В рубрику "Безопасная связь" | К списку рубрик | К списку авторов | К списку публикаций

Сетевые атаки: методики оценки ущерба для предприятийNetwork attacks: damage methodologies for enterprises

Руководитель любого предприятия с готовностью согласится, что безопасность сети – задача критически важная. Но как измерить в количественных показателях выгоду, которую дает предприятию безопасность сети? Как предприятие может оценить и обосновать свои инвестиции в средства обеспечения безопасности сети (брандмауэры следующего поколения, системы предотвращения вторжений и устройства унифицированного управления угрозами)?

Head of any enterprise readily agrees that network security is a critical task. But how to measure in quantitative terms the benefits that network security provides the enterprise? How a company can evaluate and justify their investment in network security tools (next generation firewalls, intrusion prevention and unified threat management devices)?

Андрей Ковалев
Директор по корпоративным решениям, "Dell Россия"

Andrey Kovalev
Director of corporate actions of Dell Russia

Ключевые слова:

сетевые атаки, информационная безопасность, утечки данных, брандмауэры следующего поколения

Keywords:

network attacks, information security, data leaks, next generation firewalls

Хотя не существует точной формулы или готового калькулятора для определения ущерба от атак, есть полезные рекомендации и исследования, из которых IТ-руководители могут почерпнуть методики и материалы для выработки собственной модели расчета. При оценке ущерба от сетевых атак и экономической эффективности брандмауэров следующего поколения необходимо:

разграничивать различные типы сетевых атак;
понимать, как эти атаки отражаются на финансовых показателях предприятия;
выработать методики количественного измерения воздействия сетевых атак.

Типы сетевых атак

Существуют сотни различных типов сетевых атак, которые могут нанести вред организации. Наиболее распространенными формами атак являются:

атаки с использованием вирусов, троянских программ, червей и других вредоносных программ, которые могут отключать серверы и рабочие станции и способствуют хищению данных;
постоянные угрозы повышенной сложности, которые предназначены для проникновения в сети с целью незаметного хищения интеллектуальной собственности и конфиденциальной информации;
распределенные атаки типа "отказ в обслуживании" (DDoS-атаки) и флуд-атаки, которые приводят к переполнению серверов и отключению Web-сайтов.

Влияние сетевых атак на финансовые показатели предприятия

Это самый болезненный вопрос. Последствия атак (независимо от их конкретного типа) можно разделить на два основных вида: утечка данных и отказ в обслуживании.

Утечки данных в крупных организациях всегда оказываются в первых строках новостей, поскольку в таких случаях похищенная конфиденциальная информация чаще всего передается в руки преступников или конкурентов.

Ущерб от утечек данных очевиден и приводит к крайне болезненным последствиям. Это может быть как прямой финансовый ущерб (потеря прибыли, юридические и финансовые санкции регулирующих органов, потери и штрафы в результате судебных исков), так и нематериальные потери (потеря доверия и лояльности заказчиков) и потеря конкурентного преимущества (например, за счет потери интеллектуальной собственности). Компании, пострадавшие от утечек данных, затрачивают непропорционально большое количество средств и времени на обнаружение и техническое устранение вторжений, выявляя и блокируя атаки, оценивая понесенные убытки и реализуя меры по повышению безопасности. К тому же негативные упоминания об утечке данных, как правило, еще долго появляются в прессе после самой атаки.

Атаки типа "отказ в обслуживании" приводят к тому, что компьютерные системы (рабочие станции, Web-серве-ры, серверы приложений или серверы баз данных) работают с пониженной производительностью или совсем отключаются. Финансовые последствия таких атак довольно широки и могут быть катастрофическими. В пострадавшей от такой атаки компании темпы бизнеса/продаж падают или совсем замирают, что напрямую влияет на прибыль. Выполнение повседневных операций останавливается, так как из-за отключения сети сотрудники не могут выполнять свои обязанности. Как и в случае утечек данных, здесь налицо ощутимый ущерб, размер которого определяется тем, как и насколько быстро IТ-отдел и служба техподдержки могут диагностировать проблемы, проинструктировать сотрудников, запустить сервисы и восстановить зараженные компьютеры.

Так как же все-таки оценить ущерб?

Как я уже отметил, единой и универсальной модели определения стоимости ущерба не существует.

Полезную информацию, которую IТ-руководители могут использовать при оценке последствий сетевых атак, дают два независимых исследования – опрос, проведенный компанией Pone-mon Institute в марте 2012 г., и исследование Cyber Liability and Data Breach Insurance Claims, опубликованное компанией NetDiligence^® в октябре 2012 г.

В конце 2011 г. компания Ponemon Institute провела подробное исследование, в котором участвовали 49 американских компаний из 14 отраслей, столкнувшихся с потерей или кражей хранящихся у них данных заказчиков. Вот основные результаты исследования:

в среднем стоимость утечки данных составляет $5,5 млн;
потеря прибыли (в расчете на одно событие утечки данных) составляет $3 млн;
стоимость мероприятий, проводимых после утечки данных (включая работу службы поддержки, стоимость мер по устранению, скидки заказчикам и т.п.), составляет $1,5 млн.

Такой расчет средних показателей на одно событие основывается на довольно большой статистике (обычно для расчетов берутся не менее 100 тыс. записей) и дает IТ-руководителям представление о размере ущерба от утечек данных, скорректированное с учетом масштаба предприятия и фактического количества атак.

Компания NetDiligence провела исследование на основе материалов страхования киберрисков. Для исследования были выбраны 137 страховых событий, имевших место между 2009 и 2011 гг., которые завершились выплатами возмещений страховыми компаниями. Вот данные по средним размерам выплат.

Размер выплаты в рамках мирового соглашения (в расчете на одно событие) составил $2,1 млн.
Расходы на юридическую защиту (в расчете на одно событие) составили $582 тыс.
Общий объем выплаченного страхового возмещения (в среднем на одно событие) составил $3,7 млн.

Хотя эти два исследования посвящены разным экономическим аспектам, связанным с сетевыми атаками, они оба показывают, сколь дорогостоящими в действительности являются сетевые атаки и как от них страдает финансовый баланс, репутация и конкурентоспособность предприятия.

Помимо этих показателей, полезно принимать в расчет и некоторые другие параметры, которые помогут оправдать вложения в брандмауэры следующего поколения:

потерю прибыли за каждый час отключения или снижения производительности Web-сайта вследствие DDoS-атаки;
потери производительности за каждый час остановки бизнес-процесса, вызванной отключением сервера вредоносной программой;
учет затрат (на основе почасовой ставки) на работу службы техподдержки (для диагностики заражения компьютеров вредоносной программой) и IТ-отдела (для восстановления зараженных компьютеров);
учет расходов (в расчете на одно событие), связанных с уведомлением заказчиков или сотрудников в случае утечки данных и предоставлением на один год бесплатного мониторинга для пострадавших пользователей.

При оценке стоимости атак могут быть также полезны другие методики. В некоторых организациях для расчета ущерба от атак используются подробные разветвленные схемы, созданные в результате игрового моделирования. Для моделирования берется репрезентативная выборка персонала отделов компании (IТ-отдела, отдела маркетинга, отдела кадров и т.п.) и для нее рассматривается сценарий атаки. Такая проработка не только помогает определить размер затрат в связи с утечками данных, но и может дать неожиданные результаты – например, в виде пересмотра договорных обязательств или корпоративных нормативных требований.

Переход к практическим действиям

Какое значение все это имеет для IТ-руководителей? Первая новость – плохая. Сетевые атаки связаны с высоким ущербом, приводят к прерыванию бизнес-процессов, влекут за собой потенциально катастрофические последствия и поэтому должны предотвращаться любой ценой. Но есть и хорошая новость: в вашем распоряжении имеется широкий набор инструментов и сервисов, которые помогут оценить ущерб от утечек данных и DDoS-атак для вашего предприятия. Сравнивая эти показатели со стоимостью предотвращения атак с использованием технологий защиты следующего поколения, вы сможете лучше понять и четко определить финансовую и стратегическую выгоду от увеличения вложений в безопасность корпоративной сети. Вы быстро поймете, что это не теоретическое упражнение, а категорический императив бизнеса.

Опубликовано: Журнал "Технологии и средства связи" #6, 2013
Посещений: 27957

Статьи по теме

Автор

Андрей Ковалев

Директор по корпоративным решениям, "Dell Россия"

Всего статей: 1