Скрытый ущерб от шпионского ПО

Большинство ИТ-менеджеров не нуждается в статистике, чтобы убедиться, что шпионское ПО становится проблемой для их организации. Шпионское ПО (spyware) и его менее вредоносный сородич – рекламное ПО (adware) мешают работе корпоративных сетей во всем мире, похищая при этом персональную информацию, способствуя краже личности и наблюдая за поведением пользователей в онлайне.

Однако несмотря на очевидные риски, связанные со шпионским ПО, организации до сих пор не в состоянии измерить свои финансовые потери. Недавний отчет Forrester показал, что 56% заказчиков не может оценить величину дополнительной нагрузки на службу технической помощи, вызванной шпионским ПО, а 30% респондентов на знают, какой процент систем заражен им.

Рекламное ПО, хотя оно и менее вредоносное, чем шпионское, тоже может дорого обходиться организациям. Всплывающие рекламные окна, часто сопровождающие эти программы, уменьшают пропускную способность сети, выводят из строя системы пользователей и в конечном счете могут повлиять на производительность труда.

Хотя очевидная угроза шпионского ПО лежит в его способности красть конфиденциальную информацию или относящиеся к бизнесу данные, следующие скрытые расходы могут оказаться для организации не менее тяжелыми:

Обращения в службу технической помощи
В последние годы число и доля звонков в сервисную службу, связанных со шпионским ПО, бьют все рекорды. По оценке META Group, не менее 20% работы этой службы приходится на чистку зараженных клиентских систем, а по другим оценкам доля звонков, связанных со шпионским ПО, доходит до 33%.

Влияние на сетевой трафик
Один из наиболее серьезных аспектов шпионского ПО, с которыми приходится бороться ИТ-администраторам, это его влияние на производительность сети. Под этим подразумеваются и отказы систем, и замедление работы интернет-соединений, и необычное поведение веб-браузера. Наиболее опасные в этом смысле программы могут отнимать часы рабочего времени, потраченного на диагностику и устранение неполадок. Можно привести следующие примеры поведения программ, влияющего на производительность:

• Не замедляет ли программа работу системы или сетевого соединения?
• Не влияет ли программа на стабильность системы?
• Не появляются ли всплывающие рекламные окна? Если да, то как часто?
• Не служит ли программа средством загрузки и установки других угроз (например, дополнительного шпионского и/или рекламного ПО)?
• Не заменяет ли программа домашнюю страницу браузера по умолчанию или параметры настройки/поведение инструмента поиска?

Кроме этого, рекламное ПО часто более широко распространено в организации, чем шпионское. Подобно последнему, некоторые формы рекламного ПО устанавливаются без какого-либо участия со стороны пользователя. Рекламное ПО грозит раскрытием конфиденциальных данных, переадресовывая пользователей без их ведома на веб-сайты-«двойники». ИТ-менеджерам следует рассматривать рекламное ПО как потенциальный источник влияния на сеть.

Производительность труда
Влияние на производительность труда сотрудников трудно оценить в деньгах, но те, кто постоянно борется со шпионским и рекламным ПО на своих системах, явно работают менее продуктивно. К тому же если проблеме шпионского ПО не уделяют должного внимания, часто приходится заменять ПК, так и не выявив корень проблемы.

Опрос ответственных ИТ-руководителей, проведенный Forrester Research в 2005 году, показал, что 40% респондентов не знает, сколько систем в их организации заражено шпионским ПО. Те же, кто смог измерить число таких систем, обнаружили, что их доля достигает 20% и быстро увеличивается.

Сдерживание
Полностью искоренить шпионское ПО на предприятии трудно, а то и невозможно, но ИТ-подразделение может принять меры к существенному уменьшению его финансового влияния на организацию. В число очевидных мер входит установка антивирусного решения на всем предприятии. Чтобы укрепить оборону, нужно также подумать о дополнительных мерах безопасности, таких как шифрованные интернет-соединения, более ограничивающие параметры настройки веб-браузера и запрет приема cookie-файлов с чужих сайтов. Чтобы исключить скрытые расходы, вызванные шпионским ПО, ИТ-менеджерам следует предпринять следующие шаги для минимизации рисков.

• Провести анализ обращений в службу технической поддержки, чтобы определить, какая часть этих звонков имеет отношение к шпионскому ПО. Это позволит оценить масштабы проблемы в организации. Ищите такие ключевые фразы, как «плохо работающая система», «производительность электронной почты» (или приложения), а также фиксируйте все вероятные случаи заражения шпионским или рекламным ПО. По оценке IDC, на 67% всех компьютеров установлена та или иная форма шпионского ПО.
• Следите за использованием полосы пропускания, чтобы заметить изменения в случае влияния шпионского ПО на пропускную способность сети. Проверьте, куда ведут следы, чтобы заблокировать соответствующие URL.
• Проведите полное сканирование системы, прежде чем заменять ПК сотрудников, возможно, зараженные шпионским ПО. Часто системы можно спасти при помощи хорошего антишпионского решения. Кроме того, просвещайте сотрудников по поводу влияния шпионского ПО, появление которого может быть связано с самовольной загрузкой приложений.
• Научите пользователей видеть разницу между шпионским и рекламным ПО. Шпионское ПО используется для вредоносных атак и дальнейшей кражи личности, тогда как рекламное ПО часто применяется для сбора данных в целях маркетинга и преследует законные, в целом добропорядочные цели. Важно понимать, что рекламное ПО в целом не столь вредоносно, как шпионское, но его гораздо больше на предприятии, и вызванные им скрытые расходы могут быть не менее высокими. Пользователи могут не видеть проблемы во всплывающих окнах, сопровождающих загруженные ими программы, но эти окна могут оказывать самое разнообразное влияние, в том числе на производительность труда и пропускную способность сети. Сотрудники должны знать о вреде того и другого для предприятия и о тех действиях, которые им следует предпринять, если они подозревают, что их системы заражены шпионским и/или рекламным ПО.
• Создание и соблюдение общекорпоративных правил по загрузке и установке программного обеспечения. Как шпионское, так и программное ПО может автоматически устанавливаться на системы пользователей вместе с программами обмена файлами, бесплатными загрузками и бесплатными или условно-бесплатными версиями приложений, а также при активизации ссылок или вложений в сообщения e-mail или через интернет-пейджеры. Просветите пользователей по поводу лицензионных соглашений для конечного пользователя (EULA). Некоторые угрозы могут устанавливаться после или вместе с продуктами, сопровождающимися EULA. Тщательно прочитывайте их, чтобы ознакомиться с условиями приватности, прежде чем устанавливать ПО в свою корпоративную сеть и призывать к этому пользователей. В соглашении должно четко объясняться, что делает данный продукт, и к нему должна прилагаться программа деинсталляции.
• Научите пользователей замечать программы, которые отображают рекламу в пользовательском интерфейсе. Многие шпионские программы следят за тем, как пользователи реагируют на эту рекламу, и ее появление должно служить красным флажком. Реклама в пользовательском интерфейсе указывает на вероятность того, что вы имеете дело со шпионской программой.

Заключение
По мере усиления зависимости предприятий от информационной технологии усиливаются и проблемы, вызываемые шпионским и рекламным ПО — включая снижение производительности труда, учащение обращений в службу технической помощи и влияние на работу сети — и нужен надежный план по восстановлению контроля за своей средой и системами. Без него может произойти нарушение работы информационной системы, ведущее к утрате целостности бренда компании и доверия к ней на рынке — с самыми тяжелыми финансовыми последствиями. В этом году уже было несколько громких примеров подрыва репутации в результате преданной гласности случаев утечки данных. Для предотвращения финансового влияния шпионского ПО необходим подробный план действий, охватывающий продукты, правила, обучение и планирование.

Автор: Кевин Хейли (Kevin Haley), директор по управлению продуктами Symantec Corporation