версия для печати
Аудит ИБ на предприятиях: трудности у российского заказчика

Аудит ИБ на предприятиях: трудности у российского заказчика

Расследование ИБ-инцидентов на крупном производстве превратилось в последние годы в бизнес с оборотом в несколько миллиардов долларов. Россия традиционно отстает здесь от цивилизованного мира, при этом трудности и российских, и западных клиентов сегодня примерно одинаковы.

По усредненным оценкам аналитических компаний рынок решений по защите промышленных систем, которые являются составной (не менее 75%) частью общего рынка ИБ-аудита, по итогам 2012 года оценивается предварительно почти в 3 млрд долларов с прогнозом роста до 14 млрд долларов за пять лет. Их рост подстегивают появляющиеся на регулярной основе инциденты, в которых пострадавшая сторона – это заводы, производства и крупные холдинги, использующие управленческий софт уровня АСУ ТП / SCADA. Эксперты бьют тревогу, поскольку количество таких случаев скоро станет критическим, и потребуются слишком серьезные меры для того, чтобы предотвращать возможные катастрофы.

Любой бизнес-процесс в современной компании, независимо от масштаба и рода деятельности, затрагивает практически всю корпоративную инфраструктуру, где каждый из элементов может быть взломан извне или изнутри. Естественно, что взлом электронной почты или ноутбука сотрудника, не занятого в критических бизнес-процессах, по своим последствиям несопоставим с утечкой данных из корпоративного архива или ERP-системы. Однако эта разница может быть не просто качественно осознана, а математически описана и вычислена в терминах теории управления рисками. Управление любым процессом невозможно без учета этих рисков.

В частности, по данным отчета компании Ernst&Young (по итогам исследования, в котором приняли участие более 1850 руководителей информационно-технологических подразделений и подразделений по обеспечению информационной безопасности, а также других руководящих работников в области ИТ и ИБ из 64 стран) для защиты от угроз, исходящих от существующих и новых технологий, организациям необходимо коренным образом изменить подход к обеспечению информационной безопасности.

Как показало исследование, как никогда ранее ощущается потребность в создании надежной архитектуры безопасности: 31% респондентов отметили увеличение числа случаев нарушения безопасности в течение последних двух лет. Тем не менее, в 63% организаций такая архитектура не создана, и лишь 16% респондентов считают, что их система информационной безопасности полностью отвечает потребностям организации.

Аудит ИБ катастрофически не эффективен

Основная проблема большинства ИТ-менеджеров в том, что они не понимают ключевого перелома в отрасли –инциденты приобрели не только технических характер, но и затрагивают смежные области – экономику производства, трудовые потоки. Во многих случаях они выходят за пределы конкретной отрасли в социальный и политический контекст (атаки на объекты атомной энергетики Ирана и ряд схожих эпизодов). В этом смысле ИТ-директора должны признать то, что обычная оперативность уже недостаточна. Скорость и сложность изменений растет колоссальными темпами - без того непростая ситуация в сфере информационной безопасности осложняется влиянием развивающихся рынков, продолжающейся нестабильностью в экономике, ужесточением нормативных требований.

В организациях есть понимание того, что сама природа и характер рисков меняются, а вместе с увеличением частоты угроз информационной безопасности растет и количество нарушений и инцидентов ИБ. Более трех четвертей (77%) респондентов из вышеупомянутого исследования Ernst&Young подтвердили повышение риска внешних атак. Однако последние не являются единственным источником беспокойства для глобальных организаций: 46% респондентов отмечают, что количество внутренних уязвимостей также растет.

Эксперты уверены, что новые технологии не только открывают перед компаниями широкие возможности, но и подвергают их потенциальным угрозам из неизвестных ранее источников. Так, облачные компьютерные технологии - по-прежнему главный источник инноваций в современной деловой среде: за последние два года количество организаций, использующих облачные вычисления, увеличилось почти вдвое. Тем не менее, 38% организаций не приняли никаких мер по снижению рисков, в частности, не обеспечили более строгого надзора за управлением контрактами с провайдерами услуг по облачной обработке данных или применение методов шифрования.

Еще одной новой тенденцией является обширное использование мобильных устройств для работы в Сети, отмечается в отчете Ernst&Young. 44% организаций в настоящее время разрешают использовать корпоративные или личные планшеты (аналогичный показатель за 2001 год составил 20%), с помощью которых сотрудники отправляют и получают значительные объемы информации, что существенно осложняет контроль.

Организации признают, что мобильным технологиям необходимо уделять более пристальное внимание. При этом средства обеспечения безопасности и специальное ПО по-прежнему довольно редко применяются на динамичном рынке мобильных компьютеров — меньше половины организаций используют тот или иной способ шифрования данных на мобильных устройствах.

Против лома нет приема?

В то же время, организации отвечают на рост рисков и увеличение числа технологий, подлежащих защите, увеличением бюджетов и изменением приоритетов. Так, более половины организаций сообщили, что в следующем году планируют увеличить бюджет на 5%. А 32% респондентов инвестировали в развитие информационной безопасности более $1 млн. Однако объем инвестиций существенно отличается в зависимости от региона: 48% американских компаний потратили на ИБ более $1 млн, в то время как в Азиатско-Тихоокеанском регионе, странах Европы, Ближнего Востока, Африки и в Индии (EMEIA) доля таких компаний составила 35% и 26% соответственно. Что касается распределения бюджета, то главными статьями расходов являются получение новых технологий (55%) и обеспечение непрерывности бизнеса (47%).

Однако планируемое увеличение бюджета окажется эффективным только в случае надлежащего распределения обязанностей в рамках процессов принятия решений. Во многих организациях обеспечением ИБ по-прежнему занимаются информационно-технологические отделы: 63% респондентов сообщили, что ответственность за ИБ в их организациях лежит на специалистах в области ИТ. Лишь в 5% компаний обеспечение ИБ относится к компетенции руководителя подразделения по управлению рисками. Во многих организациях службы управления рисками не обеспечили наличие формализованного механизма оценки рисков. Как следствие, 52% компаний не располагают программами анализа и сбора данных об угрозах. Между тем, увеличение числа угроз и увеличение разрыва между уровнями уязвимости и защищенности требуют использования нескольких источников и (или) функций оценки состояния ИБ, включая внутренний аудит, внутреннюю самооценку и оценки третьих сторон.

При принятии решений некоторые организации учитывают вопросы доступности квалифицированных кадров, уровня зрелости процессов обеспечения информационной безопасности, бюджета, но эти очевидные вопросы, как и многочисленные обходные решения, позволяющие удовлетворить потребности информационной безопасности в краткосрочной перспективе, скрывают более серьезную проблему информационно-технологической уязвимости.

ИБ нельзя понимать только как защиту информационных систем, считают опрошенные CNews ИБ-консультанты. Формально системы уровня АСУ ТП /SCADA мало чем отличаются от обычных компьютерных сетей, объединяющих различные устройства, поэтому их также можно воспринимать как объекты, требующие детального и подробного аудита, а не списывать на их масштабность невозможность проведения проверки. Это особенно важно для понимания последствий невыполненного аудита ИБ в крупном производстве. Последствием ИБ-инцидента у обычной фирмы могут быть репутационные и коммерческие риски, а в случае АЭС или государственной ИТ-системы под угрозой окажутся гостайна, жизнь и здоровье населения. Когда от скачка давления взрывается газопровод, от перегрузки сгорает трансформаторная станция – после таких кибератак нельзя восстановиться из бэкапа.

Аудит должен быть осознанным

Для предотвращения фатальных ИБ-инцидентов на крупных предприятиях необходимо выработать стратегию построения многослойных, интегрированных систем, способных не только моментально давать сотрудникам службы безопасности самую точную, оперативную и адекватную информацию о любых инцидентах в инфраструктуре компании или организации любого размера, но и оперативно реагировать, максимально эффективно принимая необходимые и достаточные меры, предотвращая или сводя к минимуму нанесенный ущерб. Именно выработка и воплощение в жизнь – в условиях ограниченных людских и финансовых ресурсов – этой стратегии должна стать задачей номер один в ближайший год не только для ИТ-директоров и директоров ИБ, но и для главных инженеров и энергетиков, которые отвечают за создание и поддержание критической инфраструктуры.

Фактически прежний подход - закрыть все точки любыми силами и любыми средствами от взлома - сегодня устарел безнадежно и бесповоротно. В 2012 г. и далее потребуется, чтобы эти силы и средства не просто существовали в системе ИБ, но могли быть максимально быстро и легко активированы и задействованы, а также чтобы об их существовании и возможностях знали соответствующие специалисты. Именно эта задача двигает рынок в направлении оптимизированной, высокоинтегрированной архитектуры с единой точкой управления, сбора оперативной информации, принятия решений.

Михаил Демидов, Павел Шубин

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS