Сергей Груздев: Мнение о том, что российские компьютеры неплохо защищены это только миф
О тенденциях развития российского рынка защиты информации, а также о некоторых распространенных мифах в интервью CNews.ru рассказал Сергей Груздев, генеральный директор Aladdin Software Security R.D.
CNews.ru: Какие тенденции, на ваш взгляд, повлияли на развитие рынка защиты информации в России в прошедшем и начале текущего года?
Сергей Груздев: Если говорить о рынке ИБ в целом, безусловно, значимым, хотя и неоднозначным событием явилось принятие Закона о техническом регулировании. С одной стороны, он отменяет обязательную сертификацию, с другой стороны, Закон о коммерческой тайне так и не был принят, законопроект был отвергнут в третьем чтении. В результате с законодательной точки зрения полной ясности в сфере регулирования государством нашего сектора рынка пока нет, как нет и полномочного государственного органа, отвечавшего бы за такое регулирование. Нет и полноценных органов лицензирования.
Именно для нашей компании очень важной вехой послужила смена парадигмы: теперь в понимании большинства людей «безопасность» не является неким абстрактным абсолютным понятием. Безопасность, наконец, стали воспринимать как экономическую категорию, которая связана с теорией управления рисками и может быть, вероятностной, т.е. может зависеть от разных факторов.
Второй момент, который хотелось бы отметить: консолидация усилий крупных вендоров в деле обеспечения безопасности. Начало этого процесса запоздало, однако он позволил значительно оживить наш сегмент рынка. Это видно по тому, как люди начали относиться к обсуждению проблем безопасности, с каким интересом они посещают семинары и другие мероприятия на эту тему, насколько «правильные» вопросы они стали задавать.
Еще изменения, уже со стороны наших заказчиков. Они осознали, что гораздо проще работать на лицензионных программах, законно пользуясь обновлениями, а не на пиратском софте. Большую роль в этом, кстати, сыграли так надоевшие всем спам и вирусы.
Теперь заказчики, вынужденные покупать лицензионное ПО, платят за его поддержку. Это большой сдвиг для рынка защиты информации. Раньше ни мы, ни наши коллеги не работали с теми, у кого стояли нелицензионные программы. Теперь круг наших заказчиков расширился именно за счет того, что они законным путем приобрели программы и теперь могут обращаться к нам.
Хотелось бы отметить активную роль ГУ СТМ РФ, которое в последнее время старается не замалчивать проблему кражи корпоративной информации, а выявлять преступления и наказывать нарушителей.
Пожалуй, последнее, о чем хотелось бы упомянуть в этой связи: поднимаются российские регионы. Если раньше наши партнеры и заказчики были сосредоточены на территории Московской, Ленинградской, Нижегородской и некоторых других областей, то сейчас география нашей работы распространяется почти на всю Россию (я не говорю сейчас о других государствах).
CNews.ru: Как бы вы могли оценить масштаб использования средств 3А в системах защиты корпоративных сетей, контроля и управления доступом в помещения в России и мире в 2003 г.? Чем, по вашему мнению, можно объяснить изменение спроса на подобные решения по сравнению с 2002 г.?
Сергей Груздев: О масштабе говорить пока рано, поскольку заказчики только начинают ставить перед собой эти задачи. В 2002 г. в основном наши усилия были направлены на то, чтобы поднять, «просветить» рынок. Судя по количеству пилотных внедрений в 2003 г., нам это удалось. Прошлый год можно назвать годом массового тестирования технологий ААА на российском рынке.
Логично «наложить» развитие рынка ААА на рынок СКУД (системы контроля управления доступом). Технология СКУД тоже сравнительно молодая. Ее массовое внедрение началось только тогда, когда у компаний появились «свободные» деньги: они заняли приличное место на рынке, имеют хороший офис, достаточное количество сотрудников. Итак, если принять число предприятий с внедренными СКУД за 100%, то количество пилотных проектов в области ААА за 2003 г. достигает порядка 35%. Казалось бы, мало. Однако для нас самое главное то, что рынок осознал необходимость применения технологий ААА и, в частности, аппаратной аутентификации, и средства на ее внедрение уже заложены в бюджеты предприятий. Поэтому мы прогнозируем удвоение-утроение рынка в 2004 году.
Отмечу, что (как часто это бывает с новыми технологиями) на этапе пилотов они внедряются в рамках одного подразделения (обычно ИТ или финансового отдела) или, еще чаще, среди топ-менеджмента. Недавно представитель одного из наших крупных заказчиков поделился с нами впечатлениями: оказывается, тех, кого перевели на новую технологию и обязали пользоваться eToken, остальные сотрудники компании считают «белой костью». Обладание маленьким симпатичным устройством будто прибавляет звезду на погонах.
Отчасти это забавно, отчасти отвечает реальному положению вещей: ведь с нашими средствами аутентификации у пользователя действительно появляется больше возможностей. Раньше при том, что теоретически можно было и читать почту из дома, и обращаться к корпоративным ресурсам, будучи в командировке и т.п., эти возможности часто сознательно блокировались ИТ-отделами, т.к. нереально было соблюсти при удаленном доступе необходимый уровень безопасности при аутентификации. С нашими устройствами это очень просто.
В прошлом году, наконец, к заказчикам пришло понимание, что действительно защищенную сеть без применения наших технологий нельзя представить. Если еще года два назад в первую очередь все старались обезопасить себя от наиболее очевидных внешних угроз и устанавливали firewalls, антивирусы и т.д., то на сегодняшний день большинство компаний «дозрело» до осознания необходимости персонализации каждого пользователя информационной системы. Пример: мы защищаем канал VPN. Отлично, канал защищен, можно работать… Стоп! А кто на том конце канала? Свой или чужой?..
Иными словами, пришло понимание того, что необходимо гарантированно аутентифицировать личность пользователя «с другой стороны», причем необязательно только лишь при удаленном доступе, но и при работе непосредственно в организации. Этого можно достичь либо с помощью средств аутентификации, либо организационными мерами в этом смысле наши средства являются некой альтернативой face control.
Надо отметить, что использование аппаратных средств аутентификации способствует облегчению работы пользователя. С одной стороны, внедрение новых платформ, новых технологий (в том числе приложений, поддерживающих использование PKI и цифровых сертификатов) диктует необходимость их применения. А с другой, они, обеспечивая единый вход пользователя в информационную систему, значительно снижают нагрузку на него. Отпадает необходимость помнить множество паролей, больше никто их не записывает на бумажки и не хранит под клавиатурой.
CNews.ru: В чем, на ваш взгляд, программные средства аутентификации уступают аппаратным? Произойдет ли, по вашему мнению, возврат к программной аутентификации?
Сергей Груздев: С моей точки зрения, противопоставление программных и аппаратных средств аутентификации не совсем правомерно. Применение и одних, и других обусловлено конкретными задачами бизнеса. Часто бывает так, что предприятию просто не нужны аппаратные средства. Если проникновение в сеть «чужого» вообще никак не скажется на делах компании, конечно, не имеет смысла пользоваться более дорогими аппаратными средствами. Еще раз подчеркну, безопасность это категория экономическая, и внедрение тех или иных средств для ее обеспечения должно напрямую зависеть от нужд предприятия.
CNews.ru: Почему eToken не стал массовой технологией в России? Каковы основные препятствия на пути этого решения?
Сергей Груздев: Требования к уровню безопасности определяет бизнес. eToken не станет массовой технологией, да это и не нужно им будут пользоваться только определенные категории компаний и пользователей.
Главное назначение eToken снижение риска несанкционированного доступа к информации. Эта технология необходима только там, где этот риск угрожает потерей деловой репутации компании, потерей данных, в конечном итоге, денег. Эта технология элитарная, она не для всех.
CNews.ru: Некоторые специалисты в сфере защиты информации считают, что российские компании неплохо защищены от внешних угроз. Слабым звеном системы защиты информации являются внутренние угрозы, исходящие от работников компании. В какой степени смарт-карты способны снизить риск, вызванный «человеческим фактором»?
Сергей Груздев: «Русские компьютеры неплохо защищены» миф, сравнимый с мифом о силе и изощренности русских хакеров.
Во многих российских организациях компьютеры просто не подключены к интернету. А должной защиты очень часто попросту нет, руководители надеются на обычный русский «авось», не понимая, что слабое звено организации собственные сотрудники.
Нельзя забывать о том, что любая технология лишь придаток в грамотных и умелых руках. Технические меры по организации информационной безопасности должны идти в ногу с организационными.
Что касается риска снижения человеческого фактора с помощью смарт-карт, то напомню, что их применение лояльными сотрудниками означает снижение риска негативных последствий при случайных действиях пользователя (например, пользователь забыл сменить пароль этот риск вообще нивелируется). Угроза от лояльных пользователей исходит лишь потому, что они недопонимают остроту проблемы безопасности. Так, желая упростить себе жизнь, они заводят простые пароли или вообще один пароль для доступа ко всем ресурсам.
Для угроз от нелояльных пользователей (которых значительно меньше) риски снижаются не напрямую, а опосредованно. Что дает применение средств аутентификации? В первую очередь, возможность доказательства того, что те или иные действия произведены именно этим пользователем. Для того чтобы неправомерные действия были совершены другим лицом, необходимо отдать смарт-карту или ключ и сообщить PIN-код, что само по себе тоже уже является должностным нарушением.
Еще одно очень важное замечание: по отчетам социологических исследований, в 85% случаев люди не совершали бы противоправных действий, если бы не были уверены в своей безнаказанности. Т.е. преступления вызревают на почве безнаказанности и анонимности. Смарт-карты как раз и решают проблему анонимности. Использование аппаратных средств аутентификации можно сравнить с выдачей номеров на автомобили в ГИБДД: если водитель сделал что-либо не так, его наказывают вплоть до лишения прав. Если что-то не так сделал пользователь, его также могут наказать вплоть до увольнения с работы, поскольку можно доказать, что именно он совершил нарушение.
CNews.ru: На какие модели существует больший спрос со стороны государственных учреждений и на какие со стороны корпоративного сектора? Чем, по вашему мнению, вызван спрос именно на эти решения?
Сергей Груздев: Среди государственных организаций существует спрос на топовые модели токенов для Удостоверяющих Центров, органов исполнительной власти. Эти же модели идут и на корпоративный рынок, но для других целей: доступа в корпоративные сети, обеспечения защищенного удаленного доступа, защиты каналов (VPN), защиты ноутбуков для мобильных пользователей.
В начале года мы выпустили на рынок модель, совмещенную с RFID-чипом (радиометкой). Это вызвало новый всплеск интереса к токенам у корпоративных заказчиков: теперь одно и то же устройство можно употреблять и для подключения к информационным ресурсам, и для контроля доступа в помещение.
CNews.ru: Какая модель из линейки eToken была востребована рынком в 2003 г. в большей степени и почему? Как, на ваш взгляд, изменится спрос на продукты из этой линейки в 2004 г.?
Сергей Груздев: В целом динамика такова: сначала компании берут небольшое количество более дешевых и простых моделей для того, чтобы их опробовать. Обычно после этого закупаются топовые модели с большим объемом памяти. Эта тенденция будет сохраняться.
Почему? Ответ очень прост: пришло понимание, что не надо экономить на безопасности. Топовые модели более функциональны, они решают большее количество бизнес-задач. Так, если в 2002 г. соотношение младшей модели eToken R2 и старшей eToken PRO, составляло 50×50, то в 2003 г. уже 20×80.
Кроме того, после освоения моделей с RFID-метками повысился интерес к смарт-картам. Смарт-карты остаются наиболее привычным видом электронных идентификаторов. В технологическом плане смарт-карты и ключи представляют из себя, по сути, одно и то же, но при покупке порой вступает в силу психологический фактор доверие к смарт-карте у многих больше, чем к USB ключу.
CNews.ru: Недавно Aladdin усилил свою команду менеджеров. Связано ли это с тем, что ваша компания была недовольна результатами деятельности в 2003 году?
Сергей Груздев: Конечно, всегда хочется большего. Однако планы компании на 2003 г. были полностью выполнены. На только что прошедшей конференции партнеров Aladdin Knowledge Systems наша компания была названа номером один по активности на рынке и объемам продаж. В то же время, у нас, как всегда, довольно много серьезных планов на будущее. Под их осуществление мы берем новых людей, очень квалифицированных, чтобы они могли выполнить те или иные стоящие перед нами задачи.
Усиление команды не разовая акция, это нормальный постоянный процесс. Если компания постоянно развивается, усиление команды вечная необходимость.
CNews.ru: Какие, на ваш взгляд, перспективные решения в области аутентификации могут появиться в ближайшие 23 года?
Сергей Груздев: Мы постоянно отслеживаем тенденции нашего сектора рынка. Много информации в этом плане дает посещение крупнейших мероприятий CeBIT, COMDEX, RSA Conference. Могу сделать вывод, что развитие в этом секторе идет не революционным, а эволюционным путем. С моей точки зрения, можно говорить о перспективности нескольких технологий.
Совмещение собственно средств аутентификации с технологией RFID. Как я уже говорил, у нас уже есть опыт продаж таких средств. Интерес со стороны рынка налицо. Как только такое решение стало востребовано, рынок в лице ведущих поставщиков сразу же отреагировал на это его выпуском.
Совмещение контактных (USB) токенов и устройств генерации одноразовых паролей (ОТР).
Технология ОТР (лидеры этого сектора рынка компании RSA Security и Vasco) применяется в основном там, где необходимо обеспечить доступ к корпоративным ресурсам из недоверенной среды из чужого офиса, с терминала в аэропорту, из интернет-кафе.
Зачастую в таких условиях нет возможности установить драйверы для работы других средств аутентификации, поэтому используются автономные устройства, синхронизированные с сервером аутентификации компании. Пользователь генерирует с помощью устройства одноразовый пароль и вводит его с обычной клавиатуры. Эта технология очень удобна, например, для топ-менеджеров, часто бывающих в командировках.
Однако та же самая технология не очень комфортна для применения в офисе, поэтому на местах удобнее применять смарт-карты или USB-ключи. Я считаю, что совмещение этих технологий будет востребовано опять-таки, не всеми, мобильными пользователями и топ-менеджерами. Aladdin планирует выпуск такого продукта на конец лета нынешнего года.
Интеграция технологий смарт-карт с биометрией.
Отмечу, что на рынок уже было выпущено несколько таких продуктов. Однако в результате незрелости технологий и дороговизны они не нашли хоть сколько-нибудь широкого применения. В то же время, биометрические технологии продолжают активно развиваться, поэтому можно прогнозировать, что через два-три года на рынке появятся новые устройства многофакторной аутентификации.
Еще одно направление совмещение средств аутентификации с флэш-дисками. Действительно, удобно иметь средство аутентификации, которым постоянно пользуешься, и «флэшку» в одном флаконе.
Еще одна технология, представляющая интерес, смарт-карты с радиоинтерфейсом и беспроводным USB-интерфейсом. В данном случае развитие идет по пути упрощения использования.