Lukatsky150x200.jpgАлексей Лукацкий - менеджер по развитию бизнеса Cisco Systems

Действительно, многие антивирусные производители сегодня утверждают, что вирусы, или более широко - вредоносное программное обеспечение, сегодня представляют основную проблему для современных предприятий. Приводится угрожающая статистика, ошеломляющие факты о проникновении вирусов на атомные электростанции и бортовые компьютеры автомобилей… Все это так. Но это ли является основной проблемой вашего предприятия? Проникали ли вирусы в ваш автомобиль? А в вашу систему управления технологическими процессами? А ущерб от вредоносного ПО вы измеряли? Он действительно составляет миллиарды долларов? Не подменяют ли антивирусные компании понятия? И не выпячивают ли они зону своей ответственности слишком сильно, в ущерб другим направлениям информационной безопасности?

Конечно же, я не скажу, что бороться с вирусами, червями, троянами не надо. Борьба с вредоносным ПО безусловно нужна и важна, но концентрация на ней может вывести из под вашего внимания гораздо более серьезные проблемы, которые существуют в области информационной безопасности и о которых задумывается бизнес и службы ИБ. Какие они? О чем стоит подумать в первую очередь? Я постарался сформулировать перечень тех угроз, которые станут основными направлениями приложения сил для служб ИБ на ближайшие год-другой:

  • Утечки информации. Об этом уже говорилось не раз и многие потребители считают, что проблема слишком сильно преувеличена. Но это не так. Достаточно взять на тестирование какую-нибудь из существующих систем борьбы с утечками информации (Data Leakage Prevention, DLP) и вы увидите, что конфиденциальная информация покидает пределы вашей компании регулярно. Не проходит недели, чтобы DLP-система не зафиксировала утечку информации о клиентах, ценах и скидках, ноу-хау, новых продуктах, паролях и других данных ограниченного доступа. Причиной такой утечки может быть и вредоносное ПО. Но число таких «случайных» утечек не так уж и велико. Обычно черви и троянцы крадут идентифицикационные параметры пользователей с целью их последующей перепродажи или мошенничества. Разумеется, с этой проблемой бороться надо. Но гораздо чаще происходит целенаправленная утечка от авторизованных пользователей. И антивирусы тут ничем помочь не могут. Это вообще не атака в классическом понимании этого термина. Ведь утечку допускают пользователи имеющие законный доступ к конфиденциальной информации предприятия.
  • Соответствие требованиям регуляторов. Что опаснее – простой сервера в течение 2-4 часов из-за вирусной эпидемии или приостановление деятельности банка на срок до 90 суток? Что за вопрос, конечно второе. Так почему же тогда вирусная угроза должна быть более опасной, чем невыполнение требований регулятора? А их в России немало. И даже если говорить не о приостановлении деятельности (это все-таки крайний случай), то штраф за невыполнение требований стандарта PCI DSS в 25-100 тысяч долларов в месяц – это все равно серьезнее, чем вирусная атака, ущерб от которой не каждый и посчитать может.
  • Мошенничество. Допустим у пользователя Интернет-банка вирус «украл» идентификатор и пароль доступа к своему счету. Это, безусловно, плохо, но никакого вреда ни банку, ни пользователю это не наносит. Все проблемы начинаются только после того, как злоумышленник решил воспользоваться украденными данными. Но это уже не вирусная атака и средство борьбы с вредоносным ПО тут никак не поможет. Это совершенно иная угроза – мошенничество, с которой нужно и можно бороться.
  • Атаки на приложения. Представим себе Интернет-банк. Злоумышленник заходит в свой «личный кабинет» и путем манипуляций с SQL-запросами к базе данных АБС (т.н. атака SQL Injection) получает возможность увеличить лимит операций по своему счету или просто увеличивает сумму доступных финансовых средств с 10 тысяч рублей до 1 миллиона рублей? И причем тут вирусы? Это результат атак на прикладном уровне, которые сегодня составляет чуть ли не 70-75% всех нападений на информационные системы.
  • Уязвимости. Почему вирусы так активно распространяются по Интернет? Потому что они используют уязвимости программного обеспечения – браузеров, операционной систем, офисных приложений и т.д. Так что эффективнее – бороться со следствием или причиной? Конечно же, уязвимости устранять гораздо выгоднее – их не смогут эксплуатировать ни вирусы, ни трояны, ни черви, ни злоумышленники, планируя свои вторжения в информационные системы.
  • Кража или потеря оборудования. Интернет пестрит примерами кражи или потери ноутбуков или жестких дисков, содержащих персональные данные многих компаний и ведомств. Если не говорить, что компания теряет материальный актив стоимостью в 2-3 тысячи долларов, то потеря оборудования может привести к гораздо более печальным последствиям – легко оцениваемые иски со стороны клиентов или регуляторов, удар по репутации и т.п.
  • Допустимое использование. Хождение по сайтам, непредусмотренным служебными обязанностями («одноклассники.ру», «вконтакте.ру», YouTube и т.п.), онлайн-игры, посиделки в чатах, переписка с друзьями в рабочее время, скачивание музыки/видео/нелицензионного ПО… Все это не вирусы, но угроза, которой приходится заниматься службам информационной безопасности. А все потому, что все эти виды недопустимого использования наносят ущерб компании. Как минимум, сотрудники не работают – снижается продуктивность – компания теряет деньги. Как максимум, хождение по скомпрометированным сайтам или загрузка постороннего ПО приводит к заражению внутренней корпоративной сети или обвинению компании в нарушении авторских и лицензионных прав (такие случаи бывали и в российской практике).
  • DDoS-атаки. О распределенных атаках «отказ в обслуживании» мы уже говорили. И опять мы видим, что эта угроза не имеет ничего общего с вирусами и вредоносным ПО. Это просто огромные потоки легитимного трафика, «забивающие» Интернт-канал и не дающие возможности работать легитимным пользователям и сервисам.

Данный факт подтверждает и статистика. Если посмотреть на последний отчет Microsoft Security Intelligence Report (SIR), то мы увидим, что вирусы занимают далеко не первое место среди реальных проблем, с которыми сталкиваются современные предприятия.

1-mif74.jpg

Что мы видим в итоге? Вредоносное ПО – это безусловно проблема. Но не единственная, с которой надо бороться службам информационной безопасности. Нельзя фокусироваться только на ней, напрочь игнорируя все остальные угрозы. Это может обойтись очень дорого.