Соблюдение норм информационной безопасности и использование новых технологий приводят к тому, что сотрудники компании все чаще используются для получения незаконного доступа к ее информационным системам

Москва, 22 июня 2005 г. –  За прошедший год значительно сократилось число взломов информационных систем крупнейших международных финансовых организаций, однако случаи нарушения информационной безопасности со стороны их сотрудников участились, как свидетельствует Международный обзор по информационной безопасности за 2005 год, опубликованный сегодня финансовыми подразделениями компаний-членов «Делойт Туш Томацу» (ДТТ). Менее трети (28%) специалистов (по сравнению с 83% в 2004 году) сообщили о нарушениях информационной безопасности, состоявшихся в той или иной форме в течение последних 12 месяцев. Несмотря на сокращение общего объема нарушений, попытки сотрудников организации получить доступ к закрытой информации за последние 12 месяцев стали встречаться в два раза чаще. 35% участников исследования подтвердили, что их сотрудники пытались получить несанкционированный доступ к информационным системам своих компаний (в прошлом году эта цифра составила 14%). Третий ежегодный Международный обзор по информационной безопасности является отправной точкой для деятельности ДТТ при использовании информационных технологий в финансовом секторе и включает в себя интервью с главами служб информационной безопасности 100 крупнейших международных финансовых организаций.

«Фишинг» и «фарминг» (подстрекательство сотрудников к разглашению секретной информации с использованием фиктивных электронных сообщений и веб-сайтов) – новая угроза финансовой безопасности, с которой компании столкнулись в прошлом году. Это еще раз свидетельствуют о том, что самым слабым звеном в безопасности организации являются ее сотрудники. За последние 12 месяцев стало очевидно, что основная угроза информационной безопасности компании теперь исходит не извне, а изнутри. Новая тактика охотников за информацией основана на использовании сотрудников для получения конфиденциальных данных, в предыдущие годы кража информации в основном осуществлялась за счет создания технологических брешей в информационной системе компании. Такой поворот можно объяснить более широким использованием новых технологий информационной безопасности, включая анти-вирусные программы (98% по сравнению с 87% в 2004 г.), виртуальные корпоративные сети (79% по сравнению с 75% в 2004 г.), фильтрование и мониторинг содержания (76% по сравнению с 60% в 2004 г.).

«Финансовые организации сделали большой шаг вперед в работе с технологиями защиты от внешних угроз, однако растущее количество нарушений безопасности со стороны сотрудников компании, а также попытки завладения клиентскими данными свидетельствуют о возникновении угрозы нового типа», - говорит Вадим Сорокин, Управляющий Партнер и Руководитель группы по обслуживанию банков и других финансовых учреждений, «Делойт», СНГ. «Жесткая политика в области идентификации клиента, обучение и повышение бдительности могут сыграть важную роль в решении этой проблемы».

Однако, как показывают результаты исследования, обучение в сфере информационной безопасности и повышения бдительности сотрудников до сих пор не является приоритетным направлением деятельности глав служб информационной безопасности; менее половины участников опроса (46%) планируют проводить соответствующие программы в будущем году. Обучение и повышение бдительности находятся в конце списка приоритетных мер по повышению безопасности, следуя за соблюдением законодательных норм (74%), учетом и оценкой (61%). Инвестиции в сферу повышения безопасности распределены в соответствии с этим списком приоритетов: большинство из них компании планируют направить на приобретение соответствующих компьютерных программ (64%), и только 15% от общего объема инвестиций предназначено для создания системы информирования сотрудников и их обучения. Лишь незначительное число финансовых организаций планируют инвестировать в повышение информационной бдительности своих клиентов.

«В попытке минимизировать риски, связанные с человеческим фактором, финансовые организации сосредоточили свое внимание на программах, предназначенных для всего предприятия в целом», - считает Вадим Сорокин. «В связи с такими угрозами собственной безопасности, как кража идентификационной информации, «Фишинг» и «фарминг», организации должны внедрять программы по управлению идентификацией, включающие управление доступом к информации, ее уязвимостью, корректировкой и влияющими на нее событиями. Большего эффекта от этих программ можно достичь путем проведения обучающих тренингов в области безопасности и создания системы информирования сотрудников».

Региональная специфика и другие важные результаты исследования

Методология

Исследование, которое проводилось путем личных интервью и заполнения электронных форм с вопросами в финансовых подразделениях компаний-членов ДТТ, основано на информации, предоставленной главами служб информационной безопасности (Главами служб безопасности, Главами информационных служб, Департаментами по управлению безопасностью и т.д.) в 100 крупнейших организациях, предоставляющих финансовые услуги по всему миру. Заданные вопросы касались управления информацией, инвестиций, качества операций и конфиденциальности. Респонденты представляли государственные и частные компании из следующих регионов: Северная и Южная Америка, Европа/Ближний Восток/Африка, Азиатско-Тихоокеанский регион и Латинская Америка.

О компании «Делойт»

Компания «Делойт и Туш» в СНГ входит в международную сеть компаний «Делойт Туш Томацу», одну из ведущих организаций мира в области предоставления аудиторских и консультационных услуг. В офисах компании «Делойт» в странах СНГ - в Москве, Санкт Петербурге, Киеве, Минске, Баку, Тбилиси, Алматы, Астане, Атырау, Бишкеке, Ташкенте - работают более 1100 высококвалифицированных местных и иностранных специалистов.  В СНГ компания «Делойт и Туш» предоставляет полный спектр услуг как международным корпорациям, так и ориентированным на развитие местным фирмам, включая консалтинг, аудит и содействие в бухгалтерском учете, услуги в области корпоративного управления и корпоративных финансов, услуги по оценке, консультации по налогообложению и праву.  Миссия «Делойт и Туш» - способствовать успеху своих клиентов и сотрудников.

Название «Делойт» относится к «Делойт Туш Томацу», объединению фирм (Verein), зарегистрированному в соответствии со швейцарским законодательством, любой из фирм, входящих в его состав, а также их соответствующим дочерним и зависимым предприятиям. «Делойт Туш Томацу» представляет собой объединение фирм по всему миру, приверженных идеям достижения совершенства в предоставлении профессиональных услуг и консультаций и занимающихся обслуживанием клиентов, используя единую международную стратегию, реализуемую с учетом местных условий в почти 150 странах мира. Имея в своем распоряжении значительный интеллектуальный капитал - 120,000 человек в разных странах мира - компания «Делойт» предоставляет услуги в четырех областях: аудит, налогообложение, управленческий консалтинг и корпоративные финансы, - и обслуживает более половины крупнейших компаний мира, а также крупные национальные предприятия, государственные органы, компании, занимающие видное положение на местном рынке, и быстро развивающиеся частные фирмы. Описываемые здесь услуги предоставляются фирмами, входящими в состав объединения, а не самим объединением. В связи с требованиями в области регулирования и по другим причинам не все фирмы, входящие в состав сети «Делойт», предоставляют услуги во всех областях, перечисленных выше.

Компания «Делойт Туш Томацу» зарегистрирована  в соответствии со швейцарским законодательством как объединение, и таким образом ни «Делойт Туш Томацу», ни фирмы, входящие в ее состав, не несут какой-либо ответственности за действия или упущения друг друга. Каждая из фирм, входящих в состав «Делойт Туш Томацу», является отдельным и независимым юридическим лицом, работающим под названием «Делойт», «Делойт и Туш», «Делойт Туш Томацу» или другими аналогичными именами.

О международной отрасли финансовых услуг

Деятельность ДТТ в рамках отрасли финансовых услуг заключается в оказании финансовых услуг различными компаниями-членами «Делойт Туш Томацу». Финансовые услуги оказываются компаниями-членами «Делойт» более чем в 40 странах мира, в которых работают 1500 наших партнеров и 17 000 финансистов-профессионалов. Более подробную информацию о финансовых услугах ДТТ вы можете узнать на нашем веб-сайте www.deloitte.com/gfsi.

В компаниях-членах ДТТ работает более 2500 профессионалов в области информационного управления рисками и безопасности, более 500 сертифицированных экспертов в области безопасности информационных систем и более 800 сертифицированных аудиторов информационных систем. Более подробную информацию об услугах по информационному кризисному управлению и безопасности, предоставляемым в компаниях-членах «Делойт Туш Томацу», вы можете узнать на нашем веб-сайте www.deloitte.com/gfsi/itsecurityservices.