Алексей Лукацкий.jpg
Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems

Это один из самых старых мифов в области информационной безопасности. Я помню, что еще в начале 90-х годов в отечественных статьях приводилась статистика о том, что соотношение внутренних нарушителей к внешним равно 80/20 в пользу первых. Откуда появилась эта статистика уже никто не помнит; возможно, из ежегодного отчета Института компьютерной безопасности и ФБР ( CSI\FBI). И все к ней так «привыкли», что уже даже никто не задумывается, а правда ли это в сегодняшнее время.

PricewaterhouseCoopers и Министерство торговли и индустрии Великобритании, проводя шестой ежегодный опрос британских бизнесменов «Information Security Breaches Survey 2002» выяснили, что в конце 90-х - начале 2000-х годов произошло серьезное изменение бизнес-среды - у компаний появились свои сайты, операции стали все чаще проводиться через Интернет, возросла роль Интернет-коммуникаций, сети стали открытыми для партнеров и клиентов, периметр стал нечетким. Все это привело к коренному изменению картины нападений. Соотношение внутренних и внешних нарушителей стало 34/66 не в пользу внутренних злоумышленников. Похожий результат был отмечен в отчете CBI Cybercrime Survey 2001, где только 25% организаций идентифицировали своих нынешних или бывших сотрудников как основную угрозу компьютерным системам. В том же году отчет «2001 CSI/FBI Computer Crime and Security Survey» зафиксировал, что 70% компаний считают свои Интернет-подключения основной точкой приложения атак и только 31% рассматривают внутренние системы, как приоритетное направление хакерских действий.

Однако, даже это не является фактом и использовать общую статистику тоже не совсем правильно. Очень важно учитывать множество параметров - масштаб бизнеса, уровень использования Интернет-технологий, уровень зрелости компаний, культура безопасности и т.д. Представьте себе небольшой Интернет-магазин. Число его сотрудников не превышает одного человека - больше просто не надо. Могут ли быть у него внутренние угрозы? Будет ли владелец Интернет-магазина воровать у самого себя? Для крупного бизнеса ситуация чуть иная. В частности, согласно отчету ISBS 2002, в крупных компаниях внутренняя угроза проявляется чаще, чем в предприятиях среднего и малого масштаба. Но в любом случае и о соотношении 80/20 говорить не приходится.

ris1.jpg

Рис. 1. Источник угрозы для предприятий разного масштаба

В 2004-м году ситуация практически не изменилась. Доля внутренних угроз для малого бизнеса осталась неизменной, а внешних упала до 53%. Для среднего бизнеса соотношение внутренних угроз к внешним будет 46/43, а для крупного - 44/38. Последний отчет ISBS 2008 вновь подтвердил, что угроза снаружи для большинства компаний происходит чаще.

Отчет «2009 Data Breach Investigations Report», опубликованный компанией Verizon показал, что ситуация за 5 лет еще больше изменилась, но опять не в пользу внутренних нарушителей. В 74% случаев источников инцидентов с ИБ были внешние причины и только в 20% - внутренние. Еще в 32% источником стали партнеры по бизнесу, имеющие доступ в корпоративную сеть, и к которым можно отнести поставщиков, клиентов и т.п. Надо заметить, что по статистике Verizon, ведущейся с 2004 года, внешняя угроза постепенно спадает - с 91% в 2004 году до 74% в 2008. Внутренняя угроза же растет, но тоже не семимильными шагами - от 13% в 2004-м году до 20% в 2008.

Что мы в итоге видим? Соотношение 80/20 в пользу внутренних угроз не наблюдается уже много лет, а распространенное мнение о том, что большинство угроз исходит изнутри, не соответствует действительности. Хотя, конечно, и сбрасывать их со счетов ни в коем случае не стоит.