Алексей Раевский: Пользователи задумываются о защите информации только после ее утечки
О тенденция, проблемах и перспективах рынка ИБ в России, а также об эффективной защите информации в интервью CNews.ru рассказал Алексей Раевский, генеральный директор компании SecurIT.
CNews.ru: Появление стандарта ИСО 154082002 в значительной степени облегчает выход отечественных разработчиков на мировые рынки со своими решениями. В какой степени российские компании заинтересованы в освоении международных рынков, ведь многие игроки по-прежнему испытывают дефицит ресурсов для развития?
Алексей Раевский: На мой взгляд, появление этого стандарта очень позитивный сдвиг для российского рынка систем информационной безопасности. В последнее время Россия взяла уверенный курс на интеграцию в глобальное мировое сообщество, и эта интеграция должна осуществляться на всех уровнях. Принятие международного стандарта благоприятно и для российского рынка, поскольку на нем смогут полноценно работать производители систем информационной безопасности, и для отдельных российских компаний, которые не хотят ограничивать сферу своей деятельности государственной границей РФ. Ведь получить такой сертификат в Европе или США для российской компании на порядок сложнее и накладнее, чем у себя дома.
CNews.ru: В прошлом году ваша компания вышла на рынок Литвы. Является ли это признаком того, что SecurIT основательно закрепилась на внутреннем рынке России?
Алексей Раевский: Во-первых, как определить момент, когда компания закрепилась на рынке? Если речь идет о репутации компании, о том, какое место она занимает в сознании своих потенциальных клиентов, то, на мой взгляд, в этом смысле нельзя расслабляться и говорить, «все, мы закрепились». Хорошая репутация создается годами, и работать над этим надо ежедневно. Для нас первоочередная задача заключается именно в том, чтобы в глазах клиентов выглядеть компанией, предлагающей высококачественные и удобные в использовании системы информационной безопасности, разработанные с использованием самых передовых технологий и учитывающие основные потребности клиентов. А положение на рынке это уже вторично.
Во-вторых, мы не считаем, что выходить на зарубежные рынки нужно только после достижения определенного положения дома. Если есть спрос на наши продукты в Литве, в Германии или в Гондурасе мы будем рассматривать варианты сотрудничества и продвижения на этих рынках.
Например, одним из первых наших проектов, практически сразу после объявления о выходе на рынок, было OEM-соглашение с американской компанией Biolink Technologies, по которому мы переработали и лицензировали один наш продукт для поставки совместно с биометрическим оборудованием, производимым этой компанией. В рамках этого соглашения наше ПО распространяется по всему миру.
CNews.ru: В последнее время настоящей головной болью многих пользователей стало похищение конфиденциальных данных. Эффективным лекарством может служить шифрование хранимой на жестком диске информации. Каковы, по вашей оценке, масштабы использования средств шифрования данных в России и мире?
Алексей Раевский: По нашему мнению, любую ценную информацию надо шифровать в процессе ее хранения. Это абсолютно необходимое условие для обеспечения защиты информации от несанкционированного доступа. Вопрос только в том, кто и в каких случаях считает свою информацию ценной.
За рубежом отношение к таким вопросам совершенно определенное. Например, CIO одного швейцарского банка сообщил мне, что у них в случае выхода из строя жесткого диска он не ремонтируется, а уничтожается физически, а вместо него просто ставится новый, поскольку в процессе ремонта информация может быть считана и использована во вред банку и клиентам.
В России, к сожалению, к таким вопросам отношение традиционное «гром не грянет мужик не перекрестится». То есть, о защите информации ее владельцы начинают задумываться только после того, как столкнутся с негативными последствиями ее утечки. В качестве примера можно привести произошедший пару лет назад инцидент, когда на черном рынке появилась клиентская база данных московского сотового оператора. На Западе такое очень тяжело представить, и даже если бы это произошло, то однозначно послужило бы поводом к многочисленным судебным искам, дисциплинарному и возможно даже уголовному преследованию лиц, отвечающих за сохранность информации.
Впрочем, в нашей стране тоже есть положительные тенденции. Многие уже считают наличие системы защиты информации на сервере обязательным. Могу сказать, что некоторые наши клиенты, крупные российские компании, приняли в качестве внутреннего корпоративного стандарта систему защиты информации Zserver, которая обеспечивает шифрование данных на дисках, и устанавливают ее на каждый сервер.
Кроме этого, в пользу нашей позиции говорят и крупнейшие корпорации производители «железа» и операционных систем, диктующие моду на рынке. Так, Microsoft, начиная с Windows 2000, реализовала EFS средство шифрования файлов, а IBM не так давно представила ноутбук со встроенным аппаратным шифрованием всего, что хранится на жестком диске.
CNews.ru: Современная гетерогенная ИТ-среда заставляет пользователей хранить в памяти до десятка различных паролей. Однако не все пользователи способны запомнить большое количество различных паролей это раз, а во-вторых, такой способ организации рабочего места очень сложен. Какие решения могут облегчить жизнь обычному человеку, ведь не хранить же пароли на листочках (как делают многие)?
Алексей Раевский: Да, действительно, гетерогенная структура сети и использование различных приложений для разных целей может очень сильно усложнить жизнь и пользователям, и ИТ-департаменту. По расчетам компании Rainbow Technologies, в среднем каждому пользователю требуется 4 обращения в год в службу поддержки для смены забытых паролей, при этом каждое такое обращение может стоить до 37,5 долларов. Если пользователей хотя бы несколько сотен, сумма таких издержек за год получается уже пятизначная. А если их несколько тысяч?
Поэтому для решения таких проблем применяются более совершенные методы аутентификации, чем пароль. Например, это может быть смарт-карта, электронный ключ или отпечаток пальца. В сочетании со специальным программным обеспечением single sign-on, которое позволяет хранить пароли от различных приложений в одном месте и подставлять их в диалоговые окна ввода паролей, проблема аутентификации для доступа к сетевым ресурсам и приложениям сводится к однократному предъявлению электронного идентификатора и вводу PIN-кода.
На сегодняшний день мы предлагаем разработанную нами систему Zlogin, предназначенную для двухфакторной аутентификации пользователей в сетях Windows, Novell NetWare и Linux, а также с использованием терминальных служб, и готовим к выпуску систему класса single sign-on для аутентификации в приложениях.
CNews.ru: Какие решения вашей компании были востребованы рынком в большей степени? С чем, на ваш взгляд, это связано?
Алексей Раевский: Можно говорить о той или иной степени интереса к нашим продуктам со стороны компаний различного профиля и размеров. Например, система Zlogin вызывает интерес со стороны крупных компаний и банков, там, где число пользователей превышает несколько сотен. В этом случае проблема аутентификации и контроля пользователей становится актуальной, поскольку количество пользователей превышает определенную критическую массу.
Системы для шифрования информации интересны всем, я не могу сказать, что кого-то они интересуют больше, кого-то меньше.
Наша новая разработка для защиты резервных копий Zbackup также ориентирована на довольно крупные компании или продвинутые в технологическом плане, поскольку резервное копирование на ленту используют далеко не все.
CNews.ru: Недавно ваша компания представила новый продукт Zbackup. Успело ли данное решение подтвердить эффективность своего использования?
Алексей Раевский: Естественно, решение о разработке этой системы принималось не на пустом месте. Многие наши клиенты, использующие резервное копирование на ленту, были обеспокоены защищенностью таких резервных копий. Действительно, по нашим наблюдениям, нередко можно столкнуться с ситуацией, когда вся информация на серверах компании надежно защищена, зашифрована, а рядом в тумбочке лежат кассеты с резервными копиями информации с этого же сервера. Таким образом, злоумышленнику достаточно получить такую кассету, чтобы полностью восстановить информацию, хранимую на сервере.
Кроме этого, некоторые компании предпочитают резервные копии хранить отдельно от серверов, чаще всего вне пределов офиса. Иногда даже прибегают к услугам специальных депозитариев для хранения лент с резервными копиями. Таким образом, количество посторонних лиц, имеющих доступ к информации, существенно увеличивается, и резервное копирование может стать потенциальным каналом утечки. Наша новая разработка как раз этот канал и перекрывает.
CNews.ru: Назовите наиболее крупные проекты, реализованные вашей компанией в сфере защиты информации в 2003 г.
Алексей Раевский: Для нас это «больной» вопрос. Любая компания публикует описания проектов и отзывы клиентов для повышения доверия к себе и своим продуктам. У нас много реализованных проектов, причем есть и довольно крупные, много отзывов, однако, ни один наш клиент никогда не согласится на публикацию этой информации. Мало кому понравится, чтобы все знали, какая сигнализация стоит на его автомобиле, какой замок на входной двери в квартиру и какой конструкции сейф используется для хранения наличности. При этом аргументы, что наличие такой информации у злоумышленника не поможет ему взломать или обойти систему, не работают, поскольку многие не хотят вообще афишировать наличие каких-то секретов и привлекать к себе внимание.
На мой взгляд, это вполне законная позиция для клиента, особенно, когда речь идет о таком «интимном» вопросе, как информационная безопасность. Поэтому мы уважаем право наших клиентов на приватность и никогда не разглашаем информацию о них без их согласия.
CNews.ru: Какие ключевые тенденции, на ваш взгляд, будут определять тенденции развития рынка защиты информации в России в ближайшие несколько лет?
Алексей Раевский: В последнее время мы наблюдаем увеличение степени конкуренции практически во всех сегментах российского бизнеса. Причем это конкуренция именно за клиента, за его выбор и за его деньги, а не за распределение ресурсов (завод/нефтяная скважина/место для магазина), как это было несколько лет назад, на заре капитализма в России.
Эта тенденция многое обещает для рынка информационной безопасности, поскольку вопрос защиты именно информационных ресурсов актуален только в условиях конкуренции, причем конкуренции цивилизованной.