Наряду с очевидными достоинствами, IM-программы имеют и ряд недостатков – они отвлекают служащих от своей основной деятельности и, что более важно, являются потенциальной брешью в системе безопасности предприятия.
Программы обмена мгновенными сообщениями (IM – Instant Messaging), изначально рассчитанные на домашних пользователей, сегодня стали полноценным инструментом бизнес-коммуникаций. Зачастую, общение с помощью популярных IM-клиентов позволяет добиться более тесных и дружественных контактов, нежели использование традиционных способов связи, таких как телефон или электронная почта. Однако наряду с очевидными достоинствами, IM-программы имеют и ряд недостатков – они отвлекают служащих от своей основной деятельности и, что более важно, являются потенциальной брешью в системе безопасности предприятия.
Угрозы, связанные с IM-технологиями, достаточно разнообразны. Во-первых, существует масса вредоносных программ, атакующих пользователей тех или иных IM-протоколов. Во-вторых, уязвимости в программах-клиентах могут служить прекрасной мишенью для хакерских нападений. И, в-третьих, через IM-сети постоянно передается конфиденциальная информация, которую достаточно легко перехватить. Ну а если в вашей компании появился инсайдер, то эту информацию не надо даже перехватывать – ему вполне достаточно просто выслать своему внешнему контакту по IM-клиенту.
Настоящее исследование посвящено изучению рисков, которые возникают в компаниях при использовании IM-клиентов, а также тому, как организации реагируют на эти риски. Основная цель исследования – определить угрозы ИТ-безопасности, связанные с применением IM-программ в российских компаниях, и предложить наиболее эффективные методы защиты от них.
Исследование проводилось в период с 1 мая по 1 июня 2007 года. В процессе сбора первичных статистических данных участвовал 1101 респондент из различных стран, заполнивших онлайн-анкеты (см. приложение) на портале SecurityLab.ru. Вопросы, приведенные в анкете, были адресованы, прежде всего, профессиональной аудитории SecurityLab.ru, которая традиционно состоит из опытных специалистов в области информационных технологий и информационной безопасности.
Отметим, что первое российское исследование, посвященное безопасности IM-клиентов в корпоративной среде, было проведено аналитическим центром InfoWatch в середине 2005 года («Интернет-пейджеры: брешь внутренней безопасности или будущее средство бизнес-коммуникакий?»). Несмотря на то, что база респондентов в прошлом и настоящем исследованиях значительно отличаются, некоторые параллели между ними провести все-таки можно. Поэтому, сравнивая нынешние результаты с показателями двухлетней давности, аналитический центр InfoWatch будет останавливаться только на самых общих тенденциях.
Приведенные ниже данные являются округленными до десятых долей целых чисел. В некоторых случаях сумма долей ответов превосходит 100% из-за использования многовариантных вопросов.
На рис. 1 представлен портрет респондентов по количеству компьютеризированных рабочих мест в организации. Наибольшая часть опрошенных сотрудников работают преимущественно в малых компаниях (61,3%), имеющих не более 100 рабочих станций. На долю среднего бизнеса (101-500 компьютеризированных мест) пришлось 21,7%. Оставшаяся часть респондентов (17,0%) представляет, соответственно, крупный бизнес. В дальнейшем результаты опроса будут сегментированы в зависимости от размеров бизнеса респондентов.
Согласно результатам исследования (рис. 2), подавляющее большинство пользователей (74,3%) используют сервис ICQ, что свидетельствует о высокой популярности данной программы в России. Правда, более половины (54,3%) респондентов применяют не только ICQ, но и другие IM-программы, а значит, несколько увеличивают вероятность возможных рисков. По сравнению с результатами двухлетней давности, ситуация практически не изменилась: IM-клиенты не используют 12,8% опрошенных, причем влияние отличий в базе респондентов на этот фактор можно считать несущественным.
Таким образом, технологии IM стали полноценным средством бизнес-коммуникации. Версия об их возможном отмирании в связи с проблемами безопасности не выдержала проверки временем. Бизнес-выгода, которую приносит использование IM, настолько велика, что абсолютное большинство компаний готовы применять IM-клиенты, невзирая на их очевидную незащищенность. Последний тезис прекрасно понимают и злоумышленники, что неизбежно приведет к распространению вредоносных программ, эксплуатирующих уязвимости пейджеров. Не стоит забывать и о внутренних угрозах – то есть, об инсайдерах, использующих IM-каналы.
На рис. 3 приведена диаграмма, демонстрирующая основные угрозы, возникающие в связи с применением IM-программ. Нетрудно заметить, что в списке угроз лидирует утечка конфиденциальной информации, которую отметили 42,3% опрошенных. Риски, связанные с вирусными атаками и нецелевым использованием ИТ-ресурсов, набрали примерно по 20% голосов, спам и реклама - по 10,0%. Отметим, что только 7,6% респондентов считают, что использование IM-клиентов полностью безопасно.
Следующий вопрос исследования касался наиболее серьезной угрозы IM – утечки конфиденциальной информации (рис. 4). Как выяснилось, только 59,7% респондентов уверены в том, что они никогда не пересылают классифицированную информацию по IM-каналам, а 24,5% опрошенных, напротив, периодически ее пересылают. Рискнем предположить, что реальное количество людей, занимающихся подобными вещами, гораздо выше – многие попросту не хотят в этом себе признаться.
Введение различных политик и регламентов является, наверное, самым простым способом снижения рисков от использования IM-программ. Тем не менее, 62,0% респондентов представляют компании, которые таких регламентов не имеют. Более того, лишь у 14,9% респондентов действие политик можно считать эффективным. Данные, говорящие о применении политик на предприятиях, приведены на следующей диаграмме (рис. 6)
В таб. 1 показана зависимость факта использования политик от размера организации-респондента. Нетрудно заметить, что чем больше компания – тем выше вероятность наличия регламента и его эффективного применения. Вместе с тем, с точки зрения малого бизнеса опасность утечек может оказаться даже выше – если крупная корпорация потерпит убытки и восстановится, то небольшая компания рискует стать банкротом после кражи всего нескольких важных документов.
Таб. 1. Эффективность политик в компаниях различного размера
|
Политика отсутствует |
Политика действует эффективно |
Политика есть, но он не имеет никакой силы |
Затрудняюсь ответить |
---|---|---|---|---|
Малый бизнес |
69,2% |
9,3% |
10,9% |
10,6% |
Средний бизнес |
61,9% |
18,0% |
11,1% |
9,0% |
Крупный бизнес |
39,5% |
28,1% |
13,7% |
18,7% |
С помощью таб. 2 можно проследить зависимость пересылки конфиденциальной информации от наличия корпоративной политики безопасности в сфере IM. Исходя из полученных данных, напрашиваются два основных вывода. Во-первых, эффективный регламент значительно (примерно в два раза) снижает риск утечки, однако не исключают его полностью. Во-вторых, наличие неэффективного регламента не только не снижает, но и даже повышает вероятность пересылки конфиденциальных данных. Поэтому, если организация хочет ввести регламент использования IM-программ – то она должна позаботиться об его эффективности.
Таб.2. Политики и утечка конфиденциальной информации
|
Политика действует эффективно |
Политика есть, но он не имеет никакой силы |
Политика отсутствует |
---|---|---|---|
Конфиденциальная информация пересылается |
14,9% |
31,1% |
24,0% |
Конфиденциальная информация не пересылается |
78,1% |
53,1% |
60,3% |
Затрудняюсь ответить |
6,9% |
16,5% |
16,1% |
Остальные способы защиты от IM-угроз приведены в диаграмме на рис. 6. Из полученных данных следует, что практически половина компаний (46,6%) никак не защищаются IM-угроз, а среди использующихся методов преобладают запретительные меры (блокировка трафика). Чисто контролирующие меры (мониторинг) пока не получили широкого распространения – по всей видимости, их внедрение сопряжено с техническими проблемами и сопротивлением пользователей.
Как и следовало ожидать, крупные организации принимают различные меры защиты от IM-угроз гораздо чаще. Огорчает другое – прирост наблюдается в основном за счет строго запретительных мер таких, как блокировка трафика. Применение контролирующих мер, напротив, находится во всех компаниях примерно на одном и том же низком уровне (8-10%).
По мнению экспертов аналитического центра InfoWatch, сегодня существуют инструменты, позволяющие эффективно применять контролирующие меры, такие как мониторинг и архивирование трафика. Складывая всю информацию в хранилище, организация существенно снижает вероятность утечки. Пользователи понимают, что пересылаемая информация где-то сохраняется, поэтому ведут себя осмотрительно. Ну а в тех случаях, когда утечка все-таки произошла, заархивированные данные помогут найти злоумышленника. Наконец, создание IM-архива является обязательным условием ряда нормативных актов и международных стандартов.
Таб.3. Корреляция между мерами защиты и размером фирмы-респондента
|
Административные ограничения |
Блокировка трафика |
Мониторинг |
Архивирование |
Другие меры |
Никакие меры не применяются |
---|---|---|---|---|---|---|
Малый бизнес |
13,0% |
16,5% |
8,1% |
0,6% |
5,8% |
56,0% |
Средний бизнес |
14,7% |
29,4% |
7,2% |
1,9% |
6,2% |
40,6% |
Крупный бизнес |
14,9% |
30,2% |
9,9% |
2,2% |
10,6% |
32,2% |
В таб. 4 находятся данные, демонстрирующие зависимость применяемых мер от наиболее опасных угроз. Из полученных результатов следует сразу несколько основных выводов. Во-первых, административные меры и блокировка трафика являются некими универсальными способами защиты от большинства IM-угроз. Во-вторых, применение мониторинга наиболее разумно в тех случаях, когда основной риск для вашей компании заключается в утечке конфиденциальной информации. В-третьих, практически половина пользователей, признавших угрозы IM-программ, никак от этих угроз не защищаются.
Таб. 4. Зависимость защитных мер от степени опасности угрозы
|
Административные ограничения |
Блокировка трафика |
Мониторинг |
Архивирование |
Другие меры |
Никакие меры не применяются |
---|---|---|---|---|---|---|
Утечка конфиденциальной информации |
14,2% |
25,4% |
12,0% |
1,6% |
6,6% |
40,2% |
Вирусные атаки |
14,3% |
18,2% |
4,9% |
0,4% |
5,9% |
56,3% |
Нецелевое использование ИТ-ресурсов |
16,4% |
29,1% |
5,3% |
1,1% |
4,3% |
43,8% |
Помимо вопроса об уже применяющих способах защиты, исследование также ставило своей целью выяснить, какие методы защиты следует применять по мнению самих респондентов. Как оказалось, распределение ответов по используемым (рис. 6) и рекомендованным (рис. 7) мерам значительно отличаются. Отметим, что на рис. 7 сумма ответов превосходит 100%, поскольку респондентам предлагалось выбрать несколько вариантов ответа.
В отличие от «используемых» методов, большинство «рекомендованных» методов предполагают контролирующие способы воздействия на пользователей. С одной стороны, это объясняется непопулярностью запретительных мер, с другой – понимаем преимуществ использования IM с точки зрения бизнеса компании.
В рамках исследования, аналитический центр InfoWatch попытался оценить эффективность «применяемых» методов, в зависимости от «рекомендованных» методов. Полученные результаты подтвердили тезисы предыдущего абзаца – только 57,9% респондентов, использующих блокировку трафика, назвали эту меру «рекомендованной». В отношении административных ограничений и мониторинга эти доли заметно выше, они составляют 74,7% и 78,9% соответственно. Таким образом, можно сделать вывод о том, что блокировка трафика является самой нерекомендуемой и непопулярной мерой защиты от IM-угроз.
В завершение обратимся к диаграмме (рис. 8), демонстрирующей незащищенность респондентов, признавшихся в пересылках конфиденциальной информации. Исследование показало, что 60,3% компаний, в которых работают данные сотрудники, вообще не защищаются от IM-угроз. Очевидно, что если подобная ситуация сохранится, то внутренние нарушители обязательно ею воспользуются.
Данное исследование подтвердило правильность тех тенденций, которые были сформулированы два года назад. Как мы уже неоднократно отмечали, IM-технологии стали стандартным средством коммуникации, применяемым в подавляющей массе компаний. Представители этих фирм постепенно осознают угрозы, связанные с IM, и начинают применять различные методы защиты. В то же время, до сих пор существует масса никак не защищенных организаций, являющихся потенциальной мишенью для инсайдеров.
Дальнейшее развитие IM-программ как средства бизнес-коммуникаций представляется вполне определенным. С одной стороны, будет расти количество инструментов защиты, с другой – спрос на эти инструменты со стороны клиентов. Численность организаций, в принципе игнорирующих защиту IM-каналов, будет, таким образом, снижаться. Очевидно, что усилия компаний в области защиты IM (как поставщиков, так и заказчиков) будут подстегиваться возрастающим количеством угроз, как со стороны внешних нарушителей, так и в особенности со стороны инсайдеров.