|
|
Антон Крячков: В отношении к вопросам информационной безопасности мы выходим на фазу «возрождения»
На вопросы CNews ответил Антон Крячков, директор по продуктам компании Aladdin
CNews: Чем качественно изменилось потребление продуктов и услуг в сфере ИБ в России за последний год, по вашим наблюдениям?
Антон Крячков: Прежде всего, изменения заключаются в том, что у заказчиков возникли новые, более зрелые требования к продуктам и услугам в области информационной безопасности и защиты данных. Сегодня обеспечение ИБ перешло из чисто технического в ранг экономического требования, что естественным образом отразилось на цепочке принятия решений. Очень часто именно бизнес- подразделения компаний ставят задачи по обеспечению ИБ, поскольку от её эффективного функционирования зависит надёжность и бесперебойность бизнес-процессов компаний (тех же ERP-, CRM-систем). Более того, до запуска проекта по внедрению ИБ необходимо оценить экономические показатели, такие как совокупная стоимость владения (TCO), возврат на инвестиции (ROI) в ИБ, без чего сегодня не обходится ни одна крупная компания.
Обеспечение информационной безопасности перестало быть некой экзотикой и прерогативой силовых и ведомственных структур, как это было всего несколько лет назад. Сегодня это осознанная необходимость, как экономическая, так и политическая, благодаря чему значительно увеличились инвестиции в сферу разработки высокотехнологичных продуктов и решений в области ИБ, как со стороны заказчиков, так и со стороны самих вендоров. Мы наблюдаем процесс глобализации собственно российского рынка информационной безопасности: совершенствуются цепочки поставок, автоматизируется система заказов, растет уровень бизнес-культуры, качественно меняется взаимодействие партнёров по ИБ.
С точки зрения инновационных софтверных разработок можно отметить, что медленно, но верно набирают обороты системы eCommerce, всё глубже проникают в бизнес-процессы автоматизированные технологии управление закупками и поставками типа SCM, выпускаются решения класса eCollaboration, открываются глобальные информационные порталы. Скажу больше, на государственном уровне информационная безопасность теперь рассматривается как основа экономической безопасности. С этим связано законодательное регулирование вопросов ИБ, а именно: лицензирование деятельности, экспортные ограничения, обязательная сертификация продуктов и услуг. Таким образом, формируются более чёткие правила игры, что является показателем стабилизации отрасли и окончательным закреплением за ней своей ячейки в системе государственной экономики России.
Сейчас мы являемся свидетелями интересной ситуации. В России есть потребность в продуктах и услугах ИБ, как со стороны коммерческих организаций, так и со стороны госпредприятий, обозначены «правила игры» на законодательном уровне, идёт достаточно мощное инвестирование в эту отрасль, и уже сейчас на рынке прочно утвердились проверенные временем, зрелые и востребованные технологии информационной безопасности. Однако при этом имеющийся спрос удовлетворяют существующие технологии, параллельно с которыми активно разрабатываются новые, и часть из них уже предлагается потенциально готовому заказчику. Но готов ли он на самом деле? И готовы ли эти новые технологии к практическому использованию? На эти два вопроса дадут ответ итоги 2006 года, во многом переломного, но в то же время очень показательного для рынка ИБ в России.
CNews: Как оценивается степень готовности компаний к внедрению систем ИБ и, в частности, систем 3А?
Антон Крячков: На основании анализа отношения руководства предприятия к вопросам ИБ можно выделить следующие 4 фазы такой готовности: «охота и собирательство», «феодальная», «возрождение» и «индустриальная».
Симптомы первой фазы понятны: у руководства нет понимания важности проблем ИБ, соответственно, нет выделенного бюджета, а для защиты информации используются только встроенные в ОС и в приложения средства безопасности (парольная защита, список контроля доступа (ACL) на уровне ОС и СУБД). На данный момент, по нашим оценкам, которые в целом совпадают с данными аналитиков Gartner Group, на этом уровне находятся 30 % организаций.
«Феодальная» фаза характеризуется тем, что ИБ рассматривается (в том числе руководством) как чисто техническая проблема. Целевого финансирования нет, но в рамках ИТ-бюджета присутствует статья расходов на информационную безопасность. В техническом плане применяются всё те же встроенные средства ОC, но уже добавлены антивирусные комплексы, межсетевые экраны, возможно, используются виртуальные частные сети (VPN), протокол SSL, средства резервного копирования и шифрования данных. Это довольно опасная стадия, так как организация системы ИБ здесь построена по «лоскутному» принципу. Отдельные сегменты сети защищены, но эти «островки» никак не связаны между собой. На этой фазе и пользователи, и руководители подразделений обнаруживают проблемы с безопасностью и пытаются их решать самостоятельно. На таком уровне находятся 55 % организаций, информационную структуру которых в целом, строго говоря, нельзя считать защищенной.
Фаза «возрождения» характеризуется тем, что у руководства уже есть понимание важности обеспечения информационной безопасности для бизнеса организации, под систему ИБ выделяется отдельный бюджет, разрабатывается политика ИБ, регламенты и инструкции по работе с теми или иными ресурсами. Именно на этом этапе начинают активно использоваться технологии PKI, смарт-карты и USB-ключи для двухфакторной аутентификации и хранения ключевой информации, а также системы IDS и IPS(системы обнаружения вторжений и предотвращения вторжений), SSO (Single Sign-On) и другие. На фазе «возрождения» находится лишь 10 % компаний, уже сместивших акцент на защиту с непосредственно платформы на транзакции. Управление безопасностью они реализуют превентивно, не дожидаясь инцидентов, а предупреждая их появление, что напрямую связано с управлением рисками. Более того, на данном этапе компании уже проводят как внешний, так и внутренний аудит информационной безопасности.
Третья, самая развитая фаза — «индустриальная». Она предполагает трактовку безопасности как части корпоративной культуры, компании выделяют специальные подразделения, ответственные за информационную безопасность во главе с руководителем службы безопасности. На выделенный бюджет регулярно проводится анализ защищённости сети, введена строгая отчётность. Здесь улучшение системы информационной безопасности является частью бизнес-процесса компании, а мерой её эффективности является не только число предотвращённых инцидентов, но и продуктивность основных бизнес-приложений организации. На этой фазе находится 5 % российских организаций, но именно это меньшинство уже может оценить ROI в ИБ.
Резюмируя вышесказанное, отмечу, что современный уровень развития ИБ в России характеризуется активным вхождением в фазу 2 компаний, относящихся к сегменту SMB, именно по этой причине сегмент рынка 3А является самым быстрорастущим на сегодняшний день и составляет 83 % по данным IDC.
CNews: Многие российские разработки в сфере ИБ не уступают западным аналогам. В чем вы видите причину значительно меньшей их популярности на рынке?
Антон Крячков: На российском рынке представлены как продукты, вполне сравнимые с западными аналогами по возможностям, так и уступающие им. К сожалению, многие продукты ИБ, производимые западными производителями, не имеют российских аналогов. Сюда попадают в первую очередь средства сбора информации, централизованного управления и мониторинга, которые попросту отсутствуют у российского производителя. Также можно констатировать и отсутствие (или очень слабую) интеграцию многих отечественных продуктов со службами каталога.
А вот к первой категории я бы отнёс, к примеру сетевые решения ( разработки компаний S-Terra CSP, Инфотекс, Инфосистемы Джет и др.), а также отечественное антивирусное ПО, ничем не уступающие западным аналогам.
Отмечу, что те российские продукты по информационной безопасности, которые прошли сертификацию (по линии ФСТЭК, ФСБ), действительно обладают высоким качеством и пользуются заслуженной популярностью, как у конечных заказчиков, так и у системных интеграторов, строящих свои решения на их основе. При этом 70 % всех поставок отечественных продуктов в области ИБ и решений осуществляется в государственные организации — о какой «непопулярности» российских разработок может идти речь?.
Если и искать причины перевеса спроса на западные решения, то дело здесь в том, что многие из них пока просто не имеют российских аналогов, а не в том, что аналоги эти плохи.
CNews: Насколько успешно вы сотрудничаете с другими компаниями в рамках OEM-партнерства?
Антон Крячков: В силу специфики наших продуктов мы очень активно используем возможности OEM-сотрудничества. Например, буквально недавно мы заключили партнёрское соглашение с компанией Kraftway, в рамках которого электронные ключи eToken PRO были интегрированы в терминальные решения Kraftway, что позволило компании предложить своим заказчикам продукты с усиленными функциями безопасности. Теперь терминальные клиенты компании могут поставляться в комплекте с USB-ключами eToken. Использование электронных ключей eToken, предназначенных для безопасного доступа к ресурсам, сетям и приложениям, а также для безопасного хранения ключевой информации, профилей пользователей и других конфиденциальных данных, стало отличительной чертой новых терминальных решений Kraftway.
В этом же году на международной конференции Aladdin мы организовали целый блок, посвященный сотрудничеству с мировыми ИТ-компаниями. В частности, был представлен проект IBM и Aladdin, в рамках которого серверы IBM будут поставляться с предустановленной проактивной системой фильтрации контента eSafe 5 от Aladdin.
Также был представлен проект с корпорацией Oracle, связанный с усилением защиты при доступе к приложениям под управлением СУБД Oracle.
Стоит упомянуть и о таком знаковом для нас ОЕМ-соглашении, как поставка eToken PRO в составе сертифицированной версии Microsoft Windows XP (в России). Чуть ранее eToken вошел в состав поставки целого ряда сетевого оборудования компании Cisco Systems на мировом и российском рынках (устройства Cisco ISR, Integrated Services Routers, серий 1841, 2800, 3800).
Политика Aladdin при работе с другими вендорами очень проста: если возможности нашего продукта и разработки партнёра удачно дополняют друг друга, позволяя предложить заказчику решение с усиленными функциями безопасности, мы всегда готовы заключить соглашение и развивать этот совместный проект.
CNews: Почему, на ваш взгляд, лишь некоторые российские банки предлагают клиентам использовать USB-ключи для работы в системах интернет-банк? Причина в стоимости решения или уровне культуры ИБ в целом?
Антон Крячков: Необходимость усиления безопасности процедуры аутентификации пользователя при его доступе к банковскому счёту уже давно осознана как самими пользователями, так и банками. Одним из таких решений является многофакторная аутентификация, которая может быть обеспечена с помощью USB-ключей, смарт-карт, генераторов одноразовых паролей, скретч-карт и др.
Причин, по которым пока применение токенов в системах клиент-банк не получило желаемого массового распространения, несколько. Во-первых, это действительно стоимость такого аппаратного средства. По оценкам представителей банковской сферы, она не должна превышать суммы, эквивалентной 10 долларам США. К сожалению, сейчас на рынке нет USB-ключей в данном ценовом диапазоне, а если они и появятся — то их качество исполнения и уровень защищённости почти наверняка будут оставлять желать лучшего. Дёшево хорошо не бывает — особенно в сфере информационной безопасности.
Во-вторых, использование USB-ключа просто как средства хранения многоразового пароля (пусть даже очень сложного и стойкого к атаке методами «грубой силы» или «словарного перебора») для доступа к сайту управления банковским счётом малоэффективно по двум причинам. Первая — парольная аутентификация уязвима к атакам типа «человек посередине», а вторая — передача пароля по сети подвергает его риску перехвата. Именно поэтому USB-ключ должен содержать чип смарт-карты, криптографические возможности которого и должны использоваться при аутентификации (т.е. аутентификация в системах интернет-банкинга должна быть строгой), что, в свою очередь, сказывается как на цене устройства, так и на стоимости создания и сопровождения всей инфраструктуры.
В-третьих, не всегда и не везде есть возможность воспользоваться USB-ключом, ведь для этого нужно устройство доступа в интернет с портом USB, на котором должны быть установлены (или должна быть предусмотрена возможность установки) драйверов для ключа. Поэтому с мобильных телефонов, смартфонов, наладонных компьютеров (КПК) USB-ключом воспользоваться вообще не удастся. Именно в этом случае можно применить новое поколение комбинированных ключей таких как, например, eToken NG-OTP со встроенным генератором одноразовых паролей. Однако, понятно, что стоимость такого ключа выше.
И последней причиной сдерживания широкого распространения токенов в системах интернет-банкинга можно назвать имеющуюся на рынке альтернативу в виде чиповых EMV-карт (в том числе бесконтактных), на которые сейчас идёт миграция в мире и России. Открыв банковский счёт (и получив платёжную чиповую карту), пользователь получает единое устройство, которое может быть использовано им также при аутентификации в системах интернет-банкинга. Не стоит забывать, что клиент платит за выпуск и обслуживание карты, что компенсирует затраты банка.
Сами банки предварительно дали положительную оценку идеи использования чиповых платёжных карт как средства аутентификации пользователя при интернет-банкинге. Уже сейчас существуют инфраструктуры по обслуживанию платёжных карт (POS-терминалы, банкоматы, киоски интернет-банкинга). И последнее: некоторые производители ноутбуков (например, Fujitsu-Siemens) штатно оборудуют свои ноутбуки устройствами чтения смарт-карт, облегчая пользователю задачу использования смарт-карты.
Подводя итог, подчеркну, что USB-ключи (а особенно комбинированные ключи с генератором одноразовых паролей) и правильно спроектированные с их применением подсистемы аутентификации для интернет-банкинга — это современное, безопасное и надёжное решение. Рано или поздно банки всё равно придут к нему — это лишь вопрос времени. Однако для успешной реализации этих проектов необходимо устранить ряд проблем (финансовых, организационных и технологических), связанных с высокой стоимостью устройств, созданием и поддержанием инфраструктуры аутентификации через интернет, непрерывностью предоставления услуги и т.д.
Но уже сегодня есть банки, которые смогли найти решение, уже сейчас предлагают заказчикам вполне успешные проекты безопасного интернет-банкинга с использованием USB-ключей eToken- как для физических, так и юридических лиц.
CNews: Существующий опыт фильтрации трафика на уровне провайдера пока не получил широкого распространения даже на Западе, не говоря уже о России. Что сдерживает продвижение этой услуги, на ваш взгляд?
Антон Крячков: Вывод на рынок такой дополнительной услуги, как фильтрация интернет-контента — это серьезные финансовые вложения со стороны провайдера. При этом достаточно непросто спрогнозировать, как скоро инвестиции будут возвращены, и услуга начнет приносить прибыль. Кроме того, на рынке до последнего времени отсутствовали технические решения, способные обеспечить фильтрацию трафика в объемах, обрабатываемых провайдерами, без внесения дополнительной задержки.
Сегодня, во многом благодаря усилиям компании Aladdin, указанные причины больше не являются сдерживающим фактором для провайдеров. Во-первых, провайдеры могут заключить с нашей компанией договор, в рамках инвестиции в новую услугу могут осуществляться как партнерами совместно, так и компанией Aladdin в полном объеме. Во-вторых, программный комплекс eSafe Secure SurfingTM, предлагаемый интернет-провайдерам, обеспечивает полную очистку трафика от вредоносного контента на скорости 100 Mbps и выше.
CNews: Какие особенности технологии фильтрации лежат в основе решения eSafe?
Антон Крячков: Хотелось бы остановиться на основных моментах. Во-первых, в eSafe контент проходит сеть фильтров на нескольких уровнях, при этом инспектируются HTTP, FTP, SMTP и POP3 протоколы. Уникальной особенностью eSafe является возможность выполнения всех проверок на проводной скорости. eSafe — единственный на рынке продукт, не использующий технологии Proxy. Благодаря применению фирменной технологии NitroinspectionTM, проверки выполняются практически без задержки, что и позволяет использовать продукт на шлюзах xSP провайдеров и крупных компаний с развитой сетевой инфраструктурой.
Наряду с традиционным сигнатурным анализом используется технология проактивной защиты от вирусов. Подозрительный код выполняется в среде виртуальной машины (Ghost MachineTM) и по результатам «поведения» программы делается вывод о степени ее злонамеренности.
CNews: В каком направлении будут развиваться средства фильтрации контента в ближайшем будущем?
Антон Крячков: По нашему мнению, основные идеи (фильтрация контента на шлюзах на проводной скорости) уже озвучены и реализованы. Развитие в ближайшем будущем предположительно пойдет по пути аппаратной реализации технологий (что происходит уже сейчас) и распространению фильтрации на мобильный контент.
CNews: Спасибо
|
|