Разделы

Безопасность Стратегия безопасности

Инсайдеры в 75 раз опаснее хакеров

Похоже, что одна из основных интриг информационной безопасности последних лет окончательно умерла. Противостояния "хакеры – инсайдеры" больше не существует. По данным Ponemon Institute, 75% современных организаций считают халатных сотрудников главной угрозой информационной безопасности. И лишь 1% компаний опасаются внешних атак.

По данным исследования Uncertainty of Data Breach Detection, проведенного Ponemon Institute, 75% специалистов считают действия халатных сотрудников главной причиной утечек информации. 42% респондентов боятся "инсайдеров наполовину" - специалистов "третьих" (аутсорсинговых) компаний, которые разделяют доступ к конфиденциальной информации с заказчиком аутсорсинга. На третьем месте с долей в 26% оказались злонамеренные инсайдеры, то есть сотрудники, использующие доступ к конфиденциальным данным в личных целях.

А вот опасность внешних атак (хакерских вторжений и социальной инженерии), напротив, была признана незначительной. Только 2% американских специалистов опасаются социальной инженерии и всего 1% – хакеров. С учетом того, что на вопрос о наиболее вероятной причине специалисты могли дать несколько вариантов ответов, результаты исследования выглядят еще более удивительными.

Наиболее вероятная причина утечек

Источник: Ponemon Institute, Perimetrix, 2008

Полученные Ponemon Institute результаты позволяют сделать вывод о том, что угрозы утечки конфиденциальной информации в результате хакерских вторжений попросту не существует. Вернее, она незначительна, и ей де-факто можно пренебречь. Такое положение дел противоречит позиции подавляющего большинства ИБ-вендоров, которые настойчиво твердят о росте профессионализма хакеров и их нацеленность на получение финансовой выгоды. Последний тезис косвенно означает, что хакерам уже неинтересно ломать системы ради собственного удовлетворения, им необходимы данные, которые в этих системах хранятся.

"Системы противодействия хакерам фактически являются лекарством от несуществующей болезни, - считает директор по развитию бизнеса компании Perimetrix Алексей Доля. – Подавляющее большинство современных компаний никогда не сталкивались с реальными хакерами и вряд ли когда-то столкнутся в будущем. По-настоящему профессиональных хакеров мало, поскольку заниматься этим ремеслом опасно и в то же время достаточно сложно. А вот халатные сотрудники имеются практически в любой компании".

Количество утечек

Владимир Макаров, ДИТ Москвы: За 10 лет ЕМИАС стал огромным брендом, объединившим 221 информационную систему
ИТ в госсекторе

Еще одним полезным результатом Ponemon является оценка количества утечек за последний год. Отдельно подчеркнем, что речь идет только об утечках персональных сведений, а не утечках конфиденциальной информации вообще. По оценкам специалистов аналитического центра Perimetrix, общее количество утечек конфиденциальных данных в 3-5 раз больше, чем персональных данных.

Количество утечек персональных данных

Источник: Ponemon Institute, Perimetrix, 2008

По данным Ponemon, только 21% американских организаций не допустили ни одной утечки. Примерно столько же (18%) компаний пропустили один инцидент, а 34% - потеряли персональные данные как минимум два раза. Оставшиеся 27% респондентов признались в существующих проблемах, однако не сумели точно оценить их количество. Можно предположить, что в большинстве случаев эти компании также допустили более двух инцидентов.