|
|
Обзор подготовлен
CNews: Как вы оцениваете текущее состояние рынка ИБ в целом?
Владимир Гайкович: По моим ощущениям, рынок пришел в движение. Источники развития рынка ИБ лежат, в основном, вне этого рынка и обусловлены как изменением предпочтений потребителей, так и изменением самой бизнес-среды и неизбежным увеличением числа рисков, связанных с потерей критически важной информации, хранящейся в информационных системах.
Предпочтения потребителей, в первую очередь, корпоративных, меняются в связи с необходимостью увеличения производительности уже внедренных систем, а также изменением технологий обработки данных (виртуализация, cloud computing).
Для новых технологий сейчас нет не только соответствующих средств защиты, но и устоявшейся и общепризнанной модели угроз. А раз так, то нас ждет интересное время разработки и апробации средств защиты для решения новых задач.
За последние несколько лет существенные изменения претерпела и сама бизнес-среда, в которой приходится работать компаниям. Активная информатизация всех ключевых сфер жизнедеятельности общества привела к появлению новых рисков — и для компаний, и для граждан. Для снижения этих рисков активно используется административное регулирование. Оно используется не только государством и не только у нас в стране, как это можно было подумать после наблюдения парламентских слушаний по 152-ФЗ. Регулировать специфические отраслевые риски административными средствами пытаются уполномоченные отраслевые организации, например, платежные системы (PCI DSS, PA DSS).
Действия регуляторов приводят к появлению требований и рекомендаций, выполняемых по принципу «делай или плати за риск». Разработку регламентов и административных мер можно рассматривать как долгосрочную тенденцию.
Поэтому фаза спячки рынка ИБ, на мой взгляд, завершена. Рынок пришел в движение, которое в дальнейшем будет только ускоряться. Нас ждет рождение новых технологий, поиск сфер их применения, появление новых сегментов рынка и новых лидеров.
CNews: В какой степени влияет на уровень ИБ-защищенности бизнес-пользователей наличие технологий виртуализации?
Владимир Гайкович: Виртуализация вычислительных ресурсов - не новость для ИТ-индустрии. Более 20 лет назад такие механизмы успешно применялись еще на мейнфреймах. Только сейчас цель виртуализации совершенно иная — повышение эффективности использования вычислительных ресурсов в условиях ограничений по электропитанию и тепловой мощности.
Случившийся кризис только усилил развитие этого направления в ИТ, потому что оно реально позволяет получить экономический эффект. В то же время эти технологии сами по себе не свободны от рисков, связанных как с архитектурой системы, так и с реализацией программных компонентов.
Дело ближайшего времени – построение модели угроз и реализация мер защиты для их нейтрализации. Но в целом, виртуализация в ближайшие несколько лет будет широко внедряться в ИТ-инфраструктуры. Поэтому мы видим за этим направлением перспективу и сосредоточимся на нем как в части проектирования и внедрения, так и в части разработки новых средств защиты.
CNews: Как вы оцениваете с точки зрения безопасности и экономической эффективности возможность использования заказчиками ПО как услуги?
Владимир Гайкович: Предоставление ПО как услуги — одна из новых и многообещающих тенденций ИТ-рынка. Подобный подход позволяет компаниям экономить значительные средства на создании собственной ИТ-инфраструктуры, существенно повысить собственную мобильность.
Это очевидные плюсы. Но есть и минусы. Главный из них заключается в проблеме доверия к провайдеру услуги. Услуга должна быть доступна тогда, когда она нужна, а не тогда, когда провайдер может ее предоставить. Отсутствие доступа к услуге может привести к реальным финансовым потерям.
Кроме того, при таком подходе к организации ИТ все данные должны храниться на площадке провайдера. С учетом того, что сейчас требования регуляторов становятся все жестче, ответственность за их нарушение должна быть справедливо распределена между компанией и провайдером услуги. Это требует времени, потому что сейчас далеко не всегда провайдеры согласны делить риски со своими заказчиками.
На мой взгляд, пока эта технология не приняла такой же массовый характер как виртуализация, прежде всего потому, что для ее реализации необходимо распределение рисков между двумя равноправными участниками. Будущее этой технологии, в больше мере, зависит от решения именно этого вопроса.
CNews: Отвечая на последний вопрос, вы намеренно не упомянули про технологии DLP?
Владимир Гайкович: Безусловно, я сделал это осознанно. По моему мнению, DLP не есть технология. Это, скорее, маркетинговый инструмент, позволяющий позиционировать несколько совершенно разнородных технологий для решения достаточно чувствительной проблемы для бизнеса – утечки конфиденциальной информации.
На практике для защиты от утечки информации нужно, прежде всего, классифицировать эту информацию и разграничить к ней доступ. Для эффективного разграничения доступа целесообразно обеспечить единое именование пользователей системы и единую аутентификацию. Для управления системой необходимо производить анализ зарегистрированных событий безопасности, своевременно назначать права доступа новым сотрудникам и прекращать доступ к системе уже уволенных сотрудников.
И вовсе не DLP реализуют перечисленный выше комплекс мер. DLP- решения выполняют свои, достаточно ограниченные, функции: контролируют входящую и исходящую переписку, а также записи на внешние носители информации.
Без наведения порядка в ИТ и внедрения базовых механизмов безопасности использование собственно DLP-решений приведет только к увеличению затрат на анализ собранной информации и потерю производительности, потому как излишне увеличивается масштаб контроля.
На мой взгляд, аббревиатуру DLP уместно применять только по прямому назначению — для обозначения средств мониторинга деятельности сотрудников, реально допущенных к конфиденциальной информации.
CNews: Насколько значимым драйвером для рынка ИБ стала подготовка к принятию закона о персональных данных?
Владимир Гайкович: Активность российского государства в части администрирования вопросов ИБ наиболее ярко проявилась при организации защиты персональных данных. О состоянии дел по 152 ФЗ сейчас не говорит разве что ленивый. Эта тема уже вышла за рамки технической и организационной. Она стала политической. Причины этого лежат, во-первых, в широком круге организаций, обрабатывающих персональные данные. Во-вторых, разработанная нормативная база явно не совершенна и требует существенной доработки. В-третьих, мы снова видим истинно российское желание не делать ничего до тех пор, пока жареный петух не клюнет.
Все это всерьез и надолго сделало вопрос защиты персональных данных темой №1 на рынке ИБ в России. Эта тема - особенно в конце 2009 года - породила пиковый спрос на «типовые решения» в области защиты персональных данных. Ирония судьбы состоит в том, что таких типовых решений практически нет, потому что нет типовых информационных систем.
А это значит, что если срок вступления в силу 152-ФЗ не перенесут, то на ближайшие 1-1,5 года спрос в этой области будет существенно превышать предложение. И ИБ-компании - ни самостоятельно, ни вместе с ИТ-компаниями - не смогут ничего поделать с этим спросом: слишком он будет высок.
CNews: Как, на ваш взгляд, изменился спрос отечественных заказчиков на ИБ-консалтинг?
Владимир Гайкович: Консалтинг в любой сфере нужен тогда, когда необходимо сформулировать задачу и найти приемлемый для бизнеса путь ее организационно-технического решения. Если путь найден, то остается только грамотно спроектировать систему защиты.
Но, несмотря на очевидность своего назначения, консалтинг в области ИБ сегодня не сильно развит и востребован в нашей стране. Основная причина состоит в том, что подавляющее большинство консультантов пока не могут до конца понять, а потому и сформулировать стоящую перед клиентом бизнес-задачу, а многие заказчики, в свою очередь, недооценивают необходимость этапа консалтинга.
По моим наблюдениям, в нашей стране существует три основных типа консультантов. К первым относятся эксперты, которые ранее проектировали или администрировали средства защиты. Им обычно не хватает понимания принципов работы нетехнических систем и навыков общения. Но, благодаря своему опыту практической работы, они обычно доводят начатое дело до конца и получают знания, которые затем активно используют в дальнейшем во благо своих заказчиков.
Вторая группа консультантов — это специалисты, работавшие в силовых ведомствах. Они отлично знают нормативную базу, которая в основном связана с защитой государственной тайны, но слабо связана с бизнес-задачами реального сектора экономики. Менталитет этих консультантов формировался достаточно давно и в другой среде. Поэтому они склонны больше контролировать, чем помогать.
Третью группу составляют консультанты «широкого профиля». Их знания энциклопедичны, презентации наглядны, выступления афористичны. Они никогда не ошибаются, но лишь потому, что не несут никакой ответственности за результат на стадии проектирования, внедрения и сопровождения проектов.
Успех того или иного консалтингового проекта зависит, в первую очередь, от типа участвующих в нем консультантов. Первые рано или поздно справятся с работой, со вторыми проблем будет значительно больше. Третьи обычно не берутся за проекты. А если берутся – то это будет такой высокоуровневый консалтинг, что нужно будет потратить массу времени, чтобы узнать, что именно относится к решению именно твоей проблемы.
Ситуация на рынке сейчас такова, что консалтинг в области ИБ становится массово востребованным, особенно в связи с положениями закона 152 ФЗ. К такому потоку запросов ИБ-компании на сегодняшний день явно не готовы. Поэтому, на мой взгляд, в самое ближайшее время, реагируя на этот спрос, в область консалтинга по ИБ придет большое количество новых людей, в том числе и не из мира ИБ. Все это может привести к кардинальным изменениям на рынке, сравнимым с теми, когда ИТ-компании выходили на рынок управленческого консалтинга.
CNews: Какова степень готовности российских заказчиков к передаче управления информационной безопасностью на аутсорсинг?
Владимир Гайкович: На мой взгляд, российский рынок пока к такому подходу не готов. Тому есть два основных препятствия. Первое – страх отдать информацию сторонним организациям. Второе – слабое желание платить за такие услуги.
Страх допуска в свою систему сторонних компаний в нашей стране достаточно силен. На сегодняшний день пока не отработаны механизмы гарантий неразглашения сведений, полученных в результате аутсорсинга. Но в то же время есть успешные примеры, когда физическая защита организаций, транспортировка материальных ценностей поручается компаниям-аутсорсерам, не аффилированными с этими организациями. Соответственно, возможно создать механизмы гарантий безопасности с учетом специфики услуг по аутсорсингу в области ИБ. То есть решение проблемы лежит не в области технологий безопасности, а в области юридической зрелости взаимоотношений между заказчиком и исполнителем.
Существует мнение, что аутсорсинг всегда должен обходиться дешевле, чем оплата труда сотрудников, нанятых в штат, иначе он экономически нецелесообразен. В целом, это замечание справедливо, однако, давайте разберемся, что и с чем мы сравниваем.
Если в компании за безопасность отвечают два человека средней квалификации, которые работают в режиме 5x8 при отсутствии специальных средств для управления безопасностью, то я могу сказать, что услуга по аутсорсингу ИБ в такой ситуации не выдержит ценовой конкуренции. А если задаться вопросом, какой результат по безопасности компания получит в результате оплаты труда этих специалистов? Скорее всего, результатом будет постоянное присутствие на рабочем месте сотрудника и быстрая реакция на возникшую нештатную ситуацию (если он ее заметит, конечно).
Режима 24x7, мониторинга всех средств защиты, принятия экстренных мер при обнаружении нападения и т.д. от них ожидать трудно – не хватит ни сил, ни компетенций.
Поэтому для принятия решения о применении аутсорсинга надо сопоставить цели, желаемые результаты и затраты на их достижение. И тогда при выборе аутсорсинга ИБ выгода будет очевидной: экономия на капитальных затратах, отсутствие проблем с подбором персонала, наличие актуальной документации на систему в любой момент времени.
CNews: Спасибо.