Обзор "ИТ в банках" подготовлен	При поддержке

Денис Зенкин:Рынок защиты банков и страховых компаний от внутренних ИТ-угроз только начинает формироваться

На вопросы CNews ответил Денис Зенкин, директор по маркетингу компании InfoWatch.

CNews: Как бы вы оценили уровень информационной защищенности российских банков и страховых компаний сегодня? В какую сторону изменилась ситуация по сравнению с предыдущими годами?

Денис Зенкин: Ситуацию с кражей конфиденциальной информации в банковской и страховой областях трудно охарактеризовать иначе как противоречивую. В начале 2005 г. компания InfoWatch провела исследование по внутренней ИТ-безопасности в России, и выяснилось, что эта проблема занимает первое место по степени опасности для корпоративных заказчиков. Вместе с тем, анализ выявил, что лишь 1% респондентов использует технические средства для борьбы с утечкой секретных данных. Налицо парадоксальная ситуация: почти 100% бюджета на ИТ-безопасность направляется на решение задач защиты от внешних угроз, в то время как самая актуальная проблема не получает практически ничего.

Причина такого положения дел достаточно проста. В данный момент только начинается формироваться рынок специализированных систем защиты от внутренних ИТ-угроз. Характерными чертами этого этапа являются достаточно высокая степень озабоченности проблемой, но почти полное отсутствие практических шагов по ее решению. Такая же ситуация была в конце 80 - середине 90-х годов в области защиты от вирусов; совсем недавно этот этап миновал рынок антиспамовых решений.

CNews: Насколько уязвимость российских финансовых и страховых организаций больше или меньше, чем на Западе, на ваш взгляд?

Денис Зенкин: Проблема защиты конфиденциальной информации существует вне зависимости от географического расположения финансовой или страховой организации. Все современные учреждения этих сфер тесно связаны с информационными технологиями, поэтому защита как российских, так и зарубежных компаний стоит одинаково остро.

На мой взгляд, сейчас трудно отдать пальму первенства по уровню защищенности российским организациям или их западным коллегам. Практически в каждой стране существуют законы, регламентирующие необходимость защиты данных в банках и страховых компаниях. Например, Sarbanes-Oxley Act или Gramm-Leach-Bliley Act в США, Basel II в Европе. В России также существует ряд законов, которые требуют внедрения адекватных систем защиты. В первую очередь, это УК РФ и стандарт ЦБ РФ "Обеспечение информационной безопасности организаций банковской системы РФ", где, в том числе, описаны и требования по защите конфиденциальных данных. Невыполнение этих требований грозит жесткими санкциями вплоть до отзыва лицензии.

Со временем контроль над выполнением этих законов будет усиливаться. Наше исследование показывает, что в ближайшие 2 года 34% российских организаций планируют внедрение технических средств для мониторинга электронной почты, 18% - для мониторинга интернет-трафика. Более крупные организации предпочитают внедрение комплексных систем мониторинга сетевых ресурсов, которые, помимо означенных, также включают контроль над файловыми операциями на уровне рабочих станций (18%). И только 24% опрошенных заявили об отсутствии планов по внедрению специализированных систем защиты, в основном из-за бюджетных ограничений.

CNews: Какого рода угрозы, по вашим оценкам, представляют наибольшую опасность для отечественного финансового сектора в настоящий момент?

Денис Зенкин: Статистические данные однозначно указывают, что внутренние ИТ-угрозы (утечка, уничтожение данных, саботаж, промышленный шпионаж, другие неосторожные и неправомерные действия сотрудников в отношении конфиденциальной информации) вызывают у заказчиков наибольшую озабоченность.

Необходимо отдельно отметить, что этот показатель опережает такие "модные" темы, как вирусы и хакерские атаки. Последние до сих пор представляют собой большую угрозу, но практически все серьезные организации внедрили соответствующие системы защиты. Например, по нашим данным, 100% российских компаний оснащены антивирусами, 68% - межсетевыми экранами. Проблема же утечки конфиденциальной информации до сих пор остается зияющей брешью: специалисты признают ее актуальность, но пока не предпринимают никаких практических шагов.

CNews: Располагаете ли вы какими-либо статистическими данными по атакам и взломам на этом рынке? Банки, как известно, стараются максимально скрыть информацию о подобных инцидентах. В целом можно констатировать увеличение или сокращение их числа за последние годы?

Денис Зенкин: Латентность (сокрытие преступлений) — широко распространенное явление в области ИТ-безопасности. Логично, что пострадавшие организации стремятся скрыть факт компьютерного взлома или любого другого ИТ-инцидента, поскольку это немедленно и напрямую отражается на их имидже, отношении клиентов и бизнесе в целом. Вместе с тем, детальное изучение инцидентов, связанных с утечкой, утратой или искажением информации, продемонстрировало весьма тревожный факт: подавляющее большинство респондентов не могут точно определить масштабы этой ИТ-угрозы.

67% российских организаций затруднились ответить на поставленный вопрос. Более или менее четкий ответ (до 25 случаев) смогли дать лишь 6%, из которых 99% затруднились оценить нанесенный ущерб в финансовых показателях по причине отсутствия системы учета или нежелания терять время. Одновременно, 26% заявили об отсутствии такого рода инцидентов. Однако уточняющий вопрос о возможности существования неучтенных утечек выявил почти 100%-ную латентность (99,4%): такие случаи наверняка имеют место, но остаются неучтенными или намеренно не фиксируются по различного рода причинам.

Вместе с тем, мне представляется, что в скором времени российским организациям удастся разрешить эти статистические парадоксы. В 2005 г. мы наблюдали настоящий бум внедрения комплексных систем защиты конфиденциальной информации на базе InfoWatch. Подобные изменения в подходе к решению актуальной проблемы помогут уже в следующем исследовании получить более рациональную картину ситуации.

CNews: Спасибо.