ПОИСК
ВЫБЕРИТЕ НОМЕР
         
Показать все
статьи из этой
рубрики
Показать все
статьи этого
автора
Показать все
статьи по этой теме
НАШИ ИЗДАНИЯ
Connect! Мир Связи
Каталог-справочник
НАШИ ПРОЕКТЫ
Наши авторы о важном
СОТРУДНИЧЕСТВО
Выставки и конференции
Connect Conferences
РЕКЛАМА



Яндекс Цитирования





Rambler's Top100 Rambler's Top100


Панорама
Connecting security people   Алексей Лукацкий

В конце февраля мне довелось участвовать в «круглом столе», организованном Издательским домом «Connect!» и посвященном различным вопросам информационной безопасности. В дополнение к описанию мероприятия хотелось бы немного раскрыть некоторые темы, рассмотренные на нем.

О статистике преступлений
Алексей ЛУКАЦКИЙОдними из наиболее часто упоминаемых в среде специалистов статистических данных является отчет американского института компьютерной безопасности (CSI), который стал неким стандартом де-факто, на который опираются многие производители и интеграторы, запугивая потенциальных клиентов огромными убытками от компьютерных угроз. Однако при глубоком рассмотрении этого отчета ситуация становится не такой радужной. Во-первых, этот стандарт ориентирован на опрос только крупных американских корпораций, что, согласитесь, является, пусть и интересной, но явно не репрезентативной выборкой. Да, можно признать, что проблемы американских корпораций могут встречаться и у европейских и у российских компаний, но… знак равенства все-таки ставить не совсем корректно. Во-вторых, ориентация на крупный бизнес выводит из-под действия данного отчета операторов связи, малый и средний бизнес, что, конечно, большое упущение авторов отчета. В-третьих, отчет не учитывает вертикальной специфики. И если в хорошо компьютеризированной Америке это обоснованно, то, например, в России, где уровень информатизации разных отраслей может различаться на порядки, уже неправильно. К чему мы приходим?.. Отчет Computer Crime and Security Survey показывает нам «среднюю температуру по больнице». Использовать такую статистику для прогнозирования ситуации с информационной безопасностью в конкретной компании или организации нельзя.
Можно долго ругать американскую статистику, но, к сожалению, другой у нас нет. В России за все годы ее информатизации так и не появилось сколь-нибудь значимой и авторитетной статистики. Называть таковой данные о компьютерных преступлениях МВД неправильно по двум причинам. Первая из них аккумулирует все, что было сказано выше про отчет CSI (отсутствие вертикализации, учета разных масштабов бизнеса и др.). А вторая заключается в том, что МВД считает не угрозы и не атаки, а «дела», доведенные до суда, более того, дела, по которым преступник был наказан (какой смысл рапортовать о «висяках» и делах, в которых вина задержанного не была доказана). Поэтому, кстати, название американского отчета Computer Crime («Компьютерные преступления») не совсем корректно, ибо в нем говорится именно об атаках, а не о делах, попавших в суд.
В России отсутствует аналог американского CERT/CC (координационный центр реагирования на компьютерные инциденты). Нет у нас аналога и CSI или иного исследовательского центра. Таким образом надеяться, что у нас в обозримом будущем появится адекватная статистика по компьютерной безопасности, не приходится.

О росте преступлений
Другая проблема отчета CSI в том, что на его основе нельзя отслеживать тенденции, ибо количество респондентов каждый раз меняется, как и компании, к которым они принадлежат. В России же статистика отсутствует, поэтому говорить о росте преступлений, ориентируясь только на сводки МВД, не совсем правильно. Допустим, количество преступлений возросло на 13%. И что? Из этой цифры мало что понятно, и возникает немало вопросов. Каких преступлений? Насколько они опасны? Кто жертва? Кто преступник? И т. д. А насколько возросло количество узлов в Сети и интернет-пользователей? Возможно, численность потенциальных злоумышленников увеличилась в пять раз. Тогда 13-процентное увеличение количества преступлений – это явно не рост, а спад.
Однако, даже не имея статистики, можно утверждать, что проблема с информационной безопасностью только ухудшается – количество преступлений растет, численность нарушителей также не уменьшается, их имидж романтизируется… Все это имеет не одну и не две причины. Это комплексная проблема, которая может быть разбита на следующие составляющие:
- рост проникновения информационных технологий во все сферы нашей жизни;
- недостаточное внимание к проблематике информационной безопасности со стороны руководителей организаций, ведомств и компаний;
- нехватка квалифицированных кадров;
- низкий уровень подготовки выпускников вузов, прошедших обучение по информационной безопасности;
- отсутствие жесткой кары за компьютерные преступления;
- падение уровня культуры.
На последнем пункте хотелось бы остановиться особо. Сегодня с экранов телевизоров на нас обрушилось огромное количество «чернухи» и насилия, что порой приводит к возникновению желания «выпустить пар». В условиях всеобщей интернетизации возможным выходом для накопившейся агрессии станет именно хакерство. Сначала атаки на своих соседей по компьютерному классу, потом просторы Интернета.
Опасность для современных детей и подростков еще и в том, что они не видят преступления во взломе чужого компьютера, краже чужого пароля доступа в Интернет. Для них это не кража, а рядовой поступок, которым они могут гордиться. Ну как же, «чайник лопухнулся, а я воспользовался его ламерством и хожу в Интернет за его денежки»… В последнее время наметилась некая романтизация хакеров и компьютерных преступников. О них слагают баллады, пишут романы, снимают фильмы, даже создают школы и университеты хакеров (точнее, хэкеров, как они себя называют). Один из таких хэкеров пошел еще дальше и заговорил о создании храма хакеров. Грех, ставший обыденным, перестает считаться грехом и становится частью нашей жизни. С учетом того, что уровень культуры у нас не только не повышается, а скорее снижается, ожидать уменьшения количества компьютерных преступлений не приходится. Скорее наоборот, дети, пришедшие сегодня в школу, которую оснастили компьютерами в рамках Нацпроекта «Образование», через семь-десять лет пополнят когорту хакеров.

О регуляторах
И, наконец, последняя тема, которая возникла в рамках «круглого стола» – регуляторы российского рынка ИБ. Если не брать системы сертификации Минобороны и Службы внешней разведки, то у нас осталось три регулятора – ФСТЭК, ФСБ и Мининформсвязи. Раньше все было предельно просто и понятно – ФСБ отвечала за криптографию и безопасность высших органов власти, а ФСТЭК – за все остальное. С выходом в этот сегмент Мининформсвязи ситуация изменилась – данное министерство взяло на себя функции регулирования PKI, ЭЦП и безопасности сетей связи. Хотя последние две области являются предметом спора между Минсвязи и другими регуляторами. И вот совсем недавно к названным трем игрокам присоединился четвертый – «Россвязьохранкультуры», на которого легла забота о персональных данных.
В Госдуме аналогичная неразбериха: за ИБ отвечают целых три комитета – по информационной политике, по безопасности и по энергетике, транспорту и связи. В положении о каждом из них четко указано, что именно он отвечает за информационную безопасность. Когда за решение какого-то вопроса отвечает несколько человек, значит, за него не отвечает никто. Здесь уместно вспомнить известную басню Крылова. Иными словами, в России нет единого «владельца» темы «информационная безопасность». Отсюда и все проблемы, разногласия и отсутствие единого видения.
Но существует и другая проблема. Почти все, что делается у нас в безопасности, ориентировано на решение задач государства. И при разработке законов и требований эта проблема встает во весь рост. Декларируется, что владелец защищаемой информации решает, какие защитные меры он будет применять, на свет появляется бол




Заказать полную PDF-версию свежего номера Connect!



Показать все статьи по теме Информационная безопасность

Поставьте свою оценку:
   1   2   3   4   5   

< Предыдущая статья

  
Следующая статья >

НАШИ ПРОЕКТЫ
ПРОСМОТР ПО ТЕМАМ
IP-телефония
Беспроводная связь
Бизнес-аналитика
Биллинг и OSS/BSS решения
Видеоконференцсвязь
Измерительная техника
Инфокоммунникации регионов
Информационная безопасность
ИТ-услуги
КИС (Корпоративные информационные системы)
Контакт-центры
КСПД (Корпоративные сети передачи данных)
Мобильная связь
Облачные технологии
Профессиональная радиосвязь
Серверные решения
Системы бесперебойного питания
Системы хранения данных
Ситуационные центры
Спутниковая связь
УПАТС
Фиксированная связь
Цифровое телевидение
TOP 20 СТАТЕЙ
Роль государства в обеспечении информационной безопасности
Консолидация телекоммуникационных ресурсов отраслей топливно-энергетического комплекса
Реквием по SoftSwitch
Трехсайтовая архитектура – реальная защита от катастроф
В Тулу за кальяноваром, или Что такое адаптивный call-центр
Ненадежность IP-телефонии: мифы и реальность
Четвертым будешь?
Путеводитель по рынку OSS-решений
В жизни все бывает, поэтому сделайте резервную копию…
Оптимизация энергопотребления в современном ЦОД
VSATизация России – промежуточные итоги
Современные программные телефоны
Аккумуляторные батареи для современных ИБП
Особенности информатизации телекоммуникационных компаний в России
Отечественные производители телекоммуникационного оборудования
Проблемы нормативно-правового, организационно-технического и программного обеспечения защиты информационных систем
Смена поколений в стандартизации СКС
Проблемы и перспективы формирования мобильной медиасреды в России
Принципы организации сетевой инфраструктуры ООО «ЛУКОЙЛ-ИНФОРМ»
Модульные отказоустойчивые системы бесперебойного питания: за и против
Все ТОПовые статьи >>