- W i r u s P C - polskie centrum antywirusowe - Wewnętrzne zagrożenia IT w Europie 2006

Bądź na bieżąco! Kanały RSS

Artykuły

Wewnętrzne zagrożenia IT w Europie 2006

Alexey Dolya

Wstęp
Kluczowe wnioski
Metodologia
Profil uczestnika badania
Zagrożenia IT w Europie
Zagrożenia wewnętrzne
Wycieki poufnych informacji
Regulacje
Sposoby obrony
Otwarte pytanie
Wnioski

Wstęp

W imieniu firmy InfoWatch przedstawiamy pierwsze na świecie roczne badanie dotyczące problemów wewnętrznego bezpieczeństwa IT w Europie. Podane wyniki opierają się na ankietach przeprowadzonych wśród menedżerów IT z 410 firm z całej Europy.

Europejscy eksperci z branży IT wyrazili różne obawy związane z wewnętrznym bezpieczeństwem IT, wymieniając na pierwszym miejscu kradzież danych dokonywaną przez pracowników firmy. Podobne obawy mają ich koledzy zarówno ze Stanów Zjednoczonych, jak i Rosji.

Wyciek danych to stosunkowo nowy wróg. Minie wiele lat, zanim w pełni zrozumiemy ten problem i zostaną rozwinięte oraz wdrożone odpowiednie systemy w miejscach pracy. Mimo to można powiedzieć, że sytuacja rozwija się w dobrym kierunku.

Wcześniej nasza uwaga skupiona była wokół epidemii wirusów i ataków hakerów. Obecnie jednak dostrzegamy ważniejszy problem - zabezpieczenie zasobów informatycznych przed wewnętrznym atakiem. Naturalnie zintegrowane rozwiązanie technologiczne nie wystarczy. Jednak bez niego inne działania, takie jak szkolenie pracowników czy rozsądna polityka bezpieczeństwa wewnętrznego, nie mogą zostać wprowadzone w życie czy nawet okazać się skuteczne. Teraz, gdy zdaje sobie z tego sprawę coraz więcej klientów korporacyjnych, zaczyna kształtować się rynek wyspecjalizowanych systemów bezpieczeństwa IT.

Dane dotyczące rzeczywistej liczby wycieków informacji w Europie w danym okresie nie zawsze odpowiadały rzeczywistości. Unia Europejska¹ - w przeciwieństwie do Stanów Zjednoczonych - nie wydała dyrektyw nakazujących obowiązkowe powiadamianie ofiar incydentu naruszenia bezpieczeństwa danych, a firmy z reguły nie traktują priorytetowo wszczęcia procedur powiadamiania.

Nie trudno odgadnąć powody. Z oczywistych względów kierownictwo obawia się kosztów - zarówno finansowych, jak i w postaci utraconej reputacji - jakie poniosłaby firma na skutek wycieku danych. Dlatego zamiast uruchamiać kosztowne procedury niektóre firmy wolą żywić nadzieję, ze problem po prostu zniknie, zwłaszcza w przypadku typowego incydentu utraty lub kradzieży laptopa. Chcą wierzyć, że osoby znajdujące się w posiadaniu takiego laptopa, nie zorientują się, jaką wartość mogą mieć przechowywane na nim niezaszyfrowane dane. Na skutek podobnej polityki lekceważenia problemu znaczne straty mogą ponieść osoby, których dane znajdowały się na skradzionym komputerze i które stały się ofiarą kradzieży tożsamości.

Są jednak firmy, które stosują całkowicie inne podejście: zawiadamiają osoby poszkodowane, uruchamiają infolinie dla osób, które chciałyby uzyskać poradę, zapewniają monitorowanie rachunku bankowego oraz zawiadamiają organy ścigania.

Do tej pory w Unii Europejskiej to firmy decydowały o tym, czy ujawnić wyciek danych. Wkrótce jednak może się to zmienić.

W Unii Europejskiej prowadzone są dyskusje nad dyrektywą, która nałożyłaby na firmy obowiązek informowania osób poszkodowanych na skutek wycieku danych. Jeśli zostanie przyjęta, będzie stanowić kolejną "warstwę" ochrony konsumentów w przypadku wycieku danych i wprowadzi większą przejrzystość w kwestii, która może dotyczyć każdego z nas.

Cieszymy się, że osoby odpowiedzialne za działy IT coraz bardziej doceniają znaczenie środków zapobiegawczych w zakresie wewnętrznego bezpieczeństwa danych.

Evgeny Preobrazhensky
CEO
InfoWatch

Kluczowe wnioski

Europejscy eksperci z dziedziny IT w przeważającej większości zgadzają się (78%), że kradzież danych stanowi główne zagrożenie bezpieczeństwa informacji - problem ten jest poważniejszy niż wirusy czy włamanie się hakera.
Z możliwych następstw naruszenia bezpieczeństwa danych, pracownicy działów IT najbardziej obawiają się wycieku poufnych informacji (93%).
Jako główne kanały wycieku danych w Europie wymieniono: przenośne nośniki danych, pocztę elektroniczną oraz kanały internetowe, takie jak poczta www i fora.
Tylko 11% respondentów było przekonanych, że bezpieczeństwo danych w ich firmie nie zostało naruszone w ciągu ostatniego roku - liczba ta odzwierciedla liczbę firm stosujących zabezpieczenia przed wyciekiem danych. 42% uczestników badania przyznało, że w ich firmach miały miejsce od jednego do pięciu incydentów, natomiast 37% nie mogło z całą pewnością powiedzieć, że nie zdarzył się żaden taki incydent.
Jako główną przeszkodę w implementacji technologii zabezpieczających przed wyciekiem wskazano brak standardów w branży (42%).
Proponowane rozwiązania obejmują: rozwój wszechstronnego oprogramowania zabezpieczającego przed wyciekiem, wdrożenie odpowiednich rozwiązań administracyjnych, takich jak przejrzyste i spójne zasady bezpieczeństwa wewnętrznego, kontrole zewnętrznego dostępu do sieci oraz podniesienie świadomości oraz dyscypliny pracowników poprzez szkolenia.

Metodologia

Ankieta została przeprowadzona przez Centrum Analityczne firmy InfoWatch w dniach 02.01-02.03 2007 r. i zawiera szczegółowe odpowiedzi dostarczone przez 410 firm.

Uczestnikami badania byli:

osoby odwiedzające europejskie targi IT, w których uczestniczył InfoWatch
uczestnicy seminariów i konferencji zorganizowanych przez firmę InfoWatch i jej partnerów
eksperci z dziedziny IT pracujący w firmach (wywiad telefoniczny lub osobisty)
eksperci z dziedziny IT pracujący w firmach (korespondencja mailowa)

We wszystkich przypadkach respondenci udzielili odpowiedzi na tę samą liczbę pytań według określonych zasad, a po wypełnieniu ankiety mogli dodać swój komentarz na temat, który najbardziej ich interesował.

Proces przetwarzania danych i analizy wyników został przeprowadzony przez centrum analityczne InfoWatch. Liczby procentowe zostały zaokrąglone z dokładnością do jednego procenta.

Profil uczestnika badania

Wszyscy respondenci są menedżerami lub starszymi specjalistami w dziedzinie IT oraz bezpieczeństwa danych. Uczestnicy badania, zakres ich obowiązków oraz przedmiot działalności firm, dla których pracują, zostali tak dobrani, aby możliwie w jak najszerszym stopniu reprezentowali europejski przemysł. Wszyscy respondenci zajmują stanowiska wymagające podejmowania decyzji w zakresie rozwoju korporacyjnych systemów informatycznych. .

Większość firm, dla których pracują respondenci (67%), (Rys. 1) zatrudnia od 500 do 5 000 osób. 78% z nich posiada od 100 do 5 000 stacji roboczych.

Z danych tych można wnioskować, że badanie zostało przeprowadzone głównie wśród średnich i dużych przedsiębiorstw.

Rys. 1. Liczba pracowników w firmie

Rys. 2. Liczba stacji roboczych

Nasze badanie objęło firmy reprezentujące różne branże (Rys. 3).

Rys. 3. Sektor działalności

Wszyscy nasi respondenci biorą bezpośredni udział w podejmowaniu decyzji związanych z IT oraz bezpieczeństwem danych, a 67% z nich zajmuje wyższe stanowiska kierownicze.

Rys. 4. Stanowiska zajmowane przez respondentów

Już sama liczba specjalistów w dużych i średnich firmach odpowiadających za bezpieczeństwo danych świadczy o tym, że problem ten jest traktowany coraz poważniej. Bez wątpienia jest to bardzo pozytywna tendencja, ponieważ ochrona danych odgrywa kluczową rolę w stabilnym rozwoju każdej organizacji.

Jednocześnie małe przedsiębiorstwa nadal nie mają ekspertów ds. bezpieczeństwa danych, a w niektórych przypadkach nie zatrudniają nawet informatyków na pełnym etacie.

Zagrożenia IT w Europie

Jako największe zagrożenie IT (Rys. 5) postrzega się kradzież danych (78%) oraz zaniedbania ze strony pracowników (65%). Ma to dość istotne znaczenie, szczególnie że w wielu przypadkach te dwie rzeczy są ze sobą powiązane. Rozważmy typowy przypadek kradzieży danych, gdy z pojazdu pracownika lub biura skradziono laptop z niezaszyfrowanymi danymi. Gdyby pracownik stosował się do polityki bezpieczeństwa informacji firmy, która nakazuje szyfrowanie poufnych danych, strata nie przewyższałaby kosztów zakupu nowego laptopa. Poza tym, laptop prawdopodobnie i tak byłby ubezpieczony.

Pozycje "w centrum" zajęły takie zagrożenia jak wirusy (49%) i hakerzy (41%).

Interesujące jest to, że podczas gdy w powszechnej opinii hakerzy stanowią poważne niebezpieczeństwo, eksperci z dziedziny IT uznają ich za umiarkowane zagrożenie.

Rys. 5. Najważniejsze zagrożenia IT
Objaśnienie: Respondenci mogli wybrać do trzech odpowiedzi

Sabotaż postrzegany jest jako zagrożenie (15%), jednak nie tak poważne, jak można było się spodziewać. Chociaż niezadowolony pracownik może wyrządzić firmie o wiele większe szkody niż osoba z zewnątrz (np. haker), postrzeganie tego problemu wciąż nie odzwierciedla rzeczywistości.

Jeśli podzielimy zagrożenia na dwie podstawowe grupy: zewnętrzne i wewnętrzne, otrzymamy następujący rozkład:

Zagrożenia zewnętrzne:
- Wirusy
- Hakerzy
- Spam
Zagrożenia wewnętrzne:
- Kradzież danych
- Sabotaż
- Zaniedbanie
- Oszustwo

Wykluczyliśmy awarię sprzętu i oprogramowania, ponieważ nie można ich zaliczyć do zagrożeń o charakterze umyślnym. Kradzież danych została zaklasyfikowana do zagrożeń wewnętrznych, ponieważ najczęściej jest ona skutkiem działań pracowników. Wewnętrzni złodzieje są zaznajomieni z dokumentami firmy i najlepiej wiedzą, jakie informacje mają potencjalną wartość.

Rys. 6. Zagrożenia zewnętrzne vs. wewnętrzne

Osoby odpowiedzialne za bezpieczeństwo IT postrzegają wewnętrzne zagrożenia jako poważniejsze niż te ze strony hakerów, wirusów i spamu.

Wynika to z faktu, że znacznie trudniej jest zabezpieczyć się przed wewnętrznymi zagrożeniami niż przed wirusami, w przypadku których wystarczy tylko zainstalować skuteczny pakiet antywirusowy. Ochrona przed zagrożeniami wewnętrznymi stanowi złożony, aczkolwiek rozwiązywalny, problem.

Zagrożenia wewnętrzne

Stwierdziliśmy, że główne zagrożenie bezpieczeństwa danych firmy pochodzi - przynajmniej potencjalnie - od pracowników. Warto zatem przyjrzeć się, w jaki sposób rozkładają się w Europie zagrożenia ze strony pracowników.

Rys. 7. Główne wewnętrzne zagrożenia bezpieczeństwa informacji
Objaśnienie: Respondenci mogli wybrać do trzech opcji

Wiele wewnętrznych zagrożeń jest ze sobą powiązanych. Na przykład, oszustwo wymaga sfałszowania poufnych informacji - typowo są to sprawozdania finansowe - a sabotaż prowadzi do wycieku poufnych informacji lub utraty danych.

Przeważające wśród europejskich menedżerów działów IT obawy przed wyciekiem poufnych informacji świadczą o braku w pełni zintegrowanych rozwiązań przeznaczonych do walki z tym zagrożeniem.

Wycieki poufnych informacji

Ponieważ wyciek poufnych informacji dokonany przez pracowników firmy stanowi największe zagrożenie bezpieczeństwa danych, poprosiliśmy uczestników naszego badania o wskazanie najpoważniejszych konsekwencji takiego incydentu dla swoich firm.

Rys. 8. Główne obawy dotyczące wycieku informacji
Objaśnienie: Respondenci mogli wybrać do dwóch odpowiedzi

Incydenty wycieku poufnych informacji są liczne, a związane z tym koszty - dobrze znane. Na przykład, koszty monitorowania rachunku bankowego przez rok nawet w przypadku średniego wycieku wyniosłyby co najmniej 5 000 000 dolarów. Nie są to jedyne koszty.

Jednak bezpośrednie koszty finansowe zostały uznane przez uczestników badania za mniej istotne niż uszczerbek na reputacji lub utrata klientów firmy na skutek takiego wycieku. Świadczy to o tym, że europejscy eksperci IT dostrzegają długofalowe szkody dla wiarygodności firmy, jakie może spowodować taki wyciek.

Eksperci z centrum analitycznego InfoWatch zapytali również o najpopularniejsze kanały wykorzystywane przez pracowników do wyprowadzenia informacji na zewnątrz firmy.

Jako główny kanał wymieniano przenośne nośniki danych, takie jak pamięć USB, lub tworzenie kopii zapasowej na laptopie. Jednak poważne obawy wzbudzały również kanały internetowe, takie jak poczta elektroniczna, komunikatory internetowe, poczta www oraz fora, które razem uważane były za największe zagrożenie.

Rys. 9. Najpopularniejsze kanały wycieku wykorzystywane przez pracowników
Objaśnienie: Respondenci mogli wybrać do trzech odpowiedzi

Dalsze badanie wykazało, że niektóre z firm posiadających odpowiednie systemy bezpieczeństwa IT - oparte na technologii, która filtruje ruch wychodzący, lub na kontroli dostępu do wewnętrznych sieci - obawiają się zagrożenia ze strony drukarek. Kopiowane przez nie dane nie są filtrowane, ani nie podlegają regulacjom sieciowym. Europejscy menedżerowie działów IT zdają sobie sprawę, że drukarki stanowią otwarte drzwi, przez co mogą być dla wewnętrznych złodziei atrakcyjnym sposobem kradzieży wewnętrznych danych.

Jeśli chodzi o liczbę wycieków poufnych informacji w ciągu ostatnich 12 miesięcy (Rys. 10), tylko 11% uczestników badania mogło z całą pewnością stwierdzić, że żaden taki incydent nie miał miejsca. Natomiast 42% przyznało, że w ciągu ostatniego roku w ich firmach zdarzyło się od 1 do 5 wycieków. Co z tego wynika:

Po pierwsze, rozpowszechnienie w Europie nieujawnianych przypadków wycieku - jak pokazują nasze badania - świadczy o tym, że potrzeba regulacji prawnych rozważanych obecnie przez Unię Europejską jest pilna.

Po drugie, obraz problemu wycieku danych, który otrzymujemy z mediów, w dużym stopniu odbiega od rzeczywistości, a dane na ten temat stanowią jedynie wierzchołek góry lodowej.

Rys. 10. Ile wycieków zarejestrowano ciągu ostatnich 12 miesięcy

Regulacje

Uczestników badania zapytaliśmy również o to, czy organizacje w Unii Europejskiej powinny być zobowiązane przepisami prawa do zawiadamiania osób, które padły ofiarą naruszenia ochrony danych osobowych (Rys.11).

Prawie 70% dostrzegało taką potrzebę, a ponad 50% ekspertów z dziedziny IT uważało, że Unia Europejska powinna na mocy przepisów prawa wymagać od organizacji ochrony danych osobowych przed potencjalnymi wewnętrznymi złodziejami.

Rys. 11. Potrzeba wprowadzenia przez Unię Europejską wymogu powiadamiania o wycieku danych

Chociaż koszty zaimplementowania w pełni zintegrowanego rozwiązania zabezpieczającego przed wyciekami są marginalne w porównaniu z ogromnymi kosztami - bezpośrednimi i pośrednimi - jakie pociągają za sobą takie wycieki, regulacje, o których mowa, ułatwiłyby menedżerom IT przekonanie kierownictwa o potrzebie takiego rozwiązania.

Rys. 12. Potrzeba wprowadzenia przez Unię Europejską wymogu ochrony danych osobowych przed potencjalnymi wewnętrznymi złodziejami.

Sposoby obrony

Sekcja ta dotyczy stosowanych przez firmy systemów ochrony danych.

Standard stanowi oczywiście oprogramowanie antywirusowe, zapory ogniowe oraz kontrola dostępu do stacji roboczych. Jednak dla nas szczególnie interesujące było rozpowszechnienie sieci VPN, często wykorzystywanych przez firmy i organizacje do poufnej komunikacji za pośrednictwem publicznej sieci. Stosowanie takich sieci oznacza, że firmy poważnie traktują bezpieczeństwo sieciowe.

Rys. 13. Wykorzystywane przez organizacje technologie bezpieczeństwa informacji
Objaśnienie: Respondenci mogli wybrać nieograniczoną ilość odpowiedzi

Jak wynika z diagramu, mniej niż jedna na sześć firm posiada odpowiednie systemy zabezpieczające przed wyciekiem. Co zatem powstrzymuje firmy przed zakupem odpowiednich systemów ochrony danych (Rys. 14)?

Rys. 14. Przeszkody utrudniające organizacjom wykorzystywanie technologii zabezpieczających przed wyciekiem
Objaśnienie: Uczestnicy badania mogli wybrać nieograniczoną liczbę odpowiedzi

Na pierwszym miejscu znalazł się brak standardów (42%). Na wynik ten wpłynęło panujące wśród uczestników badania przekonanie, że nie istnieje żadne technologiczne rozwiązanie (12%) oraz brakuje wykwalifikowanych specjalistów (29%). W rzeczywistości technologie zabezpieczające przed wyciekami istnieją - mimo że najwyraźniej nie wszyscy o tym wiedzą - jest to jednak stosunkowo nowa dziedzina i trzeba jeszcze poczekać, zanim zostaną opracowane ogólne standardy. Wielu europejskich menedżerów IT czeka cierpliwie, aż rynek dojrzeje i będą dostępne odpowiednie protokoły.

Poprzez standardy rozumiemy nie tylko normy proceduralne czy zalecenia dla personelu, ale całościowe, zintegrowane podejście dotyczące postępowania w kwestiach bezpieczeństwa wewnętrznego. Z powodu braku takich standardów menedżerom trudno jest uzasadnić koszty zakupu wyspecjalizowanych rozwiązań lub przeznaczyć część budżetu na pokrycie kosztów implementacji. Są również inne czynniki utrudniające menedżerom podejmowanie decyzji w tej kwestii. Spora liczba dostawców oferujących całkowicie różniące się od siebie produkty - każdy z nich posiada swoje zalety - sprawia, że porównanie produktów i wybór jednego może być bardzo trudne.

Opinie europejskich menedżerów i specjalistów IT odnośnie najlepszego sposobu zwalczania wycieków danych dokonywanych przez pracowników (Rys. 15) pokazują, że zdają oni sobie sprawę z tego, że rozwiązania technologiczne tylko częściowo stanowią odpowiedź na problem i nie mogą być stosowane bez odpowiednich procedur organizacyjnych, szkolenia i innych środków bezpieczeństwa.

Rys. 15. Najskuteczniejsze metody zapobiegania wyciekom
Objaśnienie: Respondenci mogli wybrać do trzech odpowiedzi

Ponieważ nie ma wątpliwości, że problem istnieje, przyjrzyjmy się, jakimi środkami firmy zamierzają zwalczać go w przyszłości.

Rys. 16. Plany organizacji dotyczące zaimplementowania technologii zabezpieczających przed wyciekiem na następne 3 lata

Z diagramu (Rys. 16) wynika, że mimo obaw dotyczących standardów, jedna trzecia menedżerów spodziewa się, że w ciągu najbliższych trzech lat zostaną zaimplementowane wszechstronne systemy monitorowania. Być może oczekują oni, że do tego czasu problem standardów zostanie na tyle rozwiązany, że z pełnym przekonaniem będą mogli zakupić odpowiednie rozwiązanie. Lub też firmy znajdą się pod tak dużym naciskiem zabezpieczenia swoich danych przed potencjalnymi wewnętrznymi złodziejami - na skutek kolejnych spektakularnych wycieków lub zewnętrznych wymogów prawnych - że menedżerowie będą zmuszeni zakupić rozwiązanie.

Otwarte pytanie

Pod koniec każdego wywiadu prosiliśmy europejskich menedżerów IT o ich opinię na temat dowolnego aspektu badania. Uczestnicy wyrazili niepokój odnośnie braku ujednoliconego podejścia do bezpieczeństwa wewnętrznego, co utrudnia wybór odpowiedniego rozwiązania. Naturalnie dostawcy takich rozwiązań podkreślają zalety swoich produktów, jednak brak jednolitych standardów uniemożliwia dokładniejsze porównanie ich z konkurencją.

Innym problemem jest planowanie budżetu. Jeden z respondentów wyraził to w ten sposób: "Wszyscy wiemy, jak postępować z wirusami. Instaluje się pakiet antywirusowy na bramach oraz stacjach roboczych i można określić, jaki będzie koszt licencji w danym okresie czasu. Tu sprawa jest prosta! Jednak problem ochrony przed wewnętrznymi złodziejami wygląda inaczej. Poszczególni dostawcy rozwiązań mają własną opinię odnośnie najlepszego sposobu stworzenia systemu wewnętrznego bezpieczeństwa. Nawet wśród kolegów po fachu nie ma jednomyślności w tej kwestii".

Mimo tych obaw respondenci uważają, że już teraz rysuje się pewien konsensus. Wynika to głównie z tego, że organizacje nieustannie poszerzają liczbę wykorzystywanych kanałów komunikacji: poczta elektroniczna, Internet, komunikatory internetowe, materiały drukowane, różne sieci bezprzewodowe, nowe protokoły sieciowe i oprogramowanie. W środowisku, w którym nieustannie powiększa się zakres dostępnych środków komunikacji, logiczne jest, że systemy wewnętrznego bezpieczeństwa nie są ukierunkowane na określony kanał, ale stanowią skalowalne rozwiązanie, z którym można zasymilować nowe kanały.

Propozycje legislacyjne, nad którymi pracuje obecnie Komisja Europejska, zobowiązujące firmy do natychmiastowego poinformowania klientów o incydentach naruszenia danych stanowią kolejny krok na drodze do opracowania jednolitych standardów dotyczących wewnętrznego bezpieczeństwa IT.

Wnioski

Badanie pokazało, że wewnętrzne zagrożenia bezpieczeństwa danych wywołują obecnie więcej obaw (55%) niż zagrożenia zewnętrzne (45%), takie jak ataki hakerów czy infekcje wirusów. Jako główne zagrożenie wewnętrzne wymieniono kradzież poufnych informacji przez pracowników firmy oraz zaniedbania z ich strony.

Respondenci byli dość poważnie zaniepokojeni możliwością utraty dobrej reputacji oraz klientów na skutek wycieku. Obawy związane z tymi dwoma zagrożeniami były pięciokrotnie częstsze niż te dotyczące bezpośrednich strat finansowych.

16% firm posiadało rozwiązanie przeznaczone do ochrony poufnych informacji, a 32% planuje zaimplementowanie takiego rozwiązania w ciągu najbliższych trzech lat.

Mamy nadzieję, że oczekiwane regulacje Komisji Europejskiej oraz Urzędu Nadzoru Finansowego w Wielkiej Brytanii dotyczące poufnych danych przyspieszą implementację w firmach w pełni zintegrowanego rozwiązania.

¹ Według obecnego prawa Unii Europejskiej, klienci muszą zostać jedynie ogólnie poinformowani o zagrożeniach bezpieczeństwa, nie istnieje natomiast obowiązek powiadamiania o konkretnych incydentach naruszenia bezpieczeństwa.

Źródło:

InfoWatch

Kaspersky Lab

WirusPC.pl

Zagrożenia

Porady

Polecamy

Sponsorzy