Распечатать

PC week

Андрей Бедрань, начальник отдела защиты корпоративных сетей департамента информационной безопасности, “Энвижн Груп”

28 сентября 2009

Российский ИТ-рынок, согласно данным IDC, в нынешнем году сократится до 15 млрд. долл. и к прежним 25 млрд. (с которых в 2008-м начал падение) вернется не ранее 2013-го. Как свидетельствуют опрошенные IDC российские интеграторы, сегодня в нашей стране только оборонная промышленность, коммунальные предприятия, нефтегазовый и государственный секторы демонстрируют спрос на ИТ на уровне 2008 г., в то время как в телекоме и банковской отраслях этот спрос упал на 30%, а в производстве, строительстве и розничной торговле — на 50%. Вместе с тем расходы на ИБ в российских компаниях, как утверждает IDC, сохраняются на прежнем уровне, несмотря на упомянутые неутешительные изменения рынка ИТ в целом. Gartner в свою очередь дает весьма оптимистичный прогноз в отношении мирового ИБ-рынка, точнее, одного из его сегментов — ПО для ИБ, обещая рост в этом сегменте на 8%.
ИБ-потребности российских компаний
Хотя основные ИБ-риски, такие как потеря конкурентоспособности, прямой финансовый ущерб, потеря репутации, санкции регуляторов, не зависят от размеров и характера бизнеса, эксперты обращают внимание на принципиально различающиеся требования к средствам обеспечения ИБ со стороны крупного, среднего и малого бизнеса. Для крупных компаний (для российских разработчиков ИБ-средств граница перехода заказчиков в категорию крупного бизнеса сильно размыта и лежит в диапазоне от 250 до 1000 рабочих мест) не критичен ценовой фактор ИБ-продуктов, зато важны их специализация, модульность, интероперабельность, гибкость настроек, ролевой подход, централизация и автоматизация в управлении, аналитические возможности и развитая отчётность. Они готовы инвестировать средства в перспективные технологии и внедрять тяжелые решения, обращая внимание на возможность поэтапного внедрения таких решений с обязательным получением промежуточных результатов. Компании среднего и малого бизнеса (СМБ) заинтересованы в минимальной цене при максимальной функциональности ИБ-продукта, к тому же он должен быть простым в развертывании и управлении, решать наиболее актуальные задачи ИБ в режиме “включил и забыл”.
 
Денис Пустоваров полагает, что для оценки компаний с позиций ИБ их следует разделять не по размеру бизнеса, а по объемам обрабатываемой в них информации: чем она разнообразнее и чем её больше — тем более сложные задачи приходится решать службе ИБ. Объемы информации мы измерять умеем, дело теперь за тем, чтобы научиться измерять ее “разнообразие”, считает он.
 
Алексей Сабанов предлагает оценивать потребности компаний в средствах обеспечения ИБ, отталкиваясь не от их размеров, а от рыночного сегмента, к которому относится компания, и от уровня её зрелости в плане понимания необходимости средств защиты и готовности к их внедрению, и тут же переходит от “уровня зрелости” к количественной характеристике “размер компании”, определяя в качестве наиболее зрелых в области ИБ крупные (частные и государственные) предприятия и организации. Они, по его мнению, являются движущей силой российского рынка ИБ, пионерами освоения технологий и средств защиты информации. Для них характерен комплексный подход к вопросам обеспечения ИБ, в основе которого лежит применение сертифицированных решений, отвечающих корпоративным политикам, стандартам в области ИБ и требованиям регуляторов.
 
Несколько иного мнения придерживается Андрей Бедрань, более критично оценивающий уровень ИБ-зрелости российского бизнеса. По его наблюдениям, для российских компаний за редким исключением остается характерным реактивный подход к защите информации, т. е. “латание дыр” по мере их обнаружения, ликвидация последствий ИБ-инцидентов (при этом важно учесть, что компания, в которой он работает, сфокусирована как раз на крупном бизнесе).
 
Состояние корпоративной ИБ: факторы влияния
Если усреднить мнения опрошенных нами экспертов, то основные факторы влияния на состояние ИБ в российских компаниях выстраиваются (в порядке убывания значимости) в следующую цепочку: отношение к ИБ высшего руководства компании; квалификация ИБ-специалистов; обеспечение ИБ организационными (нетехническими) мерами; ИБ-бюджет; влияние госрегулирования; ИБ-культура персонала; состояние киберпреступности; эксплуатационные свойства средств защиты; качество разработки рыночных программных и аппаратных продуктов, занятых в формировании корпоративной ИТ-среды; безопасность Интернета.
 
Вместе с тем, следует отметить, что в оценке значимости перечисленных факторов влияния мнения экспертов в ряде случаев разошлись. Так, Алексей Сабанов считает ключевыми факторами госрегулирование, отношение к ИБ высшего руководства компании и величину ИБ-бюджета, объясняя свои выводы сильной зависимостью бизнеса в России от государственной политики и авторитарным стилем бизнес-управления на российских предприятиях, что отражается на принятии ключевых решений и в первую очередь на распределении бюджета. По его мнению, у нас в стране влияние государства на состояние ИБ выше, чем в среднем в мире, и оно является главной движущей силой современного российского ИБ-рынка. “Однако и здесь у нас свой собственный путь, — констатирует он. — В законодательстве остается множество нерешенных вопросов: налицо нестыковки, неясные формулировки, прежняя несогласованность законодательных инициатив. Взять хотя бы новую версию закона “Об электронной цифровой подписи”, она попросту “сырая”. У нас до сих пор отсутствуют столь необходимые законы об электронном документе и электронной сделке”.
 
Эксперты единодушно считают, что основные изменения в области госрегулирования должны быть направлены прежде всего на гармонизацию принятых законов, регулирующих ИБ, с остальным законодательством и на разработку недостающих законов, причем делать это нужно, подчеркивают они, как можно скорее. Если этому не следовать, то участники ИБ-рынка из-за одного только пресловутого закона “О персональных данных” попадут в очень сложную ситуацию, поскольку сегодня даже специалисты испытывают большие трудности, пытаясь разобраться в том, как следует обеспечивать защиту персональных данных на уровне, достаточном для прохождения соответствующей аттестации в контролирующих инстанциях.
 
Во многом соглашаясь с коллегами, Андрей Бедрань тем не менее утверждает, что более половины успеха в обеспечении ИБ зависит от принимаемых организационных мер, тогда как техническими средствами можно перекрыть не больше 30% из возможных каналов утечек. Кроме того, в первую тройку ключевых факторов он включил состояние ИТ-контроля. “ИТ-контроль — говорит он, — в большей степени относится к ИТ-службе, но затрагивает и ИБ, так как ИБ-продукты подвержены быстрому моральному старению, и поэтому нужно постоянно отслеживать их актуальность. Если то, что было внедрено, не контролировать, все остальные усилия по поддержке ИБ могут оказаться бесполезными”.
 
Характеризуя факторы влияния на корпоративную ИБ, Андрей Бедрань также обращает внимание на важную роль отраслевых стандартов в регулировании рынка ИБ. Как представитель компании-интегратора он отмечает положительное влияние отраслевого регулирования в финансовом и энергетическом секторах и как признак зрелости — наличие в компаниях корпоративных стандартов.
Хотя Интернет стал неотъемлемой рабочей средой, а технологии Web 2.0 активно используются для развития средств коллективной работы в компаниях, оказывая существенное влияние на производительность, наши эксперты, как это ни странно, не относят состояние безопасности Интернета к главным факторам, от которых зависит ИБ. По крайней мере на первый взгляд такое “спокойное” отношение к этой проблеме плохо согласуется с отчетами аналитических компаний, свидетельствующими об экспоненциальном росте количества угроз, высокой уязвимости веб-приложений, о коммерциализации кибер-преступности и целенаправленности кибер-атак. Все это вроде бы должно настораживать ИБ-специалистов.
 
“Уровень безопасности в Интернете снизился, — отмечает Алексей Сабанов. — Однако это не означает, что частные и корпоративные пользователи тотчас осознали опасность положения и начали вкладываться в средства защиты от веб-угроз. Те, кто уделял этому внимание и ранее (в основном это те же крупные компании, использующие мощные шлюзовые решения для обеспечения безопасной работы сотрудников в Интернете), находятся в более выгодном положении, а те, кто не был заинтересован в такого рода защите, постарались и сейчас сэкономить на ней, перейдя на бесплатные или попросту нелицензионные антивирусные и антиспамерские продукты”. То есть несмотря на рост ИБ-угроз из Интернета приходится констатировать, что отношение к защите доступа к нему как внутри компаний, так и на стороне интернет-провайдеров не меняется. По-видимому, нужно принять, что баланс между эффективностью интернет-атак и защищенностью от них сегодня устраивает обе стороны — как атакующих, так и защищающихся.
 
Любопытно также, что даже по отзывам представителей компаний, занятых разработкой средств обеспечения ИБ, фактор качества разработки рыночных программных и аппаратных продуктов, применяемых при формировании корпоративной ИТ-среды, не попал в число лидеров списка приоритетных факторов влияния на ИБ. Наверное, следует согласиться с Алексеем Сабановым, который с сожалением отмечает, что к массовому пониманию того, что качество ИТ-продуктов должно быть на первом месте, российский бизнес (особенно малый и средний) пока не пришел. Важным формализованным интегральным свидетельством адекватности такого качества современным (всесторонним) требованиям он считает наличие соответствующих сертификатов, в которых сегодня, увы, разбираются только зрелые заказчики (опять же из сегмента крупного бизнеса).
 
 
Смещение ИБ-акцентов
С наступлением рецессии в экономике для компаний ключевым стало понятие эффективности, в том числе и в отношении к обеспечению ИБ. Алексей Чередниченко отмечает, что компании в массовом порядке занялись инвентаризацией своих ИБ-ресурсов и формированием классификаторов информационных активов с позиций их важности для бизнеса и ИБ, с тем чтобы перераспределить затраты в пользу защиты наиболее критичных для бизнеса ресурсов. Сегодня независимо от своих размеров предприятия отдают предпочтение простым в обслуживании многофункциональным ИБ-устройствам и ПО с максимальным количеством автоматизированных функций. Самые дальновидные и зрелые организации, по наблюдениям Алексея Сабанова, придерживаются политики взвешенного инвестирования: 80% — в поддержку существующих ИБ-систем, 20% — в приобретение новых. ИБ-проекты, отмечает он, по-прежнему идут, и наибольшую активность демонстрируют сейчас банки и госструктуры.
 
Со своей стороны, Андрей Бедрань обращает внимание на существенные изменения в ИБ-проектах, в первую очередь в предпроектной фазе. При выборе решения заказчики более тщательно сравнивают технические характеристики вариантов, внимательно оценивают возможности интеграции нового продукта с уже существующими на предприятии (тогда как раньше довольно легко соглашались на покупку обособленных систем). В крупных компаниях сегодня нередко одновременно запускается по нескольку пилотных проектов и заметно возросли требования к их документальному обоснованию. Там стараются максимально четко определять стоимость владения системами на перспективу не в год-два, как было раньше, а лет на пять. “Много запросов стало поступать на разработку технико-экономического обоснования [ТЭО], хотя для ИБ это довольно редкий документ, поскольку данное направление в основном затратное. Раньше отношение к ТЭО в ИБ-проекте было поверхностным: что-то подсчитано, и ладно. Теперь подготовку такого документа с хорошим уровнем проработки требуют практически повсеместно”, — отмечает он.
 
Кирилл Леонов отмечает тенденцию перехода СМБ на более дешевые средства защиты (крупные компании здесь проявляют здоровый консерватизм). В первую очередь это относится к антивирусному ПО, где отмечается жесткая конкуренция, предлагаются бесплатные варианты и по-прежнему несложно приобрести нелицензионные продукты. Предостерегая тех, кто готов выбрать этот путь “экономии”, г-н Леонов напоминает о дополнительных рисках, связанных с организацией процедуры перехода на новое ПО (которая может вызвать неожиданные сложности) и потерей качества защиты в более дешевом или бесплатном ПО, а также об отсутствии технической поддержки для бесплатных версий ПО.
 
Технологические перспективы ИБ
Анализируя перспективы развития ИТ, Михаил Козлов отмечает значительный интерес со стороны крупных и средних компаний к обеспечению ИБ в виртуальных средах, востребованных ввиду их способности существенно снижать стоимость владения ИТ. Поскольку виртуализация порождает новые ИБ-риски, их необходимо учитывать при формировании стратегии ИБ, напоминает он, обращая внимание потенциальных заказчиков на новинки в области средств защиты виртуальных сред.
 
Требования регуляторов, как федеральных (закон “О персональных данных”), так и отраслевых (например, стандарт PCI DSS при работе с пластиковыми банковскими картами), стимулирует, как полагает Михаил Козлов, интерес к средствам защиты от утечки данных, который очевиден не только у крупных, но и у средних и даже небольших компаний. У ряда ведущих вендоров он отмечает активное развитие репутационных сервисов как механизма защиты от вредоносного ПО и спама. По его наблюдениям, благодаря удачному старту стремительно набирают обороты hosted-решения для обеспечения ИБ, в первую очередь представляющие интерес для СМБ.
 
Как отмечает Андрей Бедрань, для компаний, прежде всего крупных, остается важной авторизация доступа. “Внедряются новые системы, растет количество пользователей, а системы по управлению учетными записями по-прежнему довольно громоздки и тяжелы во внедрении”, — считает он. Следом по значимости в ближайшей перспективе он называет системы управления инцидентами безопасности (Security Operation Center, SOC). Интерес к ним, по его мнению, вызван желанием крупных компаний достичь требуемых показателей по информативности и эффективности критичных элементов корпоративных информационных систем (КИС), особенно распределенных. Издержки, связанные с перебоями в работе сети, угрозами потери данных и ненадежностью доступности критичных сервисов, становятся все более ощутимыми. Решить эти проблемы, как он считает, можно путём централизованного управления ИБ с помощью SOC, благодаря которым у заказчика появляется возможность получать полную и достоверную картину состояния КИС, осуществлять комплексные мероприятия по обеспечению ИБ и разбору ИБ-инцидентов. Не менее важны, по мнению Андрея Бедраня, системы глубокого анализа трафика (DPI), исторически относящиеся к сфере ИБ. Они позволяют анализировать сетевой трафик, приоритизировать его в соответствии с требованиями соглашения об уровне сервисов, а при необходимости и блокировать. Такие решения в основном востребованы операторами связи, которые с их помощью могут управлять услугами и разрабатывать новые. Это одно из немногих решений в ИБ, позволяющее с очевидностью увеличить доходность бизнеса.
 
Алексей Чередниченко обращает внимание на то, что сохраняют востребованность уже заявившие о себе технологии: ПО для защиты конечных точек от комплексных угроз, средства противодействия утечкам данных, средства для анализа рисков и проверки эффективности ИБ-политик. Наряду с крупными компаниями потребность в упомянутых ИБ-продуктах испытывает и СМБ. Отрадно отметить, что ряд ведущих ИБ-вендоров откликается на этот спрос, выпуская такие “тяжелые” ИБ-продукты, как DLP, IPS и др. в вариантах, доступных и для этого сегмента пользователей.
 
Подчеркивая значимость влияния государственного регулирования на развитие российского рынка ИБ и появившиеся в связи с этим у некоторых вендоров спекулятивные настроения, Алексей Сабанов заметил: “Сильно не преувеличу, если скажу, что закон “О персональных данных” фактически обеспечил формирование нового подсегмента рынка ИБ — рынка средств защиты персональных данных. Правда, при внимательном рассмотрении решений, претендующих на этот подсегмент, нередко оказывается, что желаемое выдают за действительное”. Он также считает, что в государственном и крупном корпоративном сегментах наряду с новым классом ИБ-средств — средствами защиты персональных данных — наиболее востребованными остаются технологии строгой аутентификации пользователей в системах и приложениях, шифрование данных с применением российской криптографии, средства защиты от утечки конфиденциальной информации и средства защиты от веб-угроз.
 
По мнению Дениса Пустоварова, в области ИБ в настоящее время сложно выделить какие-либо отдельные технологии, более востребованные, чем другие. Главная особенность ИБ, считает он, заключается в том, что при отсутствии системного и комплексного подхода никакие отдельные технологии не имеют значения. Что же касается комплексных подходов к ИБ, то, как он полагает, особую значимость сегодня приобретают социальный инжиниринг, управление кадрами и автоматизированный анализ событий, при этом в первых двух направлениях технологии вторичны — главную роль, по его мнению, здесь играет квалификация конкретных профессионалов.