IT - риски: особенности идентификации и управления
К.И. Свириденков,
канд. технич. наук, доцент, доцент, Филиал ГОУ ВО НИУ «МЭИ» в г. Смоленске (214013 г. Смоленск, Энергетический проезд, д.1; e-mail: sv-k-i@mail.ru)
Аннотация. В статье рассмотрены особенности идентификации и управления информационными рисками. Выделены технические и корпоративные факторы риска. Проанализированы современные особенности утечки конфиденциальной информации. Дана характеристика подходов к управлению 1Т рисками.
Abstract. In the article the peculiarities of identification of and information risk management. Defined technical and corporate risk-factors Analyzed the current singularities of leakage of confidential information. The characteristics of approaches to the governance of IT risks.
Ключевые слова: информационные риски, идентификация IT-рисков, управление IT-рисками.
Keywords: Information risks, identification of IT risks, IT risk management.
В современную эпоху формирование и совершенствование знаний возможно только при условии постоянно накапливаемой и обрабатываемой информационной базы. Информация накапливается и обрабатывается благодаря информационным технологиям, без которых сейчас невозможна жизнедеятельность любой организации. Обеспечение информационной безопасности - основная задача любого субъекта. Поэтому рассмотрение вопросов, связанных с исследованием факторов, обеспечивающих безопасность информации и используемых информационных технологий, а также факторов риска, влекущих потерю информации и сбои информационных технологий представляется актуальным.
Под информационными рисками понимается опасность возникновения убытков (или ущерба) в результате применения организацией или предприятием информационных технологий.
Следует заметить, что на сегодняшний момент времени нет единого понимания смысла понятия «риск», как и нет единого подхода к классификации рисков. В целом, влияние риск-факторов может приводить к получению нулевого, отрицательного (ущерба) или положительного (прибыли) результата [3]. Информационные риски тоже могут приносить такие результаты. Не вызывает сомнения положительный эффект от использования информационных технологий, как экономический эффект, без которого бессмысленно их применение, так и социальный.
Однако наряду с положительным эффектом субъект сталкивается с отрицательным эффектом, возникающим в связи с появлением специфических рисков - информационных рисков (1Т -рисков). Среди факторов, которые их вызывают (риск-факторов), целесообразно выделить:
1) технические;
2) корпоративные.
К техническим факторам можно отнести нарушения проектирования систем, несоразмерность (недостаточность) функциональных возможностей (характеристик) применяемых информационных систем, отказы (нарушения функционирования) информационных систем и т.п. Выбранная система может быть не оптимальна для данной организации, несовместима с другими имеющимися в организации системами. Ее внедрение может привести к возникновению внештатных ситуаций (ошибки функционирования, снижение производительности и подобное). Все это приводит к нарушениям информационных процессов организации, что ведет к возникновению убытков, как прямых, так и косвенных.
Ответственность за технические риски в большей степени лежит на поставщике 1Т -сервисов. Причем требования по снижению рисков могут предъявляться на этапах проектирования, внедрения и использования поставляемых информационных технологий. Снижение технических рисков возможно путем введения контрольных процедур. Например, на этапе проектирования организуются контрольные процедуры, которые снижают риск внедрения |Т-решений с недостаточными возможностями. С этой целью организуется управление уровнем 1Т-сервисов в части выявления, согласования и выполнения технических требований потребителей. На этапе внедрения можно снизить риски некачественного проектирования, отказов путем тестирования внедряемых 1Т-технологий. На этапе эксплуатации целесообразным является борьба с отказами информационных систем. Для этого целесообразно использовать процессы 1Т-менеджмента по следующим направлениям: в части управления инцидентами, что позволит снизить ущерб воздействия риска за счет скорейшего восстановления 1Т-сервисов; в части управления проблемами возникновения отказов, в результате снижается риск за счет уменьшения вероятности отказов, увеличивается время
Journal of Economy and entrepreneurship, Vol. 9, Nom. 9-2
между отказами, повышается надежность 1Т-сервисов; в части управления операциями обеспечивается стабильная работа 1Т-систем и сокращение времени их восстановления, например, за счет эффективного резервного копирования и мониторинга. Однако, нельзя снимать ответственность за технические риски с самого покупателя и пользователя информационных технологий. Встречаются ситуации, когда из-за некомпетентности или ограниченности финансовых средств приобретаются информационные технологии, по функциональным возможностям не соответствующие деятельности организации.
Второй группой риск-факторов являются корпоративные факторы риска, к которым прежде всего относится утечка конфиденциальной информации. Утечка информации - это неконтролируемое распространение защищаемой информации в результате её разглашения, несанкционированного доступа, получения разведками [4]. Ответственность за кражу информации прежде всего возлагается на саму организацию, использующую 1Т-технологии.
Утечка конфиденциальной информации может осуществляться в результате следующих действий:
1) несанкционированное копирование конфиденциальной информации на внешние носители и распространение её за пределы внутренней среды организации;
2) вывод на печать конфиденциальной информации и распространение распечатанных документов за пределы внутренней среды организации. Причем для печати могут использоваться как локальные, так и удаленные печатающие устройства, взаимодействие с которыми осуществляется по сети;
3) несанкционированная передача конфиденциальной информации по сети на внешние
серверы, расположенные вне внутренней среды организации;
4) хищение носителей, содержащих конфиденциальную информацию - жёстких дисков, магнитных лент, компакт-дисков CD-ROM и др.
Коммерческие риск-факторы могут привести к еще большему экономическому ущербу, чем технические факторы. Заранее оценить ущерб от такой утечки практически невозможно. На основе исследований агентства Zecurion был сделан вывод, что более 90% российских организаций сталкиваются с крупными утечками информации, приводящими к серьёзным финансовым проблемам, только 8% избегают подобной опасности [1]. Основными статьями воздействия корпоративных риск-факторов являются: прямые потери, косвенные потери, упущенная выгода. Организации теряют разнообразную информацию: клиентские базы, коммерческие предложения, персональные данные сотрудников, сведения о счетах клиентов и счетах самого субъекта, конфиденциальная финансовая информация и т.д. Это отражается на затратах на PR, снижении доверия, оттоке клиентов, снижении эффективности использования клиентской базы, потери преимуществ в конкурентной борьбе, технологиях, инновациях, потери репутации и имиджа организации и т.п.
Согласно исследованиям аналитического центра компании InfoWatch в период 2006 -
2009 гг. наблюдалось ежегодное увеличение утечек конфиденциальной информации в среднем приблизительно на 50% в год [2]. Период
2010 - 2011 гг. характеризуется малым, близким к нулю приростом утечек. А с 2012 года вновь увеличивается количество краж информации, причем если в мире в 2014 году темп прироста зарегистрированных утечек составил 22% (таблица 1), то в России его величина равна 73% .
Таблица 1
Годы Количество зарегистрированных утечек информации в мире Темп роста, % Темп прироста, %
2006 198 100 -
2007 333 168 68
2008 530 159 59
2009 747 141 41
2010 794 106,3 6,3
2011 801 100,9 0,9
2012 934 116,6 16,6
2013 1143 122,4 22,4
2014 1395 122,0 22,0
По данным исследований компанией InfoWatch и агентства Zecurion в мире возрастает число организаций, страдающих от последствий краж информации своими сотрудниками. В 2014 году было определено, что в 55% виновниками утечек информации были настоящие или бывшие сотрудники, причем настоящие сотрудники - 54%, а бывшие - 1%. На втором месте вина возлагается на внешних злоумышленников (таблица 2).
В части рассмотрения причин краж информации, было выяснено увеличение числа предумышленных инцидентов (таблица 3). Удельный вес преднамеренных утечек информации вырос с 24,2 % в 2012 году до 32, 1 % в 2014 году. Такая тенденция роста грозит организациям в новом году существенным увеличением финансовых потерь от инцидентов.
Структура виновников _ утечки конфиденциальной информации, %
Таблица 2
Сотрудник Внешний злоумышленник Не определено Подрядчик Руководитель Системный администратор Бывший сотрудник
54 25,8 12,5 4,2 1,5 1,2 0,9
Изменение структуры наименований краж конфиденциальной информации сотрудниками
Таблица 3
Наименование краж Удельный вес, %
2012 г. 2013 г. 2014 г.
Преднамеренные 24,2 30,1 32,1
Случайные 44,5 36,9 34,1
Не определено 31,3 33,0 33,8
Заслуживают внимания каналы утечки информации. В мире наиболее популярные каналы - веб-сервисы, с ними сталкивается около 26,7% организаций (таблица 4). Возросла на 5% по сравнению с уровнем 2013 года доля неэлектронных носителей.
Таблица 4
Мировая специфика каналов утечки информации_
Каналы утечки информации Веб-сервисы Прочее Ноутбуки и планшеты Неэлектронные носители Компьютеры Электронная почта Мобильные накопители Неправильная утилизация
Удельный вес, % 26,7 16,6 13,8 13,0 11,7 7,8 6,4 4,0
Российская специфика каналов утечек данных иная, чем мировая (таблица 5). Здесь основной канал утечки информации электронная почта и съемные носители информации.
Российская специфика каналов утечки информации
Таблица 5
Каналы утечки информации Электронная почта Съемные носители информации Интернет-сервисы
Удельный вес, % 53 45 32
Вызывает интерес структура украденной информации (таблица 6). Первое место занимает утечка персон
Для дальнейшего прочтения статьи необходимо приобрести полный текст. Статьи высылаются в формате PDF на указанную при оплате почту. Время доставки составляет менее 10 минут. Стоимость одной статьи — 150 рублей.