Czy Państwa nakłady na bezpieczeństwo są wystarczające?

Dennis Brandl prezes BR&L Consulting

Jednym z problemów związanych z pisaniem o sieci i bezpieczeństwie komputerów jest prędkość, z jaką zmieniają się zagrożenia. W ciągu kilku tygodni, jakie oddzielą pisanie artykułu od jego pojawienia się w formie drukowanej, najprawdopodobniej nastąpi kolejny cyberatak, po którym pojawi się mnóstwo historii o tym, jak firmy nie radzą sobie z zabezpieczaniem komputerów.
W roku 2003 (dane od SecurityStats.com) niezabezpieczone miejsce na serwerze zostało zaatakowane 467 razy w ciągu pierwszych 24 godzin; ten sam serwer wykrył 626 ataków w ciągu trzech tygodniu po jego pierwszym dniu działania w Internecie; robak SQL Slammer potrzebował zaledwie 10 minut, żeby rozprzestrzenić się na całym świecie, podwajając swoją wielkość co 8,5 sekund; koszty usuwania skutków MS Blaster szacowano na prawie 500 000 USD na firmę, a duże firmy donosiły o stratach rzędu milionów; w okresach szczytowych jedna na 12 wiadomości poczty elektronicznej w Internecie była wysyłana przez wirus MyDoom; szacuje się, że w roku 2003 wirusy kosztowały firmy 55 miliardów USD.
Trzymać osobno
Zazwyczaj firewalle oraz urządzenia zabezpieczające ochraniają firmowy intranet oraz inne elementy sieci. Mimo to zaleca się jednak rozdzielanie sieci systemów automatyzacji od sieci korporacyjnego intranetu poprzez zastosowanie ścian ogniowych, wirtualnych lokalnych sieci komputerowych VLAN czy po prostu poprzez ich fizyczne rozdzielenie. Systemy automatyzacji oraz systemy operacyjne są często nastawione na realizację konkretnego zadania. Oznacza to, że muszą działać, aby zapewnić ciągłość produkcji. Niestety, systemy te często nie mają uaktualnionego zabezpieczenia przed wirusami, nie mają najnowszych „łat” (patches), ale wcale nie z powodu braku dbałości producentów. W roku 2003 Microsoft wprowadził 51 dodatków zabezpieczających – mniej więcej po jednej „łacie” na tydzień. Miało to na celu przeciwdziałać nowym wirusom i robakom, które codziennie są wprowadzane do sieci przez cyberwandali.
To wszystko aż się prosi o zadanie pytania: Jaka jest właściwa wysokośc wydatków ponoszonych na zabezpieczanie sieci oraz związanej z nią infrastruktury?
Sprzęt, oprogramowanie, ludzie
Według kilku przeprowadzonych publicznie ankiet wydatki na sprzęt zabezpieczający, oprogramowanie oraz personel stanowią ok. 4% budżetów IT. W niektórych gałęziach przemysłu, takich jak instytucje finansowe oraz uniwersytety, gdzie infrastruktury IT są niezwykle ważne, wydatki są większe, sięgają średnio ok. 7% budżetów IT (w niektórych przypadkach 20%). Dodatkowe 7% wydaje się na infrastruktury sieciowe, a część tych pieniędzy jest przeznaczonana cele związane z bezpieczeństwem. Szacuje się, że średnie inwestycje na cele IT osiągną w USA do roku 2006 poziom od 8% do 12% budżetów IT. Jeśli chodzi o zagospodarowanie budżetów na bezpieczeństwo IT, to jedna trzecia zazwyczaj idzie na sprzęt zabezpieczający (firewalle, skanery poczty elektronicznej itd.), oprogramowanie zabezpieczające oraz personel obsługujący zabezpieczenia.
Zgodnie z przemysłowymi standardami  przeciętny dział IT w zakładzie produkcyjnym powinien wydawać od 5% do 10% budżetu IT na bezpieczeństwo. To stosunkowo mały procent, łatwo o nim zapomnieć w projektach kapitałowych czy budżetach rocznych. Koszty bezpieczeństwa trzeba jednak przeliczyć na potencjalne wydatki, podobnie jak robi się to w przypadku ubezpieczenia, ponieważ dopóki nie są potrzebne, reprezentują czyste koszty bez namacalnych zwrotów. Wtedy dopiero wyraźnie widać, że są to dobrze zainwestowane pieniądze.