Формула безопасности
Олег Седов, Директор ИС №5
В нынешней экономической ситуации многие западные практики, методики и оценки, часто не подходящие для российского бизнеса, получили новую трактовку
Новый диалог с бизнесом
В условиях кризиса ответственность за ИТ-решения во многих компаниях теперь передана не людям из ИТ-сферы, а финансовым или генеральным директорам. Зачастую ИТ расценивается ими как центр затрат. Поэтому ИТ-лидерам или специалистам по информационной безопасности (ИБ) нужно быть готовыми к тому, что придется их убеждать в необходимости тех или иных инвестиций.
Кроме того, в кризис все больше владельцев бизнеса возвращается к личному управлению делами в своих компаниях, менее доверяя наемным топ-менеджерам. Это значит, что ИТ-специалистам предстоит выстраивать по-новому отношения с новыми старыми руководителями, отстаивать те или иные инициативы и инвестиции и убеждать в их необходимости.
«Инвестировать сегодня, наверное, никто не готов. Однако неправильно затраты на ИБ относить к инвестициям. Оплата и использование продуктов в области информационной безопасности во многих случаях просто операционная необходимость. Другое дело, что запускать долговременные внедренческие проекты, которые требуют сложного консалтинга или анализа, сегодня никто не готов. Как, впрочем, и покупать ПО «на вырост». Поэтому сейчас клиенты больше сконцентрированы на краткосрочных задачах и стремятся в первую очередь максимально эффективно решить текущие проблемы, пусть и не идеально с технической или организационной точек зрения», — считает Михаил Калиниченко, генеральный директор S.N. Safe&Software.
Однако раньше необходимость внедрения средств ИБ приходилось отстаивать в сравнении с другими проектами, например, с внедрением ERP. На этом фоне ИБ проигрывала, так как бизнес-приложения для бизнес-заказчиков главнее, прозрачней и просты в обосновании окупаемости затрат. Но сейчас речь идет о практически полном прекращении инвестиций бизнеса в ИТ, поскольку если они и окупятся, то очень нескоро. В этих условиях бюджеты ИБ не то чтобы стало проще обосновывать, просто исчезла необходимость в получении какой-то точной цифры, которую раньше было с чем сравнивать. Сейчас нужно лишь понять и оценить, можно ли сократить затраты на ИБ. Для этого нужно взять несложную формулу оценки ROI и понять, что произойдет, если сократить инвестиции.
По сути, заказчики, готовые инвестировать в ИБ, делятся на две группы: «дальновидные» — эксперты в своем деле, отдающие себе отчет в том, что ИБ — это процесс; стоит прекратить инвестиции, и бизнес «встанет»; «потерпевшие» — заказчики, принимающие решение об усилении или внедрении средств ИБ, когда инцидент уже произошел, ущерб понесен.
Вторая категория сейчас значительно пополнилась. Ведь если у клиента не было реального обрушения системы из-за вредоносных программ, он может и не задуматься о продлении лицензии, об усилении используемых средств ИБ. Зачем? Все работает — и ладно.
За последнее время приходилось сталкиваться с разными проявлениями «побочных эффектов» кризиса. Кто-то говорит о бесплатном продлении лицензий, причем без гарантий по отсроченным платежам и в обход реальных сроков. Кому-то просто выгодно поддерживать миф о всеобщем кризисе, это позволяет не тратить внушительных сумм, выгадывая на «гибких условиях», считает Владимир Бычек, руководитель направления Content Security (eSafe) компании Aladdin.
Знакомые методики
Формула расчета ROI хорошо известна. В числителе средняя стоимость инцидента ИБ, умноженная на количество инцидентов ИБ в год (C1 х N1). В знаменателе стоимость покупки и внедрения ИБ-решения (Total Implementation Cost, TIC). На первый взгляд, ничего сложного. Но в российских условиях проверенные западные методики, как правило, не работают.
Подавляющее большинство заказчиков не всегда четко представляет, что угрожает их бизнесу в плане ИБ. «Это обусловлено как объективными, так и субъективными факторами. К объективным можно отнести различие в процессах регулирования со стороны нашего государства и взглядами на эти вопросы в западных странах. Длительное отсутствие отечественных законов и стандартов в области защиты информации, которые учитывали бы современные условия развития ИТ, дали негативный эффект и породили разную трактовку процессов и явлений в этой области. Но ситуация постепенно меняется к лучшему. Стоит сказать, что в этих процессах широко используется зарубежный опыт. При создании стандартов специалисты успешно используют проверенные временем лучшие мировые практики», — оптимистично полагает Алексей Чередниченко, ведущий консультант Symantec в России и СНГ.
«Методики расчетов действительно хорошо известны, но точно так же хорошо известна их спорность. Тем не менее часто они оказываются очень полезными. Однако применять эти методики можно только в условиях прозрачной рыночной экономики. Это связано с тем, что они базируются на сравнении расходов на покупку, внедрение и обслуживание систем ИБ с возможными потерями от отсутствия подобных систем, — рассказывает Михаил Калиниченко. — И если посчитать стоимость покупки у нас можно, то даже относительно реалистичную оценку ущерба дать невозможно по целому ряду причин:
-
Нет полноценной статистики по затратам на восстановление нарушенных информационных систем, так как подобная информация остается внутри компаний.
-
Нет понятных механизмов связывания стоимости акций компании и инцидентов с кражей данных. Наш фондовый рынок на подобные «мелочи» вообще не реагирует. Хотя, наверно, сейчас это можно отнести к любой стране мира.
-
В большинстве компаний нет системы достоверного учета финансовых потерь или упущенной выгоды. Этот механизм не является чем-то специальным для ИБ или даже ИТ в целом. Это составная часть общей финансовой политики компаний, и если ее нет, то ее нет нигде.
-
Нет статистики инцидентов, а потому невозможно определить вероятность, с которой отсутствие того или иного ПО по безопасности приведет к потерям.
Таким образом, использование методик оценки, на наш взгляд, тормозится в первую очередь из-за отсутствия достоверных исходных данных, на основе которых можно было бы делать выводы. А при отсутствии более-менее объективных исходных данных обсуждать правильность выводов не имеет смысла».
А Владимир Бычек продолжает: «Правильная оценка рисков сама по себе требует внушительных инвестиций. На интуитивном уровне многие понимают, какие угрозы существуют и какие «слабые места» в защите имеются, но перевести интуитивные догадки в денежный эквивалент нереально. Просчитать вероятность того или иного риска — задача не тривиальная. И методики, о которых идет речь, не позволяют этого сделать».
И, наверно, все эти мнения были бы абсолютно верны, если бы не одно обстоятельство, связанное с глобальными изменениями в современной экономике.
Известные неизвестные данные
Если вернуться к формуле расчета ROI, но более детально расписать перечень угроз, то числитель будет выглядеть так:
C1 х N1 + C2 х N2 + С3 х N3 + С4 х N4 +
+ С5 х N5 + C6 х N6 + C7 х N7 + С8 х N8
Под переменной C перечислены наиболее известные на рынке угрозы C1 — C8: вирусные, хакерские, DDoS- атаки, потери по причине несоблюдения требований, Internet–мошенничество, инциденты ИБ (IM-агенты), инциденты ИБ по вине мобильных сотрудников, потери от деятельности инсайдеров, утечки данных.
В результате окажется, что в период кризиса из восьми перечисленных угроз выросли уже шесть. Пожалуй, разве что не поступило сообщений об увеличении рисков, связанных с инцидентами IM-агентов и инцидентами по вине мобильных сотрудников. По данным Kaspersky Lab, за несколько последних месяцев 2008 года их антивирусные базы пополнились таким количеством новых образцов, сколько было за все время существования антивируса.
«В кризис компании вынуждены использовать технологи Web 2.0, так как доказано, что нет смысла запрещать сотрудникам, общающимся с клиентами и партнерами, те средства коммуникации, которые они хотят использовать, поскольку это повышает их мобильность и требует минимальных затрат. Если это запретить, то сотрудники найдут обходные пути и будут демотивированы недоверием. Идея состоит в том, что лучше разрешить, но тщательно контролировать», — считает Тимур Фарукшин, аналитик компании IDC Russia/CIS.
«Сам по себе кризис не является стимулом для появления новых видов угроз. Но кризис — это, как известно, идеальное время для форсирования бизнеса и захвата чужого бизнеса. Не секрет, что уже началась новая волна рейдерских атак, отличным подспорьем для которых является инсайдерская информация. Другая явно выраженная особенность кризиса — массовые увольнения сотрудников. Понятно, что увольнения, особенно ради оптимизации расходов во вполне успешных предприятиях, порождают недовольство людей — и они могут «ответить» кражей коммерческих данных, в том числе в надежде их использовать на новом месте работы. Статистика также свидетельствует об увеличении злоумышленных действий инсайдеров за последние полгода», — продолжает Сергей Вахонин, ИТ-директор ЗАО «Смарт Лайн Инк».
С ним согласен и Владимир Лепихин, заведующий лабораторией сетевой безопасности учебного центра «Информзащита»: «Поскольку кризис касается прежде всего людей, а не техники и не программного обеспечения, то изменение характера угроз может быть обусловлено только человеческим фактором. Чтобы это понять, следует обратить внимание на модель поведения нарушителя и мотивы нарушений. Первый мотив — это случайность (халатность, некомпетентность). Одно из следствий кризиса — сокращения персонала. А увольняют обычно самых ленивых и некомпетентных. Оставшаяся часть персонала интуитивно начинает в большинстве случаев работать лучше и соблюдать требования безопасности. Так что данный мотив вряд ли приведет к обострению угроз. Скорее — наоборот. Второй мотив — самоутверждение (любопытство). Он тоже вряд ли изменится. Хотя есть мнение, что экономический упадок — это почти всегда культурный и креативный подъем, так что можно ожидать непредсказуемого полета хакерской мысли. Следующий мотив — вандализм. Тут все предельно ясно: он был, есть и будет. Четвертый мотив — принуждение. Он слишком сложен для построения причинно-следственных связей, вряд ли на его основе можно делать прогнозы. Пятый мотив — месть. И вот здесь можно и нужно строить прогнозы. Ведь уволенный сотрудник, в руках которого были сосредоточены механизмы и средства управления внутрикорпоративными ИТ, может сделать что угодно: унести часть внутренней информации, устроить DDoS-атаку, оставить для себя возможность подключения к внутрикорпоративным ресурсам. Поэтому можно предсказать рост Internet-мошенничества и преступлений в области ИТ, а также утечек данных по вине инсайдеров».
По словам Евгения Модина, руководителя направления консалтинга компании Aladdin, еще одной опасной тенденцией является то, что кризис заставил активизироваться даже тех, кто раньше и не помышлял об атаках на платежные системы. «Ведь сейчас этот вид кибермошенничеств фактически поставлен на поток: бот-сети собирают реквизиты доступа к платежным системам, эти базы продаются за сравнительно небольшие деньги, их можно купить, проверить, провести адресную атаку. Да, действительно, многие компании, в частности банки, сократили бюджеты на информационную безопасность, однако жизнь заставила их вернуться к прежнему уровню финансирования (или даже увеличить объемы инвестиций). Практически каждую неделю в прессе можно встретить сообщения о взломе системы интернет-банкинга, кражах, утечках. А это серьезный стимул задуматься, не станешь ли ты следующим героем полос СМИ?
Новых «кризисных» угроз не появилось, просто изменились технологии и методы ведения атак: задействуется большое количество звеньев, не связанных между собой (например, оператор сотовой связи, банк, система онлайн-платежей и т.п.). Кризис показал те «дыры», которые существуют в системах ИБ компаний».
Таким образом, теперь можно вернуться к формуле расчета ROI, по которой раньше никто не мог его подсчитать, потому что никто не знал стоимость инцидента и его вероятность, чтобы просто подставить цифры. Но сейчас ситуация такова, что абсолютных цифр для расчета и не надо. Достаточно сравнить прошлый год, когда все было стабильно, и нынешний год. Прошлый год мы принимаем за некую условную величину, а в нынешнем году расставим соответствующие коэффициенты — что увеличилось, а что уменьшилось. При этом знаменатель, то есть инвестиции в ИБ, оставим прежними.
Если теперь посмотреть, как изменится это соотношение, то получается, что числитель в 2009 году очень сильно вырос, так как вероятность наступления угроз увеличилась многократно по сравнению с прошлым годом. И для понимания этого не нужно знать всех абсолютных значений. Поэтому если руководство все же намерено сокращать затраты на безопасность, то ROI заметно отразит это решение по-своему.
Несмотря на драматизм описанной картины, результаты первого квартала 2009 года у вендоров, занимающихся средствами ИБ, говорят о том, что по сравнению с большинством других сегментов ИТ-рынка они чувствуют себя очень даже неплохо. Значит, в целом большинство руководителей осознают важность ИБ. Следовательно, диалог с бизнесом не просто возможен, но и необходим.