты на защиту оказываются меньше, чем потенциальный ущерб. «Мы живем в несовершенном постоянно меняющемся мире, поэтому полную безопасность можно обеспечить, только если отключить компьютер от сети, закопать в бетонный бункер и завалить вход», — резюмировал Константин Коротнев.
Практика показывает, что технологии хакеров быстро эволюционируют. Мошенники разрабатывают новые технологии, чтобы обойти существующие барьеры защиты: они атакуют не конечных пользователей, а стремятся проникнуть на внутренние сервера банков или получить доступ к управлению ИТ-инфраструктурой телеком-операторов, внедряют вредоносный код на firmware производителей «железа». Кроме того, развитие интернета вещей значительно расширяет периметр, который необходимо защищать. Например, современный автомобиль представляет собой информационно-вычислительную систему на колесах. Технологии позволяют злоумышленнику получить доступ к бортовому компьютеру и открыть двери.
© CNews