Без преувеличения первые десять дней сентября можно назвать декадой информационной безопасности (ИБ) в Москве. За несколько дней специалисты этого сектора информационных технологий, как бы изголодавшись по работе после летней отпускной поры, компенсировали временное "отлучение" от профессиональной деятельности активным участием в профильных выставках, специализированных и общедоступных круглых столах, тематических семинарах, корпоративных пресс-конференциях и т. п.
Разработчики
Для разработчиков средств информационной защиты главным мероприятием первой декады сентября стала прошедшая (уже в третий раз) в Москве ежегодная международная специализированная выставка-конференция Infosecurity Russia 2006. Ее отличала напряженная внестендовая работа участников, в которой отдельное внимание было уделено начинающим специалистам ИБ, а также представителям среднего и малого бизнеса (SMB). Для них была запланирована специализированная секция "Основы ИБ - тем, кто начинает".
Мэтры защиты информации на Infosecurity Russia 2006
Профессионалы ИБ уделяют внимание не только теоретической подготовке своих потенциальных клиентов из сегмента SMB. Сегодня явно отмечается стремление разработчиков удовлетворить специфический спрос таких компаний "заточенными" решениями. "Среднему и малому бизнесу нужны продукты, которые обеспечивают высокий уровень защиты, но при этом не нагружены сложными средствами гибкого управления", - считает Михаил Кондрашин, руководитель центра компетенции компании Trend Micro в России.
Прежде всего функции информационной защиты в таких решениях (среди которых и Trend Micro Client Server Security for SMB) должны выполняться в автоматическом режиме - никаких ручных процедур. Комплексная, интегрированная система защиты контролируется с одной консоли по упрощенным процедурам администрирования. Предполагается, что администратор не следит за консолью, как это бывает в крупной компании, а обращается к ней только тогда, когда получает уведомление (например, по электронной почте) в случае возникновения нештатной ситуации, - используется идея светофора. Продаются такие решения в коробочном исполнении.
Вся защита (читай: решение) устанавливается за один инсталляционный сеанс, длительность которого зависит от масштабов и сложности сети клиентской компании. Важно и то, что администратору не нужно штудировать тома документации: в процессе сеанса инсталляции он только отвечает на наводящие вопросы программы. В такое решение вендор вкладывает свою квалификацию, понимание проблем ИБ и рассчитывает на доверие со стороны заказчика. Если же клиенту нужны дополнительные гарантии, он имеет возможность заказать поддержку в режиме расширенного сервиса.
Алексей Раевский: “Установка
средств шифрования информации
на серверах станет таким же
обязательным делом, как
использование антивирусов”
Если зарубежные компании включились в разработку комплексных систем информационной защиты и средств управления системами ИБ из единого центра, то российские разработчики сосредоточены на нишевых решениях. Алексей Лукацкий, известный российский эксперт в области безопасности, причину этого усматривает в том, что западные компании большое внимание уделяют исследованиям и разработкам, в том числе и связанным с долгосрочной перспективой. Регулярные траты на эти цели доходят до 10% корпоративного бюджета и прописываются в финансовых отчетах отдельной строкой. У российских компаний процентные показатели по вложениям в разработки те же, но имеют совершенно иной масштаб в абсолютном выражении. Кроме того, рисковать долговременными вложениями они не готовы по внутренним общеэкономическим причинам, не связанным непосредственно с рынком безопасности.
С такой оценкой согласен и Александр Соколов, генеральный директор компании "Элвис+", входящей в пятерку ведущих отечественных разработчиков средств ИБ: "В России сегодня нет компаний уровня, например, Check Point, которые могут позволить себе инвестировать сравнимые с ее вложениями средства в исследования. После 1998 г. мы расходуем на исследования до 10% прибыли. Но этого явно недостаточно для того, чтобы разрабатывать революционные решения на рынке ИБ. Не избалован данный рынок и целевыми государственными инвестициями. Только иногда компаниям удается за счет участия в какой-либо госпрограмме получить немного средств на ту или иную разработку. Хотя нередко эти компании отчитываются за свою часть в госпрограммах формально: проще "освоить" деньги, предложив что-нибудь из старых разработок, нежели сделать что-то новое".
В молодой российской компании Se-curIT, занимающейся созданием средств защиты от внутренних угроз, на разработки, по оценкам возглавляющего ее Алексея Раевского, тоже уходит до 10% прибыли. Но малые масштабы компании, штат которой состоит всего из 25 сотрудников. позволяют ей принимать решения по вложению средств оперативно, и это используется руководством как конкурентное преимущество. Так, весной нынешнего года SecurIT выпустила новый (для своего портфеля) продукт - Zlock, он был разработан менее чем за год на гребне роста спроса на вполне определенный вид информационной защиты. Это программное средство, перехватывая работу драйверов портов, обеспечивает разграничение доступа к устройствам, подключаемым через популярные интерфейсы USB, FireWire, COM, LPT, IrDA, Bluetooth или Wi-Fi, например разрешает использование работающих через USB аппаратных аутентификаторов Aladdin eToken (или аналогичных), но запрещает применение подключаемых к USB флэш-накопителей. Впечатляет и динамика роста фирмы: ее оборот на протяжении нескольких последних лет ежегодно удваивается.
И тем не менее, по словам г-на Лукацкого, подкрепляемым статистикой, долю участия России в мировом рынке ИБ следует признать крайне малой. По большому счету западные потребители о российских продуктах либо недостаточно информированы, либо не видят в них потребности.
Безнадежным, однако, положение наших разработчиков за рубежом не назовешь: прорывы на отдельных направлениях очевидны. У нас есть технологии и решения, с которыми отечественные компании вышли или пытаются выйти на международные рынки. К таковым можно отнести криптографию, биометрию, средства поддержки ЭЦП, где Россия предлагает передовые, неизвестные за рубежом подходы. Неплохо смотрятся на мировом рынке и отдельные наши бренды. Так, в августовском тесте аналитической группы Virus.gr (www.virus.gr) по фиксации вирусов позиции "Лаборатории Касперского" и "Доктора Веб" выглядят весьма убедительно: соответственно первое и восемнадцатое места среди мировых грандов антивирусной защиты говорят сами за себя.
В "непродвинутости" отечественных марок средств защиты информации явно ощущается маркетинговая недоработка. Западные разработчики средств информационной защиты не делают ставки на один продукт - в их продуктовых портфелях порой имеется по нескольку десятков предложений. Этим самым они страхуются от изменения конъюнктуры рынка. Успешные продукты дотируют развивающиеся. Аналитики отмечают, что у наших компаний, как правило, один продукт, который играет роль "дойной коровы", обеспечивая им в общем-то не бедное существование. Но при этом любой рыночный форсмажор приводит в лучшем случае к падению оборота компании, а зачастую и к уходу с рынка.
Каждые полгода-год зарубежные разработчики выпускают обновления. Это продиктовано законами существования продукта на рынке: для ИБ время активных продаж продукта как раз соответствует примерно полугоду. Российские же продукты, как отмечает г-н Лукацкий, не обновляются годами, и зачастую под обновлениями у наших разработчиков подразумевается получение нового сертификата для продукта с прежним функционалом, переведенного всего лишь на новую платформу. Обращает внимание г-н Лукацкий и еще на одну особенность нашего рынка ИБ: на Западе требования к информационной защите диктует рынок, а у нас - система сертификации. "Можно разработать, - продолжает он свою мысль, - идеальный продукт, покрывающий все потребности пользователя, но если его не удастся сертифицировать, то распространения он не получит. Разработчики вынуждены делать продукты, на которые выдаются соответствующие бумаги, но задачи пользователей они во многих случаях не решают".
Сравнение рекламной активности компаний из разных стран тоже не в нашу пользу. Даже работа на выставках у нас организуется плохо. Например, на той же Infosecurity Russia 2006 стендисты (так сказать, передний отряд компании на выставке), представляющие одного из крупнейших российских интеграторов, с трудом смогли разобраться (когда в этом возникла необходимость), кто в их фирме возглавляет маркетинговую и PR-службы. А на стенде крупного отечественного оператора мобильной связи посменно отбывала вахту пара утомленных служивых, которым было совершенно неинтересно и даже обременительно посещение их рабочего места представителем прессы.
Интеграторы
Отвечая на вызовы угроз, продукты ИБ усложняются, становятся более комплексными. Информационная инфраструктура среднестатистической российской компании по обыкновению гетерогенная, это относится и к используемым средствам информационной защиты. Между отдельными решениями ИБ не всегда налажено взаимодействие: защищают они от разных видов угроз и управляются разными специалистами. В большинстве случае документация, определяющая методологию обеспечения безопасности в организациях, создана давно и не актуализируется по ходу внедрения новых решений. В результате и методология, и администрирование отстают от внедренных и работающих систем, что становится причиной появления уязвимостей при наличии, казалось бы, современных средств защиты.
| Среднему и малому бизнесу нужны продукты, которые обеспечивают высокий уровень защиты, но при этом не нагружены сложными средствами гибкого управления, потому что в небольших компаниях зачастую нет персонала для обслуживания таких систем. |
Чтобы изменить такое положение дел, необходимы, как считают специалисты, системы управления ИБ, которые анализируют информацию, поступающую от всех компонентов защиты и, кроме того, поддерживают в актуальном состоянии документацию по ИБ. За рубежом для решения подобных задач разработаны международные стандарты, где прописаны соответствующие методологии (это прежде всего группа стандартов ISO: 9000, 20000, 27001 и др.). В России они активно используются в транснациональных компаниях. Применение их в отечественных фирмах - пока редкость.
Трудно не согласиться с мнением Александра Буйдова, директора по информационным технологиям компании КРОК, что в такой ситуации в области ИБ возрастает роль системных интеграторов - именно они должны стать ведущими в построении систем ИБ заказчиков.
Вендоры тратят средства на разработку перспективных решений, и прежде всего они заинтересованы в продвижении своих продуктов. В проектах по внедрению систем ИБ их задача - обеспечить технический консалтинг. Роль заказчика в тех же проектах - суметь поставить задачу перед исполнителями и в дальнейшем управлять внедренной системой безопасности. Интеграторы берут на себя аудит состояния информационной защиты, объединение рыночных продуктов разных производителей в комплекс, решающий насущные задачи заказчика, и собственно развертывание комплекса. Они также должны помочь заказчику составить организационные документы, которые крайне важны. В результате такой согласованной работы должна быть сформирована система управления ИБ, в которой все развернутые решения работают как единое целое, по единым регламентам службы ИБ, получающей информацию от разных систем.
Пользователи
Безопасность внутри компаний, в том числе и информационная, все очевиднее упирается в человеческий фактор, проявление которого многогранно. Массовой причиной нарушения требований корпоративных правил безопасности является обыкновенная неосведомленность персонала. Поэтому обучение и инструктаж обязательно должны дополнять программно-аппаратные решения. Эти меры помогают устранить причину неосознанного нанесения вреда компании, предупредить об ответственности за нарушение правил ИБ и являются необходимой составной частью системы ИБ, а также одним из факторов формирования корпоративной культуры.
Для контроля доступа к информационным ресурсам в систему ИБ включаются решения по обеспечению регистрации и аутентификации пользователей. Корпоративным пользователям надо понимать, что функционирование подобных решений является не только средством контроля за их корректным поведением, но одновременно может свидетельствовать в их пользу при возникновении разногласий с администрацией в случаях нарушения в компании правил ИБ.
Находясь под защитой корпоративных систем, сотрудники компании при организации информационных контактов чувствуют себя достаточно уверенно в смысле определения понятия "свой - чужой". Совершенно иначе складывается ситуация с идентификацией "свой - чужой" для индивидуальных пользователей в Интернете. На это обратил внимание участников состоявшегося 8 сентября семинара "Информационная безопасность и защита бизнеса в России: эволюция угроз" Владимир Дегтярев, председатель совета директоров компании "Демос".
После того как мы доверили большую часть своей жизни Интернету, нам все ощутимее стала мешать его генетическая (как точно определил г-н Дегтярев) анонимность. Это остро ощущается последние год-полтора. И внимание на это обращают не только частные пользователи. На RSA Conference (www.rsaconference.com), ежегодно собирающей в США профессионалов из компаний и организаций, формирующих для нас Интернет как среду, ее участники в один голос отмечали кризисный характер проблемы идентификации во Всемирной паутине. И если бизнес эту проблему решает успешно, то для граждан обостряется юридический аспект транзакций в Сети: подтверждение совершения транзакций и состава ее участников.
"Если проблема идентификации не будет решена, кризис доверия к Интернету приведет к падению мирового экономического оборота на 10-20%, что может спровоцировать экономический кризис. Правда, по технологическим причинам Россию это затронет в меньшей степени, чем западные страны", - отмечает г-н Дегтярев. Механизмы контроля в Интернете должна вырабатывать свободная экономика - технология и бизнес все сделают сами. Правительствам же следует подходить к этой проблеме с точки зрения конкурентоспособности страны в целом, учитывая при этом, что в одиночку с такой задачей не справится ни одно правительство. Это - глобальная проблема.
