О заблуждениях в безопасности, ставших классикой
знак равенства все-таки ставить не совсем корректно.
Во-вторых, ориентация на крупный бизнес выводит из под действие данного отчета операторов связи, малый и средний бизнес, что, конечно, является очень большим упущением авторов отчета.
В-третьих, отчет не учитывает вертикальной специфики.
И если в хорошо компьютеризированной Америке это обоснованно, то, например, в России, где уровень информатизации разных отраслей может различаться на порядки, это уже неправильно.
К чему мы приходим?..
Отчет «Computer Crime and Security Survey» показывает нам «среднюю температуру по больнице», которую нельзя использовать в реальной работе и опираться на эту статистику для прогнозирования ситуации с информационной безопасностью в конкретной компании или организации.Можно долго ругать американскую статистику, но, к сожалению, надо признать, что другой у нас нет.
В России за все годы ее информатизации так и не появилось сколь-нибудь значимой и авторитетной статистики.
Называть таковой данные о компьютерных преступлениях МВД неправильно по двум причинам.
Первая из них аккумулирует все, что было сказано выше про отчет CSI (отсутствие вертикализации, учета разных масштабов бизнеса и др.).
А вторая заключается в том, что МВД считает не угрозы и не атаки, а «дела», доведенные до суда и более того, дела по которым преступник был наказан (какой смысл рапортовать о «висяках» и делах, в которых вина задержанного не была доказана).
По этой причине, кстати, название американского отчета «Computer Crime» (компьютерные преступления) не совсем корректно, т.к.
в нем говорится именно об атаках, а не делах, попавших в суд.
В России отсутствует аналог американского CERT/CC (координационный центр реагирования на компьютерные инциденты).
У нас нет аналога CSI или иного исследовательского центра.
Поэтому ждать, что у нас в обозримом будущем появится адекватная статистика по компьютерной безопасности не приходится.Теперь переходим к стоимости информации или ущерба.
Кто умеет их считать? Никто.
Даже сам заказчик не в состоянии оценить ни стоимость информации, ни стоимость информационных активов, ни стоимость ущерба.