Большой vs малый бизнес: кто должен защищать компанию от DDoS-атак?
Жертвой DDoS-атаки может стать практически любая компания, независимо от своего размера. Как показали результаты исследования «Лаборатории Касперского» «Глобальные риски ИТ-безопасности-2014: DDoS-атаки» (Global IT-Security Risks Survey 2014 — Distributed Denial of Service (DDoS) Attacks) от подобных атак за год пострадали 52% российских компаний, онлайн-сервисы которых критичны для бизнеса. Среди них интернет-магазины, СМИ и финансовые учреждения. При этом компании финансового сектора и публичные веб-сервисы подвергаются DDoS-атакам на 32% чаще, чем корпоративные веб-сервисы.
Говоря о приоритетах на стыке бизнеса и информационных технологий, Россия ставит на первое место непрерывность бизнес-процессов. Эксперты «Лаборатории Касперского» отмечают явное противоречие: несмотря на то, что российские компании-респонденты придают ей первостепенное значение, количество установок антиDDos-решений в нашей стране остается небольшим по сравнению с другими регионами мира.
86% респондентов из крупных российских компаний считают, что «спасение утопающих — дело рук самих утопающих» и ответственность за защиту от DDoS-атак лежит, прежде всего, на самой организации. 62% респондентов считают, что от DDoS-атак их защитит собственный ИТ-департамент, 10% «назначают» ответственными топ-менеджмент, а еще 6% убеждены, что это задача отдела безопасности.
По сравнению с 86% респондентов-представителей крупного российского бизнеса, только 64% представителей малого бизнеса согласны с тем, что борьба с DDoS-атаками находится в их сфере ответственности.
Исследование подтверждает: для российского рынка действует правило «чем меньше компания, тем меньше ответственности за защиту своих сервисов от DDoS-атак она возлагает на себя». В том, что от DDoS их должны полностью обезопасить провайдеры сетевых сервисов или веб-хостинга, уверена треть представителей малого бизнеса. В более крупных компаниях с этим согласны менее четверти респондентов, а среди больших корпораций — только 10%. На правоохранительные органы и государство надеются 4%, и в среднем по всем компаниям насчитывается 22% респондентов, уверенных, что защита от DDoS-атак не их забота.
«Полагаясь на предусмотрительность провайдера ИТ-услуг, многие компании подвергают себя опасности, — считает Алексей Киселев, менеджер проекта Kaspersky DDoS Prevention «Лаборатории Касперского». — Обычно провайдеры не обеспечивают такую защиту по умолчанию. Более того, многие из них и не могут обеспечить надежную защиту от DDoS-атак собственными силами, так как мощность и сложность последних постоянно растут».
По данным опроса, 37% мировых компаний используют специализированные сервисы для защиты и поддержания непрерывности онлайн бизнес-процессов. В большинстве регионов мира более 40% компаний используют специализированные антиDDos-решения, этот показатель немного ниже в Западной Европе, где он составляет 35%. Любопытно, что Россия оказалась страной, где антиDDos-решения используются значительно реже, чем где бы то ни было еще. Эксперты отмечают, что это неожиданный результат, учитывая, насколько часто компании российского финансового сектора, а также компании онлайн-сервисы которых критичны для бизнеса, подвергаются атакам. Низкий уровень использования антиDDoS-решения в России кажется удивительным еще и потому, что российские компании-респонденты в исследовании подчеркивают большое значение непрерывности бизнес-процессов для себя.
По информации «Лаборатории Касперского» 58% российских компаний считают защиту от DDoS-атак важной частью ИТ-безопасности, а 29% российских компаний включает обеспечение непрерывности бизнес-процессов в топ-3 наиболее важных задач ИТ-службы.
«Такую картину мы наблюдаем сравнительно недавно, — комментирует Алексей Киселев. — При этом понимание угрозы не всегда приводит к реальным действиям со стороны бизнеса: если у западных компаний, как правило, есть четкие системы оценки рисков и они понимают, насколько они готовы вложиться в предотвращение рисков, в том числе от DDoS, то в России ситуация несколько иная — до сих пор встречаются организации, придерживающиеся принципа «если нас не атакуют, зачем нам нужна защита».
«Немалую роль играет тот факт, что многие российские компании ошибочно полагают, что используемые ими средства (межсетевые экраны, только аппаратные средства защиты, сервисы, предлагаемые некоторыми провайдерами или малоизвестными поставщиками услуг защиты от DDoS) обеспечивают им необходимый уровень защиты. Но, только столкнувшись с реальными атаками, начинают процесс выбора специализированных решений по защите от DDoS-атак.
Выход из этой ситуации, по мнению эксперта «Лаборатории Касперского», в том, чтобы повышать осведомленность бизнеса об угрозах, которые несут в себе современные DDoS-атаки и какие средства защиты от них наиболее актуальны.
«Наша статистика за 2014 г. показывает, что в среднем на сотню проектов по построению инфраструктуры ИБ приходится лишь 5, предполагающих наличие защиты от DDoS-атак», — комментирует руководитель направления инфраструктурных ИБ-решений компании «Инфосистемы Джет» Юрий Черкас. «Получается, что не более 5 % заказчиков в 2014 г. приступили к реализации защиты от DDoS. При этом важно отметить, что мы стараемся до каждого нашего клиента донести важность этой проблемы и возможные технологические варианты ее решения», — продолжает эксперт. Причина такой статистики банальна, объясняет эксперт: «В момент атаки и сразу по ее окончанию организации начинают активно прорабатывать возможные варианты защиты, но спустя 1–2 месяца этот порыв улетучивается. Аргументируют, как правило, следующим образом: «Атака отбита, а следующей может и не быть».
В том, что касается изменения практик для таких компаний, Юрий Черкас категоричен: «Что касается путей выхода, то я не вижу смысла их искать. Те организации, которые серьезно относятся к DDoS-атакам уже построили, строят или начнут строить эффективную многоэшелонированную защиту. Если же компания считает приемлемым простой своих ИТ-сервисов, и их недоступность не отражается на репутации и бизнесе компании, то вряд ли эти компании захотят тратить деньги на защиту от DDoS».
«Против бизнеса играют сразу три фактора: недостаточная осведомленность (и особенно отсутствие точных оценок возможных рисков для бизнеса); непонимание того, что DDoS-атаки, из-за доступности и довольно низкой стоимости заказа, уже стали реальным и популярным инструментом ведения нечестной конкурентной борьбы; незнание того, что эффективная защита от угроз такого типа не требует существенных инвестиций, что защиту от DDoS можно приобретать как услугу (Security as a service) — без создания собственных технологических площадок», — говорит руководитель группы обеспечения безопасности информации, компания ИВК Игорь Корчагин.
«Угроза DDoS-атак относительно новая, и поэтому российский бизнес пока не выработал привычки включать ее в модель рисков, — добавляет CEO компании Appercut Security Рустэм Хайретдинов. — Но ситуация меняется достаточно динамично. По данным компании Qrator, если в прошлом году более 80% новых подключений происходили «под» атакой, то уже в этом году более половины из них происходят превентивно, на стадии тестирования нового онлайн-сервиса, или перед крупной рекламной компанией или началом сезона продаж». По мнению CEO Appercut Security, российским рынком все более будут востребованы продукты, которые решают проблему защиты от DDoS-атак проактивно, смогут нейтрализовать атаку непосредственно в момент ее начала и до того, как она привела к отключению или деградации онлайн-ресурсов бизнеса.