Информационные риски киберпространства

«Скоро останутся лишь две группы работников: те, кто контролирует компьютеры, и те, кого контролируют компьютеры. Постарайтесь попасть в первую».

Льюис Д. Эйген, американский специалист по менеджменту

Риски информационной безопасности, связанные с повсеместной «интернетизацией» и интеграцией информационных систем никто сейчас адекватно не оценивает. Кто-то считает, что жизненно важные системы не имеют Интернет-подключений. Кто-то будет рассказывать сказки про надежный саморегулируемый Интернет. Кто-то будет утверждать, что ущерб от реализации киберугроз не может быть столь масштабным. Кто-то искренне верит в то, что электронные банковские системы, АСУТП или военные системы уж точно надежно защищены. Те же, кому известна реальная картина, почему-то предпочитают помалкивать. А затем вдруг, в один прекрасный день, выясняется, что это все было заблуждением, т.к. реальных рисков никто не оценивал.

В результате может наступить информационный коллапс. В одночасье могут оказаться заблокированными или выведенными из строя не только финансовые системы, но и системы связи, системы жизнеобеспечения, промышленные предприятия и даже военные объекты. Другими словами – встанет все и сразу. А произойти этот ни с чем не сравнимый кризис, представляющийся сейчас многим не более чем научной фантастикой либо досужими домыслами, может уже в ближайшее десятилетие.

На фоне огромного количества информационных угроз, которым подвержены экономические системы, государства, организации и отдельные граждане, особое место занимают различные формы кибертерроризма, способные нарушить функционирование жизненно важных объектов инфраструктуры, мошеннические операции в системах электронных расчетов и угрозы утечки конфиденциальной информации. Рассмотрим эти классы угроз более подробно, т.к. каждая из них, а в особенности их объединение, может спровоцировать невиданный доселе мировой информационный кризис.

Риски, породившие мировой финансовый кризис

Я занимал пост председателя совета директоров «Росгосстраха», ко мне в 2002 году приезжали немецкие регуляторы и учили, как строить систему контроля в компании, диверсифицировать резервы и т.п. Через полгода вся страховая система Германии рухнула: выяснилось, что две трети компаний – банкроты, так как неправильно считали все риски».

Рубен Варданян, глава «Тройки-Диалог»

Неправильная оценка рисков является фундаментальной причиной глобальных и локальных кризисов. Без надлежащего управления рисками любая «правильная» система рано или поздно обрушивается. Мы живем сейчас во времена глобального финансового кризиса. Пока точно не известно, с какими потерями наша страна из него выйдет, но уже очевидно – потери эти будут весьма значительными.

Сейчас на первом плане финансовые риски. Однако не так сложно предположить, что в перспективе на смену финансовым кризисам придет кризис информационный, который будет еще опасней.

США «профукали» финансовый кризис из-за того, что не умели (да и не очень хотели) оценивать новые финансовые риски. Обуреваемые жадностью финансисты соорудили самую высокую в истории финансовую пирамиду. Высота этой пирамиды оценивается в десятки квадриллионов несуществующих долларов. Многие специалисты видели эту пирамиду, но, как это обычно бывает, надеялись вовремя «соскочить» до того, как начнется процесс обрушения.

Экс-глава ФРС Алан Гринспен назвал нынешний финансовый кризис самым тяжелым с момента окончания второй мировой войны. По данным американского инвестиционного банка «Голдман Сакс», прямые потери мирового финансового рынка от нынешнего кредитного кризиса составят 1,2 триллиона долларов.

В качестве основной причины нынешнего финансового кризиса эксперты называют: неправильную оценку рисков новых производных финансовых инструментов (деривативов) банками, финансовыми институтами, страховыми компаниями и рейтинговыми агентствами.

По мнению экспертов, во всем виновата секьюритизация – это способ привлечения финансирования, связанный с выпуском ценных бумаг, обеспеченных активами, генерирующими стабильные денежные потоки, например, портфель ипотечных кредитов, автокредитов, лизинговые активы, коммерческая недвижимость, генерирующая стабильный рентный доход и т.д. В последнее время секьюритизация активов приобретает все большую популярность среди инновационных схем привлечения финансирования и на российском рынке.

Рейтинговые агентства, опираясь на свои безупречные репутации, выпускали рейтинги, как будто деривативы – это простые долговые обязательства, выпущенные одним предприятием, но это было неверно. Также были и другие новации, когда первый, начальный пул средств был некредитным, а доходы по траншам были секьюритизованными доходами. В данной ситуации рейтинговые агентства строили более сложную схему рейтингования, но и эти схемы оказались далеки от истины.

В результате осуществления рисков, связанных с деривативами, произошла цепная реакция по всему миру и началась полная переоценка ценностей в финансовом мире. Сейчас никто не верит никаким рейтингам. Все, что считалось надежным вчера, сегодня выглядит крайне рискованным.

Можно с уверенностью утверждать, что подавляющее большинство людей не обладают достаточным объемом информации и квалификацией для того, чтобы предвидеть подобные финансовые кризисы или осознать их причины. Еще значительно меньшее число людей способны осознать возможные причины, механизмы и последствия информационного кризиса, способного в будущем по своим масштабам многократно превзойти нынешний финансовый кризис.

В результате эволюции человечество создало мощнейшую сетевую информационную инфраструктуру на базе открытых стандартов, объединяющую системы связи, обработки информации и управления жизненно важными объектами. После чего начался стремительно набирающий обороты процесс интеграции финансовых, торговых, промышленных систем, систем жизнеобеспечения, средств массовой информации и т.п. в эту единую сетевую инфраструктуру, получившую название «киберпространство». Киберпростанство – это не только Интернет. Оно объединяет также банковские, частные и ведомственные сети во всех их взаимосвязях. Информационно-техническая революция происходит столь стремительно, что даже специалисты не в состоянии осознать всех рисков, которые несет за собой такая интеграция.

Если бы не новые возможности, предоставляемые киберпространством, нынешний финансовый кризис был бы невозможен. Финансовые рынки одними из первых интегрировались в единое информационное пространство, что позволило миллионам инвесторов свободно и за считанные секунды перемещать любое количество виртуальных активов (денег, ценных бумаг и производных финансовых инструментов) между странами и торговыми площадками. Благодаря современным информационным технологиям стало возможным осуществлять торговлю любыми производными инструментами, что довольно скоро привело к возникновению рынка таких инструментов, образовавших гигантскую финансовую пирамиду, которая рассыпается на наших глазах как карточный домик, погребая под своими обломками экономики целых стран.

Финансовый кризис произошел потому, что никто не знал, как управлять новыми рисками в новых условиях. Благодаря киберпространству возникли новые финансовые риски. В данном случае киберпространство явилось лишь необходимым условием для кризиса. Ситуация может быть еще опасней, когда будут осуществляться риски самого киберпространства. В этом случае пострадают не только финансовые системы, но и все прочие, включая объекты жизнеобеспечения и в ряде случаев военные объекты.

Глава 1. Предпосылки для управления информационными рисками

«Обязанность ученых – очищать мировоззрение современников от заблуждений».

Н.К. Кольцов, известный генетик

_______________________________________

  • Риски, породившие мировой финансовый кризис
  • Информационные риски киберпространства
  • Обилие стандартов, требований, средств и технологий защиты не уменьшает риски
  • Государственное регулирование только создает дополнительные риски
  • Оценка рисков как основа корпоративного управления
  • Как оценивают риски наши соотечественники

________________________________________

Возможно, для кого-то это и будет новостью, однако анализ ситуации в стране и в мире показывает, что без управления рисками уже невозможно обеспечить стабильность и избежать глобальных кризисов. В этой вступительной главе мы попытаемся осознать важность управления рисками, а также те проблемы, которые решаются путем оценки риска.

Из дальнейшего изложения следует, что уже в наши дни многим организациям управлять рисками совершенно необходимо не только для получения конкурентных преимуществ, но и для выживания. Однако у читателя может возникнуть резонный вопрос: «Раз это столь важно, тогда каким же образом многие организации до сих пор обходились и обходятся без систематического управления рисками?» На наш взгляд, все дело в том, что времена очень быстро меняются. Раньше управление рисками действительно было не столь актуально из-за незначительного количества информационных угроз, а также ограниченности существовавших тогда технологий и стандартов. Выбирать контрмеры было особенно не из чего, да и защищаться тоже было не от чего.

Сейчас же мир стремительно меняется. Для нового информационного века характерны немыслимые ранее угрозы и кризисы. Количество вредоносных кодов сейчас исчисляется миллионами, а количество известных интернет-уязвимостей, уязвимостей системного и прикладного ПО – десятками тысяч. Ежедневно регистрируется огромное количество сетевых атак и внутренних инцидентов информационной безопасности. Сложность атак, изощренность способов их реализации и степень опасности возрастает в геометрической прогрессии.

Все это могло бы быть не более чем забавно, если бы столь же стремительно не увеличивалась зависимость критичной для жизнедеятельности людей инфраструктуры и бизнеса от информационных технологий. Взлом очередного веб-сайта может послужить развлекательной новостью и темой для обсуждения в узком кругу посвященных, DDoS-атака (распределенная атака на отказ в обслуживании) против сайтов крупного информационного агентства – это уже новость, получающая более широкий резонанс. Скоординированные атаки на объекты инфраструктуры: электростанции, телекоммуникационные узлы, системы водо-, тепло- и газоснабжения – могут стать причиной глобальной катастрофы, последствия которой даже трудно себе представить.