Владимир Гайкович: В 2003 году рынок ИБ переживает столько судьбоносных решений, сколько он не переживал за последние 5-7 лет
Интервью CNews. ru дал Владимир Гайкович, генеральный директор НИП «Информзащита». Эксперт указывает на факторы нестабильности рынка информационной безопасности (ИБ) в России и подробно комментирует наиболее актуальные для отрасли темы.
CNews. ru: Два года назад одной из особенностей рынка вы отмечали соперничество между специализированными компаниями, работающими в сфере защиты информации и системными интеграторами. Как развивалось это соперничество в прошедшие два года?
Владимир Гайкович: Рынок ИБ очень специфический рынок. С одной стороны, новых игроков на этом рынке почти не появляется, но, в то же время, никуда не исчезают действующие игроки. Да, их финансовое состояние может ухудшиться, но они все равно остаются на этом рынке. Поэтому соперничество между системными интеграторами и специализированными компаниями вряд ли в ближайшее время завершится за явным преимуществом одной из сторон.
В 2002 году фортуна была на стороне специализированных компаний. Они в полной мере смогли воспользоваться более чем двукратным ростом рынка (с 37 до 75 млн. долл.), упрочив свои позиции на нем. Специализированные компании в прошедшем году добились очевидных успехов. Например, оборот нашей компании увеличился в 3 раза и превысил 15 млн. долларов. Ряд специализированных компаний вошли в рейтинг CNews100.
В то же время, по имеющейся у нас информации, немногие из крупных системных интеграторов заработали больше 1 млн. долларов на проектах и поставках решений по информационной безопасности. Большинству удалось добиться достаточно скромных результатов в пределах 500-800 тыс. На фоне общего оборота компании-интегратора (как правило, более 30 млн.) сектор информационной безопасности занимает малую долю (1-3%). Эта тенденция не могла остаться незамеченной. Реакцией на нее стал ряд организационных изменений у системных интеграторов.
CNews. ru: В чем конкретно проявились данные изменения?
Владимир Гайкович: Во-первых, у ряда крупных системных интеграторов были расформированы подразделения, отвечавшие за предоставление услуг в области ИБ. Большая часть сотрудников этих подразделений покинула компании, оставшиеся распределены по другим подразделениям. Во-вторых, некоторые системные интеграторы привлекают сотрудников специализированных компаний для проведения переговоров с заказчиками на тему ИБ. Мы уже видели визитки ведущих сотрудников специализированных компаний, на которых указана их должность в компании интеграторе. В-третьих, бизнес-модель специализированных компаний (услуги + собственные продукты + сторонние продукты) становится все более популярной. Системные интеграторы на основе нее создают внутренние бизнес-направления. Кроме того, компании, пытающиеся выйти на рынок ИБ, позиционируют себя именно как интеграторы в области информационной безопасности.
Текущая ситуация, на мой взгляд, не является устойчивой. Вполне возможна смена тенденций на прямо противоположные. Причиной, которая может изменить эти тенденции, являются действия государства. В 2003 году рынок ИБ переживает столько судьбоносных решений, сколько он не переживал за последние 5-7 лет. Это и переход на новые стандарты по сертификации средств защиты информации, ликвидация ФАПСИ, общая административная реформа.
CNews. ru: Вернемся к вопросу о показателях компании «Информзащита». Мы обменивались мнениями с представителями других компаний, работающих на рынке ИБ и они выражали сомнение в достоверности этих данных. Как вы можете прокомментировать это?
Владимир Гайкович: Безусловно, достоверность сведений, которые распространяет о себе компания, больная тема для всего российского IT-сообщества. Тем более сведения об оборотах компании. Мы не скрываем, что собираем открытые сведения о реальных оборотах той или иной компании, работающей на рынке ИБ, и затем сравниваем эти сведения с теми, которые эти компании публикуют в пресс-релизах или подают в различные рейтинги. Могу сказать, что декларируемые обороты обычно превышают реальные в 1,5-3 раза.
Мы не приветствуем такую практику и гордимся только реальными достижениями. Так как наша компания занимается только одним видом деятельности, то проверить наши показатели задача очень простая. Достаточно заглянуть в итоговые бухгалтерские документы, которые не являются коммерческой тайной.
CNews. ru: Что вы можете сказать по поводу новых стандартов по сертификации средств защиты информации, которые вступят в силу в 2004 году?
Владимир Гайкович: У меня смешанное отношение к этим документам. С одной стороны, нельзя не приветствовать переход на использование современных стандартов в области информационной безопасности. Использование Common Criteria позволяет выработать единый язык, на котором могут быть описаны как требования к автоматизированным системам, так и к средствам защиты.
Однако, существующий сейчас набор документов определяет не более чем расширяемый набор требований по безопасности. Для того, чтобы полностью заменить существующую систему сертификации необходима большая скрупулезная работа по группированию этих требований в профили и задания по безопасности. Кроме того, необходимо понимание того, как применять эти профили и задания в реальной жизни для защиты реальной информации. Предстоит еще очень много работы.
CNews. ru: Одним из наиболее заметных событий на рынке защиты информации стало, уже упоминавшееся вами, упразднение ФАПСИ. Следует ли ожидать каких-нибудь изменений в этой связи, например, ужесточения политики лицензирования?
Владимир Гайкович: ФАПСИ занималось достаточно широким кругом задач, от решения которых государство вряд ли откажется. Скорее всего, практически в неизменном виде различные подразделения ФАПСИ перейдут под новое руководство и будут выполнять аналогичные функции.
Будут ли ужесточения в области лицензирования? Мне трудно ответить на этот вопрос, потому как прогнозировать поведение государственных органов задача неблагодарная. Думаю, что существенных изменений не произойдет, так как сегодняшняя политика уже и так достаточно жесткая. Впрочем, мы не ждем и особых послаблений.
CNews. ru: Как скоро, по вашему мнению, можно ожидать начала выдачи лицензий удостоверяющим центрам? Как скоро, по вашим оценкам, ЭЦП станет повседневной реальностью в России?
Владимир Гайкович: Собственно лицензии начнут выдавать не раньше, чем примут все необходимые подзаконные акты, регламентирующие деятельность удостоверяющих центров. А это, в свою очередь, произойдет не раньше, чем в проекты подзаконных актов вместо ФАПСИ впишут название нового уполномоченного федерального органа. На это может уйти не менее 3-4 месяцев.
Но уже сегодня ряд российских компаний имеет временные разрешения на подобный вид деятельности, выданные ФАПСИ. А все мы знаем, что «нет ничего более постоянного, чем временное», и это подтверждается тем, что эти компании уже сейчас активно предлагают свои решения и услуги.
В корпоративном секторе ЭЦП стала объективной реальностью еще задолго до принятия соответствующего закона. Пионерами были, как обычно, банки: все системы типа «банк-клиент» построены с применением ЭЦП или подобных механизмов. Очень многие системы документооборота содержат возможность подписи электронных документов.
Конечно, нам еще достаточно далеко до глобальных систем, охватывающих всю страну, которыми, кстати, могут похвастаться лишь немногие зарубежные страны. Но количество внедрений неуклонно растет. Уже есть первый опыт проведения тендеров и организации государственных закупок на основе электронных заявок, заверенных ЭЦП. Пока размерность таких систем редко превышает 1-2 тысячи выданных сертификатов, но они развиваются.
До вхождения ЭЦП в жизнь среднестатистического рядового гражданина пока далеко, но очень многие связывают свои ожидания в этой области с реализацией программы «Электронная Россия». Может быть, уже через 2-3 года у каждого из нас будет не только паспорт, но и собственный сертификат открытого ключа ЭЦП, при помощи которого мы будем, например, подавать декларации о доходах, управлять своими счетами и т. п. Время покажет.
CNews. ru: Как вы оцениваете акцию американской компании Microsoft по предоставлению кода своих программ «правительствам нескольких стран», в том числе России? Это только маркетинговая акция или эти действия действительно способны кого-то убедить в безопасности ПО компании?
Владимир Гайкович: То, что они пошли на этот шаг, показывает, что конкуренция ПО Microsoft с ПО с открытыми кодами становится более жесткой. Хотя само по себе согласие предоставить коды никого и ни в чем убедить не сможет. Доказательством безопасности ПО компании Microsoft, как и любого другого разработчика, может быть только заключение экспертной организации, которая всесторонне проанализирует эти коды.
Исследование кода занятие долгое. Исследование кода наших программных средств в сертификационных лабораториях Гостехкомиссии России, обычно длится не менее 4-5 месяцев. Исходный код от Microsoft значительно больше по размерам и на его исследования уйдет больше времени. А за это время Microsoft выпустит очередной Service Pack. В результате процесс затянется на неопределенное время, если не зафиксировать ту версию, которая будет в дальнейшем использоваться.
Поэтому я бы оценил данную инициативу компании Microsoft как разумный маркетинговый ход, который ставит своей целью проникновение на рынок государственных организаций.
CNews. ru: В последнее время часто спорят о том, насколько защищены решения, созданные на основе ПО с открытыми исходными кодами. Проводили ли вы исследования Linux на предмет защищенности?
Владимир Гайкович: Насколько я понимаю, речь идет о том, какое решение более надежно с открытыми или закрытыми кодами.
У меня нет однозначного ответа на этот вопрос. Для того, чтобы определить надежность того или иного кода его надо проверить. Проверка кода достаточно долгое, сложное и дорогое занятие. Однако, если у вас есть время на подобную работу, то вы всегда сможете сделать для себя сколь угодно защищенную систему на основе решений с открытым кодом. Но только при условии, что у вас нет ограничений на время и деньги, которые вы можете заплатить за проверку. Кроме того, нужно еще предположить, что проверяющие код не будут допускать ошибок при проверке.
Стоит также заметить, что если будут допущены ошибки при проверке, подобная система будет более уязвимой, чем система на основе закрытых кодов, потому как искать уязвимости в опубликованных кодах легче не только исследователям, но и злоумышленникам.
Но надежность кода это только небольшая часть безопасности всего решения в целом. Большую роль в обеспечении безопасности решения играют вопросы настройки, сопровождения и развития. С точки зрения защищенности лучше то решение, которым знаешь как пользоваться.
Не секрет, что многие решения на основе открытых кодов не поддерживаются разработчиками, по ним не проводится подготовка специалистов, а это существенно увеличивает затраты у конечного пользователя финансовые, кадровые, временные. Возможно, термин «общая стоимость владения» многие считают сейчас просто модным, но нельзя сбрасывать со счетов те обязательные дополнительные затраты, которые придется нести компании, внедряющей любое решение. С этой точки зрения защищенное решение с открытыми кодами может оказаться слишком дорогим приобретением.
Наша компания не проводила полного исследования кодов Linux, так как у нас не было в этом необходимости. Мы придерживаемся принципа «отсекай лишнее», который позволяет получить высокозащищенную систему даже на основе решений, в адрес которых раздается постоянная критика. Только за счет удаления или отключения потенциально небезопасных сервисов можно существенно повысить защищенность любой ОС. А если к этому добавить грамотную настройку того, что осталось, то получается та самая защищенная платформа, на основе которой можно строить безопасную систему.
CNews. ru: В прессе сегодня масса сообщений об угрозах в сфере ИБ, между тем о реальных инцидентах в России, за исключением вирусов, почти ничего не известно. Может быть эти угрозы «дутые»? Есть ли у вас данные о росте инцидентов в России? Были ли серьезные потери от нарушения системы информационной безопасности в российском бизнесе в последнее время?
Владимир Гайкович: Пугать потенциального потребителя излюбленный прием практически всех игроков рынка безопасности, причем не только российского. Насколько перегибается палка в процессе «информирования» вопрос компетентности компании. Прямого обмана вы, скорее всего, не встретите. Возможно, говорят не всю правду, в первую очередь о том, насколько подвержена конкретная система тем или иным угрозам. Но, как правило, пугают все-таки реальными угрозами, которые зафиксированы международными центрами компетенции.
Мы не располагаем собственной достоверной статистикой о происшедших инцидентах. В нашей стране нет организации, аналогичной CERT по авторитету и возможностям, и нет особого желания пострадавших делиться своими проблемами. Но, на мой взгляд, эта статистика мало полезна при общении с заказчиками. Как говорил классик есть ложь, наглая ложь и статистика.
Мы строим отношения с нашими заказчиками иначе. Мы предлагаем решения, которые позволят навести порядок в его системе и избавить ее от злоумышленной активности как извне системы, так и изнутри нее.
Наша компания не предоставляет общественности никаких сведений, которые стали доступными ей при работе с заказчиками. Поэтому я не могу подробно ответить на ваш последний вопрос.
CNews. ru: Какие тенденции на рынке защиты информации будут ключевыми в ближайшие годы?
Владимир Гайкович: Я бы выделил следующие основные тенденции.
Во-первых, возможна нестабильность ситуации на рынке из-за изменения его государственного регулирования. Вполне возможно, что рынок ждет полоса «безвременья», когда старая нормативная база уже не действует, а новая еще до конца не отлажена. Это может быть достаточно продолжительный период от года до полутора лет. Последствия предсказать трудно, но, положительными они точно не будут. v
Во-вторых, следует ожидать роста доли услуг. Новая нормативная база стимулирует предложение услуг в части разработки внутренних организационно-распорядительных документов по безопасности. Кроме этого фактора расширение доли услуг будет вызвано тем, что потребитель хочет решить свои проблемы, которые не были устранены простой покупкой продуктов. Именно поэтому он готов оплачивать услуги компаний, которые решат эти самые проблемы, обеспечивая консультирование, интеграцию, поддержку и аутсорсинг. Однако, такая тенденция может не проявиться до конца в связи с нестабильностью рынка.
И, в-третьих, скорее всего, произойдет повышение интереса к технологиям, позволяющим интегрировать различные решения в единую систему. Лидируют здесь PKI и новые средства, ориентированные на управление рисками. Хотя внедрение этих технологий крайне сложный процесс, требующий привлечения профессионалов. Но выгоды от внедрения очевидны, поэтому этим технологиям будут уделять все больше внимания.