Защита от утечек в малом бизнесе – неосвоенный кусок пирога!

Как мы с удивлением обнаружили, 96% респондентов осведомлены о проблеме утечки конфиденциальной информации и о существующих средствах защиты. Столь высокая степень осведомленности при очевидно меньшем спросе показалась нам подозрительной.

Некоторое время назад в InfoWatch начали поступать звонки от небольших и средних компаний с различными вопросами о защите конфиденциальной информации от утечек и предлагаемых нами решениях. Существующие у нас решения довольно дорогие и сложные и не подходят для небольших предприятий. Тогда мы задумались, действительно ли на рынке в сегменте среднего и малого бизнеса существует спрос на решения для защиты конфиденциальной информации от утечек? Выяснить это можно было лишь одним способом – заказать основательное исследование рынка, что мы и сделали.

В конце сентября этого года мы получили от нанятого аналитического агентства "В2В Research" отчёт о проведённом исследовании, первые итоги которого я представила на прошедшей в первых числах октября конференции по защите конфиденциальной информации от утечек DLP-Russia 2009. Предоставленный агентством увесистый документ, с одной стороны, подтвердил некоторые наши предположения, а с другой помог сделать ряд любопытных открытий. Мне кажется, эта тема может быть любопытна читателям.

Для начала расскажу немного о респондентах. В исследовании приняло участие около 100 компаний с количеством рабочих станций в сети от 200 до 1000, то есть представители малого и среднего бизнеса (СМБ) на границе с крупным. Исследование подтвердило наше предположение о том, что российские компании данного сегмента, как правило, не имеют в штате выделенного офицера информационной безопасности или службы ИБ. В этом сегменте зачастую отсутствуют прописанные процедуры, регламентирующие вопросы ИБ. Решения о покупке продуктов по информационной безопасности принимают ИТ-менеджеры или сами директора компаний, и решающим доводом "за" или "против" выступает цена вопроса.

У этой аудитории мы пытались выяснить, осознают ли компании саму проблему утечки конфиденциальной информации, имеют ли они потребности в применении специальных средств борьбы с утечками, какие программные продукты в этой связи применяют, и от каких факторов зависит решение о покупке того или иного средства DLP-защиты.

Как мы с удивлением обнаружили, 96% респондентов осведомлены о проблеме утечки конфиденциальной информации и о существующих для решения этой проблемы средствах защиты (DLP). И лишь 4% оказались совершенно не в курсе. Столь высокая степень осведомленности при очевидно меньшем спросе на DLP-системы показалась нам подозрительной.

Тогда у участников опроса спросили, какие же средства информационной безопасности они используют. Оказалось, что 100% компаний пользуются антивирусной защитой, 90% ограничивают доступ сотрудников к файлам и права сотрудников на установку программ на рабочих машинах. Более 70% компаний ограничивают права пользователей на копирование информации и немногим более 20% используют многофункциональную интегрированную защиту. Очевидно, что ни одно из перечисленных средств защиты в чистом виде нельзя отнести к разряду DLP-систем. Если же учесть, что 61% компаний утверждают, что уже пользуются либо планируют пользоваться DLP-системами, вывод очевиден – в большинстве случаев люди не имеют понятия о том, что представляет собой специализированное средство защиты от утечек (DLP-система) и как именно оно защищает конфиденциальные корпоративные данные от утечки. Это ясно показывает, какую огромную работу по просвещению рынка ещё предстоит проделать вендорам, работающим в данном сегменте.

Интересно, что при довольно слабом понимании именно DLP-систем, ИТ-менеджеры компаний-респондентов видят несомненные выгоды от их внедрения, а именно упрощение работы ответственных за ИБ сотрудников, мониторинг ситуации с информационной безопасностью в компании, отсутствие инцидентов или возможность быстрого реагирования на них. Основными факторами, подталкивающими СМБ компании к приобретению DLP-решений, являются возрастание рисков и экономическая обоснованность покупки, а также принятие обязательных для исполнения нормативных актов в данной области (в частности 152-ФЗ о защите персональных данных). Тормозит же внедрение DLP-систем в компаниях малого и среднего бизнеса, по мнению респондентов, высокая цена на данные решения и несоответствие продуктов техническим требованиям заказчика.

Этим компаниям, как и крупным предприятиям, есть что защищать: почти 100% нуждаются в защите персональных данных, более 70% хотели бы обеспечить безопасность клиентских баз данных, более 60% респондентов беспокоятся за сохранность данных о финансовом состоянии компании, ещё 50% – за бизнес-планы компании.

Выводы:

1. На рынке DLP есть понимание проблемы малого и среднего бизнеса, но он абсолютно не освоен (российские СМБ компании не знают DLP-вендоров, принимают за них крупных производителей антивирусных решений и даже производителей софта, не имеющего отношения к информационной безопасности!)
2. С точки зрения угроз малый и средний бизнес не сильно отличается от крупного, и вероятность утечки конфиденциальной информации из небольшой компании ровно такая же, как и из крупного предприятия. Однако стоимость утечки для малого и среднего бизнеса может быть больше, чем в сегменте enterprise: что для крупной компании большая неприятность, то для небольшой может означать закрытие бизнеса!
3. Основной вывод, который мы для себя сделали из проведенного исследования, звучит так: защита от утечек информации для среднего и малого бизнеса жизненно не менее важна, чем для крупных предприятий. Но небольшим компаниям нужна, прежде всего, доступная по цене, лёгкая к бюджетному обоснованию и соответствующая требованиям законодательства система защиты от утечек. Тот, кто сможет сделать предложение, адекватное спросу, и отхватит этот кусок пирога!