Nepietiekama uzmanība informācijas drošībai kompānijā
Publicēts: 17.06.2004
Autors: Kārlis Strazdiņš, PricewaterhouseCoopers Risku vadības konsultāciju nodaļas vecākais konsultants

Kārlis Strazdiņš
Informācijas drošības jautājumam joprojām netiek pievērsta pietiekama uzmanība, liecina jaunākais PricewaterhouseCoopers Informācijas drošības pārkāpumu pētījums 2004 (IDPP 2004).


Kopš 1991. gada Apvienotās Karalistes Tirdzniecības un rūpniecības departaments atbalsta informācijas drošības pārkāpumu pētījumus, lai ļautu britu uzņēmumiem labāk izprast riskus, ar kuriem tiem nākas sastapties. Informācijas drošības pārkāpumu pētījums 2004 (IDPP 2004) ir septītais šāda veida projekts, kuru šogad īstenoja PricewaterhouseCoopers.
Šajā rakstā tiek atspoguļoti galvenie pētījuma secinājumi, kas lielā mērā ir attiecināmi arī uz vidējiem un lieliem uzņēmumiem Latvijā.


Par vienu no galvenajiem informācijas drošības riska faktoriem modernajā ekonomikā ir uzskatāma plašā interneta un ar to saistīto pakalpojumu izplatība. Kamēr globālais tīkls neapšaubāmi paātrina un vienkāršo informācijas apmaiņas procesus starp dažādajām iesaistītajām pusēm, tas paver plašas iespējas arī ļaunprātīgām darbībām. Saskaņā ar IDPP 2004 datiem, aptuveni deviņi no desmit Lielbritānijas uzņēmumiem izmanto datu pārraides tīklu iespējas, lai apmainītos ar elektronisko pastu, piekļūtu interneta resursiem un veidotu savu mājas lapu. Ja maziem un vidējiem uzņēmumiem mājas lapas biežāk pilda informatīvu funkciju un to uzturēšana tiek nodota trešajām pusēm, tad liela mēroga organizāciju portāli mēdz būt daļa no integrēta pieejas kanāla biznesa pamatsistēmām.
Īpaši ir jāpiemin aizvien pieaugošā tendence piešķirt uzņēmumu darbiniekiem attālinātas pieejas iespējas iekšējiem informācijas resursiem. Šāda iespēja pastāv vairāk nekā pusē Lielbritānijas uzņēmumu. Salīdzinājumā ar 2002. gadu ir dramatiski pieaudzis arī to organizāciju skaits, kas izmanto bezvadu tīklu priekšrocības (2% un 30% no visu organizāciju kopskaita, attiecīgi).
Tomēr līdz ar jaunajām iespējām, ko sniedz šīs tehnoloģijas, ir ievērojami pieaudzis arī nesankcionētas piekļuves informācijai risks. Vidējs Lielbritānijas uzņēmums ir līdz 20 datorvīrusu uzbrukumu (virs 50 uzbrukumiem lielas organizācijas gadījumā) un neskaitāmu portu skenēšanas gadījumu upuris gada laikā.
IPDD 2002 netika analizēti nejauši informācijas drošības pārkāpumi. Salīdzinošais rādītājs no IPDD 2000 ir 34%.

Pieaugusi ir arī elektroniskās informācijas un tās apstrādes sistēmu nozīme ikdienas darbā - šogad 87% visu Apvienotās Karalistes uzņēmumu atzina, ka ir būtiski atkarīgi no informācijas sistēmām (salīdzinot ar 76% pirms diviem gadiem).

Visu šo faktoru ietekmes rezultātā informācijas drošības problēmas ir ieņēmušas stabilu vietu to ikdienas jautājumu lokā, kas jārisina gandrīz katram uzņēmumam. Atšķirībā no 2000. gada, šogad tīšu drošības incidentu kopskaits ir pārsniedzis netīši nodarītu bojājumu skaitu. Turklāt drošības incidenti vairs nav izolētas un unikālas parādības, bet nepārtraukts process, kuram ir nepieciešams adekvāts risinājums.
Tomēr aptaujas dati liecina, ka informācijas drošības jautājumam joprojām netiek pievērsta pietiekama uzmanība. Vairākums no respondentiem atzina, ka tēriņi informācijas sistēmu drošības nodrošināšanai tiek uzskatīti par izdevumiem, nevis ieguldījumiem uzņēmuma veiksmīgā darbībā. Un lai gan informācijas drošības jautājumiem aizvien vairāk pievēršas organizāciju augstākā vadība, kas atzīst problēmas nopietnību, faktiskie darbi ievērojami atpaliek no deklaratīvajiem paziņojumiem.
Pērn puse Lielbritānijas uzņēmumu (tajā skaitā divas trešdaļas lielo organizāciju) cieta no datorvīrusu uzbrukumiem. Īpašas problēmas sagādāja vīru
si, kas izmanto drošības trūkumus operētājsistēmu līmenī - uzņēmumi izrādījās nespējīgi pietiekami ātri atjaunot antivīrusu programmu laidienus, lai savlaicīgi novērstu kaitīgo aplikāciju ietekmi.
Uzņēmumiem ir tendence paļauties tikai uz ugunsmūriem, aizsargājot savas mājas lapas un interneta pieslēgumus no uzbrukumiem. Vidēji trīs no četrām mājas lapām ir uzstādīts ugunsmūris, bet vairāk nekā pusei šis ir vienīgais aizsardzības mehānisms. Turklāt daudzas organizācijas, kas nodod savas mājas lapas uzturēšanu kādai trešajai pusei nezina, kādā veidā viņu izvēlētais pakalpojumu sniedzējs aizsargājas no iespējamajiem uzbrukumiem.
Neskatoties uz šādu aizsardzības metožu nepilnībām, lietotāja vārds un parole joprojām ir dominējošais lietotāju autentifikācijas veids. Tikai trešdaļa lielo uzņēmumu ir ieviesusi divu līmeņu autentifikāciju, kas ir ievērojami samazinājis neautorizētu piekļuves informācijas resursiem gadījumu skaitu.

Plašajai attālinātās pieejas uzņēmuma informācijas sistēmām izplatībai nav sekojusi līdzvērtīga drošības mehānismu un kontroļu ieviešana. Tajā skaitā, tikai pusei no bezvadu datu pārraides tīkliem ir iestrādātas vismaz minimālas drošības kontroles (piemēram, aizliegums izmantot TCP/IP protokolu pieejai koplietojuma failiem un printeriem, WEP šifrēšanas algoritma izmantošana, pieejas punkta aizsardzība utt.)!

Neapmierinošs ir stāvoklis arī ar biznesa nepārtrauktības un darbības atjaunošanas plānošanu (BNP un DAP, attiecīgi). Mazāk nekā 10% no visiem uzņēmumiem (un tikai ceturtdaļa lielo organizāciju) ir pārbaudījusi, vai to BNP un DAP faktiski darbojas un nodrošina biznesa spēju ātri atjaunot normālu darbību pēc negadījumu iestāšanās.
Viens no iemesliem, kādēļ kopējā situācija ir neiepriecinoša, ir specifisku zināšanu un izpratnes trūkums uzņēmumos, kas būtu nepieciešams adekvātu kontroļu ieviešanai aizvien mainīgajā informācijas drošības jomā. Trīs ceturtdaļas Lielbritānijas uzņēmumu ir pārliecināti, ka to tehniskie drošības procesi ir pietiekami, lai novērstu vai konstatētu visus būtiskos drošības incidentus. Ņemot vērā atklātās kontroļu nepilnības, var uzskatīt, ka vismaz dažās no šīm organizācijām nav pietiekami izvērtēti pastāvošie riski. Tikai katrā no desmit uzņēmumiem (un ceturtdaļā lielo organizāciju) strādā darbinieki, kas ir sertificēti profesionāļi informācijas drošības jautājumos.
Saskaņā ar IPDD 2004 datiem, uzņēmumi tērē vidēji 3% no budžeta IT drošībai (salīdzinājumam, 2002. gadā šis skaitlis bija 2%). Lielas organizācijas tērē gandrīz 4%, taču kopējais ieguldījumu apjoms drošībā vēl aizvien ir zem ieteicamā 5 - 10% līmeņa. Viens no iemesliem šādai situācijai ir tas, ka drošība joprojām tiek uzskatīta par izdevumu posteni, nevis investīcijām. Mazāk nekā puse no visiem uzņēmumiem aprēķina drošības pasākumu atdevi uz ieguldījumiem, kas neļauj veiksmīgi noteikt prioritātes, kad drošības projekti tiek izvērtēti kopā ar citiem ieguldījumu projektiem, lai saņemtu nepieciešamo finansējumu. Arī uzņēmumu augstākajai vadībai, neskatoties uz formālajiem paziņojumiem par informācijas drošību kā prioritāti, tomēr ir tendence uzskatīt ieguldījumus šajā sfērā par uzspiestiem izdevumiem, nevis veidu, kā nodrošināt darbības rezultātus.
Lai arī situācija ir tālu no ideālas un nepastāv vienots visiem uzņēmumiem piemērots risinājums drošības risku mazināšanai, katra organizācija tomēr var spert noteiktus soļus, lai samazinātu incidentu varbūtību un negatīvo ietekmi:

- izmantot ekspertu zināšanas katru konkrēto uzņēmumu apdraudošo risku apzināšanai un iespējamo to mazināšanas veidu izvērtēšanai. Lieliem uzņēmumiem parasti ir iespēja algot pastāvīgus informācijas drošības darbiniekus, mazākām organizācijām var būt lietderīgāk piesaistīt ārējos konsultantus.

- Integrēt drošības prasības biznesa procesos. Absolūtais vairākums incidentu rodas uzņēmuma iekšienē, tādēļ visaptverošas drošības politikas izstrādei un ieviešanai, kā arī lietotāju apmācībai var būt izšķiroša loma organizācijas informācijas resursu aizsardzībā.

- Veikt pietiekamus ieguldījumus drošības kontrolēs (lai mazinātu pastāvošos riskus) vai apdrošināšanā (lai nodotu riskus trešajai pusei).

- Regulāri pārbaudīt drošības aizsardzības elementus - piemēram, operētājsistēmu drošības "ielāpus" (angļu v. - patch), BNP un DAP, ugunsmūra konfigurāciju, utt. - lai pārliecinātos par to drošumu un to, ka tie tiek savlaicīgi atjaunoti un papildināti.

- Efektīvi reaģēt uz drošības incidentiem, lai minimizētu normālas darbības traucējumus.

- Veikt preventīvus drošības pasākumus, negaidot, kamēr notiks reāli incidenti.



Šis dokuments izdrukāts no biznesa informācijas portāla www.db.lv
© 2004 SIA "Diena Bonnier"