Rambler's Top100
Статьи ИКС № 6 2007
Алексей ДОЛЯ  01 июня 2007

Внутренние угрозы ИБ в телекоммуникациях

Опасность где-то рядом

Список самых опасных внутренних угроз информационной безопасности (рис. 1) возглавили нарушение конфиденциальности информации (85%) и искажение информации (64%). Обе эти угрозы можно обобщить понятием «утечка информации».

На третьей–четвертой позициях – мошенничество (49%) и саботаж (41%). Интересно, что в проводившемся ранее общеотраслевом исследовании* угроза саботажа почти на 15% опережает риск мошенничества. Видимо, в силу специфики предоставления услуг связи мошенничество признано одной из наиболее опасных угроз.

Оценивая негативные последствия утечки конфиденциальной информации, респонденты должны были указать две самые нежелательные, на их взгляд, позиции из предложенного списка (рис. 2). Оказалось, что больше всего они дорожат своей репутацией и общественным мнением (51%), а потеря клиентов (43%) для них страшнее прямых финансовых убытков (36%) – показателя, который лидировал в общеотраслевом исследовании.

Заметим, что лишь 2% респондентов опасаются, что утечка информации повлечет за собой юридические издержки и судебное преследование. Это однозначно свидетельствует о неразвитости правоприменительной практики в России. Напомним, что в феврале 2007 г. в России вступил в силу Федеральный закон «О персональных данных», позволяющий привлечь к ответственности компанию, допустившую их утечку. Однако эксперты InfoWatch сомневаются, что «правильный» закон положит конец незаконному распространению персональных данных. Для того чтобы это осуществилось на практике, должно появиться не одно судебное решение, наказывающее организации, виновные в утечке информации.

Что касается наиболее распространенных каналов утечки информации (рис. 3), то здесь результаты исследования телекоммуникационного сектора почти полностью повторили общеотраслевые. Одним из самых важных стал вопрос о количестве утечек конфиденциальной информации, допущенных респондентами в 2006 г. (рис. 4). Как и в других отраслях, лидером оказалось безликое «Затрудняюсь ответить»: выяснилось, что почти никто из опрашиваемых не использует специализированные решения для выявления утечек. И все-таки положительные сдвиги есть: если в общеэкономическом исследовании затруднения с ответом возникли у 44,8% респондентов, то в секторе телекоммуникаций уже только у 38%. Вывод: представители телекома лучше осведомлены об утечках, чем компании других секторов, что свидетельствует о более серьезном отношении к проблемам ИБ.

Правовое и нормативное регулирование

Специфика сектора телекоммуникаций (по сравнению с другими отраслями) проявляется и в вопросах нормативного регулирования. Во-первых, компании этой отрасли часто ориентированы на предоставление услуг физическим лицам, а потому аккумулируют в своей корпоративной сети огромные объемы персональных данных абонентов. Отсюда внимание руководства департаментов ИТ и ИБ к ФЗ «О персональных данных», который предъявляет целый ряд требований к безопасности приватных сведений граждан.

Во-вторых, телеком скоро обзаведется собственным стандартом под названием «Базовый уровень информационной безопасности операторов связи». Некоторые положения этого документа напрямую касаются внутренних рисков ИБ и проблем сохранения персональных данных. Например, пункт 3.16 рекомендует оператору «обеспечивать конфиденциальность передаваемой и/или хранимой информации систем управления и автоматизированных систем расчета за услуги связи (биллинга), сведений об абонентах (персональных данных физических лиц) и оказываемых им услугах связи, ставших известными операторам связи в силу исполнения договоров об оказании услуг связи». Пункты 3.17 и 3.18 требуют от компаний вести журналы регистрации событий ИБ и хранить их согласно срокам исковой давности (в России – 3 года). Более того, «для фильтрации потока первичных событий рекомендуется применять технические средства корреляции событий, оптимизирующие записи в журналах инцидентов по информационной безопасности».

Нельзя обойти вниманием и пункт 4.4, который гласит: «Оператору, допустившему утрату баз данных абонентов (клиентов) других (взаимодействующих) операторов, рекомендуется информировать последних об этом в кратчайшие сроки». Таким образом, российский сектор телекоммуникаций постепенно приближается к передовому опыту – в США и ЕС компании уже давно несут ответственность за утечку приватных данных и по закону обязаны поставить пострадавших в известность об утечке. Надеемся, что со временем такая норма появится и в России.

Правда, утверждать, что нормативное регулирование играет определяющую роль в секторе телекоммуникаций, пока нельзя. Тем не менее руководству уже сегодня следовало бы задуматься о соответствии ИТ и ИБ существующим стандартам и законам на тот случай, если надзорные органы начнут наконец действовать. Кроме того, крупные телекоммуникационные компании, чьи акции котируются на биржах, обязаны удовлетворять требованиям фондовых рынков. В России, например, это Кодекс корпоративного поведения ФСФР (необязательный), в Британии – Объединенный кодекс корпоративного управления (полуобязательный), а в США – закон SOX (Sarbanes-Oxley Act of 2002). Последние три нормативных акта выходят за рамки данного исследования. Однако ФЗ «О персональных данных» и «Базовый уровень…» представляют непосредственный интерес для российских телекоммуникационных компаний.

Влияет ли закон на бизнес?

Респондентам предлагалось оценить степень влияния закона на свой бизнес (рис. 5). Оказалось, что сегодня этот закон почти не работает: подавляющее большинство опрошенных (58%) определили его влияние как «несильное», а каждый четвертый (24%) заявил, что закон вообще ни на что не влияет. И лишь 18% организаций видят в этом документе серьезный фактор влияния на бизнес. Но в целом в отрасли бытует мнение, что ФЗ «О персональных данных» – беззубый норматив.

По мнению экспертов InfoWatch, подавляющее большинство опрошенных операторов реально оценивают новый закон. Выдвигая общие требования, этот нормативный акт не определяет, как именно операторы обязаны обеспечить конфиденциальность приватных сведений по собственному разумению. Более того, в ФЗ в явном виде не предусмотрена ответственность за утечку информации для руководства или бизнеса. И наконец, федеральный орган, уполномоченный следить за выполнением закона (ФСТЭК России), до сих пор не выпустил стандарт безопасности для персональных данных. Поэтому неясно, какие же меры по обеспечению конфиденциальности закон и регулирующие органы считают достаточными. Отсутствует в России и правоприменительная практика в сфере борьбы с утечками.

Конечно, в перспективе все это появится, но – в перспективе, а в ближайшие несколько лет представители телекоммуникационного сектора могут ни о чем «персональном» не задумываться.

Базовый уровень ИБ

Разрабатываемый сегодня стандарт «Базовый уровень информационной безопасности операторов связи» существует пока лишь в виде рекомендаций Международного союза электросвязи и российской Ассоциации документальной электросвязи. Следование им в каждой стране будет зависеть от требований государственного регулирования. Однако российские регуляторы, вероятно, смогут использовать эти рекомендации в качестве лицензионных условий, а некоторые операторы – в качестве условий присоединения к собственной сети связи. Более того, оператор может предоставлять телекоммуникационные услуги с уровнем безопасности, гарантируемым при выполнении «Базового уровня…», а услуги с повышенным уровнем безопасности – на возмездной основе. Другими словами, «Базовый уровень…» имеет все шансы стать драйвером развития ИБ в телекоммуникационном секторе. Это мнение разделяет и большинство респондентов исследования InfoWatch (рис. 6): 48% из них уверены, что стандарт окажет заметное влияние на отрасль, а 41% полагает, что сильное.

Интересны результаты углубленного опроса респондентов: все они слышали о «Базовом уровне…», но 30% признались, что недостаточно хорошо знакомы с его требованиями.

Заметим, что хотя «Базовый уровень…» уже сегодня рекомендует оповещать пострадавших об утечке информации (п. 4.4), он все же не фокусирует внимание на внутренних угрозах ИБ. Поэтому опрашиваемым было предложено определить необходимость включения в «Базовый уровень…» требований к защите от внутренних угроз, таких, например, как утечка персональных и конфиденциальных данных (рис. 7). А разработчикам стандарта, вероятно, стоило бы выделить этот источник угроз ИБ для телекоммуникационных компаний.

Средства защиты

Наиболее популярными средствами ИБ в телекоммуникационных компаниях (рис. 8) оказались антивирусы (100%), межсетевые экраны (79%) и контроль доступа (68%). В целом представители этого сектора используют больше различных продуктов и решений, чем российские компании из других секторов экономики. Между тем некоторые опасения вызывает малочисленность организаций, реализующих защиту от утечки данных, – всего 8%. В среднем по отраслям этот показатель равняется 10,5%.

Однако, по мнению аналитиков InfoWatch, даже 8% – неплохой показатель для такой новой области, как защита от внутренних угроз ИБ. Если вспомнить, что в 15% компаний вообще не зафиксировано ни одной утечки (см. рис. 4), то выходит, что как минимум 7% (15 – 8) из них не допустили утечек, хотя и не использовали никаких средств защиты. Но, скорее всего, такие организации просто не могут отследить, происходят у них утечки или нет.

Что же мешает компаниям внедрять системы защиты от утечек? Из предложенного списка (рис. 9) каждый респондент должен был выбрать одну позицию. Почти каждый третий (30%) главной причиной считает отсутствие стандартов. Причем под стандартами здесь понимаются не только нормативные или рекомендательные акты, но и единое видение системы внутренней безопасности. Так, многие отмечали, что до сих пор не сформирован единый подход к решению проблемы внутренней ИБ. Поэтому компаниям сложно планировать бюджет и выбирать продукты для внедрения. Отсюда еще одна проблема – бюджетные ограничения (22%). Ведь, не имея единого представления внутренней ИБ, компания не может планировать свои расходы и заранее выделять деньги на решение проблемы с инсайдерами.

Сравним эти результаты с общеотраслевыми. Там лидируют психологические препятствия (25,4%), а отсутствие стандартов (12,2%) лишь на пятом месте. Отсюда вывод: сектор телекоммуникаций подходит к проблеме внутренней ИБ более зрело по сравнению с другими отраслями. Судя по всему, представители сектора ИКТ уже преодолели психологический барьер и отчетливо понимают необходимость унификации процесса защиты от внутренних угроз.

Следующий вопрос анкеты – наиболее эффективные способы защиты от утечек информации (рис. 10). Речь идет о мерах, которые представляются организациям наиболее адекватными и приемлемыми для решения проблемы внутренней ИБ, но по ряду причин (см. выше) не используются на практике.

Безусловный лидер (49%) – комплексные информационные продукты. Эта мера доминирует уже на протяжении трех лет в общеотраслевом исследовании, поэтому можно смело утверждать, что именно в этом направлении будет происходить наибольший рост рынка внутренней ИБ в ближайшие годы.

Следом идут организационные меры (27%), ограничение связи с внешними сетями (11%) и тренинги персонала (9%). Однако базовым, по мнению экспертов InfoWatch, должно стать комплексное решение на основе ИТ, так как только с его помощью можно реализовать положения политики ИБ на рабочих местах.

Вывод экспертов подтверждают и ответы на последний вопрос – о планах внедрения СЗИ от утечек на ближайшие 2–3 года (рис. 11). Оказалось, что комплексные решения планирует внедрить 41% респондентов, т.е. почти на 10% больше, чем в других отраслях.

Наконец, респондентов попросили прокомментировать проблему внутренних нарушителей и высказать свое мнение по любому связанному с ней аспекту. Главная озабоченность – отсутствие единого подхода к обеспечению внутренней безопасности. На практике это сильно затрудняет выбор конкретного решения: поставщиков много, каждый из них обладает какими-то плюсами, но, не имея четких критериев, мало в чем пересекается с конкурентами.

***


Исследование показало, что по сравнению с другими отраслями российские телекоммуникационные компании довольно зрело относятся к проблеме ИБ в целом и защите от внутренних угроз в частности, но и у них есть направления для совершенствования ИБ.

Во-первых, в телекоме все еще низок уровень использования эффективных средств защиты от утечек. Причем среди респондентов бытует мнение, что их компания вообще не допускает утечки, хотя никаких инструментов проверки не использует.

Во-вторых, операторам следует учитывать тенденции ужесточения нормативного регулирования: рекомендации «Базового уровня…» вскоре могут стать обязательными для исполнения. Кроме того, могут появиться новые требования к безопасности приватных сведений в рамках ФЗ «О персональных данных».

Вместе с тем отмечаются и положительные тенденции. По сравнению с прошлым годом число организаций, защитивших себя от утечек, значительно выросло – в целом по всем секторам экономики в пять раз. Причем, по прогнозам исследования в 2007 г., этот показатель снова увеличится в тех же масштабах.

Самые популярные средства ИБ в телекоммуникационных компаниях – антивирусы, межсетевые экраны и контроль доступа


* Внутренние ИТ-угрозы в России, 2006 г.: www.infowatch.ru
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!