Точка зрения / август 2021

Синдром дефицита внимания

Алексей
Парфентьев
руководитель отдела аналитики "СёрчИнформ"
© ComNews
23.08.2021

Оснащенность российского бизнеса защитным софтом повышается. Это показывают данные исследования "СёрчИнформ". Но в том, как идет оснащение, заметен явный перекос. Алексей Парфентьев, руководитель отдела аналитики "СёрчИнформ", пытается разобраться в причинах – что влияет на решение ИБ-директоров: бюджеты или психология.

И коммерческий, и государственный сектор дозрели до мысли, что инфобез – необходимая статья расходов, системы ИБ становятся частью базового пакета корпоративных ИТ-решений.

Многие годы мы проводим исследование оснащенности компаний защитными средствами, и вот какая картина в динамике. С 2017 года обеспеченность средствами администрирования выросла на 31%, антивирусными программами на 15%, SIEM-системами – на 7%. Темпу не помешал даже пандемийный кризис. Оснащенность средствами для защиты от инсайдерских рисков (DLP-системами), напротив, растет медленно – на 3% за 4 года, сейчас программы установлены в 31% компаний. При этом утечки информации в подавляющем большинстве случаев следствие действий сотрудников. Ежегодно данные теряют около 60% компаний.

По всему видно, что защита получается однобокой. Существующего темпа распространения DLP хватает, чтобы рост угроз не был лавинообразным. Но недостаточно, чтобы говорить, что проблема решается.

Задачи есть

Дело не в том, что внутренние угрозы недооценивают. 80% опрошенных специалистов по безопасности считают инсайдерство опаснее внешних атак. Оно и ясно: сотрудник-нарушитель имеет преимущество перед любым хакером, потому что находится внутри инфраструктуры, имеет доступ к данным и знает, как все устроено.

Больше того: профессионалы на практике знают, что DLP-решения эти риски снижают. Там, где DLP – привычный инструмент (особенно ярко это заметно в банках, промышленности, ТЭК, ритейле), 72% внутренних инцидентов выявляют с помощью этого ПО. И всего 6% утечек обнаруживаются не силами отдела ИБ, а кем-то вне компании. В компаниях, в которых нет специального оснащения, отдел ИБ в два раза чаще узнает неприятные новости из утренних газет или от клиентов.

Внедрений нет

Но когда речь заходит о закупке защитных решений, ситуация усложняется – бюджеты в руках бизнеса, а не ИБ-специалистов. А топ-менеджеру привычней слышать о "всемогущих хакерах" и соответственно тратиться на защиту внешнего периметра, чем видеть такую же опасность в своих сотрудниках. Этот психологический блок – важнейший фактор, который тормозит внедрение контролирующего ПО, DLP.

Второй блокирующий фактор – сокращение бюджетов. Угроз становится больше, это факт, но на дворе пандемия, кризис, и многие компании вынуждены затягивать пояса. В 2020 году каждая пятая компания сообщила, что урезает расходы на безопасность. Это вдвое больше, чем в 2019-м, и негативная тенденция сохраняется третий год подряд.

Последовательно наращивают ИБ-бюджеты только в крупном бизнесе, но это лишь около четверти компаний. Большей части рынка приходится довольствоваться малым, и деньги идут на "программу минимум" – антивирусы и файерволы, которые работают на защиту от самых базовых угроз.

Директивный перекос

Помимо прочего, выбирая, в какие ИБ-решения вложиться в первую очередь, бизнес ориентируется на регуляторов. Но нормативные документы тоже фокусируются на хакерских атаках, взломах и вирусных заражениях – опять перекос.

Например, в ФЗ 152 "О персональных данных" есть статья 19, в которой описываются требования по безопасности – в целом вполне серьезные, за тем исключением, что задача по контролю утечек там не отражена. И это при том, что персданные составляют больше трети от всех утечек в стране, их теряет каждая пятая организация! То есть, с одной стороны, закон обязывает защищать ПДн от всего на свете, с другой – не уточняет, что угрозу утечки стоит хотя бы иметь в виду.

Другой пример – приказ ФСТЭК №21 по обеспечению безопасности тех же персональных данных. Казалось бы, более конкретный, прикладной документ, чек-лист для ИБ-специалистов любой организации, которая хранит у себя хотя бы ФИО клиентов. Но в приказе снова требования оснащаться средствами контроля доступа, целостности, предотвращения вторжений, анализа защищенности, антивирусами – и ни слова про инструменты контроля внутренних рисков.

На практике оказывается, что без жесткой "обязаловки" многие собственники не спешат выделять на ИБ деньги. Логика такая: есть предписание регулятора использовать такой-то софт – закупим, остальное, будь оно хоть сто раз рекомендовано экспертами – прихоть отдела по безопасности. Доходит до смешного. Коллеги из ФСТЭК делятся, что регулярно получают запросы от ИБ-специалистов по ужесточению требований для бизнеса и расширению списка обязательного к установке защитного ПО. Профессиональное сообщество хочет, чтобы рекомендации превратились в директивы – понятный аргумент в битве за бюджет.

Вопрос инициативы

Сама идея действовать через регулятора – здравая. Если в приказах появится строчка о необходимости средств внутреннего контроля, ситуация сдвинется с мертвой точки. ФСТЭК обещает пересмотреть нормативы с учетом мнения бизнеса и разработчиков ПО для информационной безопасности. Вкупе с постепенным ужесточением ответственности за утечки есть шанс, что оснащенность защитными решениями вырастет, а число критичных инцидентов заметно упадет.

Но этих изменений придется ждать. И пока не работает язык отраслевых стандартов, разговаривать о безопасности нужно на языке денег. С одной стороны – есть убытки, которые несут компании в результате инцидентов ИБ. С другой – такие способы обеспечить защиту, которые сберегут собственнику деньги в случае потенциальной атаки и не ударят по карману прямо сейчас. Например, это сервисные, MSSP-модели – ПО в аренду, облачные решения, чтобы не тратиться на "железо", привлечение аутсорсеров для работы с защитным софтом.

На рынке уже есть услуги центров мониторинга и реагирования на инциденты (SOC), аутсорсинг DLP и прочих систем внутренней безопасности. Уже в 2019 году половина опрошенных нами компаний говорили, что постоянно используют MSSP-сервисы или прибегали к ним хотя бы раз. Для 11% организаций к 2020-му аутсорсинг и вовсе стал предпочтительным вариантом защиты. Думаю, динамика ускорится и через год-два "ИБ по подписке" получит значительное распространение.

Другой путь – искать программы субсидирования закупки ИБ-софта. Мер поддержки много: существуют федеральные, региональные, отраслевые программы, научные гранты, инициативы профильных министерств. Например, на слуху грант РФРИТ на цифровую трансформацию компаний по постановлению правительства №550. Условия везде разные, но в результате можно компенсировать до 100% стоимости лицензий. Ограничения только в том, что внедрять придется отечественный софт. Благо, именно в ИБ много качественных российских решений.

Так что ситуация небезвыходная. Понимание, что угрозы никуда не денутся, сегодня есть не только у ИБ-практиков. Тема горячая и постоянно обсуждается в медиа. Это ускоряет "тектонические сдвиги" как в законодательстве, так и "в головах". Рынок уже привыкает к мысли, что угрозы бывают разные – теперь дело за тем, чтобы донести, что для контроля каждой есть специальные средства и они доступней, чем кажется.