Враг у ворот

В 2007 году, согласно прогнозам, совокупный объем рынка информационной безопасности должен был приблизиться к миллиарду долларов, а в 2008-м — перешагнуть миллиардную отметку. Предпосылки к этому очевидны уже сейчас. Потому что потери компаний слишком велики, причем не только от внешних атак, но и по причине внутренних утечек, и особенно в результате инсайдерских преступлений.

Защита от инсайдера

Осенью 2007 года были опубликованы результаты исследования "Global Economic Crime Survey 2007", проведенного компанией PricewaterhouseCoopers (одной из крупнейших аудиторских фирм в мире, предоставляющей услуги в области бизнес-консультирования, налогообложения и права). В нем приняли участие 5400 компаний из 40 стран, включая 125 ведущих российских компаний. Оно показало, что за последние два года с экономическими преступлениями, вызванными нарушением режима информационной безопасности внутри компаний, столкнулось большинство респондентов.

При этом виновными в большинстве случаев оказывались топ-менеджеры, а средний материальный ущерб от мошеннических действий составил $12,8 млн. Лидером по числу инсайдерских преступлений стала Россия: более половины (59%) российских компаний пострадали за последние два года как минимум от одного серьезного экономического преступления. Этот показатель на 10% превышает число выявленных в России в ходе обзора 2005 года, а также значительно выше среднемирового (43%) и среднеевропейского (50%) уровней.

В основном это были хищения активов компании, нарушения прав интеллектуальной собственности (в том числе утечка информации, составляющей коммерческую тайну), искажения отчетности. Не стоит забывать и о косвенном ущербе — потере репутации, судебных разбирательствах и падении морального духа компании. На это же указывают в своем отчете эксперты PwC: 67% российских пострадавших компаний понесли косвенные убытки. Однако эксперты компании Perimetrix, занимающейся защитой от утечек информации, убеждены, что доля косвенного ущерба российских компаний невелика по сравнению с общим масштабом убытков. Дело в том, что в отечественном бизнесе все еще бытует мнение, что любые инсайдерские преступления нельзя предавать огласке: чаще всего виновного втихую увольняют, а службу безопасности лишают премии.

При этом 31% пострадавших российских респондентов ответили, что в их компании работает более 5000 сотрудников. Как показывает исследование, от мошенничества страдают и крупные, и небольшие компании. По мнению экспертов компании Perimetrix, виной тому — неэффективная работа систем информационной безопасности, которые никак не регламентируют доступ к конфиденциальным данным. При этом, чем крупнее компания и ее штат, тем больше у нее уязвимых мест, а соответственно больше убытки.

Исследование показало, что исполнителями почти половины инсайдерских преступлений были топ-менеджеры компании, а заказчиками — конкуренты или деловые партнеры. Как отмечается в отчете PwC, все большее число инцидентов совершается штатными сотрудниками компании (38% в 2007 году против 13% в 2005 году). Настораживает тот факт, что 41% преступников внутри российских предприятий занимают руководящие посты. Этот показатель, по данным опроса, значительно выше, чем в странах Центральной и Восточной Европы (38%) и в остальных странах мира (20%). Эксперты Perimetrix объясняют это тем, что руководство лучше знает сильные и слабые стороны компании. Топ-менеджмент компании, имея полный доступ к финансовым и информационным активам, прекрасно знает все ее наиболее уязвимые места. Служебное положение дает возможность закамуфлировать свои действия и принятые в ущерб интересам собственника решения.

Самым распространенным видом преступлений в сфере внутренней безопасности в странах Центральной и Восточной Европы является незаконное присвоение или хищение корпоративных активов (43%). Далее следуют нарушение прав интеллектуальной собственности и искажение отчетности (28% и 18% соответственно). По оценкам экспертов Perimetrix, из-за внутренних преступлений компании теряют около 2% своего оборота.

Еще один факт: 67% российских компаний за последние два года потеряли не одну сотню миллионов долларов в результате действий инсайдеров. Затраты на устранение косвенного ущерба составили около $110 млн. Предотвратить инсайдерскую утечку данных могут вовремя принятые меры. Обнаружить попытку мошенничества можно тремя способами: случайным образом, работой механизма внутреннего контроля и с помощью аудита. Большинство экономических преступлений в России были раскрыты корпоративной службой безопасности и службой внутреннего аудита (28% и 20% соответственно). Динамика обнадеживает: в 2005 году подавляющее большинство случаев мошенничества было выявлено случайно (35% в 2005 году и 21% в 2007 году), а служба внутреннего аудита участвовала в выявлении лишь 7% противоправных действий.

Почти все российские респонденты (98%) заявили, что уже принимают меры по предотвращению мошеннических действий. 24% российских компаний, участвовавших в опросе, внедрили новые способы контроля, а 37% предприятий в последние два года усилили существующие меры контроля, осознав, что гораздо выгоднее потратиться на предотвращение инсайдерских преступлений, чем каждый год списывать миллионы долларов по статье "незапланированные расходы".

PwC в своем отчете нарисовала портрет типичного информационного мошенника: мужчина в возрасте от 31 года до 40 лет с высшим образованием, находящийся на руководящей должности около двух лет.

Защита от дурака

"Раньше даже крупные российские компании подходили к охране своей информации фрагментарно, внедряя отдельные продукты и не имя при этом четкого плана и стратегии защиты. Исключение, пожалуй, составляли только банки и другие финансовые учреждения. Сейчас ситуация меняется кардинально — все больше предприятий разрабатывает комплексные меры защиты информации",— отмечает старший маркетинговый аналитик "Лаборатории Касперского" Олег Гудилин.

Одна из самых заметных тенденций последнего времени — активная информатизация государственных структур. Хотя существуют законодательные и руководящие акты, регулирующие использование программных и программно-аппаратных решений в государственных органах, контроль соблюдения этих норм долгое время пускали на самотек. Государственные организации, в особенности региональные, при выборе системы ИБ руководствовались ценой, а не качеством приобретаемых решений.

Сейчас же ситуация улучшается: так, в конце 2007 года были подведены итоги конкурса на закупку средств антивирусной защиты, объявленного Федеральной таможенной службой России. В результате на комплексную защиту всех узлов территориально-распределительной сети ФТС было поставлено 15 480 лицензий на решение Kaspersky Total Space Security. Сумма сделки составила 19,9 млн руб.

"Немаловажную роль играет увеличившийся объем инвестиций в информатизацию российского общества. Ведь раньше при недостаточном финансировании речь шла не о том, проверенные ли решения используются для защиты информации в государственных органах, а о том, лицензионные ли они!" — восклицает Олег Гудилин.

Изменилось само отношение к системам информационной безопасности, их предназначению и роли в корпоративной ИТ-структуре. "Для многих компаний обеспечение своей безопасности стало своего рода гигиеническим обязательством — жизненно необходимым процессом,— комментирует Андрей Степаненко, директор по маркетингу компании "Информзащита".— Руководство компаний поняло, что обеспечение безопасности не приносит деньги и не помогает их экономить, а обеспечивает устойчивость основных бизнес-процессов".

По мнению Олега Гудилина, доля затрат на информационную безопасность в скорейшем времени будет значительно увеличена в бюджетах организаций — как частных, так и государственных. Более распространенным станет долгосрочное планирование затрат на продукты и услуги в области информационной безопасности. "Как следствие, возрастет роль компаний, способных предложить услуги по разработке концепций комплексных систем защиты информации",— предсказывает господин Гудилин.

"Если говорить о динамике роста отдельных сегментов рынка ИБ, то, в первую очередь, будет пользоваться спросом все, что так или иначе связано с консалтингом и аудитом, построением организационных мер,— считает руководитель направления информационной безопасности компании "Крок" Михаил Башлыков.— Причем речь идет не только о построении этих организационных мер, но и об их внедрении".

Вторая тенденция — дальнейшее движение от "продуктового" к "процессному" подходу. Что касается технических аспектов, топ-менеджер "Крок" отметил дальнейшую интеграцию ИБ-систем с прикладными ИТ-решениями. "Об этом свидетельствует целый ряд покупок на рынке информационной безопасности, произошедших за последние пару лет",— считает он. В заключение господин Башлыков констатирует дальнейший рост популярности у заказчиков программно-аппаратных решений и систем мониторинга событий, устройств, инцидентов.

Защита аутсорсера

"В России сейчас клиенты переходят от теоретического обсуждения плюсов и минусов ИТ-аутсорсинга к рассмотрению вариантов и поставщиков,— уверен Андрей Никишин, директор направления аутсорсинга ИТ-безопасности "Лаборатории Касперского".— Другими словами, нас ожидает серьезный рост количества заказов. Насколько заказчиков будет много, можно судить, исходя из мирового опыта — порядка 15-20% всех клиентов выбирают аутсорсинг ИТ-безопасности. Думаю, что с течением времени процент поклонников сервисной модели будет увеличиваться, и, по моим прогнозам, через 5 лет до 30-35% компаний воспользуются этими услугами. То есть рост будет очень большим".

И это несмотря на целый ряд факторов, сдерживающих развитие. По словам Андрея Никишина, это, прежде всего, стоимость услуг. Потенциальные клиенты далеко не всегда, сравнивая стоимость услуг с ценой приобретения антивирусного и защитного ПО, учитывают не только прямые расходы, но и косвенные. Также они не всегда учитывают TCO — общую стоимость обслуживания. Хотя эта проблема постепенно и сходит на нет, считает эксперт. Второй фактор — опасение клиента передавать потоки конфиденциальной информации кому-то на сторону. Третья проблема — боязнь клиентов завязывать отношения с партнером на длительный срок. "В мире средняя длительность аутсорсингового контракта составляет три года, наши же бизнесмены опасаются пока заключать такие длительные соглашения,— замечает Андрей Никишин,— но, полагаю, что и эти сложности мы преодолеем".

"Доля аутсорсинговых услуг растет, но недостаточно быстро",— соглашается с коллегами Михаил Башлыков. По его мнению, повсеместного всплеска интереса к этим услугам в ближайшее время не произойдет, а если он и будет, то лишь в компаниях, вышедших на определенный уровень зрелости в понимании ИТ-процессов. "Когда процессы в компании регламентированы до такого уровня, что их можно спокойно отдавать на аутсорсинг, только тогда руководство задумается о такой возможности. Но, к сожалению, до подобного уровня доросло не более 5% компаний, присутствующих на российском рынке. Важно и то, что к услугам аутсорсеров прибегают, как правило, те компании, которые стремятся любыми способами сократить расходы и оптимизировать бизнес, а для упомянутых 5% компаний эти задачи не являются самыми актуальными. Так что аутсорсинг расти будет, но его рост — отставать от рынка информбезопасности в целом",— считает он.

Как рассказал Андрей Степаненко, "Информзащита" довольно успешно продвигает услуги по периметровой защите. С осени 2007 года функционирует соответствующий "Центр управления". "Убедить заказчика перейти на аутсорсинговую защиту только граничных устройств, без допуска к более значимым внутренним ресурсам, намного проще",— говорит он.

Григорий Рудницкий, Алексей Доля