Организации направляют инвестиции в информационную безопасность вовсе не на
те цели, на которые следовало бы. Об этом заявил вице-президент Verizon Business
Питер Типпетт. По его словам, на некоторые направления расходуется чересчур
много средств, в то время как другие области остаются катастрофически
недофинансированными.
По мнению эксперта, вхолостую тратится до 40% денег, выделяемых на
IT-безопасность. Так, многие компании уделяют все более пристальное внимание
угрозам, исходящим от собственных сотрудников, в то время как за последние пять
лет с ними было связано лишь 11% случаев успешной кражи данных.
Источники большинства утечек информации весьма разнородны, но даже при учете
всех факторов персонал пострадавших компаний причастен лишь к каждой пятой из
них. На долю исключительно внешних источников приходится 43% от всех случаев
кражи данных, а при анализе смешанных схем участие сторонних организаций и
бизнес-партнеров в компрометации важных сведений может достигать 74%.
В итоге компании тратят деньги на то, чтобы предотвратить угрозы там, где они
могут появиться вместо того, чтобы сконцентрироваться на том, где они
действительно появляются. К примеру, все усилия по ускорению процедуры установки
обновлений ПО улучшают общий уровень безопасности лишь на 2%, в то время как
простое устранение систем с паролями по умолчанию поднимает безопасность сразу
на 25%.
Питер Типпетт поясняет, что организации могут снизить риски на величину до
85%, если определятся с точным местонахождением своих серверов, местами хранения
информации и типами соединений между всем этим.
Так, исследования Verizon Business показывают, что атаки на корпорации,
приносящие миллиардные убытки, в среднем осуществляются в 4,5 этапа. При этом на
первых двух этапах компрометируются системы, не имеющие критического значения,
уязвимости в которых (а это чаще всего пароли по умолчанию и ошибки в
приложениях) легко устранимы.
Типпетт предупреждает – компании тестируют отдельные машины в 10 раз чаще,
чем сети целиком, тогда как все должно быть с точностью до наоборот. Специалист
убежден, что оценка безопасности общей сетевой инфраструктуры – это важнейшая
часть любой программы по защите информации. Тем не менее, очень многие
пренебрегают ею.
