|
|
  |
Главная страница / Архитектура отрасли Connecting security peopleОдними из наиболее часто упоминаемых в среде специалистов статистических данных является отчет американского института компьютерной безопасности (CSI), который стал неким стандартом де-факто, на который опираются многие производители и интеграторы, запугивая потенциальных клиентов огромными убытками от компьютерных угроз. Однако при глубоком рассмотрении этого отчета ситуация становится не такой радужной. Во-первых, этот стандарт ориентирован на опрос только крупных американских корпораций, что, согласитесь, является, пусть и интересной, но явно не репрезентативной выборкой. Да, можно признать, что проблемы американских корпораций могут встречаться и у европейских и у российских компаний, но… знак равенства все-таки ставить не совсем корректно. Во-вторых, ориентация на крупный бизнес выводит из-под действия данного отчета операторов связи, малый и средний бизнес, что, конечно, большое упущение авторов отчета. В-третьих, отчет не учитывает вертикальной специфики. И если в хорошо компьютеризированной Америке это обоснованно, то, например, в России, где уровень информатизации разных отраслей может различаться на порядки, уже неправильно. К чему мы приходим?.. Отчет Computer Crime and Security Survey показывает нам «среднюю температуру по больнице». Использовать такую статистику для прогнозирования ситуации с информационной безопасностью в конкретной компании или организации нельзя. Можно долго ругать американскую статистику, но, к сожалению, другой у нас нет. В России за все годы ее информатизации так и не появилось сколь-нибудь значимой и авторитетной статистики. Называть таковой данные о компьютерных преступлениях МВД неправильно по двум причинам. Первая из них аккумулирует все, что было сказано выше про отчет CSI (отсутствие вертикализации, учета разных масштабов бизнеса и др.). А вторая заключается в том, что МВД считает не угрозы и не атаки, а «дела», доведенные до суда, более того, дела, по которым преступник был наказан (какой смысл рапортовать о «висяках» и делах, в которых вина задержанного не была доказана). Поэтому, кстати, название американского отчета Computer Crime («Компьютерные преступления») не совсем корректно, ибо в нем говорится именно об атаках, а не о делах, попавших в суд. В России отсутствует аналог американского CERT/CC (координационный центр реагирования на компьютерные инциденты). Нет у нас аналога и CSI или иного исследовательского центра. Таким образом надеяться, что у нас в обозримом будущем появится адекватная статистика по компьютерной безопасности, не приходится. Другая проблема отчета CSI в том, что на его основе нельзя отслеживать тенденции, ибо количество респондентов каждый раз меняется, как и компании, к которым они принадлежат. В России же статистика отсутствует, поэтому говорить о росте преступлений, ориентируясь только на сводки МВД, не совсем правильно. Допустим, количество преступлений возросло на 13%. И что? Из этой цифры мало что понятно, и возникает немало вопросов. Каких преступлений? Насколько они опасны? Кто жертва? Кто преступник? И т. д. А насколько возросло количество узлов в Сети и интернет-пользователей? Возможно, численность потенциальных злоумышленников увеличилась в пять раз. Тогда 13-процентное увеличение количества преступлений – это явно не рост, а спад. Однако, даже не имея статистики, можно утверждать, что проблема с информационной безопасностью только ухудшается – количество преступлений растет, численность нарушителей также не уменьшается, их имидж романтизируется… Все это имеет не одну и не две причины. Это комплексная проблема, которая может быть разбита на следующие составляющие: рост проникновения информационных технологий во все сферы нашей жизни; недостаточное внимание к проблематике информационной безопасности со стороны руководителей организаций, ведомств и компаний; нехватка квалифицированных кадров; низкий уровень подготовки выпускников вузов, прошедших обучение по информационной безопасности; отсутствие жесткой кары за компьютерные преступления; падение уровня культуры. На последнем пункте хотелось бы остановиться особо. Сегодня с экранов телевизоров на нас обрушилось огромное количество «чернухи» и насилия, что порой приводит к возникновению желания «выпустить пар». В условиях всеобщей интернетизации возможным выходом для накопившейся агрессии станет именно хакерство. Сначала атаки на своих соседей по компьютерному классу, потом просторы Интернета. Опасность для современных детей и подростков еще и в том, что они не видят преступления во взломе чужого компьютера, краже чужого пароля доступа в Интернет. Для них это не кража, а рядовой поступок, которым они могут гордиться. Ну как же, «чайник лопухнулся, а я воспользовался его ламерством и хожу в Интернет за его денежки»… В последнее время наметилась некая романтизация хакеров и компьютерных преступников. О них слагают баллады, пишут романы, снимают фильмы, даже создают школы и университеты хакеров (точнее, хэкеров, как они себя называют). Один из таких хэкеров пошел еще дальше и заговорил о создании храма хакеров. Грех, ставший обыденным, перестает считаться грехом и становится частью нашей жизни. С учетом того, что уровень культуры у нас не только не повышается, а скорее снижается, ожидать уменьшения количества компьютерных преступлений не приходится. Скорее наоборот, дети, пришедшие сегодня в школу, которую оснастили компьютерами в рамках Нацпроекта «Образование», через семь-десять лет пополнят когорту хакеров. И, наконец, последняя тема, которая возникла в рамках «круглого стола» – регуляторы российского рынка ИБ. Если не брать системы сертификации Минобороны и Службы внешней разведки, то у нас осталось три регулятора – ФСТЭК, ФСБ и Мининформсвязи. Раньше все было предельно просто и понятно – ФСБ отвечала за криптографию и безопасность высших органов власти, а ФСТЭК – за все остальное. С выходом в этот сегмент Мининформсвязи ситуация изменилась – данное министерство взяло на себя функции регулирования PKI, ЭЦП и безопасности сетей связи. Хотя последние две области являются предметом спора между Минсвязи и другими регуляторами. И вот совсем недавно к названным трем игрокам присоединился четвертый – «Россвязьохранкультуры», на которого легла забота о персональных данных. В Госдуме аналогичная неразбериха: за ИБ отвечают целых три комитета – по информационной политике, по безопасности и по энергетике, транспорту и связи. В положении о каждом из них четко указано, что именно он отвечает за информационную безопасность. Когда за решение какого-то вопроса отвечает несколько человек, значит, за него не отвечает никто. Здесь уместно вспомнить известную басню Крылова. Иными словами, в России нет единого «владельца» темы «информационная безопасность». Отсюда и все проблемы, разногласия и отсутствие единого видения. Но существует и другая проблема. Почти все, что делается у нас в безопасности, ориентировано на решение задач государства. И при разработке законов и требований эта проблема встает во весь рост. Декларируется, что владелец защищаемой информации решает, какие защитные меры он будет применять, на свет появляется большое количество различных документов, за отказ от реализации которых может наступить как административная, так и уголовная ответственность. Из известной триады «государство – общество – бизнес» активно решаются только вопросы первого элемента. Однако в этом есть и вина бизнеса. В кулуарах «круглого стола» от представителя ФСТЭК прозвучало пожелание: «Бизнес должен объединиться и выработать единые требования к своей безопасности». А вот этого-то и нет. Несмотря на наличие различных палат и ассоциаций, у нас нет единого мнения, как должен защититься бизнес (справедливости ради надо признать, что на повестке дня этих объединений такая тема даже не возникает). А раз бизнес не может самостоятельно предложить меры по своей защите, то за него это делают существующие регуляторы – ФСТЭК, ФСБ и Мининформсвязи. Хочется надеяться, что ситуация по всем затронутым вопросам со временем изменится в лучшую сторону… Главная страница / Архитектура отрасли |