В современных условиях активного развития экономических, социальных и технологических процессов, роста конкуренции коммерческое предприятие должно обеспечивать свое стабильное положение на рынке, преумножать и защищать свой бизнес и, соответственно, свою информацию. В связи с этим задача создания комплексной системы защиты информации для предприятия становится особенно актуальной.
Комплексная защита информации включает защиту информации от базовых угроз: нарушение конфиденциальности целостности и доступности информации. Исходной посылкой при разработке эффективных моделей системы защиты информации является предположение, что, с одной стороны, при нарушении системы защиты информации наносится ущерб, а с другой - формирование и обеспечение информационной безопасности (ИБ) сопряжено с расходованием средств [1; 6]. В связи с этим очень актуальной становится задача отслеживания и мониторинга технологического тренда экономики защиты информации.
В 2012 году в пособии [5] была сделана попытка описания этого тренда. Проанализировав этот материал и изменившееся состояние направлений развития средств и методов экономики защиты информации, работ и публикаций, ведущихся в этом направлении, в статье представлен обзор состояния тренда экономики защиты информации.
Название. Экономика защиты информации (экономика информационной безопасности, экономика ИБ, экономика IT, Economics of information security).
Краткое описание. Основные методы защиты информации (ЗИ): скрытие - максимальное ограничение числа лиц, допускаемых к секретам; ранжирование - деление засекречиваемой информации по степени секретности, регламентация допуска и разграничение доступа к защищаемой информации; дезинформация - распространение заведомо ложной информации; дробление информации таким образом, что знание одной части не позволяет восстановить всю технологию в целом; кодирование - преобразование с помощью кодов открытого текста в условный при передаче информации по каналам связи; шифрование - используется при передаче сообщений с помощью радиоаппаратуры; страхование - защита прав собственника информации или средства информации от различных угроз.
Секретность в рыночной экономике - экономическая категория. Защищаемая информация должна приносить пользу собственнику и оправдывать затрачиваемые на ее защиту средства.
Отнесение информации к информационным ресурсам, подлежащим защите от несанкционированных и непреднамеренных воздействий, целесообразно, если величина предотвращаемого при этом ущерба превышает величину затрат на ее защиту.
Экономическая безопасность предприятия характеризует состояние наиболее эффективного использования корпоративных ресурсов для предотвращения угроз и обеспечения стабильного функционирования предприятия в настоящем, высокого потенциала развития и роста предприятия в будущем.
Основные задачи экономики защиты информации. К таким задачам относят:
- анализ состояния экономической безопасности организации и определение роли защиты информации в ее обеспечении;
- анализ и классификацию рисков, возникающих при защите информации;
- определение цены и затрат на создание и эксплуатацию комплексной системы защиты информации, в том числе отдельных ее элементов; стоимостную или экспертную оценку уровня и предотвращенного ущерба в результате внедрения комплексной системы защиты информации;
- оценку эффективности создания, внедрения, использования комплексной системы защиты информации, в том числе отдельных ее элементов; оценку эффективности инвестиций в защиту информации.
Экономику ИБ следует рассматривать как относительно самостоятельную дисциплину, которая базируется на некоторых общих экономических законах и методах анализа, и нуждается в индивидуальном понимании, развитии специфических подходов к анализу, накоплении специфических статистических данных, формировании устойчивых представлений о факторах, под влиянием которых функционируют ИС и средства ЗИ.
История развития. Следует признать, что экономика защиты информации, как и любая другая наука, связана со многими сферами и направлениями ИБ и экономикой и развивается во взаимодействии с ними.
Становлением сферы экономики ЗИ можно считать период между окончанием Второй мировой войны и началом 60-х годов. К концу 60-х годов стали создаваться системы деловой и коммерческой информации. Конец 60-х и начало 70-х годов характеризовались значительным ростом затрат на проектирование и разработки ЭВМ, их внедрение в сферу материального производства. В 80-е годы были созданы крупные вычислительные центры, обеспечивающие дистанционную обработку данных, использующие персональные компьютеры (ПК) и сети ЭВМ. Их появление и массовое использование в сочетании с развитием локальных вычислительных и глобальных компьютерных сетей привело к возникновению электронной почты, унифицированных методов хранения и передачи информации по каналам связи.
В США и странах Европы в начале 70-х годов зарождается индустрия банков данных. В 80-е годы темп роста сектора информационных услуг в Западной Европе и Японии составлял 20-30% в год, а в 1983-1985 гг. 25-35% в год, в США примерно 15% в год. Доля трудовых ресурсов в информационном секторе в последние годы оценивается в мире в целом в 20-30%, в развитых странах в 50%, а в отдельных странах еще выше (в США - до 50-60%). Доля занятых работой с информацией колеблется для разных сфер хозяйства от 40-45% в обрабатывающей промышленности и на транспорте до 60-70% в торговле и государственных учреждениях, более 90% в сфере финансов, кредита, страхования.
Продукты/услуги. Продуктами данного тренда является информация, физические, криптографические, аппаратные и программные средства, всё, что подвержено рискам, возникающим при защите информации, а также сохраненные денежные средства и активы предприятия.
Все больше появляется таких средств, как системы предотвращения вторжений - Intrusion Prevention System (IPS). Они защищают рабочие станции и серверы и используют поведенческий анализ для обнаружения вредоносного кода. Системы контролируют все запросы, поступающие в систему, и соотносят их с политиками безопасности, определяющими нормальное поведение. Положительным моментом использования этих систем является то, что они предлагают защиту от вредного кода, не используя сигнатуры известных угроз. Их слабое место - это большое количество ложных срабатываний.
Новые потребительские свойства. Аналогов данному тренду нет, поэтому нет технологий, с которыми, можно его сравнивать.
Важнейшие ожидаемые эффекты технологического тренда. Сложность задач экономического анализа практически во всех областях деятельности обуславливается тем, что многие ключевые параметры экономических моделей носят вероятностный характер. Необходимо также учитывать трудоемкость такого анализа, необходимость привлечения дополнительных специалистов и сторонних консультантов, работу специалистов, работающих на самом предприятии, и кроме того, невозможностью дать достоверную, достаточно точную оценку стоимости информационных ресурсов, а также оценить последствия различных нарушений в денежном выражении.
В связи с этим эффекта от экономики защиты информации следует ожидать только в тех случаях, когда защита информации становится необходимым условием выживания предприятий, и они готовы тратить средства на нее.
К ожидаемым эффектам тренда следует отнести следующие: мощная ВТ, аппаратное обеспечение ЗИ; новое ПО, позволяющее улучшить защиту; новые более надёжные алгоритмы кодирования и шифрования данных, усовершенствованные алгоритмы нахождения уязвимости в информационных системах; новые федеральные законы и ГОСТы в ИБ.
Стадии жизненного цикла, на которых ведутся основные работы в рамках технологического тренда. Научно-технический прогресс рассматривается как цикл «наука - производство», который является средством повышения эффективности общественного производства, совершенствования структуры экономики, в том числе и экономики защиты информации, включающий в себя, по заметкам многих авторов, ряд стадий.
Стадия фундаментальных исследований позволяет получить новые знания о закономерностях развития общества, на основе которых выявляются новые пути прогресса техники, экономики, организации производства, формулируются гипотезы и теории.
На стадии поисковых исследований выявляются технико-экономические возможности новых идей и конкретные пути их применения в соответствующих областях экономики.
На стадии прикладных исследований проводятся теоретические и экспериментальные исследования, изучается возможность создания новой технологии или продукта.
Опытно-конструкторские работы заканчиваются созданием опытной разработки и документации, а на последнем этапе освоения и внедрения технология приспосабливается к условиям работы предприятия, либо новые теории и методы внедряются в практику исследования ИС.
Каждая стадия характеризуется специфическими задачами, особым подходом к их решению. Для экономики защиты информации наиболее значительны прикладные исследования.
Вероятный срок появления на рынке важнейших продуктов и услуг. В принципе, российский рынок информационных продуктов и услуг вполне успешно вписался в мировой. Особенностью последних лет является то, что новейшие ИТ и аппаратно-технические средства появляются в России почти одновременно с их появлением на зарубежных рынках.
Но на российском рынке государство является основным потребителем [8]. Рынок, во-первых, монополизирован государством и регулируется им с завышением цен. Во-вторых, он неоднороден: в крупных городах: Москве, Петербурге - сосредоточено 75% информационных ресурсов. В-третьих, для эффективного решения задач изучения и прогнозирования спроса необходима оперативная и достоверная маркетинговая информация.
В этой связи следует заметить, что для стабильного и эффективного рынка программного обеспечения, средств защиты информации необходимо в создать и использовать нормативное и правовое регулирование, которое обеспечит обязательные и равные условия деятельности всех участников рынка, повысит конкурентоспособность отечественных производителей и подключит к участию в ИТ все регионы страны.
С учетом сказанного вероятный срок появления продуктов для данного тренда - 2015-2020 гг.
Вероятный срок внедрения приложений технологического тренда в массовое производство. В рамках технологического направления «Экономика защиты информации» можно предположить, что одним из вероятных продуктов/услуг будет появление в обозримом будущем (в ближайшие 3-7 лет) новых технологических решений для облачного программирования DLP (Data Leak Prevention (DLP) - «предотвращение утечек информации»). При этом, скорее всего, это затронет смартфоны и планшетные компьютеры на базе мобильных ОС Android и iOS.
Указанное определяет расширение внедрения тренда. Сроки наибольшей активности внедрения тренда определяют как 2020-2030 гг.
Возможные области применения. Экономика ЗИ используется везде, где защищают информацию, будь то конечный пользователь, малое предприятие или банк. Ее подходы позволяют оценить затраты на защиту ИС и обосновать их, указать на допустимые границы.
Емкость мирового/российского рынка. Данные экспертов аналитической компании International Data Corporation (IDC) свидетельствуют о том, что объем мирового рынка аппаратных решений по ИБ в I квартале 2012 года составил 1,9 млрд долларов, что на 9,7% превосходит прошлогодний результат.
Мировой рынок ИБ будет ежегодно расти на 8% до 2016 года, когда может составить 36 млрд евро, говорится в исследовании IDC от сентября 2012 г.
Объём российского рынка услуг в области ИБ 2011 году составил $445 млн, что на 43% превышает аналогичные показатели годом ранее. По прогнозам аналитической компании IDC, объем российского рынка услуг ИБ увеличится в 2012 году более чем на 30%, в первую очередь за счет необходимости соответствия требованиям законов и отраслевых стандартов в области ИБ - данный фактор по-прежнему играет существенную роль на рынке [9].
Но так как оборудование и программные средства, используемые для защиты информации, применяются и в персональных компьютерах, и во всех банковских системах и т.д., оценить емкость рынка по большому счету не предоставляется возможным - он бесконечен.
Конкурирующее технологическое направление, его сравнительные преимущества и недостатки. Средства защиты информации являются товаром. Для оценки их конкурентоспособности могут быть использованы разные методики, хотя сравнивать следует подобные предметы и средства. Но прежде чем оценить конкурентоспособность, следует решить вопрос о целесообразности применения средств защиты. В обоих случаях в основе оценок лежит экономическая составляющая, а для этого применяется экономика защиты информации. Совершенно очевидно, что у данного направления нет конкурентов.
Другие технологии, от которых существенно зависит развитие данного тренда. Развитие данного тренда напрямую связано с криптографическими разработками и такими направлениями, как «облака», электронные документы (паспорта и др.), «умный дом», интернет вещей, военные разработки. Кроме того существует несколько проблем, вызванных мировым экономическим кризисом и отношением специалистов к проблеме [4; 7].
Первая - это снижение объема заказов системным интеграторам и отечественным производителям программных и программно-аппаратных средств из-за сокращения финансирования всех видов работ и перехода к политике тотального сокращения затрат. Из-за этого сокращаются штаты производителей, в том числе - и в области ИБ, тесно связанных с ИТ-сектором, прекращаются инновационные исследования.
Вторая проблема - это низкое качество поддержки ИС в государственных органах из-за недостатка специалистов, особенностей штатного расписания госорганов, неконкурентоспособной заработной платы для ИТ- и ИБ-специалистов.
Третья проблема связана с разными условиями налогообложения для производителей ПО, работающих на экспорт с теми, кто на экспорт не работает. Высокая налоговая нагрузка на производителей ПО для внутреннего потребления приводит к снижению их конкурентоспособности, сокращению рабочих мест и социальных программ, банкротству.
Четвертая проблема связана с низкой конкурентоспособностью отечественных программных и программно-аппаратных продуктов, систем безопасности, и, как результат, противодействию разработчиков и продавцов ведущих стран.
Для выхода из сложившегося положения необходимо лоббирование экспорта программных и программно-аппаратных продуктов, стимулирование переноса производства средств защиты, созданных западными производителями, на российские предприятия, а в случае противодействия - жесточайший контроль над обязательностью прохождения процедуры оценки соответствия.
Страны - лидеры. ТОП-10 стран с наибольшим индексом развития ИТ-технологий выглядит так: Швеция, Ю. Корея, Дания, Нидерланды, Исландия, Норвегия, Люксембург, Швейцария, Финляндия, Великобритания. США на 15-м месте, Россия на 50-м [3]. Следует признать, что развитие ИТ тесно связано с ЗИ, а следовательно, и с экономикой ЗИ. Поэтому приведенный порядок стран можно экстраполировать на экономику ЗИ. Конечно, указанное положение изменяется. Так, внедрение Министерством обороны США Карт общего доступа (Common Access Card (CAC) привело к существенному сокращению возможностей для несанкционированного доступа к правительственным компьютерам и повышению рейтинга страны.
Крупнейшие игроки. Cisco System, Check Point Software Technologies, Juniper Networks, University of Cambridge Computer Laboratory, Reliable Computing Laboratory at Boston University, Microelectronics Laboratory, UCL Crypto Group, Department of Computer Science, University of California Santa Barbara, MIT University, Weizmann University.
Холдинг «Информзащита», компания «Алладин Р.Д.», СПб ГУИТМО, Институт космических и ИТ, Московский технологический институт, ЗАО «ЛАНИТ» [2].
Движущие силы технологии. Факторами, указывающими на необходимость развития данной технологии, являются всеобщая информатизация общества: высокая мобильность людей, использование персональных компьютеров и ИС, внедрение мобильных телефонов не только для личного пользования, но и в бизнес-процессы, новые платежные системы, электронные кошельки, правительственная поддержка.
Разрушающий потенциал (Disruptive innovation). Учитывая, что в настоящее время экономический потенциал все в большей степени определяется уровнем развития информационной инфраструктуры, пропорционально растет потенциальная уязвимость экономики по отношению к информационным воздействиям.
По данным специалистов США, снятие элементов защиты информации с компьютерных систем приведет к разорению 20% средних компаний в течение нескольких часов, 48% - потерпят крах через несколько дней, а остальные разорятся в этом промежутке, 33% банков «лопнет» через несколько часов, 50% - через несколько дней. Средний ущерб от одного компьютерного преступления в США составляет 450 тыс. дол., ежегодные потери некоторых американских фирм достигают 5 млрд дол., суммарный ежегодный ущерб от компьютерных преступлений в странах Западной Европы - порядка 30 млрд дол.
Барьеры, риски внедрения технологии и факторы неопределенности. В обосновании затрат на ИБ существует два основных подхода. Первый подход, назовем его наукообразным, заключается в том, чтобы освоить, а затем и применить на практике необходимый инструментарий измерения уровня ИБ. Второй подход - практический, состоит в попытке найти инвариант разумной стоимости корпоративной системы защиты информации. Кроме того, можно вообще не заниматься ИБ. В результате всех вариантов существует некоторая уязвимость, которая рано или поздно приведет к утечке информации.
Эксперты-практики в области защиты информации нашли некое оптимальное решение, при котором можно чувствовать себя относительно уверенно - стоимость системы ИБ должна составлять примерно 10-20% от стоимости КИС. Одной из наиболее известных методик оценки стоимости таких систем является методика совокупной стоимости владения (ССВ) методика компании Gartner Group.
Степень развития технологии в России. Отечественный ИТ-рынок в последние несколько лет динамично развивается. По оценкам экспертов, его рост превышает 10% в год. При этом сектор ИБ развивается еще более быстрыми темпами - более чем на 25% в год. Такой рост определяется в основном двумя факторами: возросшим вниманием руководства к обеспечению ИБ и недостаточным уровнем ИБ в существующих ИС. Тем не менее, по данным McKinsey [3], Россия занимает 50-е место, а по данным другого источника, 77-е место [10].
Данные последнего содержат рейтинг России по ряду других показателей для информационно-компьютерных технологий: по инфраструктуре Россия на 42 месте, по готовности населения использовать ИКТ на 55, по готовности бизнеса на 90, по готовности государства - 89, по рыночной среде - на 118 месте. Крупных открытых разработок в данной области в России на настоящий момент не происходит.
Дополнительная информация. Дополнительную информацию можно почерпнуть в работах следующих авторов: Аверченков В.И., Войтик А.И., Голиков Ю.А., Грекул В.И., Ерохин В.В., Злобина И.А., Ларина И.Е., Малашихин Н.Н., Одинцов А.А., Прожерин В.Г., Полянский Д.А., Проскушева А.П., Петрова Е.А., Симонов С.В., Тимофеева Г.В., Чанышева В.А.; а также из трудов форумов и компаний: McKinsey analysis, Juniper Networks, Cisco System, Check Point Software Technologies Ltd, World Telecommunication/ICT Indicators database, The Global Information Technology Report и др.
Заключение
- Экономику ИБ следует рассматривать как относительно самостоятельную дисциплину, которая базируется на некоторых общих экономических законах, методах анализа и активно развивается. В этой связи целесообразно говорить о технологическом тренде «ЭЗИ» и изучать его.
- Экономика защиты информации связана со многими сферами и направлениями информационной безопасности, защитой информации, экономикой и развивается во взаимодействии с ними.
- Факторами, указывающими на необходимость развития данной технологии, являются всеобщая информатизация общества: высокая мобильность людей.
- Отечественный ИТ-рынок в последние несколько лет динамично развивается. Но Россия, тем не менее, по развитию ИТ находится на 50-70 месте, а по развитию рыночной среды на 100-110 месте.
Рецензенты:
Васюхин О.В., д.э.н., профессор, зав. кафедрой прикладной экономики и маркетинга ФГБОУ ВПО «Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики», г. Санкт-Петербург.
Смирнов С.Б., д.э.н., профессор, зав. кафедрой экономической теории и бизнеса ФГБОУ ВПО «Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики», г. Санкт-Петербург.