Инвестиции в информационную безопасность
Дата публикации - 17.01.2020 г.
Автор - Тундайкин Олег
CTO, технический директор
компании Мерион Нетворкс
Сайт - merionet.ru
Ключевые слова: Мерион Нетворкс, информация, инциденты, защита бизнеса, вредоносное ПО, IT, экономическая эффективность, инвестиции в безопасность, персональные данные, кибератаки.
Про информационную безопасность сейчас не говорит разве что ленивый - в новостях постоянно упоминают хакерские группировки, защиту персональных данных и крупные инциденты, о которых стало известно общественности.
И, что логично, помимо захватывающих историй, такой информационный фон заставляет владельцев бизнеса думать об инвестициях в ИБ в своих организациях. Но так ли высок шанс взлома конкретной организации? (спойлер: да, реален). В данной статье я разберу основные, на мой взгляд, косвенные причины роста рынка ИБ (что синонимично возросшим темпам инвестиций в это поле и основные причины, которые заставляют людей принимать решение о покупке или инвестициях.
Основные драйверы роста рынка информационной безопасности
Отправимся немного в прошлое и вспомним, каким рисовался образ “хакера” в головах у людей лет так 25 назад. Подумали? Скорее всего, это некий товарищ в балахоне, бородой и умеющий творить некую черную магию на своем компьютере. Что было иначе? А вот что: уровень вхождения в эту касту - нужно было многое знать, многое уметь и научиться было нелегко. Ну просто даже вспомните компьютеры того времени - все было совсем иначе с точки зрения пользовательского опыта.
В итоге складывалась следующая ситуация: атаки были просты, но при этом требовали ну очень изрядных навыков. Они производились большей частью для нанесения вреда, и как таковой “пользы” от этих атак для злоумышленников было немного.
В текущий момент ситуация, скорее, обратная. Компьютеры и носимые устройства есть у всех, любую информацию можно получить по щелчку пальцев - даже на том же Youtube полно роликов о том, как использовать различные инструменты для взлома. Далее в активное пользование пришел тот самый Bitcoin, который позволяет совершать транзакции, отследить которые крайне сложно, не говоря уже про некоторые другие криптовалюты.
Что это за собой повлекло? Во-первых, крайне популярен стал новый тип вредоносного ПО, а именно шифровальщики - ведь теперь отправленный выкуп практически невозможно отследить (в отличие от обычной банковской транзакции). Также теперь в Darknet легко можно купить готовые фреймворки для взлома или даже для целых хакерских компаний - и для этого вам не понадобится никаких знаний, от слова совсем. Только н-ное количество криптовалюты и какой-то объем здравого смысла, чтобы не попасться.
Такая пугающая реальность повлекла за собой тот факт, что рынок вредоносного ПО и подобных услуг начал расти с бешеной скоростью - и он уже сильно опережает весь рынок IT, а в нынешнем году может быть вдвое больше всего рынка IT в мире.
Получилось следующее: от технически простых атак и высокого порога вхождения в мир киберпреступности мир пришел к технически продвинутым атакам и практически нулевому порогу вхождения.
Задумайтесь о следующем: владельцу бизнеса или его сотрудникам отдела ИБ нужно уметь отражать 100% атак всегда, а злоумышленнику должно повести всего один раз, и он может стать фатальным. И на фоне того, что вредоносное ПО развивается, эволюционирует и мутирует буквально ежесекундно, всем становится не по себе.
И, как следствие, рынок решений по информационной безопасности всеми силами пытается догнать злоумышленников, но, к сожалению, это никогда ему не удастся.
Упрощение процесса атаки и тотальная монетизация повлекла за собой следующее: увеличилось количество инцидентов, степень их влияния на бизнес, и, соответственно, отреагировал бизнес и государство.
Очередным важным фактором также является то, что количество носимых устройств, подключенных к Интернету растет в геометрической прогрессии с каждым годом, а все они могут быть уязвимы к кибератакам. Такая же история с огромным количеством облачных приложений и с IOT-устройствами - вспомнить хотя бы историю про Maersk и NotPetya, который заразил организацию через систему бухучета Medoc.
Причины, по которым покупают безопасность
Любая инвестиция должна себя окупать через какое-то время - это своего рода аксиома. Можно подсчитать экономический эффект от внедрения системы электронного документооборота, нового ЦОДа, CRM-системы и пр. Но что делать с инвестициями в безопасность? Что толкает людей на инвестиции? На мой взгляд, в настоящее время таких причин всего три: регуляторика, страх и требования бизнеса.
Невыполнение требований регуляторов влечет за собой штрафы, пристальное внимание со стороны государства и, теоретически, даже репутационные риски. На мой взгляд, в данный момент это основная причина по гигантским инвестициям в ИБ в России и за рубежом: наверняка все слышали про GDPR, CIP, ФЗ-152 и ФЗ-187.
В России, соответственно, это больше всего касается государственных и муниципальных структур, финансовых организаций, любых операторов персональных данных и всех, кто обладает КИИ - критической информационной структурой. Причем процесс обеспечения соответствия требованиям регуляторов является чрезвычайно сложным и включает в себя большой объем работы: аудит инфраструктуры, категорирование, проектирование систем безопасности, их эксплуатация, и т.д и т.п. Все знают шутку про то, что в России строгость законов компенсируется необязательностью их исполнения - но при этом явно видно стремление изменить эту ситуацию. Пример: нарушение недавнего ФЗ-187 может привести к уголовной ответственности - невиданный до этого прецедент, особенно в контексте информационной безопасности.
Следующий важный драйвер это банальный страх. Все видят новости про эпидемии WannaCry, NotPetya и прочие громкие имена. Это заставляет владельцев задавать себе и ИТ/ИБ департаментам логичные вопросы: а может ли тоже самое случиться и с нами? Но, к сожалению, большинство людей все еще продолжают надеяться на простое русское “авось” и все еще не выделяют достаточных бюджетов на ИБ. Исключением являются крупный и очень крупный бизнес - там практически всегда есть выделенный департамент ИБ, причем достаточно зрелый.
При этом нужно понимать, что для очень маленьких организаций урон от кибератаки действительно может являться очень незначительным: чаще всего в таких организациях потеря информации будет лишь небольшим затруднением, а понятия репутационных рисков вообще не существует. Поэтому, на мой взгляд, вопрос инвестиций в ИБ должен обязательно появляться у организаций размером более 100 человек и с достаточной степенью цифровизации их бизнеса.
Последним фактором, который становится наиболее важным во время экономического кризиса, является требования от бизнеса. В первую очередь это касается крупных организаций и компаний, которым требуется высокая отказоустойчивость информационных систем. Самый простой пример - это интернет-магазин. Отключение веб-сайта в результате DDoS атаки или шифровании веб-сервера выльется в потерянную прибыль и оттоке клиентов - и подобных примеров можно привести довольно много.
Проблемой в случае обоснования инвестиций в ИБ также является то, что для бизнеса это часто выглядит как выброшенные на воздух деньги: платятся огромные суммы, а какого-то выхлопа совершенно не видно: при этом, если атака оказывается результативной, по шапке получают все, а если все хорошо, то нет уверенности в том, что это дело рук департамента информационной безопасности. Однако, можно также привести пример безусловного влияния на бизнес, к примеру, антиспам решений: можно просто подсчитать среднее время, которое сотрудник тратит в день на обработку спам-запросов и умножить это на количество сотрудников. Получится значимое количество минут, которое сотрудники тратят абсолютно впустую - чем не причина инвестировать в это направление?
В заключение
К сожалению, масштаб киберпреступности будет только продолжать расти, и непонятно, где будет финишная прямая у этого грустного тренда. Однако, положительные моменты также есть: во-первых, растет сознательность людей и их понимание возможных рисков, а во-вторых, в информационную безопасность и в образование в этом направлении поступают все большие средства.
Мерион Нетворкс - на рынке ИТ с 2010 года. Внедряем сложные информационные системы в корпоративные ИТ ландшафты Заказчиков, проектируем сети передачи данных и системы связи, обеспечиваем информационную безопасность энтерпрайза. Поддерживаем сообщество и делимся экспертизой в собственной IT базе знаний wiki.merionet.ru, где полезны 150 000 коллегам ежемесячно.