Научная статья на тему 'Анализ угроз информационной безопасности кредитных организаций'

Анализ угроз информационной безопасности кредитных организаций Текст научной статьи по специальности «Право»

CC BY
1606
202
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / СИСТЕМНЫЙ ПОДХОД / УГРОЗА БЕЗОПАСНОСТИ / ВНУТРЕННИЕ УГРОЗЫ / ВНЕШНИЕ УГРОЗЫ

Аннотация научной статьи по праву, автор научной работы — Рудакова О. С., Родина Ю. В.

Всеобщая компьютеризация банковской деятельности многократно повысила значение информационной безопасности банков. Организация системы информационной безопасности в банке требует системного подхода, выявления и своевременного принятия мер по устранению внутренних и внешних угроз. Для подготовки адекватных средств защиты необходимо иметь полное представление о характере возможных опасностей. В статье приводится анализ наиболее значимых на сегодняшний день видов угроз безопасности.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Анализ угроз информационной безопасности кредитных организаций»

23 (56) - 2009

УГРОЗЫ И БЕЗОПАСНОСТЬ

анализ угроз

информационной безопасности кредитных организаций

О. с. РУДАКОВА,

кандидат экономических наук, доцент, заведующая кафедрой банковских технологий E-mail: [email protected]

Всероссийский заочный финансово-экономический институт Ю. В. РОДИНА,

главный инженер отдела безопасности и защиты информации

Новомосковского отделения № 2697 Сбербанка России E-mail: [email protected]

Информационной безопасности (ИБ) современных организаций в последние годы уделяется все больше внимания. Особенно актуальным это является для кредитных организаций. Банковская информация всегда была объектом пристального интереса всякого рода злоумышленников. Поэтому организация системы информационной безопасности в банке требует системного подхода, выявления и своевременного принятия мер по устранению внутренних и внешних угроз.

Основополагающим в достижении поставленной цели является всестороннее изучение фактического состояния дел в области безопасности на объекте и выработка конкретных рекомендаций. Система информационной безопасности должна соответствовать бизнес-целям банка. Защита информации должна быть экономически эффективной: затраты на систему защиты не должны превышать возможный ущерб. Как показывает мировая практика, размер затрат на надежное обеспечение безопасности составляет около 15 % годового дохода [1].

Технология проведения комплекса мероприятий по обеспечению безопасного функционирования банка состоит из нескольких этапов: исследования по анализу рисков, разработки политики безопасности и проекта защиты объекта, внедрения технических средств защиты и сопутствующих организационных мер, а также поддержки требуемого уровня безопасности. Для подготовки адекватных

средств защиты необходимо иметь полное представление о характере возможных опасностей. Финансовый кризис только усилил значение ИБ, о чем свидетельствуют результаты исследований в этой области, проведенных в 2008 г. Проанализируем наиболее значимые на сегодняшний день виды угроз безопасности.

Внутренние угрозы. Компания «ИнсигЭкс-пресс» (InsightExpress) по заказу компании «Сиско» (Cisco) организовала опрос [12] двух тысяч сотрудников и ИТ-специалистов из Австралии, Бразилии, Великобритании, Германии, Индии, Италии, Китая, США, Франции и Японии. Большинство опрошенных в качестве источника главной угрозы безопасности назвали «внутренние угрозы» [7].

Среди опрошенных работников каждый десятый признался, что за прошедший год хотя бы раз использовал корпоративные данные в своих интересах. 10 % опрошенных признались, что за год потеряли или украли какой-либо корпоративный носитель информации — ноутбук, флэш-накопитель и т. д. Риски умышленных и неумышленных утечек конфиденциальной информации зависят от страны и менталитета населения [6].

Исследование выявило десять факторов, ведущих к потерям данных:

1) произвольное изменение настроек безопасности на компьютерах (20 % опрошенных меняет

- 61

настройки безопасности на рабочих ПК, чтобы получить доступ к запрещенным веб-ресурсам — социальным сетям, торрентам, интернет-магазинам. Именно эти ресурсы в 50 % случаев приводят к заражению корпоративной сети. Это характерно, например, для США — 74 % случаев, Индии — 79 %);

2) использование неавторизованных приложений;

3) доступ к несанкционированным сетям и устройствам;

4) разглашение конфиденциальной корпоративной информации (24 % опрошенных признались, что в устной форме делятся важной корпоративной информацией с друзьями, родственниками и даже незнакомцами);

5) совместное использование корпоративных устройств (44 % опрошенных используют корпоративные устройства вместе с посторонними людьми, в том числе передают им корпоративные устройства для работы без какого-либо контроля);

6) размывание границ между корпоративными и личными устройствами и средствами связи;

7) оставление включенных и незаблокированных корпоративных компьютеров без присмотра (33 % опрошенных);

8) хранение имен и паролей у всех на виду в незащищенных местах (20 % опрошенных);

9) потеря портативных устройств с важными данными;

10) бесконтрольное перемещение посторонних лиц по территории компании (22 % служащих германских компаний разрешают посторонним ходить без присмотра по своему предприятию. В среднем так поступают 13 % опрошенных. 18 % респондентов позволяют неизвестным людям проходить за собой через турникет). Опрос показал также, что вопросам повышения осведомленности персонала в области информационной безопасности уделяется мало внимания. Основным угрозами являются халатность и неквалифицированные действия сотрудников.

Как показало исследование, политика безопасности разработана в 77 % компаний. Отсутствие правил ИБ особенно часто встречается в Японии (39 % опрошенных) и Великобритании (29 %).

Более 50 % опрошенных признались, что не всегда придерживаются корпоративных правил безопасности. Во Франции таких сотрудников 84 %.

Для выполнения сотрудниками требований безопасности огромное значение имеет степень осведомленности персонала и легкость выполнения

62 -

требований ИБ. Число ИТ-специалистов, знающих правила безопасности, на 20—30 % превышает количество обычных сотрудников, знакомых с этими правилами. Наибольший разрыв (31 %) зафиксирован в США, Бразилии и Италии. 11 % опрошенных сотрудников заявили, что им не сообщают о правилах безопасности и не проводят соответствующего обучения. В Великобритании таких сотрудников 25 %, во Франции - 20 %.

Большинство опрошенных считают, что действующие в их компаниях правила носят чересчур запретительный характер. Это мнение доминирует в восьми странах из десяти, где проводилось исследование, и только в Германии и США пользователи придерживаются другого мнения. 42 % опрошенных считают, что главная причина несоблюдения правил кроется в том, что эти правила нереалистичны и мешают выполнять повседневные должностные обязанности.

Опрос «Обследование внутренних угроз в 2008 г.» (The 2008 Insider Threat Survey) [8] выявил, что 53 % из числа 417 опрошенных на трех конференциях по безопасности специалистов находят внутренние политики информационной безопасности слишком запретительными. 94 % респондентов допускают «фамильярное» обращение с внутренней политикой безопасности своих компаний. Больше половины опрошенных заходили на свой рабочий почтовый ящик с публичного компьютера, а более двух третей респондентов делали это из общедоступных беспроводных сетей.

Опрос проводился на конференциях по безопасности в трех различных странах - США, Бразилии и Мексике. Ответы респондентов наглядно иллюстрируют разное отношение к вопросам информационной безопасности в различных странах. Так, например, в США 37 % из числа опрошенных не пустят в свой кабинет постороннего человека, а в Бразилии эта цифра равна лишь 7 %.

Аналитический центр компании «Перимет-рикс» (Perimetrix) с 10 января по 10 февраля 2008 г. провел опрос «Инсайдерские угрозы в России 2008» [7] в 472 российских организациях. Опрос показал, что:

• внутренние факторы заметно опережают внешние в рейтинге угроз ИБ. Наибольшие опасения специалистов вызывают утечки данных (76 %) и халатность сотрудников (67 %);

• внутренние угрозы лидируют вполне закономерно, ведь всего 5 % организаций не пострадали от утечек информации за прошедший год;

• 100 % организаций оснащено антивирусным программным обеспечением и межсетевыми

экранами, но лишь 24 % имеют защиту от утечек, поэтому данные утекают с угрожающей регулярностью;

• чаще всего инсайдеры крадут из компаний персональные данные (57 %), детали конкретных сделок (47 %) и финансовые отчеты (38 %);

• широко распространенные мобильные накопители (74 %), а также электронная почта (58 %) являются самыми популярными каналами утечек;

• в ближайшее время специалисты собираются исправлять критическую ситуацию с внутренней безопасностью. 34 % компаний планируют принять на вооружение системы защиты от утечек, а 22 % организаций собираются внедрить у себя шифрование данных при хранении. Ко м п а н и я « С е ку р Ко м п ути н г»

(SecureComputing) провела опрос около ста ИТ-директоров на Международной выставке в Лондоне [6]. Более 80 % респондентов считают внутренние инсайдерские угрозы наиболее приоритетными. 17 % респондентов полагают, что хакеры до сих пор являются основной опасностью.

Исследования, проведенные компаниями «Аккентур», «Интел», «ИСАКА» (Accenture, Intel и ISACA) [8], показывают, что основную угрозу безопасности корпоративных сетей представляют сотрудники в возрасте до 28 лет, поскольку они демонстрируют такую модель обращения с принятыми политиками безопасности, которая приводит к серьезному риску утечки конфиденциальных данных и кражи секретной информации.

В ходе исследования «Аккентур» (Accenture) было опрошено свыше 400 студентов и молодых сотрудников организаций в возрасте от 14 до 27 лет. Более 60 % из них либо вообще не подозревали о существовании корпоративных политик безопасности, либо не собирались следовать им. Например, 39 % респондентов в возрасте от 18 до 22 лет используют запрещенные внутренней политикой работодателя мобильные телефоны, 19 % — технологии с открытыми исходными кодами, 27 % — службы мгновенных сообщений, 12 % — сетевые приложения, 28 % — социальные сети. Согласно совместному исследованию «Интел» (Intel) и «Пэн Шун Берланд Ассосиатс» (Penn Schoen & Berland Associates) постоянно скачиваются различные файлы и приложения из бесплатных источников.

В исследовании, опубликованном сообществом IT-профессионалов «ИСАКА» (ISACA), было опрошено 973 пользователя и 3 100 специалистов. Более 63 % сотрудников в возрасте от 18 до 24 лет готовы провести в общей сложности более пяти

часов рабочего времени, занимаясь покупками в интернет-магазинах в праздничный период.

Аналитический центр компании «Перимет-рикс» (РептеЫх) при содействии Сообщества ABISS с 17 декабря 2007 г. по 27 февраля 2008 г. провел исследование «Информационная безопасность в банках. Общий взгляд» [15]. В опросе принимали участие руководители и сотрудники, отвечающие за ИБ в 105 российских банках. Результаты опроса были следующими:

• банки вкладывают существенные деньги в ИБ. Почти половина (49,5 %) банков расходуют на ИБ более 5 % ИТ-бюджета, при среднем межотраслевом уровне в России 1,5 %;

• банкам не хватает специалистов в области ИБ. 86 % респондентов имеют открытые вакансии технических специалистов по ИБ, а 76 % — менеджеров по ИБ. Банкам требуются около 4 тыс. технических специалистов и 2 тыс. руководителей в сфере ИБ;

• большинство банков движется в направлении стандарта Банка России по ИБ. 42 % банков уже внедрили некоторые положения стандарта, а еще 41 % приняли решение об их реализации в ближайшем будущем.

С 7 августа по 8 октября 2008 г. на сайте [5] прошел опрос, посвященный ИБ в банках. В опросе приняли участие 500 человек. 63 % респондентов считают угрозы со стороны сотрудников банка наиболее реальными с точки зрения ИБ.

Американская компания в сфере ^-безопасности «Кибер-Арк» (СуЬег-Агк) провела исследование [16], которое показало, что каждый третий сотрудник использует административные пароли для получения доступа к конфиденциальной информации, такой как сведения о зарплате коллег, личная электронная переписка или протоколы совещаний. В исследовании участвовали 300 профессионалов в области информационных технологий из разных стран. Каждый третий респондент признался в тайном подглядывании за информацией личного характера о своих коллегах, 47 % заявили о получении доступа к информации, не имеющей отношения к их должностным обязанностям.

По данным «Кибер-Арк», привилегированные пароли (те, которые используются системными администраторами) меняются гораздо реже пользовательских, что означает возможность получения доступа к конфиденциальной информации со стороны специалистов по автоматизации даже после их увольнения.

Компания «Кибер-Арк» провела также опрос «Мировая рецессия и ее влияние на рабочую этику»

- 63

[6]. В опросе приняли участие 600 офисных служащих (с нью-йоркской Уолл-стрит, лондонского района Канари ворф (Canary Wharf), где располагаются офисы крупных банков и корпораций, а также из Амстердама). В ходе опроса выяснилось, что 30 % респондентов готовы работать 80 часов в неделю, 25 % согласны на снижение заработной платы для сохранения работы, 56 % респондентов боятся потерять работу. Но если вдруг до них дойдут слухи, что они все-таки попали под сокращение, 46 % опрошенных поспешат уйти не с пустыми руками. Они будут смотреть, что есть полезного в корпоративной сети, а если ничего там не обнаружат, то готовы предложить взятку, чтобы найти что-нибудь ценное. Более 50 % уже скопировали себе ценную корпоративную информацию - базы данных, планы развития и т. д. (причем в Голландии этот процент равен 71, в США — 58, в Великобритании — 40). Для кражи конфиденциальной информации чаще всего используют флэш-накопители. В случае сокращения 71 % опрошенных будут использовать на новом месте работы конфиденциальные данные прежнего работодателя.

Сами компании стали уделять больше внимания ИБ. В Великобритании так считают 71 % опрошенных, в Голландии —

Использование флэш-накопителей. Как могут быть использованы флэш-накопители, исследовала компания «СанДиск» (SanDisk) в марте 2008 г. [6, 14]. Она провела опрос рядовых сотрудников и ИТ-специалистов компаний в США. Опрос показал, что 77 % респондентов используют личные незащищенные флэш-накопители для хранения и переноса служебных данных. Причем, ИТ-специалисты считали, что таких сотрудников только 35 %.

^В-накопители пользователи часто теряют. 12 % опрошенных лиц находили флэш-накопители в общественных местах, причем 55 % опрошенных пробовали посмотреть хранящуюся на нем информацию.

На личные флэш-накопители, как правило, копируют:

• данные о заказчиках (25 %);

• информацию финансового характера (17 %);

• детали бизнес-планов (15 %);

• информацию о сотрудниках компании (13 %). 23 % опрошенных были не знакомы с корпоративной политикой в отношении флэш-накопителей.

Утечки данных. В 2008 г. проблему утечки данных изучала компания «Периметрикс» (РептеШх)

64 -

и «ИнфоВощ» (InfoWatch). Аналитический центр «Периметрикс» провел исследование [9] утечек информации, произошедших в первом квартале 2008 г. Исследование проводилось на основе ежедневного мониторинга публикаций в различных СМИ. Согласно его данным, 84 % утечек имеют одну из четырех наиболее популярных причин: кража носителя, инсайд, хакерская атака или веб-утечка. За первый квартал 2008 г. от утечек пострадали как минимум 9 млн 197 тыс. человек.

Компания «ИнфоВощ» [17] провела в первом полугодии 2008 г. анализ всех инцидентов, получивших огласку в СМИ. За это время было зарегистрировано 185 утечек конфиденциальных данных. Случаи в коммерческих организациях составили 50 % (58 % в 2007 г.), в образовательных и некоммерческих организациях — 31 % (20 % в 2007 г.), в государственных органах — 18 % (22 % в 2007 г.).

В 95 % случаев были утрачены персональные данные (93 % в 2007 г.), коммерческая тайна — 2 % (6 % в 2007 г.), государственная тайна — 1 % (1 % в 2007 г.).

Наиболее распространенными каналами утечек информации являются кражи или потери ноутбуков. По данным [3], только в аэропортах США каждый год теряется 637 тыс. ноутбуков, многие из которых содержат конфиденциальную информацию. Также информация утрачивается в результате случайной публикации конфиденциальных файлов в Интернете и хакерских атак.

За девять месяцев 2008 г. компания «ИнфоВощ» [6] зарегистрировала 249 инцидентов безопасности. Данные утечки затронули интересы более 100 млн человек. Выяснилось, что адреса утечек различные: 50 % — произошли случайно, 48 % — в коммерческих организациях, 20 % — в государственных организациях, 96 % — касается персональных данных, 29 % — через Интернет, 25 % — вызвано пользованием ноутбуками и флэш-накопителями, 12 % — вызвано пользованием обычных компьютеров, 4 % — через электронную почту.

В ходе очередного исследования было установлено [10], что в 2005—2008 гг. в США, Великобритании и странах континентальной Европы произошло 1 034 серьезных случая утечки информации. Были утрачены персональные данные 280 млн человек. В 50 % случаев в утечках были виноваты сотрудники компаний. 25 % случаев были вызваны кражами личных компьютеров. В 46 % случаев были утрачены незащищенные данные. Утечки данных происходили практически во всех секторах экономики. В государственных организациях было зарегистрировано 19 % случаев.

Внешние угрозы. Несмотря на то, что внутренним угрозам в 2008 г. уделялось больше внимания, не остались в стороне и внешние угрозы. За первые пять месяцев 2008 г. более 205 финансовых учреждений мира ежемесячно подвергались интернет-атакам в целях получения данных о клиентах [10]. Только в мае целью интернет-мошенников стали 200 банков, сообщает сайт «K2Kapital. com» со ссылкой на доклад RSA — подразделения по безопасности EMC, американского производителя программного обеспечения и систем хранения информации. США постоянно возглавляют список стран, откуда происходят атаки. В мае 2008 г. 61 % банков стали жертвами именно американских киберпреступников. Кроме того, на банки США приходится половина всех атак. Второе место занимает Китай (11 %).

В декабре 2008 г. были опубликованы результаты исследования [8], основанного на данных 3 700 центров виртуальной безопасности фирмы «Ай-Би-Эм» (IBM). Число совершаемых ежедневно сетевых атак за последние четыре месяца выросло с 1,8 до 2,5 млрд.

На сайте InoPressa. ru помещено сообщение [13] об ежегодном исследовании безопасности информационной инфраструктуры «Глобальной Инфраструктуры Безопасности Отчет» (Worldwide Infrastructure Security Report), проводимом исследовательским центром в Лексингтоне (штат Массачусетс). В опросе приняли участие 70 руководителей и экспертов крупнейших интернет-операторов в Северной Америке, Европе и Азии. Респонденты считают, что в распоряжении хакеров оказываются все более мощные цифровые средства, способные вывести из строя крупнейшие компьютерные сети. Несмотря на резкое увеличение числа хакерских атак, число обращений в правоохранительные органы сокращается. 58 % провайдеров интернет-услуг за последний год не обращались к властям за помощью. Это связано с тем, что 29 % опрошенных считают, что возможности правоохранительных органов ограничены, 26 % ожидали, что о незаконной деятельности сообщат их клиенты, а 17 % думают, что сообщать о хакерских атаках бессмысленно.

30 ноября 2008 г. отмечался Международный день компьютерной безопасности. В связи с этим компании «НетСаф» и «Ай-Би-Эм» (NetSafe, IBM) провели совместное исследование [8] для оценки уязвимости частных пользователей, имеющих выход в Интернет. Эксперимент продолжался 2 часа. В нем приняли участие 4 жителя Новой Зеландии. Респондентам было предложено заниматься их обычным ежедневным интернет-серфингом на плохо защищенных компьютерах. В результате за

это время на их компьютеры было предпринято 112 попыток прямых атак, которые начались через 30 секунд после выхода в Интернет, а первая попытка проникновения произошла примерно через две минуты. После одного часа и сорока минут работы компьютер одного из участников стал полностью неработоспособным. Все участники тестирования получали нежелательную рекламу от киберпреступ-ников, распространителей порнографии и прочих вредоносных сетевых ресурсов. Даже на том компьютере, где не ощущалось замедление работы, оказалось 756 зараженных файлов. Кроме этого компьютер вошел в состав одного из ботнетов.

Компания «Сопхос» (Sophos) опубликовала отчет «Угрозы безопасности 2009» (Security Threat Report 2009) [10], согласно которому число вредоносных Интернет-ресурсов в 2008 г. увеличилось в три раза. Сегодня через каждые четыре с половиной секунды происходит атака на веб-ресурс. В 2007 г. такие атаки происходили в три раза реже. Чаще других заражению подвергаются сайты американских компаний, 37 % всего вредоносного кода Глобальной сети находится именно на их серверах. Исследование «Сопхос» также показало пятикратное увеличение объема вредоносного спама. Наибольшая доля нежелательной корреспонденции исходит из США.

По оценке компании «МессагЛабс» (MessageLabs) [7], в 2008 г. уровень спама в среднем составлял 81 % почтового трафика (85 % в 2007 г.). Наибольшие объемы спама были зафиксированы в Гонконге, Швейцарии, Франции, Австрии и Израиле. Увеличение спама обычно наблюдается в праздники.

Финансовый кризис. Лаборатория «ПандаЛабс» (PandaLabs) [10, 18] отметила прямую зависимость между спадом на фондовом рынке в США, консолидацией банковской сферы и ростом преступных кибер-атак:

• в среднем американский фондовый рынок испытывал упадок от 3 до 7 % с 1 сентября по 9 октября. Однако активность на «рынках вредоносного ПО» была противоположной: она значительно возрастала, в то время как на фондовых ранках активность падала;

• с 5 по 16 сентября многие известные индексы ушли из положительного диапазона до почти негативного, другие индексы испытывали значительные потери. В то же время наблюдался значительный рост вредоносных угроз, например, с 8 по 10 сентября число угроз, обнаруженных за день, возросло с 10 150 до более чем 24 000;

- 65

• с 14 по 16 сентября значения на фондовых рынках упали с — 0,5 до — 5,5 %, в то время как число ежедневных угроз увеличивалось на 50 % каждый день, с 8 276 — на 14 сентября до 31 404 — на 16 сентября.

Мировой экономический кризис [7] вызвал мощную волну мошеннического спама в виде предложений льготных ссуд и кредитов, «перспективных» вакансий, извещений о выигрыше в лотерею, а также фишинговых уведомлений от имени финансовых организаций. По оценке «МессагЛабс», с сентября по октябрь 2008 г. количество фишинго-вых посланий в электронной почте удвоилось.

Исследовательский центр портала SuperJob. ru [6] опубликовал результаты нового исследования заработных плат по позиции «Специалист по информационной безопасности». Исследование показало, что на безопасности компании экономят в последнюю очередь.

Результаты исследования в области информационной безопасности, проведенного компанией «Эрнст энд Янг», также свидетельствуют, что, несмотря на экономический спад, 50 % компаний готовы увеличивать расходы на обеспечение ИБ, и только 5 % планируют их сокращение. В период экономического спада ИБ-риски, а также число атак, направленных против бизнеса (в том числе, со стороны конкурентов), будут только возрастать.

Распространение вредоносных программ. Путям распространения вирусов посвящены исследования, проведенные корпорацией «Майкрософт» (Microsoft) и компанией «МессагЛабс» (MessageLabs). Корпорация «Майкрософт» подготовила отчет по проблемам безопасности [11], основанный на статистике, собранной с миллионов компьютеров. В результате исследования было установлено, что в первой половине 2008 г. с компьютеров в мире было удалено на 43 % больше вредоносных программ, чем во втором полугодии 2007 г. Для России этот показатель равен 86 %. Каждый сотый компьютер в мире хотя бы раз был инфицирован вредоносным ПО.

Компания «МессагЛабс» [8] опубликовала очередной ежегодный обзор, в котором приводится информация о том, что в 2008 г. выделяются персонализированные атаки и повышенное внимание хакеров социальным сетям. Число вредоносных сайтов, используемых для распространения опасных программ, выросло в 2008 г. на 83 %.

Компания «Промисек» (Promisee) [8] провела аудит безопасности более чем 100 000 компьютеров в течение первого полугодия 2008 г. в компаниях

66 -

различного размера из финансовой, здравоохранительной, страховой и производственной отраслей. Все компании имели как минимум три внутренние угрозы безопасности. В ходе аудита было установлено, что возрастают следующие угрозы:

• несанкционированное использование мобильных устройств хранения информации;

• число компьютеров и устройств, к которым не применяются методы централизованного контроля угроз или на которые не установлены последние обновления;

• число случаев несанкционированного использования программ мгновенного обмена сообщениями.

12 % инфицированных компьютеров имели выключенные антивирусы или не имели их вовсе. 11 % имели несанкционированные персональные мобильные устройства хранения данных, 3 % имели незащищенные сетевые папки, на 2 % компьютеров были инсталлированы программы удаленного управления и 2 % были без пакетов обновления «Майкрософт».

По данным компании «Тренд Микро» (Trend Micro) [8], в 2008 г уязвимости в программном обеспечении стали причиной заражения компьютеров лишь в 5 % случаев. Большинство атак ста самых активных вредоносных программ увенчались успехом из-за невыполнения пользователями требований антивирусной безопасности. В 53 % случаев злоумышленникам удалось убедить своих жертв скачать какой-либо файл из непроверенного источника. 12 % пользователей позволили инфицировать свои машины, открыв вложение электронного письма.

Персональные данные. Несмотря на то, что

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

закон о персональных данных вышел достаточно давно, именно в 2008 г. реализации этого закона стали уделять больше внимания. Компания «Периметрикс» [15] с 7 июля по 7 сентября 2008 г. провела опрос «Персональные данные в российских компаниях». В опросе приняли участи 389 респондентов (специалисты по ИБ и ИТ), представляющих компании различных размеров и отраслей. Опрос показал, что:

• защита персональных данных является серьезной проблемой для российских организаций. 52 % компаний-респондентов обрабатывают более 10 тыс. записей о персональных данных, а 15 % — более 1 млн записей;

• в 58 % доступ к массивам персональных данных имеют сотрудники службы безопасности и персонал ИТ-подразделений компаний. Риски

утечки персональных данных через ИТ-персонал являются наиболее высокими. Кроме того, в 22 % случаев компании испытывают риски утечек через топ-менеджеров или руководителей ведущих подразделений;

• только 64 % компаний имеют монопольный доступ к обрабатываемым персональным данным, остальные допускают к информации дочерние или материнские структуры либо партнеров. Для 13 % операторов — это зарубежные фирмы;

• основная трудность в реализации положений Федерального закона «О персональных данных» заключается в неясном характере этих положений (34 %). Следом располагаются классические проблемы информационной безопасности: бюджетные ограничения (21 %) и отсутствие квалифицированных кадров (19 %);

• 65 % специалистов считают, что требование обязательного разглашения сведений об утечках персональных данных должно быть включено в федеральный закон. Исследования, проведенные в 2008 г., выявили

новые грани проблемы:

1) повысилось осознание значимости внутренних угроз. Основная причина нарушений требований ИБ связана с недостаточной подготовкой персонала по вопросам ИБ;

2) большинство утечек информации связано с использованием флэш-накопителей, ноутбуков и т. д.;

3) наблюдается рост внешних угроз;

4) больше внимания уделяется защите персональных данных;

5) финансовый кризис увеличивает внутренние и внешние угрозы для компаний. В связи с этим расходы на безопасность, очевидно, будут уменьшаться в последнюю очередь.

Таким образом, для создания необходимого уровня защищенности необходимо проводить комплексные мероприятия, включающие технические и организационные меры, направленные на предотвращение как внешних, так и внутренних угроз.

Список литературы

1. Коровяковский Д. Г. Правовые основы, способы и методы обеспечения экономической безопасности банковской деятельности в современных условиях банка // Национальные интересы: приоритеты и безопасность. 2009. № 3 (36).

2. Мытенков С. С. Информационная безопасность банка // Национальные интересы: приоритеты и безопасность. 2006. № 1 (4).

3. Ульянов В. В. Безопасность и актуальность электронных документов в корпоративных сетях // Защита информации. Inside. 2008. № 5.

4. Шиндин А. И. Информационная безопасность как решающий фактор для достижения бизнес-целей // Национальные интересы: приоритеты и безопасность. 2008. № 5 (26).

5. URL: www.bankir.ru.

6. URL: www.cnews.ru.

7. URL: www.cybersecurity.ru.

8. URL: www.xakep.ru.

9. URL: www.infosecurity.ru.

10. URL: www.itsec.ru.

11. URL: www.lenta.ru.

12. URL: www.newsprom.ru.

13. URL: www.newsru.com.

14. URL: www.pcweek.ru.

15. URL: www.perimetrix.com.

16. URL: www.rabota.ru.

17. URL: www.searchinform.ru.

18. URL: www.viruslab.ru.

ВНИМАНИЮ КРЕДИТНЫХ И СТРАХОВЫХ ОРГАНИЗАЦИЙ !

Предлагаем публикацию годовой и квартальной отчетности.

Стоимость одной публикации — 2950 рублей (в том числе НДС 18%) за две журнальные страницы формата А4.

Тел./факс: (495) 721-85-75 [email protected]

i Надоели баннеры? Вы всегда можете отключить рекламу.