Сетевая безопасность: число обращений в службы помощи растет, расходы в 2007 году увеличатся
Корпорация Cisco опубликовала результаты глобального опроса должностных лиц, принимающих решения в области информационных технологий. Опубликованные данные свидетельствуют о росте числа обращений по вопросам безопасности, поступающих в службы помощи, и о намерении двух из каждых пяти респондентов увеличить в 2007 году расходы на обеспечение безопасности мобильных работников более чем на 10 процентов.
В опросе, проведенном этим летом одним из независимых аналитических агентств в 10 странах на 5 континентах (США, Великобритания, Франция, Германия, Италия, Япония, Китай, Индия, Австралия и Бразилия), участвовало более 1000 удаленных работников* и 1000 руководителей ИТ-служб. Полученные результаты подтверждают выводы другого исследования, которые были опубликованы в октябре этого года и свидетельствовали о явном несоответствии между степенью осведомленности сотрудников фирм в вопросах безопасности и их практическом поведением, а также о неверном восприятии роли ИТ-служб в контроле за использованием служебных ноутбуков, карманных ПК и смартфонов.
38 процентов участников глобального опроса лиц, принимающих решения в области информационных технологий, отметили рост числа обращений за помощью в связи с угрозами сетевой безопасности. В каждом таком случае пользователи и их рабочие устройства оказывались жертвами вирусных атак, попыток фишинга, злоумышленного использования идентификационных данных, хакерских атак и других злонамеренных действий. В Индии увеличение количества обращений в службы помощи по поводу угроз безопасности отметили 55 процентов респондентов. При этом 70 процентов обращений были связаны с вирусными атаками, 61 процент - с попытками фишинга посредством спама и еще 55 процентов – с применением шпионского программного обеспечения. В целом на спам и фишинг приходится наибольшая часть заявленных проблем: 52 процента всех опрошенных заявили, что рост числа обращений в службы помощи вызван именно этим.
В результате 67 процентов респондентов высказали мнение о том, что в следующем году инвестиции в обеспечение безопасности ИТ-инфраструктуры увеличатся. При этом 41 процент опрошенных полагает, что рост этих расходов превысит 10 процентов. Особенно рьяно в этом смысле высказывались ИТ-специалисты из Китая, Индии и Бразилии – трех стран, которые, будучи относительными новичками в Интернете, являются тремя наиболее быстроразвивающимися «сетевыми державами» мира. Вот как выглядит в каждой из стран-участниц опроса доля респондентов, планирующих в следующем году увеличить расходы на обеспечение безопасности. Первый показатель означает процент опрошенных, предвидящих общий рост такого рода расходов, второй – долю респондентов, считающих, что эти расходы увеличатся более чем на 10%:
1. Китай: 90% и 52%
2. Индия: 82% и 66%
3. Бразилия: 81% и 65%
4. США: 66% и 44%
5. Италия: 66% и 34%
6. Германия: 63% и 27%
7. Великобритания: 61% и 33%
8. Австралия: 55% и 36%
9. Япония: 54% и 24%
10. Франция: 51% и 29%.
В целом по результатам опроса: 67% и 41%.
«Совпадение этих данных с результатами исследования, опубликованного в октябре** , едва ли случайно», - считает Джефф Плейтон (Jeff Platon), вице-президент Cisco по маркетингу решений в области безопасности. В ходе того, другого опроса 66 процентов из 1000 респондентов в тех же 10 странах мира заявили, что отдают себе отчет в том, что работа в режиме удаленного доступа требует повышенной осторожности. Тем не менее, многие из них, пользуясь служебными компьютерами, осуществляют несанкционированный доступ в соседние беспроводные сети, открывают электронные письма, поступающие из неизвестных источников, скачивают служебные файлы на личные ПК и передают служебную технику во временное пользование посторонним лицам. Кроме того, большинство удаленных работников полагает, что их линейные руководители наделены большими полномочиями по контролю над использованием служебного оборудования, чем персонал ИТ-служб, а кое-кто даже считает, что то, как они используют казенное оборудование, вообще никого не касается.
«Все эти факты должны служить сигналом к действию для тех, кто занимается информационными технологиями и безопасностью, – говорит Плейтон. – Результаты опроса со всей очевидностью показывают, что осведомленность далеко не всегда побуждает пользователей к надлежащему поведению, а поскольку многие пользователи не признают власти ИТ-служб, у них отсутствует склонность к взаимодействию с этими службами и к перенятию передового опыта. Не удивительно, что в такой ситуации ИТ-специалистам остается лишь реагировать на уже происшедшее, принимая больше обращений в службы помощи и расходуя больше средств на обеспечение безопасности. Понимание существующих тенденций делает еще более насущным принятие ИТ-службами иного, более прогрессивного подхода к обеспечению безопасности корпоративной информации и сотрудников».
Как говорит Джон Н. Стюарт (John N. Stewart), директор компании Cisco по информационной безопасности, принятие такого подхода требует единодушного стремления руководителей к насаждению «корпоративной культуры, основанной на понимании значения безопасности». Дж. Стюарт рекомендует осуществлять просветительские программы, адаптированные к особенностям разных пользователей и культур ведения бизнеса, а также выявлять и активно поощрять в каждой структуре «передовиков» в вопросах безопасности. По его мнению, необходимо также регулярно предавать огласке наглядные примеры нарушения правил информационной безопасности и их последствий.
«Технические решения - важный элемент обеспечения безопасности, но сами по себе они эту проблему не решают, - отмечает Джон Стюарт. – Безопасность зиждется, в первую очередь, на поведении людей. Существует и межличностный аспект в виде общения, стремления к просвещению, обучению и признанию. Если прочные отношения между ИТ-службой и пользователями соединить с возможностями техники, то информационные технологии естественным образом приобретут статус стратегического ресурса, активно влияющего на формирование ориентированной на безопасность корпоративной культуры. Когда это случится, руководители служб информатизации и безопасности смогут совместными усилиями добиваться от своих технических средств обеспечения безопасности максимальной отдачи, одновременно устраняя риск снижения производительности. Иными словами, они смогут помогать бизнесу».