По материалам круглого стола, проведенного компанией IDC и издательством «Открытые системы»» на апрельской конференции «Информационная безопасность: практический подход».
Компании не любят афишировать события, связанные со взломом корпоративных систем информационной безопасности (ИБ). Их скрытность вполне объяснима: такие события не только приводят к непосредственно измеряемому финансовому ущербу, но и негативно отражаются на репутации фирмы, настроениях акционеров и т. д. Между тем ни для кого не секрет, что некоторые организации сталкивались с действиями злоумышленников неоднократно, - идет ли речь о хакерских атаках, предпринимаемых через глобальные сети, или о краже конфиденциальных сведений собственными сотрудниками. Как ни странно, даже после этих случаев далеко не всегда сразу же начинают приниматься решительные меры в области защиты данных.
Одна из причин такой медлительности — высокая цена вопроса. Для построения надежной, «эшелонированной» обороны корпоративной информационной системы необходим целый комплекс организационных мероприятий и немалые финансовые затраты. Размер последних и их распределение во времени определяются особенностями бизнеса и размером компании, спецификой информации, которую требуется защитить, оценкой рисков и связанными со всем этим приоритетами в области ИБ. В итоге возможный размер ущерба порой оказывается меньшим, чем расходы на развертывание и последующую эксплуатацию системы информационной безопасности.
Ситуация усугубляется еще и тем, что стопроцентную защиту корпоративных данных не способны обеспечить ни одна, даже самая «продвинутая», технология и ни одно, даже самое современное, решение. Более того, начиная с некоторого уровня, каждая следующая «девятка» после запятой в характеристике надежности системы защиты достигается за счет увеличения стоимости этой системы на порядок. А значит, при выборе того или иного решения в области ИБ организация должна найти баланс между финансовым эквивалентом существующих рисков (или величиной потенциальных убытков) и затратами на поддержку безопасности данных.
Если верить отчетам зарубежных аналитических агентств, суммарные убытки компаний от инцидентов в области информационной безопасности ежегодно измеряются десятками миллиардов долларов. Однако для отдельной фирмы их размер может оказаться сравнительно небольшим.
По мнению Сергея Вихорева, директора аналитического департамента компании ЭЛВИС+, при рассмотрении экономических аспектов обеспечения ИБ проблема оценки рисков является едва ли не самой сложной. Задача обоснования целесообразности расходов на развертывание корпоративной системы защиты нередко ложится на плечи системного интегратора или привлекаемых для этой цели внешних консультантов. И хотя даже в теории она еще далека от решения, анализ рисков является важнейшим этапом реализации проектов в области ИБ и уже сегодня стал неотъемлемой частью бизнеса интеграционных фирм, специализирующихся на системах защиты данных. Так, в Jet Infosystems на него приходятся около 25% от общей стоимости проектов.
Дмитрий Кожевников, аналитик московского представительства IDC, считает, что оценка стоимости корпоративной информации и рисков, связанных с ее кражей или разрушением, должна базироваться на финансовых показателях бизнеса той или иной организации. При этом следует учитывать такие факторы, как потеря информации, связанной с оценкой стоимости самой фирмы, разглашение конфиденциальных сведений, которые могут быть обращены против компании ее конкурентами, и упущенная выгода (срыв намечавшихся контрактов). Не стоит сбрасывать со счетов и негативное влияние на имидж организации: скажем, неуверенность в высокой надежности применяемых средств защиты информации порой приводит к оттоку клиентов.
Как показал «круглый стол», устоявшихся методов оценки стоимости информации не существует ни в России, ни за рубежом. Один из возможных подходов базируется на учете рыночной стоимости того товара или услуги, к которому данная информация относится. Понятно, впрочем, что этот упрощенный метод не лишен недостатков и применим далеко не во всех случаях.
Другой вариант, о котором рассказала Мишель Моор, директор по технологиям и услугам в области информационных рисков компании Ernst & Young, основан на детальном анализе бизнес-процессов организации-заказчика - прежде всего, непосредственно обеспечивающих обслуживание клиентов. Поскольку именно клиенты приносят доход, исследование уязвимости соответствующих бизнес-процессов позволяет довольно точно оценить размер ущерба из-за сбоев информационной системы, поддерживающей эти бизнес-процессы. Данный сценарий вполне работоспособен; он был, в частности, реализован Ernst & Young при выполнении консалтингового проекта для «Русской телекоммуникационной компании».
По мнению Андрея Степаненко, директора по маркетингу фирмы «ИНФОРМЗАЩИТА», названные методики неприменимы к анализу рисков в сфере интеллектуальной собственности, например связанных с потерей или разрушением сведений, которые хранятся в корпоративной базе данных. Тем не менее прецеденты анализа подобных рисков есть и в нашей стране. Наглядным примером может служить Региональный общественный центр Интернет-технологий (РОЦИТ), оценивший свою базу данных в 250 млн долл. и застраховавший ее на указанную сумму от потери, разрушения, кражи и иных рисков.
Проблема еще и в том, что в России пока не получила распространения обычная для развитых государств практика независимого анализа инцидентов в сфере защиты информации. В стране еще нет организаций, которые на регулярной основе публикуют отчеты по этой проблематике, оценивают наиболее значимые угрозы корпоративным информационным системам и тем самым дают хотя бы качественные ориентиры корпоративным заказчикам и поставщикам соответствующих решений.
Весьма показателен в этом отношении последний глобальный отчет по проблемам информационной безопасности, подготовленный Ernst & Young. В нынешнем году в число анализируемых стран впервые была включена наша страна. Между тем, по словам Моор, попытка провести количественное исследование в российских организациях столкнулась с их активным сопротивлением: ссылаясь на конфиденциальность информации, ни одна из опрошенных фирм не сообщила, каким был размер ее ущерба из-за действий злоумышленников.
Еще печальнее то, что многие из отечественных компаний даже не оценивают размеров такого ущерба. А связано это либо с отсутствием надежных методик, либо с тем, что не определена сама стоимость корпоративной информации. И если прямые убытки из-за действий злоумышленников российские пользователи все же подсчитывают, оценка таких показателей, как упущенная выгода, остается камнем преткновения.
Самое любопытное, что даже без опоры на надежные количественные оценки рисков и потенциального ущерба организации активно тратят средства на системы ИБ. Если верить данным Ильи Трифаленкова, начальника центра информационной безопасности Jet Infosystems, в России доля расходов на защиту данных составляет около 10% ИТ-бюджетов и практически постоянна в компаниях самого разного профиля.
Чтобы доказать заказчику целесообразность таких затрат на обеспечение информационной безопасности, интегратор анализирует риски на основе собственных алгоритмов либо международных методик, опробованных в разных странах на различных вертикальных рынках. В России применяются оба подхода, но было бы ошибкой утверждать, что какой-то из них позволяет ранжировать риски в области ИБ без «привязки» к специфике конкретной организации. В любом случае сам заказчик должен четко осознавать стоимость своих информационных ресурсов, однако на практике это — большая редкость. К сожалению, стоимость данных и потенциальный размер ущерба далеко не всегда удается оценить в абсолютных величинах и с высокой точностью. А значит, нередко приходится прибегать к косвенным или относительным показателям (которые, тем не менее, оказываются достаточно информативными).
К сложностям анализа рисков и обоснования затрат на средства информационной защиты тесно примыкает проблема возврата инвестиций (Return On Investment, ROI). Традиционная точка зрения сводится к тому, что построение системы ИБ — мероприятие сугубо затратное, а потому говорить о возврате вложенных средств не приходится. В действительности же вопрос об окупаемости таких инвестиций имеет право на существование.
Один из подходов к его решению может состоять во внедрении схемы так называемого внутреннего аутсорсинга, который в последние годы приобрел популярность на Западе. Речь идет о выделении службы, возглавляемой директором по информационной безопасности (Chief Information Security Officer, CISO), в отдельную структурную единицу, которая предоставляет услуги другим подразделениям фирмы. Последние же должны перечислять службе защиты информации часть средств из своих внутренних ИТ-бюджетов.
Кто-то может возразить, что внутренний аутсорсинг — не более чем механизм перераспределения средств внутри организации. Его использование, дескать, не приводит к росту общих доходов фирмы, а потому не имеет отношения к возврату средств, вложенных в развертывание и последующую эксплуатацию системы ИБ. Однако внедрение строгих финансовых отношений между подразделениями одной компании позволяет количественно оценить риски, связанные с нарушением режима защиты данных, а следовательно, подсчитать величину убытков, которых удалось избежать благодаря инвестициям в средства защиты информации, и отнести эти деньги к косвенному доходу.
Сегодня можно только гадать, когда строгая количественная оценка ущерба, связанного с действиями злоумышленников, и внутренний аутсорсинг станут повседневной практикой в российских компаниях. Тем не менее уже то, что эти вопросы активно обсуждаются на различных уровнях и в разных аудиториях, вселяет оптимизм.