Актуальные вопросы информационной безопасности
На вопросы журнала «BYTE/Россия», заданные экспертам ведущих компаний – системных интеграторов, отвечает менеджер по развитию решений безопасности компании INLINE Technologies Алексей Спирин.
BYTE: Информационная безопасность – очень многогранное и широкое понятие. Как бы вы определили в целом проблему ИБ и какие выделили бы в ней основные сегменты/направления?
Алексей Спирин: С информационной безопасностью связан целый пласт вопросов, которые на наших глазах уже несколько лет плавно переходят из области, специфичной для ИТ-рынка, в общечеловеческую и даже цивилизационную. Упрощенно можно сказать, что ИБ есть три основные задачи: обеспечить целостность данных (немодифицируемость), их конфиденциальность (нераскрываемость) и доступность. Будут ли решены все проблемы ИБ, если выполнить эти три задачи? Увы, нет. Есть извечная проблема в нахождении компромисса между удобством использования и безопасностью. Есть вопросы законодательства, связанные с необходимостью и легитимностью использования тех или иных средств защиты. Есть вопросы управляемости ИБ на средних и крупных предприятиях, где «простое» использование современных средств защиты не приносит качественных изменений, пока не будет продумана политика ИБ и построена комплексная система управления ею. Есть в конце концов первопричина всех проблем – люди, их осведомленность о необходимости соблюдать определенные правила информационного взаимодействия.
На современном этапе развития цивилизации идет битва за информацию и контроль над ней. Почему люди делают это? Потому что это приносит им какие-либо выгоды и потому что могут. Что останавливает людей от совершения преступления в реальном мире? Воспитание или неотвратимость наказания?
Оставив в стороне рассуждения о свойствах человеческой натуры, затронем другой вопрос: как с помощью технических или организационных мер сделать так, чтобы люди не могли сознательно или неосознанно нарушать правила ИБ?
При известной оптимистичности можно представить себе обозримое будущее, в котором каждый пользователь, получая доступ к корпоративной или публичной сети, проходит биометрическую идентификацию, все его действия учитываются, а ценная информация хранится и передается в защифрованном виде, причем получить доступ к ней может только легитимный пользователь. Есть ли место в такой информационной системе проблемам ИБ? Очевидно, что проблемы качества ПО и наличия злонамеренных программ не исчезнут, но многие из существующих проблем безопасности будут решены.
Делая выводы из всего сказанного, я бы выделил три основные проблемы, решение которых может значительно повысить информационную безопасность:
- слабая грамотность пользователей в вопросах безопасности;
- отсутствие гарантированной, криптостойкой аутентификации при доступе к информационным ресурсам;
- небезопасная обработка и хранение информации.
Для начала решения этих проблем нужные технологии и методологии уже существуют.
BYTE: Какие сегменты/направления ИБ будут наиболее актуальны для российского рынка в 2009 г.?
Алексей Спирин: Однозначно 2009 г. для ИТ-бюджетов пройдет под знаком кризиса. Уже утвержденные бюджеты и планы развития пересматриваются. Делая выбор между тем, чтобы сохранить рабочие места сейчас или защититься от потенциальных угроз завтра, держатели бюджетов предпочитают первое, и это можно понять.
Но в то же время актуально не только снижение затрат само по себе; для многих компаний кризис – подходящее время, чтобы сделать «умный выбор», т. е. выбрать решения, которые позволят оптимизировать работу компании, ее сотрудников и в конце концов достаточно быстро вернут вложенные в эти решения средства. Это серьезный критерий: ведь решения ИБ не приносят прямых доходов владельцам бизнеса, они предотвращают возможные потери, которые не всегда удается четко подсчитать. Поэтому в первую очередь востребованы будут те продукты и технологии ИБ, которые смогут показать и доказать свою быструю окупаемость и эффективность.
Кроме того, на мой взгляд, получат развитие решения для контроля инсайдеров. Хотя эта тематика достаточно давно присутствует на рынке ИБ, она не была актуальной в силу общего благодушного настроения. Российский корпоративный рынок до недавнего времени недооценивал опасность внутренних угроз и вероятность утечки информации по вине персонала. Сейчас же для увольняемого сотрудника соблазн забрать с собой ценную информацию может оказаться слишком велик.
Еще одна нарастающая тенденция последних лет – соответствие законодательным и вертикальным требованиям. За последние годы многие зарубежные отрасли и компании прошли достаточно большой и, надо сказать, тернистый путь к пониманию необходимости государственного и отраслевого регулирования ИБ. По различным причинам российский рынок находится на начальной стадии становления в этой сфере, но в связи с актуальными изменениями в российском законодательстве и возрастающей интеграцией с западными организациями наши компании вынуждены всерьез учитывать необходимость таких изменений. Мой прогноз – в 2009 г. значительно увеличится количество предприятий, заинтересованных в аттестации своих автоматизированных систем на соответствие закону о персональных данных или отраслевым стандартам и требованиям – PCI DSS, BASEL II и т.д.
BYTE: Какое место вопросы ИБ занимают в реализации российских ИТ-проектов в целом? Есть ли какие-то различия для отдельных вертикальных и горизонтальных рынков?
Алексей Спирин: По грубой оценке, за последний год практически в каждом проекте так или иначе звучала тема защиты информации. Предпосылки у заказчиков совершенно разные – это и уже упоминавшиеся вертикальные требования, и понимание актуальных угроз ИБ, и желание изначально заложить архитектуру безопасности в новые информационные системы. Достаточно много проектов было выполнено в рамках повышения безопасности уже существующих информационных систем. Так или иначе, люди серьезно задумываются над обеспечением ИБ, и это радует.
Конечно, в целом, информационная безопасность относится к так называемым расширенным сервисам, и в условиях кризиса многим компаниям приходится выбирать решения исходя из их финансовой эффективности. Кстати говоря, наша компания сформировала специальный пул «антикризисных решений», позволяющих реализовать технологическое преимущество в виде повышения вполне ощутимых финансовых показателей. Надеемся, это поможет нашим заказчикам устоять в условиях финансовых потрясений.
Различия между рынками, конечно, существуют. Можно сказать, что необходимость системы контроля и защиты доступа в Интернет все понимают примерно одинаково, но подход к защите от внутренних угроз значительно варьируется в зависимости от корпоративной культуры компании. Традиционно достаточно серьезно подходят к контролю сотрудников банки и промышленные предприятия. В то же время многие крупные, географически распределенные компании уже внедрили или внедряют системы управления информационной безопасностью, но с трудом могут контролировать своих сотрудников в силу больших масштабов. У каждой компании своя специфика, и зачастую приходится комбинировать решения различных вендоров для решения комплекса задач.