Рейтинг ФБР: самые разорительные угрозы ИБ Безопасность Бизнес 18.08.06, Пт, 16:39, Мск Уже в который раз Институт Компьютерной Безопасности совместно с ФБР предупреждают американских бизнесменов о динамике структуры угроз ИБ. Очередное исследование "2006 CSI/FBI Computer Crime and Security Survey" выявило взаимосвязь четырех самых опасных угроз ИБ: утечек, кражи мобильной техники, неавторизованного доступа и вирусных атак. Результаты исследования получились несколько неожиданными: оказалось, что именно эти угрозы обеспечивают большую часть убытков предприятиям. Причем, все это может касаться и России. ФБР и Институт Компьютерной Безопасности опубликовали результаты своего очередного исследования "2006 CSI/FBI Computer Crime and Security Survey". Результаты исследования показываю, что налицо взаимосвязь четырех самых опасных угроз ИБ: утечек, кражи мобильной техники, неавторизованного доступа и вирусных атак (к слову, на это уже указывали эксперты компании InfoWatch). Эта четверка несет ответственность за две трети всех потерь современных предприятий. Причем отделить ущерб одной угрозы от другой на практике очень сложно, так как инциденты ИБ чаще всего возникают в результате последовательной реализации нескольких угроз. Однако самой опасной результирующей угрозой все равно остается утечка частной информации – именно ради этого в корпоративную сеть попадают опасные вредители и у сотрудников фирмы крадут ноутбуки. Более того, аналитики ФБР и Института Компьютерной Безопасности сами признают, что респонденты не в состоянии оценить долгосрочные отрицательные последствия утечки данных, в то время как ухудшение общественного мнения и потеря имиджа происходят не сразу, а по истечении нескольких недель и месяцев после инцидента. Уже в который раз это исследование обращает внимание читателей на проблему защиты данных от утечки и искажения. По данным этой работы, 32% респондентов полагают, что внутренние угрозы вообще не вносят свой вклад в совокупные потери компании; оставшиеся 68% убеждены в обратном. Практически каждая четвертая компания (19%) считает, что инсайдеры ответственны за 61-100% всего ущерба от угроз ИБ. Судя по всему, эти компании серьезно пострадали от утечки конфиденциальных или приватных сведений, поэтому могут по собственному опыту подтвердить гигантские потери от подобных инцидентов. Однако велика доля организаций, которые винят инсайдеров в 21-61% всего ущерба. Такого мнения придерживаются более одной трети респондентов (39%). Детально о результатах исследования Аналитики включили в анкету несколько открытых вопросов, позволяющих респонденту сформулировать ответ самому. Результаты получились, мягко говоря, неожиданными. Прежде всего, оказалось, что около 74% всех финансовых потерь организаций вследствие реализации угроз ИБ приходятся на четыре из них: утечка конфиденциальной информации, кража ноутбуков и мобильной техники, неавторизованный доступ и вирусные атаки. "2006 CSI/FBI Computer Crime and Security Survey" В одиннадцатом ежегодном исследовании по информационной безопасности - "2006 CSI/FBI Computer Crime and Security Survey" - приняло участие более 600 организаций. Полная версия отчета - на официальном сайте Института Компьютерной Безопасности (http://www.gocsi.com/ ). Далее, большинство респондентов (68%) серьезно опасаются внутренних угроз. Практически каждая четвертая компания (19%) считает, что на долю инсайдеров приходится более 60% всего ущерба от угроз ИБ, а 7% респондентов убеждены, что инсайдеры несут ответственность за более чем 80% всех потерь. Также, организации по-прежнему боятся сообщать в правоохранительные органы об инцидентах ИБ и, в особенности, об утечках персональных данных. 75% респондентов предпочитают замалчивать свои происшествия. Причиной тому – страх перед ухудшением общественного мнения и снижением репутации компании. И, наконец, заключительный открытый вопрос показал, что наибольшей опасности в течение ближайших двух лет организации ждут именно со стороны утечек персональной и конфиденциальной информации, а также инсайдерских атак. Самые опасные угрозы ИБ Исследование "2006 CSI/FBI" позволило зафиксировать некоторое снижение числа инцидентов ИБ и средних финансовых потерь в расчете на одного респондента вследствие реализации угроз ИБ. Причиной тому, по мнению авторов отчета, стали значительно увеличившиеся инвестиции в обеспечение ИБ со стороны малого и среднего бизнеса. Однако, вопреки общему снижению частоты инцидентов и денежных убытков в 2006 году, далеко не все угрозы стали менее опасными. Исследование показало, что за последний год более чем на 60% снизился ущерб от таких популярных угроз, как неавторизованный доступ, вирусные атаки и атаки типа отказ в обслуживании. Однако опасность некоторых других угроз серьезно возросла. Например, убытки в результате кражи ноутбуков и портативной техники подскочили на 65%. Кроме того, исследование позволили выявить изменение структуры самых опасных угроз ИБ. Финансовые потери, вызванные различными угрозами ИБ Источник: 2006 CSI/FBI Computer Crime and Security Survey В течение последнего года первое и второе места сохранили за собой вирусные атаки и неавторизованный доступ. Эти угрозы лидируют по общему объему причиняемого ущерба, хотя, как уже было показано выше, средние убытки каждой из этих угроз в расчете на одного респондента сократились более чем на 60%. Третье и четвертое место по совокупному ущербу заняли, соответственно, угрозы кражи ноутбуков и утечки конфиденциальной информации. Эти угрозы демонстрируют неприятную для бизнеса динамику. В то время, как частота и средний ущерб большинства угроз снижаются, по крайней мере одна из этих угроз – кража мобильной техники – движется прямо в противоположном направлении. По мнению аналитического центра InfoWatch, изменение структуры наиболее опасных угроз вполне логично. Вирусные атаки и неавторизованный доступ, вполне очевидно, сдают свои позиции: число инцидентов сокращается или, по крайне мере, не растет, а совокупные и средние убытки стабильно снижаются из года в год. Почему это происходит? Потому что бизнес уже научился, более или менее, эффективно противостоять вирусным атакам и неавторизованному доступу. Наиболее популярные технологии ИБ Источник: 2006 CSI/FBI Computer Crime and Security Survey 98% респондентов используют межсетевые экраны, 97% - антивирусы, 79% - анти-шпионские средства, 70% - серверные списки контроля доступа и 69% - системы обнаружения вторжений. Это самые популярные технологии ИБ, но при этом они предназначены для защиты как раз от вирусных атак и неавторизованного доступа. Между тем, средства для защиты от угроз, которые стали новыми лидерами (утечка конфиденциальной информации и кража ноутбуков), далеко не так популярны. Естественно, когда бизнес воспримет новые угрозы всерьез и возьмет на вооружение соответствующие технологии, число инцидентов и объемы потерь от утечки данных и кражи техники удастся стабилизировать. Подсчитали убытки – "прослезились" Одним из самых важных результатов исследования стало выявление того факта, что более чем за две трети (74%) всех финансовых потерь бизнеса вследствие реализации угроз ИБ несут ответственность всего четыре угрозы. Нетрудно догадаться, что это именно те четыре лидера, которые были отмечены выше: утечка конфиденциальной информации, кража ноутбуков, вирусные атаки и неавторизованный доступ. Комментируя расстановку этих угроз по объему причиняемого ущерба, аналитики ФБР и Института Компьютерной Безопасности крайне скептически относятся к тому, что респонденты смогли более или менее точно определить объем убытков в связи с утечкой персональных данных или коммерческих секретов. Дело в том, что такие инциденты имеют целый ряд долгосрочных отрицательных последствий. Например, ухудшение общественного мнения, снижение репутации и сокращение клиентской базы происходят постепенно. На это требуются недели и месяцы. А для выявления убытков в виде недополученной вследствие утечки прибыли требуется, как минимум, год. Таким образом, внутренняя структура 74% всех финансовых потерь из-за угроз ИБ не поддается точному определению. Более того: как указывают эксперты InfoWatch, все четыре угрозы-лидера имеют очень тесную взаимосвязь. В подтверждение эти слов следует рассмотреть финансовые потери компаний вследствие реализации внутренних угроз ИБ. Прежде всего, лишь 35% респондентов полагают, что инсайдерские инциденты не принесли им денежных убытков за прошедший год. Однако здесь снова нельзя обойти вниманием сомнения аналитиков ФБР и Института Компьютерной Безопасности по поводу точной оценки ущерба при реализации внутренних угроз, например, кражи конфиденциальной информации и злонамеренного использования информационных ресурсов фирмы. Ответы респондентов на вопрос: "Принесли ли Вам инсайдеры финансовый ущерб?" Источник: 2006 CSI/FBI Computer Crime and Security Survey "Ценность исследования ФБР и Института компьютерной безопасности в том, что аналитики смогли выявить то "узкое место", которое критически сказывается на эффективности всей системы ИБ. Речь идет о четырех угрозах ИБ, на долю которых приходится три четверти всего ущерба: вирусы, неавторизованный доступ, кража ноутбуков, утечка информации. Между тем, авторы отчета упустили из виду, что многие из этих угроз связаны друг с другом. Например, похищение мобильного компьютера опасно именно из-за того, что это может привести к утечке конфиденциальных данных. По данным IDC, кража всего одного корпоративного ноутбука обходится компании в среднем в $4,6 тыс. за аппаратное обеспечение и $46 тыс. за потерянные конфиденциальные документы. Как видите, цифры говорят сами за себя. Посмотрим теперь на угрозу вредоносных кодов. Нам известны случаи, когда под конкретную организацию писались троянские программы, которые потом внедрялись в корпоративную сеть с помощью инсайдеров (которым было нельзя светиться). Легко догадаться, что все это делалось только для того, чтобы выкрасть торговые секреты компании. Таким образом, налицо взаимосвязь четырех самых опасных угроз – на практике часто бывает невозможно отделить ущерб одной из этих угроз от всех остальных. Следовательно, все эти угрозы нужно решать сообща, иначе 74% финансовых потерь очень быстро перетекут к той угрозе, которая осталась без внимания специалистов ИБ", - считает Денис Зенкин, директор по маркетингу компании InfoWatch. Доля убытков из-за внутренних инцидентов в общем объеме финансовых потерь Источник: 2006 CSI/FBI Computer Crime and Security Survey Посмотрим на финансовые потери вследствие реализации внутренних угроз. Легко видеть, что почти для трети организаций (28%) инсайдеры представляют не просто основную, а критическую угрозу ИБ. На их долю пришлось более 60% всего ущерба. Примерно для такой же группы респондентов (30%) инсайдеры являются главной угрозой ИБ – доля потерь от внутренних атак превышает 20%, но не дотягивает до 61%. Другими словами, инсайдерские инциденты по-прежнему составляют одну из основных статей расхода компаний в связи с успешной реализацией угроз ИБ. Открытый вопрос – неприятный ответ В исследовании 2006 года был впервые представлен следующий открытый вопрос: "Как Вы думаете, какой аспект обеспечения ИБ будет являться наиболее важным для Вашей организации в течение ближайших двух лет?". Самые критические аспекты обеспечения ИБ на следующие два года* аспекты обеспечения ИБ Число респондентов Защита данных (идентификация и шифрование) и ПО 73 Политика и регламент 63 Воровство паролей и утечка частной информации 58 Вирусы и «черви» 52 Использование риск-менеджмента 47 Контроль доступа (например пароли) 43 Обучение пользователей 43 Защита беспроводной инфраструктуры 41 Внутренняя безопасность сети 38 Шпионское ПО 34 Социальная инженерия 33 Мобильные вычислительные устройства 27 Враждебный программный код 20 Управление пэтчами 17 Zero-day атаки 16 Системы обнаружения вторжения 16 Мгновенная передача сообщений 15 Спам 15 Ошибки персонала 12 Физическая безопасность 10 Атаки через веб 9 Двухфакторная аутентификация 9 Зомби-сети 7 Восстановление после сбоев 7 DoS-атаки 7 Безопасность "на местах" 6 Управляемый провайдер безопасности 5 Внедрение PKI 4 Хакерские утилиты системного администрирования 3 Сниффинг 3 Стандартизация конфигураций 3 * Ответы 426 респондентов Источник: 2006 CSI/FBI Computer Crime and Security Survey Пять наиболее важных задач ИБ - это: защита данных, совместимость с нормативными актами, кража личности, утечка персональных и конфиденциальных данных. Эти проблемы больше всего волнуют участников исследования, причем рейтинг важности этих аспектов значительно опережает все остальные задачи ИБ, названные респондентами. "Не многие аналитики рискуют задавать открытые вопросы в столь масштабных исследованиях. И дело здесь отнюдь не в сложности обработки полученных ответов, а в том, что респонденты могут дать такие ответы, которые просто перечеркнут всю собранную ранее статистику. Нечто подобное произошло и в данном исследовании. Несмотря на все выводы аналитиков, касающиеся опасности таких угроз ИБ, как вирусные атаки и неавторизованный доступ, респонденты спокойно и уверенно указали, что больше всего их заботит именно защита данных от утечек и инсайдеров. Посмотрим на первую строку в таблице – защиты данных. Это как раз предотвращение той самой угрозы, которую в англоязычных странах называют data breach, а в России – утечка информации. Далее следует совместимость с нормативными актами. Более того, респонденты отдельно указали американский закон SOX (Sarbanes-Oxley Act of 2002), печально известный своим параграфом №404, который требует от бизнеса организовать внутренний контроль и обеспечить целостность, защиту от искажения и гарантию конфиденциальности финансовой отчетности и информационных активов. Эта проблема отнюдь не чужда российским компаниям, ведь у нас тоже есть Стандарт Центробанка по ИБ, закон "О персональных данных" и т.д. Наконец, на третьей строчке таблицы явно разместилась такая задача, как защита от кражи личности, кражи персональных данных, интеллектуальной собственности и т.п. То есть, респонденты напрямую выразили свою озабоченность проблемой утечек. Можно резюмировать – аналитики ФБР не зря включили открытый вопрос в свой отчет. Это позволило уточнить реальные страхи респондентов и те задачи, которые они будут решать в ближайшие 2 года", - комментирует Вячеслав Лупанов, начальник отдела системного ПО компании "Гелиос Компьютер". Выводы для России Хотя в исследовании "2006 CSI/FBI Computer Crime and Security Survey" были задействованы только представители американского бизнеса, полученные результаты могут быть полезны и российским организациям. Следует обратить внимание на взаимосвязь между четырьмя самыми опасными угрозами, а так же на впечатляющую статистику – в каждом четвертом случае инсайдеры могут стать виной 61%-100% совокупного ущерба организации. Таким образом, к проблеме обеспечения ИБ следует подходить комплексно. Нельзя забывать, что успешная реализация одной угрозы, словно за ниточку, тянет и все остальные. Это особенно актуально для четверки самых опасных угроз (утечка, кража ноутбуков, вирусные атаки и неавторизованный доступ), так как подавляющее большинство самых опасных инцидентов заканчиваются как раз кражей конфиденциальной информации из корпоративной сети. Источник: http://safe.cnews.ru/reviews/index.shtml?2006/08/18/208912