среда, 26 июля 2006 г.

Опубликован обзор состояния киберпреступности и компьютерной безопасности за 2006 од, подготовленный совместно ФБР и Институтом компьютерной безопасности CSI


В середине июля 2006 года опубликован очередной, 11-й по счету ежегодный обзор состояния киберпреступности и компьютерной безопасности, подготовленный совместно ФБР и Институтом компьютерной безопасности (Computer Security Institute, CSI)

Были опрошены 616 (в прошлом году – 700) американских специалистов по компьютерной безопасности – членов CSI, работающих в корпорациях, государственных агентствах, кредитно-финансовых организациях, в медицинских учреждениях и университетах. Основное внимание, как и в предыдущих исследованиях, было уделено таким вопросам, как
  • Несанкционированное использование компьютерных систем,

  • Количество инцидентов внешнего и внутреннего «происхождения»,

  • Замеченные типы атак или злоупотреблений,

  • Меры, принятые в качестве ответной реакции на проникновение в компьютерные системы.
Отчет 2006 года также затрагивает ряд проблем, впервые отмеченных в обзоре за 2004 год. Все они связаны с экономическими решениями, которые организациями приходится принимать в отношении обеспечения компьютерной безопасности и управления соответствующими рисками:
  • Как организация оценивает отдачу от своих инвестиций в компьютерную безопасность,

  • Потребности организации в обучении персонала по вопросам компьютерной безопасности,

  • Уровень расходов организации на компьютерную безопасность,

  • Влияние аутсорсинга (передачи определенных функций сторонним организациям) на деятельность по обеспечению компьютерной безопасности,

  • Использование аудитов системы безопасности и «внешнего» страхования,

  • Влияние закона Сарбейнса-Оксли 2002 года, резко ужесточившего требования к корпоративной отчетности и  аудиту,

  • Доля бюджета подразделения информационных технологий (ИТ) организации, выделяемая на решение вопросов компьютерной безопасности (по данным опроса, большинство организаций тратит на обеспечение безопасности  от 1 до 5 % бюджета ИТ).
В 2006 году также было задано несколько новых вопросов, в частности, вопрос о том, что в первую очередь беспокоит респондентов. Полученные ответы помогли получить более ясное представление об относительной остроте проблем, связанных с защитой данных и использованием мгновенных сообщений.

Основные итоги опроса следующие:
  • Вирусные атаки по-прежнему остаются главной причиной финансовых потерь. На втором месте, как и в 2005 году, - несанкционированный доступ. Третье и четвертое место занимают, соответственно, финансовые потери, связанные с ноутбуками и мобильным оборудованием; и кража информации (т.е. интеллектуальной собственности). В общей сложности с указанными четырьмя причинами связано 74% всех финансовых потерь.

  • Уровень несанкционированного использования компьютерных систем по сравнению с предыдущим годом слегка снизился.

  • Согласно ответам респондентов, суммарные финансовые потери вследствие нарушений системы безопасности, выраженные в долларах, в этом году существенно снизились, - хотя в основном это снижение объясняется уменьшением числа респондентов, способных и желающих сообщить оценки своих потерь. Также в этом году существенно снизились удельные финансовые потери в расчете на одного респондента (168 тыс. долларов по сравнению с 204 тыс. долларов в 2005 году).

  • Несмотря на все разговоры о развитии аутсорсинга, соответствующие результаты опроса совпадают с данными последних двух лет и показывают незначительный уровень аутсорсинга деятельности по обеспечению информационной безопасности. Об отсутствии в их организации какого-либо аутсорсинга обеспечения безопасности сообщили 61% респондентов; а в тех  организациях, которые аутсорсинг используют, очень низок процент передаваемых на ауторсинг процессов и процедур обеспечения компьютерной безопасности.

  • Страхование компьютерной безопасности по прежнему малопопулярно, но, по-видимому, постепенно становится более распространенным.

  • Преодолена тенденция предыдущих лет по снижению процента организаций, сообщающих силовым органам об инцидентах в области компьютерной безопасности. В этом году процент таких организаций вырос с 20% в 2004-2005 годах до 25%. Как и раньше, основой причиной нежелания сообщать об инцидентах в правоохранительные органы  связано  с боязнью возникновения негативного имиджа организации.

  • Значительная часть организаций проводит оценку экономической эффективности своих расходов на компьютерную безопасность. При этом 42% (38% в 2005 г.) используют в качестве основного показателя возврат на инвестиции (return on Investment, ROI), 21% (19% в 2005 году) внутреннюю норму доходности (Internal Rate of Return, IRR), и 19% (18% в 2005 году) - чистую приведенную стоимость (Net Present Value, NPV).

  • Аудиты системы безопасности проводят 80% (заметное падение по сравнению с 2004-2005 годами, когда данный показатель составлял соответственно 82% и 87%),

  • Закон Сарбейнса-Оксли по-прежнему оказывает существенное влияние на деятельность в области информационной безопасности. В своих «неформальных» комментариях респонденты отметили, что из тех проблем в области информационной безопасности, с которыми им приходится сталкиваться, одной из критически-важных является задача обеспечение соответствия законодательно-нормативным требованиям;

  • Как и раньше, большинство опрошенных считают важным, чтобы персонал имел представление о компьютерной безопасности. Более того, число настроенных таким образом респондентов заметно увеличилось. Однако в среднем респонденты считают, что их организации недостаточно инвестируют в соответствующее обучение сотрудников.
Нужно отметить, что ряд специалистов в области информационной безопасности подвергли резкой критике методику сбора данных и поставили под сомнение достоверность полученных результатов. Основным недостатком считается то, что анкеты рассылаются только членам CSI, которые составляют сравнительно небольшой процент среди всех специалистов в данной области, и мнение которых может отличаться от «среднего по отрасли». Отмечается также низкая активность опрошенных  - ответы прислали только 12% из 5000 специалистов.

Источник: Lawrence A. Gordon, Martin P. Loeb, William Lucyshyn and Robert Richardson "2006 CSI/FBI Computer Crime And Security Survey", Computer Security Institute, 2006
http://www.gocsi.com/forms/fbi/csi_fbi_survey.jhtml
http://i.cmpnet.com/gocsi/db_area/pdfs/fbi/FBI2006.pdf