На пути к информационному обществу Россия все чаще сталкивается с проблемами информационной безопасности (ИБ). Исследование компании Ernst & Young показало: более половины руководителей компаний СНГ признали, что в их организациях за прошедший год случались отказы важной информационной системы, продолжавшиеся более двух часов. Однако некоторые руководители открыто заявляют, что не должны выполнять правила ИБ и это вообще не их вопрос.
Исследование Ernst & Young проводилось методом опроса руководителей компаний по всему миру, в том числе и в СНГ. Эти данные стоит рассматривать не как отражение реальной картины, а скорее как усредненное отношение руководителей компаний к проблеме ИБ. И это отношение по крайней мере удивляет.
Общий вывод исследования таков - руководители многих компаний в СНГ не занимаются информационной безопасностью. При этом они, как правило, знают об основных угрозах в этой области. Более того, лишь 54% участников опроса из СНГ и 67% всех участников опроса уверены в способности своей компании продолжать деятельность в случае хакерской атаки. При этом 54% участников опроса в СНГ и 52% всех участников признали, что в прошлом году в их организациях случались отказы критической для их деятельности информационной системы, длящиеся более двух часов.
Причина неготовности компаний СНГ к информационным угрозам проста - их руководителям недосуг самим заниматься вопросами ИБ, и поэтому статус ответственного сотрудника за безопасность часто невысок. Отсюда напрямую следует неэффективность политики и технических средств, что приводит к серьезным потерям. Опрос показал, что лишь в небольшом числе фирм из СНГ, в основном имеющих отношение к информационным технологиям (ИТ), к операциям с ценными бумагами и к сотовой связи, за эти вопросы отвечает представитель высшего руководства. При этом само руководство компании может просто не знать о том, что такие проблемы возникают. Оказалось, что регулярно, то есть ежеквартально, ежемесячно или чаше, доклады о ситуации в области ИБ делают менее 40% участников опроса. Причем в основном это были международные компании, работающие на рынке СНГ, - делать такие доклады и исследования они должны согласно жестким внутренним правилам. У нас же с правилами дело обстоит более мягко - большая часть компаний в странах СНГ заявили, что не считают себя обязанными соблюдать нормативные документы в области ИБ. Стоит отметить, что с 1 января 2004 года в России вступает в силу новый ГОСТ, основанный на международных правилах в сфере ИБ. Такие настроения руководителей компаний заставляют усомниться в эффективности внедрения новых стандартов.
Опрос косвенно показал, что руководители компаний хорошо усвоили те штампы, что поставляет им телевизор, по их мнению, самую серьезную угрозу представляют компьютерные вирусы. Однако, по мнению многих специалистов, хрестоматийный "человеческий фактор" в последнее время играет все более важную роль. Это уже начинают понимать менеджеры компаний из СНГ (см. график). Однако другой аспект "человеческого фактора" - потеря клиентских данных и доступ сторонних консультантов к ИТ-системам - не считается в СНГ серьезной проблемой. А тот факт, что хакеров-дилетантов боятся в основном международные компании, имеет простое объяснение - в случае успешной атаки именно на известную корпорацию хакер получает наивысшее моральное удовлетворение.
Кроме политической воли, для обеспечения ИБ нужны деньги. По данным опроса, больше всего на информационную защиту в СНГ тратят ИТ-компании, банки и финансовые структуры, телекоммуникационные компании. Стоит отметить, что получить количественную информацию о тратах на ИБ в СНГ достаточно трудно. Поэтому здесь наиболее интересными представляются американские данные, поскольку ИТ в США весьма развиты, а следовательно, и информационных угроз предостаточно. По данным эксперта по информационной безопасности Александра Левакова, доля американских организаций, увеличивших за последние четыре года свои годовые затраты в сумме более $1млн., выросла с 8% в 1998 г. до 27% в 2001 г. При этом количество организаций, затративших за год на ИБ менее $50 тыс., снизилось за этот период с 52 до 22%.
Список ответчиков
Было опрошено 1400 руководителей компаний из 66 стран. 56 компаний из стран СНГ приняли участие в опросе. Структура респондентов по странам-участникам следующая: российские компании (44%), международные (32%, кроме стран СНГ), украинские (13%), казахстанские (9%), белорусские (2%). Участники опроса по отраслям: банки, финансы, страхование (25%); нефть и газ (11%); телекоммуникации (11%); потребительские товары (11%); ИТ или интернет-компании (9%); компании других отраслей (34%).
Александр ЛАТКИН
Начать дискуссию