Политика ИБ не защищает?

Аналитическая компания PwC совместно с журналами CIO и CSO провела Глобальное исследование тенденций информационной безопасность на 2016 год (The Global State of Information Security Survey 2016) во всем мире, в том числе в России. В отчёте указан достаточно высокий процент компаний, которые в той или иной мере внедрили у себя методики управления рисками ИБ: в среднем по миру – 91%, а в России – 87%.

Алексей Сабанов, заместитель генерального директора компании «Аладдин Р.Д.» сомневается в точности этих результатов: «Те, кто реально работают в России, знают, что процент внедрения риск-ориентированного подхода к ИБ может составлять указанную цифру только в отдельно взятой отрасли, например, в нефтянке». Впрочем, в соответствии с методикой обзора, PwC опрашивала лишь собственных клиентов и читателей журналов CIO и CSO,  то есть те компании, которые заботятся о собственной безопасности.

А вот Игорь Корчагин, руководитель группы обеспечения безопасности информации компании ИВК, считает цифры PwC вполне реальными: «Развитие сферы менеджмента ИБ на отечественных предприятиях стало неотъемлемой частью общего тренда — повышения уровня внедрения ИТ во все сферы деятельности предприятий. Именно в рамках этого тренда внедряются методики управления ИБ, расширяется спектр применяемых новых технологий и подходов к обработке информации (виртуализация, BYOD, облака и т.д.). И такие процессы действительно идут».

Несмотря на столь высокий уровень управления рисками ИБ, у тех же российских  участников опроса PwC за прошедший год ущерб от соответствующих инцидентов увеличился на 47% – с 3,6 до 5,3 млн долл. Правда, мировые данные в отчёте PwC показывают обратный тренд – снижение среднего ущерба на 5%, с 2,7 до 2,5 млн долл. Алексей Сабанов уверен, что «применение риск-ориентированных подходов облачных технологий, аналитики на основе технологии больших данных и строгой аутентификации действительно позволяет снижать уровень рисков, особенно при переходе к облачным вычислениям». Кстати, строгая аутентификация в мире внедрена в тех же 91% компаний.

Как отмечает Игорь Корчагин, новые подходы могут действовать не сразу: «Внедрение различных методик управления ИБ не обязательно сразу дает положительную динамику фактического уровня информационной безопасности компаний и сказывается на статистике выявленных инцидентов. У этого есть две ключевые причины. Во-первых, нередкое сочетание формализма в отношении подходов к обеспечению ИБ с проявлениями человеческого фактора. Последние связаны с недостаточной компетенцией лиц, ответственных за ИБ, и с низким уровнем осведомлённости рядовых пользователей в вопросах информационной безопасности. Во-вторых, внедрение системы менеджмента ИБ может просто показывать реальную ситуацию с безопасностью в той или иной компании, что приводит к росту статистики выявленных инцидентов».

Об особенностях статистики говорит Борис Грейдингер, директор по информационным технологиям ESET: «По поводу увеличения среднего ущерба от инцидента можно сказать, что это – достаточно условное понятие. На финальную сумму может повлиять, к примеру, одна крупная утечка данных. Вопросы вызывает и методология оценки ущерба от атак. В его сумму может быть заложена стоимость украденной информации, устранения последствий атаки и покупки новых систем (в том числе средств защиты), цена простоя, штрафных санкций, сумма компенсаций потерпевшим и пр. Таким образом, финальная цифра зависит от целого ряда составляющих и зачастую субъективна».

Впрочем, считает Рустэм Хайретдинов, руководитель проекта ApperCut, система управления ИБ как раз и дает возможность выявлять наиболее опасные инциденты. «Только когда в компании появляется система управления информационной безопасностью, можно точно фиксировать сами инциденты и компетентно оценивать ущерб от них. Так что, скорее всего, данные о росте ущерба связаны не с его реальным увеличением, а с появлением умения обнаруживать и правильно считать. Также рост может быть связан с тем, что на большинстве предприятий не только система управления ИБ, но и многие системы ИБ работают в режиме мониторинга, то есть в принципе не могут предотвращать инциденты, а умеют только их фиксировать. Наличие методики управления само по себе не даёт защиты, и если компания не имеет средств ИБ, способных защищать информацию, то количество инцидентов и средний ущерб от инцидента снижаться не будут.»