29.03.2007

»“-безопасность: никто не готов к новым угрозам. “ак ли все серьезно и каковы причины?

image

Ќастораживает то, какой процент отечественных компаний и организаций на сегодн€шний день, не задумываютс€ на тему серьезности существующих проблем в области »“-безопасности, не вид€т назревшей необходимости квалифицированного решени€ задач защиты информации.

»“-безопасность: никто не готов к новым угрозам. “ак ли все серьезно и каковы причины?

ј.ё.ўеглов, д.т.н, проф.

«јќ «Ќѕѕ «»нформационные технологии в бизнесе»

www.npp-itb.spb.ru

¬место введени€ приведем следующее, несколько шокирующее сообщение, весьма €рко иллюстрирующее то положение дел, которое мы имеем с компьютерной безопасностью (здесь и далее в работе воспользуемс€ материалами, опубликованными в открытой печати):

  • (Ќовость от 01.02.2006) под названием «»“-безопасность: никто не готов к новым угрозам».  омпани€ Ernst&Young провела ежегодный глобальный опрос »“-руководителей о проблемах информационной безопасности.  ак оказалось, пропасть между угрозами »“-безопасности и тем, что делаетс€ дл€ защиты от них, стала еще шире.  омпани€ Ernst&Young выпустила очередную, восьмую, версию своего ежегодного отчета "Global Information Security Survey 2005". ¬ опросе прин€ли участие высшие исполнительные лица более 1,3 тыс. коммерческих и государственных организаций в 55 странах мира, включа€ –оссию. ќсновную массу респондентов составили директора информационных служб (CIO) и отделов »“-безопасности (CSO). Ќаиболее общим и, пожалуй, самым значимым выводом из этого исследовани€ €вилось то, что пропасть между угрозами »“-безопасности и тем, что делаетс€ дл€ защиты от них, стала еще шире. ƒругими словами, риски, вызванные посто€нным развитием бизнеса во всем мире, эволюционируют так быстро, что специалисты по »“-безопасности не успевает адекватно отреагировать на них. Ёксперты компании Ernst&Young посчитали эту тенденцию настолько важной, что даже включили слова "ќтчет о расшир€ющейс€ пропасти" ("Report on Widening Gap") в название своего исследовани€.

„естно говор€, в это не хочетс€ верить. ѕопробуем провести собственное исследование и каким-либо способом оценить, а насколько все действительно ужасно. ≈сли же наши опасени€ подтверд€тс€, попытаемс€ ответить на вопрос, а что же мы противопоставл€ем «расшир€ющейс€ пропасти», что мы делаем, чтобы адекватно отреагировать на риски »“-безопасности. — этой целью рассмотрим основу основ »“-безопасности – компьютерную безопасность.

“олько факты.

¬ качестве критери€ оценки эксплуатационной (реальной) безопасности системного средства целесообразно рассматривать коэффициент его готовности обеспечивать защиту информации в процессе эксплуатации. “огда в качествеосновных параметров защиты следует рассматривать интенсивности отказов и восстановлени€ средства защиты.

  • ѕод «отказом» средства защиты понимаетс€ обнаружение у€звимости системного средства (например, это могут быть ошибки в реализации ќ—, либоприложений), котора€ потенциально может привести к несанкционированному доступу к информации.
  • ѕод интенсивностью отказов средства защиты (интенсивностью обнаружени€ у€звимостей средства защиты) понимаем интенсивность обнаружени€ в нем у€звимостей в единицу времени.
  • ѕод интенсивностью восстановлени€ средства защиты после отказа (обнаружени€ у€звимости) понимаем интенсивность устранени€ в нем у€звимостей в единицу времени.

—начала рассмотрим статистику обнаружени€ у€звимостей в ќ—. ѕроиллюстрируем положение дел некоторой подборкой новостей, опубликованных в открытой печати:

  • (Ќовость от 02.12.2005). Ќесовершенство операционных систем и программного обеспечени€ — едва ли не главна€ причина колоссального ущерба, нанесенного мировой экономике компьютерными злоумышленниками. Ѕольшинство хакерских атак становитс€ возможными из-за наличи€ у€звимостей в существующих ќ— и ѕќ. ¬ —ети по€вл€етс€ все больше вредоносного кода, который использует их дл€ проникновени€ в компьютеры, выполнени€ запрограммированных действий и дальнейшего своего распространени€. —татистика показывает, что количество у€звимостей растет год от года. — одной стороны, это св€зано с тем, что год от года растет количество ѕќ, а с другой, с тем, что сейчас у€звимости ищутс€ намеренно, как хакерами, так и компани€ми производител€ми ѕќ и ќ—. ѕервые преследуют криминальные цели — использовать «дыру» дл€ получени€ доступа к чужим информационным ресурсам, вторые — чтобы не испортить свою репутацию и обезопасить информационные ресурсы своих клиентов.

ѕо данным mi2g ежегодно хакерами взламываетс€ до 90% сетей предпри€тий.

ƒинамика роста обнаруженных у€звимостей представлена на рис.1.

* — за 7 мес€цев

–ис.1. ƒинамика роста обнаруженных у€звимостей

  • (Ќовость от 12.01.2006). ¬ минувшем (2005) году в ќ— Windows было вы€влено 812 «дыр» (исследовани€ US-CERT). —пециалисты из McAfee отмечают, что из 124 «дыр», обнаруженных в Windows XP Professional на сайте Secunia (Security Provider), 29 так и осталось не устраненными, что дало компании основание присвоить Windows статус критически опасной ќ—.
  • (Ќовость от 10.10.2006).  орпораци€ Microsoft в рамках ежемес€чного обновлени€ своих программных продуктов намерена на этой неделе выпустить одиннадцать патчей.  ак сообщаетс€ в предварительном уведомлении, в операционных системах Windows различных версий вы€влены шесть у€звимостей. Ќекоторые из них охарактеризованы как критически опасные и могут использоватьс€ злоумышленниками с целью выполнени€ на удаленных компьютерах произвольных деструктивных операций. „етыре дыры найдены в офисных приложени€х. ѕо крайней мере, одна из них получила статус критически опасной.  роме того, Microsoft выпустит заплатку дл€ .NET Framework.
  • (Ќовость от 07.11.2006). Microsoft распространила предупреждени€ о том, что во всех операционных системах Windows, кроме Server 2003, обнаружена очень опасна€ у€звимость, котора€ к тому же уже активно используетс€ злоумышленниками. ”€звимость затрагивает механизм Microsoft XML Core Services 4.0, который тесно св€зан с XMLHTTP 4.0 ActiveX Control. ”€звимость позвол€ет атакующему получить полный контроль над системой и компьютерными ресурсами. ѕо словам представителей компании, эксплоит дл€ этой у€звимость может распростран€тьс€ при помощи спама и сторонних сайтов. ¬ самой Microsoft никак не охарактеризовали опасность бага, однако специалисты по безопасности из компании Secunia охарактеризовали у€звимость как "экстремально опасную". ¬ Microsoft пока не выпустили исправлени€ дл€ этой у€звимости.
  • (Ќовость от 20.02.2007).  омпани€ Microsoft опубликовала свои ежемес€чные бюллетени безопасности. Ќа этот раз в них вошли 12 патчей, исправл€ющие 20 у€звимостей. » один из них уже предназначен дл€ новой операционной системы Windows Vista. ≈е у€звимость находитс€ в механизме защиты от вредоносных кодов, который может позволить выполнение удаленного кода.
  • (Ќовость от 02.03.2007) ¬ операционной системе Windows Vista, поступившей в широкую продажу 30 €нвар€, обнаружена одна из первых у€звимостей. ƒыру в системе User Account Control обнаружили специалисты компании eEye. »з соображений безопасности подробна€ информаци€ об у€звимости не разглашаетс€. »звестно лишь, что задействовать ее может локальный пользователь с целью повышени€ уровн€ собственных привилегий в системе. ¬прочем, удаленный злоумышленник также может воспользоватьс€ брешью в том случае, если уже имеет доступ к компьютеру.  омпани€ eEye проинформировала корпорацию Microsoft о дыре еще 19 €нвар€, однако патча пока выпущено не было…
  • (Ќовость от 10.01.2007). Microsoft оставила Word под угрозой. Microsoft выпустила ежемес€чное обновление безопасности, закрывшее 10 у€звимостей, включа€ критические в Office и Windows. ќднако серьезные "дыры" типа "zero-day" в текстовом редакторе Word остались незакрытыми. ’акеры впоследние мес€цы удел€ли повышенное внимание незакрытым у€звимост€м вWord иExcel дл€ проведени€ узконацеленных атак. ќбычно ихжертва получает электронное письмо синфицированным вложением итекстом втеле письма, заманивающим открыть это вложение. ¬конце прошлого года было найдено множество у€звимостей офисного пакета Microsoft типа «zero-day», тоесть они становились известными хакерам еще довыпуска соответствующего патча производителем. ѕричем многие изэтих «дыр» обнаруживались иначинали активно эксплуатироватьс€ хакерами сразу после выхода ежемес€чного обновлени€ безопасности софтверного гиганта, что говорит оприспособлении компьютерных преступников кграфику выпуска патчей. Ёксперты института SANS за€вл€ют, что ковсем «залатанным» вчера у€звимост€м, кроме как в Excel, существуют эксплойты. ћинимум 3у€звимости Word остаютс€ незакрытыми, дл€ ихиспользовани€ варсенале хакеров также есть эксплойты. ¬озможно, что данна€ проблема будет решена спомощью внеочередного обновлени€ безопасности Microsoft. ѕокаже пользовател€м остаетс€ быть бдительными ине открывать вложени€ форматов Word вписьмах отнедоверенных лиц.

¬озможно, что подобное положение дел касаетс€ только одного конкретного системного средства. ќтнюдь. ѕодтвердим сказанное:

  • (Ќовость от 08.06.2005) Ќарушение конфиденциальности информации – сама€ больша€ внутренн€€ »“-угроза":
  1. "¬еличина ущерба от действий хакеров разнитс€. ≈сли по 2003 году исследователи более-менее пришли к общему мнению и определились, что сумма составл€ет 17 млрд. долларов, то по 2004 году оценки совершенно разные. ѕо данным исследовательской компании Datamonitor, мировой экономический ущерб от хакерских атак - €вных и скрытых - может достигнуть 155,5 млрд. долларов. ѕо мнению экспертов, ежегодно хакерами взламываетс€ до 90% сетей предпри€тий;
  2. ќдин из основных элементов безопасности - это операционна€ система компьютера. Ѕританские исследователи из группы mi2g наиболее безопасными платформами считают Apple Mac OS X и открытую версию UNIX - BSD (Berkeley Software Distribution). ќперационные системы Linux и Microsoft Windows, напротив, были признаны слабо защищенными. —вои выводы специалисты mi2g сделали, проанализировав 235 тыс. успешных хакерских атак, проведенных во всем мире с но€бр€ 2003 по окт€брь 2004 года;
  3. —реди компьютеров под управлением ќ— Linux взломанными оказались 65%, под управлением Windows - 25%.

—леду€ данной новости, по€вл€етс€ надежда на то, что все-таки можно отыскать те ќ—, которые можно отнести к безопасным? Ќо вот очередна€ новость:

  • (Ќовость от 15.03.2007). Apple устранила почти полсотни у€звимостей в Mac OS X.  омпани€ Apple выпустила очередное комплексное обновление дл€ операционной системы Mac OS X.  омплект обновлений Security Update 2007-003 содержит заплатки дл€ 45 у€звимостей в различных компонентах операционной системы. ƒыры, в частности, устранены в €дре программной платформы, модул€х ColorSync, CoreGraphics, ImageIO, а также сетевой подсистеме Mac OS X. Ќесколько патчей закрывают у€звимости в продуктах сторонних производителей, в частности, плеере Adobe Flash Player, сервере MySQL и OpenSSH. ”€звимости имеют различную степень опасности. Ѕольшинство дыр могут быть использованы киберпреступниками с целью проведени€ DoS-атак или повышени€ собственных привилегий в системе. ќднако несколько у€звимостей теоретически обеспечивают возможность получени€ несанкционированного доступа к удаленному компьютеру и последующего выполнени€ на нем произвольного вредоносного кода.

“еперь, в нескольких словах, об интенсивности исправлени€ у€звимостей в ќ—. Ќа наш взгл€д, весьма показателен следующий пример. ќбратимс€ к публикации  . асперски «ќбзор эксплойтов» в журнале «’акер» от декабр€ 12(96) 2006, см. стр.60-65. ѕриведем без комментариев несколько выдержек из этой статьи «ѕросто поразительно, как гиганты компьютерной индустрии реагируют на сообщени€ об ошибках, которые они не могут исправить. 22 окт€бр€ 2004 года основатель группы Argeniss Information Security и ее CEO в одном лице – Cesar Cerrudo обнаружил серьезнейшую ошибку в Windows, о чем тут же сообщил в Microsoft. Ќо та продолжила выпускать дыр€вые операционные системы, а дл€ уже существующей заплатка отсутствует и по сей день». —ледующа€ выдержка «…система не преп€тствует ремапингу секции с атрибутами чтени€/записи, что позвол€ет любому локальному пользователю проникнуть на уровень €дра…». ƒалее «ѕо за€влению Argeniss Research Team, у€звимости подвержены W2K (до W2K SP4) и XP (до XP SP2) и не подвержены Server 2003 и Vista beta 2». „то же нам, как потребител€м, рекомендует автор этой статьи «ќфициальной заплатки от Microsoft до сих пор нет, и все, что нам остаетс€ – это мигрировать на Server 2003 или Vista, в которых огрехи проектировани€ без лишнего шума были устранены (но, как известно, исправл€€ одну ошибку, Microsoft добавл€ет дес€ток новых; Vista – это не вариант, а вот над переходом на Server 2003 можно подумать)».

„удовищно, критическа€ у€звимость существует более двух лет и не исправл€етс€ производителем. ¬ это трудно поверить! ќднако, исходный код эксплойта дл€ данной у€звимости, в подтверждение сказанному, автор привел в своей статье. «аметим, что описанна€ атака не так и критична – в результате запуска эксплойта увидим «синий экран». ќднако сам автор за€вл€ет, что это лишь один из примеров, и существует возможность реализации иных воздействий на компьютер.

Ќебольшое исследование.

Ќа основании приведенного выше исследовани€, можем сделать неутешительный вывод о том, что у€звимости системных средств ежегодно обнаруживаютс€ дес€тками (причем, обратим внимание, к у€звимости системного средства могут приводить и ошибки в приложени€х, что определенным образом характеризует архитектурные решени€ по реализации защиты этих средств), а их устранение (исправление архитектурных ошибок и ошибок программировани€) может составл€ть мес€цы, а то и годы. ѕроведем небольшое исследование и попытаемс€ ответить на вопрос, а как же все это сказываетс€ на уровне эксплуатационной безопасности системного средства. Ќасколько же оно реально защищено?

ƒл€ оценки эксплуатационной (реальной, или истинной) безопасности системного средства может быть построена математическа€ модель с использованием аппарата теории массового обслуживани€ (по аналогии с тем, как это делаетс€ в теории надежности, ведь, в конечном счете, применительно к средству защиты информации,надежность – это свойство средства обеспечивать защиту информациив течение заданного промежутка времени).ѕриведем пример простейшей математической модели. Ѕудем считать, что потоки обнаружени€ у€звимостей – отказов средства защиты, и процесс их устранени€€вл€ютс€ пуассоновскими (описывающими наиболее случайные событи€), причем у€звимости устран€ютс€ по очереди (не одновременно – будем использовать модель с одним обслуживающим прибором), по мере их обнаружени€ (наверное, именно в этом состоит нека€ «грубость» данной математической модели, однако, на практике, в большинстве случаев, подобное упрощение уместно, если речь идет об одном системном средстве, особенно в предположении, что интенсивность обнаруживаемых у€звимостей и врем€ их устранени€ разработчиком невелики – в противном случае и анализировать-то нечего). ¬ данных предположени€х,веро€тность того, что в любой момент времени объект защищен (определ€етс€ тем условием, что число не устраненных у€звимостей равно 0) можно оценить по следующей простейшей формуле:


≈стественно, что на практике нас будет интересовать установившийс€ режим (условие стационарности), определ€емый выполнением услови€:

т.к. не выполнение этого услови€ означает неограниченный рост у€звимостей, что характеризует состо€ние полной незащищенностисистемного средства, что определ€етс€ условием
«ависимости:

дл€ различных значений интенсивностей обнаружени€ у€звимостей (значени€ интенсивностей обнаружени€ у€звимостей заданы в единицах: число/год, а интенсивность устранени€ у€звимостей – ось абсцисс, заданы в 1/недел€ – за сколько недель в среднем устран€етс€ одна у€звимость), рассчитанные с использованием нашей математической модели, приведены на рис.2.

Ќа этом рисунке следует обратить внимание на выделенную пунктирную пр€мую (на рис.2 имеет красный цвет). ќна характеризует, что в любой момент времени объект защищен с веро€тностью 0,5. Ёто означает, что в любой момент времени системное средство либо защищено, либо нет. ¬се значени€, располагаемые ниже этой пр€мой, характеризуют следующее свойство средства защиты – системное средство скорее не защищено, чем защищено, располагаемые выше этой пр€мой – системное средство скореезащищено, чем не защищено.

–ассмотрим гипотетически идеальный случай – в среднем обнаруживаетс€ одна у€звимость в год (зелена€ крива€ на рис.2). Ёта зависимость нам интересна с точки зрени€ того, как вли€ет на эксплуатационную безопасность интенсивность устранени€ у€звимостей. ¬идим, что подобное вли€ние весьма заметно. »з рис.2 следует, что если в среднем у€звимость (в частности, ошибка программировани€) исправл€етс€ разработчиком за 1 мес€ц, то получаем в нашем гипотетически идеальном случае, что в любой момент времени объект защищен лишь с веро€тностью менее 0,92. ј что такое 0,92 – это означает, что практически в любой момент времени системное средство незащищено с веро€тностью близкой к 10% (а ведь мы рассматриваем гипотетически идеальную ситуацию), т.е. около 10% рабочего времени системное средство незащищено. ј что такое 1 мес€ц на устранение ошибки в сложном системном средстве, его потребуетс€ только тестировать после внесени€ исправлени€ не меньше мес€ца, иначе сразу сталкиваемс€ с проблемами надежности (отказоустойчивости) и корректности функционировани€ системного средства. ј ведь этот мес€ц включает в себ€ после обнаружени€ у€звимости злоумышленником: получение об этом информации производителем, собственно устранение у€звимости, в той или иной мере крупномасштабное тестирование системного средства после исправлени€, получение обновлени€ потребителем и внедрение обновлени€ в системное средство. ћес€ц дл€ выполнени€подобной совокупности условий – это очень мало!

–ис. 2. –езультаты моделировани€

ј теперь посмотрим на кривую синего цвета (интенсивность обнаружени€ у€звимостей - 10 в год), определим веро€тность того, что в любой момент времени системное средство защищено в предположении, что пакеты обновлений по€вл€ютс€ 1 раз в мес€ц, получаем менее 0,2. Ќо тогда, о какой безопасности может идти речь в принципе, если только 20% рабочего времени компьютер защищен (а ведь 10 у€звимостей в год это далеко не предел дл€ современных системных средств)!

¬от вам и количественна€ оценка того, в какой мере «расшир€етс€ пропасть» - мы работаем практически на незащищенных компьютерах!

ј ведь, наверное, целесообразно предположить, что при обработке конфиденциальной информации должно выполн€тьс€ условие:

ћы, конечно же, не настаиваем на этом значении, приведенном лишь в качестве примера. ќднако согласитесь, нельз€ же обрабатывать конфиденциальную информацию в предположении, что 10%(или более) рабочего времени компьютера информаци€ не защищаетс€.

—амый ужасный вывод, который мы можем сделать в результате нашего исследовани€, состоит в том, что подобный уровень безопасности дл€ сложного системного средства, которым €вл€етс€ современна€ универсальна€ ќ—, даже гипотетически недостижим (посмотрите на кривую зеленого цвета, представленную на рис.2). „то же делать? ј возможно только одно решение – использовать добавочные средства защиты информации, причем, желательно те из них, которые позвол€ют противодействовать атакам на у€звимости ќ—, св€занные с архитектурными недостатками системных средств и ошибками программировани€ в системном и прикладном ѕќ! ¬озможно, читатель предложит иные рецепты?

„то же мы противопоставл€ем «расшир€ющейс€ пропасти»?

ј вот теперь, самое интересное. –анее мы видели, что в мире «бьют тревогу» и тому есть весьма веские причины. –абота на незащищенных компьютерах чревата, и, к сожалению, не только (а возможно, и не столько) потенциальной угрозой хищени€ конфиденциальной информации. ¬ этом случае по€вл€етс€ угроза выведени€ из стро€ не только отдельных компьютеров, но и целиком корпоративных сетей!

ѕоневоле хочетс€ узнать, как мы-то реагируем на сложившуюс€ ситуацию.

ј дл€ ответа на этот вопрос, прежде всего, обратимс€ к одному интересному исследованию:

· (Ќовость от 18.10.2006). –оссийский рынок средств защиты информации сегодн€ развиваетс€ довольно динамично. ѕри этом в нашей стране отмечаетс€ значительное ежегодное увеличение количества зарегистрированных преступлений в сфере компьютерной информации. —ледует отметить, что свыше 99% правонарушений совершаетс€ умышленно. Ќесмотр€ на то, что проблема информационной безопасности с каждым годом становитс€ все острее, некоторые промежуточные результаты исследовани€ "—редства защиты информации от несанкционированного доступа", проводимого журналом "»нформационна€ безопасность/Information Security" (компани€ "√ротек") нос€т парадоксальный характер. Ѕольша€ часть опрошенных (39,8%) считают, что отечественные компании и организации весьма неохотно идут на увеличение расходов на информационную безопасность (см. диаграмму, рис.3). ƒл€ сравнени€: в большинстве зарубежных компаний, затраты на информационную безопасность составл€ют в среднем около 15% от бюджета информационных технологий компаний.

–оссийские компании с неохотой вкладывают в средства информационную безопасность

–ис. 3. –езультаты исследовани€

„то обусловливает подобное отношение к »“-безопасности – непонимание проблемы, безответственность, незнание возможных путей решени€? „естно говор€, у автора нет ответа на этот вопрос.

Ќо рынок есть рынок. ≈сть спрос, будет и предложение. ƒостаточно познакомитьс€ с тем, как позиционируют возможность применени€ сертифицированной по требовани€м безопасности ќ— Windows XP Professional некоторые поставщики услуг в области защиты информации:

«ѕрименение сертифицированной ќ— Microsoft позвол€ет легально обрабатывать на клиентских рабочих местах конфиденциальную информацию, защищаемую в соответствии с законодательством –оссийской ‘едерации.

ѕреимущества использовани€ сертифицированной ќ—:

  • эффективный механизм настройки параметров безопасности операционной системы;
  • отсутствие необходимости установки дополнительных сертифицированных «наложенных» средств защиты информации и, как следствие:
  • повышение скорости, устойчивости обработки информации;
  • снижение стоимости защищенного автоматизированного места;
  • снижение требований к объему знаний администратора безопасности;
  • периодическое обновление операционной системы вместе с дополнительными «опци€ми безопасности»;
  • выполнение требований нормативных документов, регламентирующих применение защищенных автоматизированных систем».

Ќе правда ли, следу€ результатам исследований, приведенным на рис.3, можем сделать вывод, что подобное решение проблем информационной безопасности на сегодн€шний день будет востребованным!

—амым, на наш взгл€д, шокирующим в позиционировании подобного решени€ €вл€етс€ следующее «снижение требований к объему знаний администратора безопасности». Ќо нельз€ же отрицать очевидное, что без соответствующей квалификации лиц, отвечающих за решение задач защиты информации, эффективно эти задачи решены быть не могут.  валификаци€ – это же основа основ, особенно в такой сложно области знаний, как информационна€ безопасность!

ѕроведение сертификационных испытаний (проверка функционала) системного средства, дающее право легально обрабатывать на клиентских рабочих местах конфиденциальную информацию – это, безусловно, хорошо. Ќо при чем же здесь все остальное - квалификаци€ администраторов безопасности, отсутствие необходимости установки дополнительных сертифицированных «наложенных» средств защиты информации, призванных решать совершенно иные задачи, в частности, задачи повышени€ уровн€ эксплуатационной безопасности системного средства. ј как еще обеспечить эффективную защиту?

„то же нам ожидать, будет ли преодолеватьс€ сложившийс€ кризис в »“-безопасности в нашей стране (иначе, как кризисом, отношение к »“-безопасности, проиллюстрированное на рис.3, назвать сложно).

ќбратимс€ к статье «—колько стоит утечка на самом деле?», опубликованной 16.03.07 на сайте www.cnews.ru, к которой представленоинтересное исследование.

¬ исследовании "2006 Annual Study — Cost of a Data Breach", проведенном Ponemon Institute (было опрошено 9 тыс. человек), респонденты рассказывали, как они поступили бы с провинившейс€ компанией. ¬ы€снилось, что подавл€ющее большинство граждан (59%) либо уже отказалось от услуг ненадежной фирмы (под «провинившейс€» в статье понимаетс€ компани€, не обеспечивающа€ должного уровн€ »“-безопасности), либо собираетс€ прервать сотрудничество в ближайшем будущем, что проиллюстрировано на рис.4.

»сточник: Ponemon Institute, 2006

–ис.4. ƒействи€ клиента в случае компрометации приватных данных

 ак отмечаетс€ в статье, дл€ коммерческих предпри€тий именно отношение клиентов зачастую €вл€етс€ главной целью. ≈сли ло€льные клиенты рассержены и покидают компанию или даже переход€т к конкурентам, то дела такой компании плачевны, поэтому наибольший ущерб принос€т отнюдь не пр€мые и косвенные убытки на вы€вление и устранение утечек, а снижение привлекательности торговой марки или ухудшение репутации.

Ќа наш взгл€д, рано или поздно, но руководители предпри€тий осознают столь очевидную истину, что »“-безопасность сегодн€ играет весьма заметную роль в бизнесе любой компании, и к ее обеспечению на предпри€тии необходимо относитьс€ очень серьезно. ¬ противном случае возможны необратимые последстви€ дл€ любой компании. ƒоверие клиентов легко потер€ть, трудно вернуть!

¬ заключение отметим, что, конечно же, далеко не все одинаково относ€тс€ к вопросам защиты информации. Ќо, настораживает то, какой процент отечественных компаний и организаций на сегодн€шний день (это мы видим из результатов исследовани€, представленных на рис.3), не задумываютс€ на тему серьезности существующих проблем в области »“-безопасности, не вид€т назревшей необходимости квалифицированного решени€ задач защиты информации. ј ведь врем€ идет и «пропасть расшир€етс€»!

или введите им€

CAPTCHA