Безопасник айтишнику не товарищ

По данным Positive Technologies, четверть респондентов не используют в компаниях специализированное ПО для выявления уязвимостей. Получается, что специалистам по ИБ необходимо проверять каждый компонент информационной системы вручную. В опросе поучаствовали специалисты по ИБ из госсектора (22%), кредитно-финансовых организаций (17%), промышленных (17%) и ИТ-компаний (16%), ТЭК (9%), остальные - из других отраслей. В основном они тратят время на разбор результатов сканирования на наличие уязвимостей в инфраструктуре и на попытки убедить айтишников в необходимости установить обновления - так ответили 48% респондентов.

По данным Positive Technologies, для представителей малого бизнеса наиболее трудоемкий процесс - это анализ результатов сканирования, так ответила половина опрошенных, а для представителей среднего и крупного бизнеса - это согласование установки обновлений - так ответили 55% и 56% соответственно. К трудоемким задачам 31% ИБ-специалистов отнесли проверку устранения уязвимостей.

"Мы попросили респондентов ответить, что они будут делать в первую очередь, если узнают о новой серьезной уязвимости в ПО, - рассказывает менеджер по продуктовому маркетингу Positive Technologies Анастасия Ляшенко. - Половине опрошенных понадобится провести дополнительное сканирование, чтобы узнать о существовании в сети уязвимого ПО. 19% смогут сразу принять меры по защите компании. Учитывая сложный процесс согласования полноценного сканирования во многих компаниях, оперативно узнать, опасна ли новая уязвимость для инфраструктуры, будет затруднительно".

В ходе опроса 11% респондентов рассказали, что им приходится отдельно обосновывать устранение каждой уязвимости. Примечательно, что при этом столько же опрошенных не проверяют, устранил ли ИТ-отдел обнаруженные уязвимости. Кроме того, компании затягивают с обновлениями. Каждый десятый опрошенный ответил, что в его компании критически опасные уязвимости на важных активах не устраняются более полугода.

Руководитель отдела аналитики информационной безопасности Positive Technologies Евгений Гнедин считает, что прямой зависимости между сложностями согласования обновлений и размерами бизнеса нет. Но в небольших организациях, действительно, сами процессы устроены проще. "Кроме того, в небольших компаниях функции ИБ могут выполнять непосредственно специалисты из ИТ-подразделения, - добавляет специалист. - В этом случае им не потребуется дополнительно согласовывать действия по обновлению с другим подразделением. Совсем иначе это происходит в крупных организациях".

По мнению представителя Positive Technologies, во-первых, масштабы инфраструктуры и ее сложность значительно отличаются. Во-вторых, в больших компаниях за выявление уязвимостей отвечает ИБ-департамент, а за устранение - ИТ. И здесь появляются сложности, если их взаимодействие не регламентировано и не прописаны так называемые SLA. "Многие уязвимости невозможно устранить вне технологических окон. Все это сказывается на скорости устранения", - уверен Евгений Гнедин.

Руководитель вирусной лаборатории "Доктор Веб" Игорь Здобнов говорит, что тенденция существует, потому что каждый специалист несет ответственность за конкретный участок работ, специалистам по ИБ необходимо установить обновления, но эти обновления периодически могут "ломать" систему. Впоследствии ее необходимо перенастраивать айтишникам, поэтому многие из них стараются максимально оттянуть момент установки обновлений и придерживаются принципа "не трогай то, что работает". По словам экспертов, повсеместная несвоевременная установка обновлений в итоге может привести к эпидемии, похожей на массовые атаки в 2017 г. шифровальщика Wannacry.