Айтишники заработают на страхе
эксперты Андрей Антипинский гендиректор компании «Уральский центр систем безопасности» Александр Голоушкин генеральный директор компании «Риланс» Константин Соколов начальник отдела систем и методо
эксперты
Андрей Антипинский
гендиректор компании «Уральский центр систем безопасности»
Александр Голоушкин
генеральный директор компании «Риланс»
Константин Соколов
начальник отдела систем и методов обеспечения информационной безопасности компании «Микротест»
Никита Сташков
директор филиала «Информационные системы Джет, Урал»
На каких фобиях заработают специалисты по ИТ-безопасности
Заставит ли государство бизнесменов тратиться на системы безопасности
Российские компании не склонны разглашать о себе лишние сведения, тем более в отношении промахов и проблем защиты коммерческой информации. Новостные ленты пестрят сообщениями о взломе сайтов европейских банков, о потере конфиденциальных сведений американских пенсионных фондов, но почти всегда отсутствуют данные о российских организациях. Отечественные ИТ-компании отмечают почти ажиотажный спрос на антивирусные программы, системы идентификации и борьбы с инсайдерами. Это значит, что угрозы есть и с каждым днем они серьезнее. Хотя сообщений о взломах больше не появляется.
В мае 2007 г. в компьютерную сеть белорусского Технобанка проник вирус Neshta размером всего 41 кБ. Этот вирус известен специалистам с 2005 г., но системы банка почему-то не смогли его идентифицировать и удалить. В результате работа кредитного учреждения встала на несколько дней. Специалисты утверждают: злоумышленник знал, что и куда запускает, и был уверен в результате. Фактически атаку спланировали под сеть конкретного учреждения, и она завершилась полным успехом.
Эксперты называют несколько факторов, способствующих росту ИБ. В первую очередь это увеличение числа внешних угроз. Пресловутые хакерские взломы и вирусные эпидемии — вот те монстры, которых боится среднестатистический бизнесмен, и он готов отдать последние крохи ИТ-бюджета, лишь бы избавиться от них. Аналитики уверены: деньги не пропадут даром — опасности становятся все реалистичнее.
В своем корпоративном блоге сотрудники «Лаборатории Касперского» обратили внимание на интересную тенденцию — вирусы стали одним из преступных инструментов получения прибыли. «Заметьте, уже давно не было крупных массовых эпидемий, которые накрывают всю страну, а то и весь мир. Вирусописатели совершенствуются и готовят целенаправленные и точечные атаки: здесь своровали данные, там по заказу уронили сеть из сотни компьютеров. Эффект стал незаметным для большинства людей, но угроза взлома корпоративных сетей превращается в реальность, пугая постоянно растущими цифрами экономического ущерба», — обрисовывает ситуацию Александр Голоушкин, генеральный директор компании «Риланс». Постепенно информационные технологии все глубже проникают во все сферы бизнеса и предоставляют дополнительные возможности для ведения конкурентных войн. «Разборки со стрельбой уходят в прошлое, и с конкурентами начинают расправляться другими способами. В том числе и информационными. Атаки становятся комплексными, рассчитанными на поражение значимых бизнес-систем, имеют все больший интеллектуальный потенциал и, как следствие, приводят к крупным финансовым и репутационным потерям», — уточняет Константин Соколов, начальник отдела систем и методов обеспечения информационной безопасности компании «Микротест». Защититься от таких угроз с помощью коробочных программ уже невозможно. Поэтому повышается спрос на тяжелые решения, поставляемые ведущими мировыми разработчиками, а тема безопасности — в первых строках на всех айтишных конференциях.
По мнению г-на Соколова, сегмент ИБ растет на 30-50% в год по разным направлениям, что превышает темпы роста ИТ-рынка в целом. На Урале уже почувствовали эту тенденцию и готовы не только инсталлировать чужие технологии, но и разрабатывать свои. Инженерная компания «Прософт-системы» выпустила на рынок дактилоскопический датчик для идентификации пользователей компьютеров, «Риланс» внедряет у своих клиентов систему фильтрации веб-трафика собственной разработки, совмещенную с антивирусными технологиями «Лаборатории Касперского». Ideco Software, компания, созданная выпускниками УПИ, предлагает систему учета, контроля и защиты доступа в Интернет. И, несмотря на то что продукты выведены на рынок недавно, недостатка в клиентах они не испытывают.
Руководитель отдела продаж екатеринбургской компании Х не доверял расчет зарплаты своих сотрудников учетным системам и предпочитал все делать самостоятельно, с помощью электронных таблиц. В отдельной папке на его компьютере хранились данные за предыдущие месяцы и наброски на текущий — по его системе, для получения результата требовалось и то и другое. Однажды папка просто исчезла с компьютера, и восстановить данные не удалось, так же как и узнать причину инцидента. Проблему легко можно было бы избежать, если бы в компании не просто резервировались все сведения, а существовала комплексная система защиты информации.
Еще год назад основную массу заявлений, поступающих в отдел «К» областного УВД, составляли по фактам кражи логинов и паролей для доступа в Интернет. Сейчас ситуация изменилась. Появляется все больше сообщений о незаконных манипуляциях с интернет-счетами или об уничтожении баз данных. Но и первое и второе — это не следствие дыр во внешнем периметре защиты корпоративных данных, а скорее отсутствие внятной стратегии в области ИБ. Компьютер бухгалтера, рядом с которым под стеклом лежат все пароли, — распространенное явление. Сейчас опасность, возникающую из-за отсутствия стратегии ИБ, понимает все больше организаций. Например, компания «Российские продукты питания»1 активно взялась за информационную безопасность около двух лет назад. «Мы и раньше занимались безопасностью, но последние полтора года инициатива идет не от айтишников, а от руководства фирмы. Постепенно приходим к комплексному подходу в вопросах защиты данных. Информационная безопасность для нас это все, что связано с угрозой доступности и корректности информации», — поясняет Дмитрий Васильев, руководитель информационно-аналитической службы компании «Российские продукты питания». Управленцы стали понимать: не важно, что произошло с данными — их украли, потеряли или к ним нельзя получить доступ в нужное время, — все это угроза информационной безопасности. «Атака хакеров — крайний и довольно редкий случай. Но если у кредитного учреждения не работает автоматизированная банковская система из-за сбоя в базе данных и бизнес встал, то это тоже сфера компетенции отдела информационной безопасности, — детализирует Никита Сташков, директор филиала «Информационные системы Джет, Урал». — Сфера ИБ шире просто защиты данных от взлома. Все, что может повлиять на функционирование ИТ-сервисов, уже в ее компетенции».
Когда в компании «Российские продукты питания» стали заниматься ИБ комплексно, то первым делом выделили средства на аудит и заказали его сторонней московской организации. «На аудите нельзя экономить. Если в расчете на одно рабочее место он обходится менее чем в $100-150, то ничего дельного вам не скажут», — резюмирует г-н Васильев. Как замечает Андрей Антипинский, гендиректор компании «Уральский центр систем безопасности», постепенно само предоставление услуг по проведению аудита превращается в отдельный и довольно динамичный бизнес. Вслед за этим в бюджете ИТ-службы «Российские продукты питания» появилась строка «Информационная безопасность» (до 20-25% всего ИТ-бюджета компании), а в штате есть инженер. Обычный системный администратор в принципе не может заниматься вопросами безопасности серьезно, так как это противоречит его основной деятельности — делать работу простых пользователей удобнее. «90% усилий по внедрению ИБ уходит на элементарное наведение порядка и рутину — создание правил, регламентов и доведение их до пользователей, чтобы каждый понимал, зачем и как это делается, — тогда система безопасности начнет приносить плоды», — рассказывает Дмитрий Васильев.
Первыми подобные комплексные системы ИБ начали осваивать банки, вслед за ними подтягиваются и другие отрасли, в первую очередь операторы связи и территориально распределенные компании. Г-н Антипинский: «При построении крупных информационных систем зачастую упускают из вида очень важный момент — безопасность созданной системы. Особенно это критично, когда в единое целое увязывается комплекс систем. При этом наибольшие проблемы возникают при организации информационного обмена между распределенными подразделениями. Это наименее защищенный сегмент. Уже сейчас стало очевидно, что любые взаимоотношения предприятия с банком, поставщиками и заказчиками сопровождаются передачей конфиденциальной информации в электронном виде. При этом зачастую технически подготовленный инженер провайдера может снять данные из корпоративной системы любого своего клиента». Поэтому многие компании уже отстроили основные ИТ-процессы и готовы браться за вопросы безопасности на новом уровне. В частности, свою компанию Андрей Антипинский запустил весной этого года в расчете именно на таких клиентов.
Вслед за крупным бизнесом начинают проявлять интерес к комплексным системам ИБ и средние предприятия. Константин Соколов: «В целом информатизация в среднем бизнесе играет пока не такую важную роль, как в крупных организациях, кроме того, услуги в этой сфере недешевы. Российский бизнес грамотно считает деньги и видит, что не для всех такие проекты актуальны. Но через два-три года, когда степень проникновения ИТ еще повысится, спрос вырастет в разы». По мнению г-на Васильева, уровень развития ИБ сравним с общим уровнем развития ИТ в бизнесе десять-двенадцать лет назад: «У большинства нет ни системы, ни структуры, ни опыта, ни кадров. Но уже есть люди, которые понимают, что этим всем надо заниматься».
Требования нового закона «О персональных данных» применимы практически ко всем органам власти и самоуправления, юридическим и физическим лицам. Под персональными данными понимают «любую информацию, относящуюся к конкретному физическому лицу (субъекту персональных данных) — это в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация». Закон, помимо прочего, обязывает каждую организацию, располагающую такими данными, принимать меры по их охране.
Государство уже давно, но пока безуспешно пытается навести порядок в сфере информационной безопасности. Практически ни один закон, так или иначе касающийся этой отрасли, не вступил в действие полностью: де-факто в стране до сих пор не распространена электронно-цифровая подпись, а закон «О персональных данных» нарушает сама же милиция, выставляя для общего доступа информационные терминалы, при помощи которых каждый желающий может получить сведения о штрафах любого водителя.
Персональные данные, которые закон требует защищать, есть в любой организации, а значит, всем необходимы средства защиты. «По закону все, кто работает с персональными данными (поликлиники, адвокаты, любые кадровые службы и т. д.), должны будут их защищать. Но пока сложно обязать частников этим заниматься, поскольку не отработаны функции контроля. Хотя, как показывает пример западных стран, при появлении четкой нормативной базы защита приватных данных медленно, но верно станет стандартом де-факто для всех частных структур», — уверен Александр Голоушкин.
Оптимизм директора «Риланса» не разделяет Константин Соколов: «Часть крупных компаний уже начинают выполнять требования, прописанные в законодательстве о персональных данных, но дополнительного массового спроса на рынке ИБ новый закон пока не создал». Специалисты больше надежд возлагают на системных интеграторов. «Мы давно занимаемся услугами в сфере ИБ. В обороте фирмы они составляют не самую большую долю, но тянут за собой многие другие направления», — делится размышлениями Никита Сташков. Системным интеграторам выгодно заниматься безопасностью как глобально, так и на региональном рынке. В этом сегменте меньше поставок оборудования, рентабельность продаж которого продолжает падать. Г-н Соколов: «Работы в области обеспечения ИБ стоят в среднем дороже, чем прочие услуги. Заказчики осознают, что за безопасность, в отличие от других услуг, надо платить обязательно». По его мнению, это психологическая установка российских клиентов — они за услуги платить не любят, а вот к работам по обеспечению безопасности относятся адекватно.
1 По просьбе руководства компании, название предприятия и имя менеджера изменены.