Обзор подготовлен При поддержке
CNewsAnalytics Radware

Сергей Тарасов: Инсайдеры в ИТ опаснее внешних врагов

О подходах к построению систем ИБ в России и мире рассказал CNews Сергей Тарасов, глава представительства Computer Associates в России и СНГ.

Сергей Тарасов

CNews: Какие ключевые тенденции вы могли бы выделить на российском рынке информационной безопасности? Какие факторы определяют его развитие сегодня?

Сергей Тарасов: Прежде всего, надо сказать, что сегодня особый интерес к информационной безопасности отмечают не только на российском, но и на всем мировом ИТ-рынке. Причин тому несколько, но одна из них, несомненно, в том, что средства ИТ все глубже проникают в бизнес и естественную жизнь людей, и чем более важную роль они занимают, тем более существенным является вопрос обеспечения безопасности. Понимание соотношения инвестиций в аппаратно-программные средства ИБ и реальной отдачи от них постепенно достигает нужного уровня. В 2004 году, например, общероссийские затраты на программные продукты и решения для обеспечения ИБ составили более 40 млн. долларов, что на 32% превышает аналогичные затраты в предыдущем году.

Принципиальный момент—в изменении подхода к ИТ: если раньше внедрение ИТ было сфокусировано лишь на достижении необходимой функциональности, то сегодня речь идет об обеспечении достигнутого функционала ИТ-услуг на безопасном и высоконадежном уровне уровне. Подобные изменения происходили и в других областях применения инженерной мысли. Если в 60-х годах необходимо было, чтобы космический корабль взлетел и, желательно, вернулся, то сегодня безопасность его работы и возвращение являются обязательным требованием.

Что касается изменений на российском рынке, то, прежде всего, изменяется подход к обеспечению информационной безопасности. Изначально средства безопасности предназначались для защиты от воздействия снаружи, поэтому в России традиционно обеспечивали безопасность по периметру. Образ внешнего врага был и остается достаточно сильным, поэтому мысль о том, что враг придет извне до сих пор остается у многих людей. На самом деле это не так. Если смотреть на статистику, то действия инсайдеров нарушают безопасность в 65% случаев и более. Существуют различные оценки, но факт остается фактом: если вы хотите нарушить безопасность системы, то проще всего это сделать руками тех людей, которые работают внутри организации. В России, к сожалению, мысль о защите по периметру все еще остается достаточно популярной и доминирующей.

Вторым принципиальным моментом является переход от «островковой» безопасности к безопасности системы в целом. Если в системе много безопасных элементов, это не значит, что система безопасна в целом. Когда речь идет о сознательном нарушении безопасности, злоумышленник, несомненно, выберет для атаки наименее защищенную часть. Сегодня в России необходим переход к комплексному обеспечению информационной безопасности.

CNews: Насколько, на ваш взгляд, уровень развития российского рынка средств защиты коррелирует с общемировым?

Сергей Тарасов: Конечно, хотелось бы сказать, что мы находимся на том же уровне, что Европа или Америка. Но в то же время нужно понимать, что Россия отстает от передовых стран с точки зрения и ИТ в целом, и ИБ в частности. Поскольку в России ИТ еще не занимают такого же центрального места в бизнесе, как на западе, то и требования к безопасности находятся на соответствующем уровне. Если посмотреть, каким образом организована безопасность российских структур, то это преимущественно пропускная система—люди в форме, которые проверяют паспорт или другой документ, удостоверяющей личность. Чем будет дальше заниматься человек, предъявивший документы, никого не волнует — считается, что вреда он не принесет. В ИТ, к сожалению, подход нередко такой же.

С другой стороны, безусловно, есть много направлений, где мы идем в одну ногу с развитыми странами. Если рассматривать ИБ, то примером являются используемые криптографические средства защиты информации. Но если говорить про безопасность в целом, то в России ей уделяется значительно меньше внимания, нежели в развитых странах. Всего лишь 0,5% расходов на ИТ приходится на ИБ. Возможная причина заключается в том, что в России, к счастью, до сих пор не было «большой беды»—глобальных, масштабных проблем, связанных с информационной безопасностью.

CNews: Различается ли, из вашей практики, структура потребления средств защиты информации в России по сравнению с рынками США и ЕМЕА?

Сергей Тарасов: Как известно, часто люди учатся на чужих ошибках, в связи с этим используемые методы во многом основаны на проблемах, с которыми сталкивались другие организации. Если посмотреть, какие средства безопасности используются в России, то они, прежде всего, рассчитаны на обнаружение явных источников опасности. Термин «антивирус» знаком всем, поэтому антивирусные пакеты используются практически во всех организациях. Статистика показывает, что в 60-70-ти % организаций используется firewall, что уже хорошо. Что же касается более серьезных средств ИБ, то здесь статистика совсем не в пользу России. Специальные средства защиты от утечки данных используются в единицах процентов организаций, антиспамовое программное обеспечение используется только в 10-15% организаций. Что особенно важно, серьезные средства контроля доступа используют только порядка 17-25% организаций. У нас не получили широкого распространения серьезные средства аутентификации пользователя, в то время как около 60% преступлений связано как раз с несанкционированным доступом. Многие до сих пор считают, что пароль достаточно полно идентифицирует человека для доступа к системе. В настоящее время существует множество технологических средств аутентификации, которые практически не используются в нашей стране.

CNews: Как вы оцениваете политику государства в вопросе регулирования рынка защиты информации? Можно ли говорить о том, что отечественный рынок сегодня является более закрытым для иностранных компаний этой отрасли, чем рынки других стран?

Сергей Тарасов: Роль государства в обеспечении информационной безопасности должна быть велика, поскольку обеспечение безопасности вообще—это одна из его основных функций. Государство должно, во-первых, утверждать ясные и внятные законы, а во-вторых, следить за их исполнением и оберегать жизни людей. К сожалению, в области безопасности ИТ участие нашего государства нельзя назвать совершенным. Налицо недостатки нормативно-правовой базы.

Например, почему наркотики продавать на «Горбушке» нельзя, а краденую информацию можно? Это означает, что государство или не умеет или не желает обеспечить надлежащий контроль за распределением информации. Миссия государства — создавать такие условия, в которых подобные вещи будут невозможны. Нигде за границей не распространена торговля личной и конфиденциальной информацией в таких размерах.

С точки зрения регулирования процессов обеспечения безопасности политика государства неоднозначна. Мы давно работаем на рынке и знакомы со многими документами, которые определяют государственную политику в области обеспечения ИБ. Правовое обеспечение информационной безопасности постепенно совершенствуется, однако требуется время, чтобы основные документы, которые определяют государственную политику в области обеспечения ИБ, стали исчерпывающими и прозрачными.

Характерный пример: при пересечении границы в таможенной декларации нужно указать, ввозите ли вы высокочастотные радиоэлектронные устройства. При наличии таких приборов вы должны идти через красный коридор. К высокочастотным устройствам относятся мобильные телефоны, тем не менее, никто не вносит их в декларацию. Формально получается, что все граждане, не вносящие мобильные телефоны в декларацию, нарушают таможенные правила. По слухам, где-то существует документ, вроде бы разрешающий не декларировать мобильные телефоны, но в самой декларации ссылки на него нет. Это пример невнятной политики государства и несовершенства нормативно-правовой базы.

Если говорить о доступности российского рынка для западных компаний — он достаточно открыт, и здесь трудно увидеть какие-либо ограничения. В то же самое время, рассматривая российский рынок, нельзя забывать о возможных рисках. Рейтинг России значительно ниже, чем у западных стран, что, несомненно, влияет на открытость рынка. Одной из причин низкого рейтинга является неоднозначность и противоречивость российских законов. Многие иностранные компании со своей продукцией и инвестициями могут очень легко оказаться заложниками неоднозначности российских законов, стать персонами нон грата и потерять деньги. Серьезный бизнес такие условия не устраивают. Это удерживает крупные компании от больших инвестиций в людей, технику, производство и, что особенно существенно, в местное производство. В области ИТ западные компании относительно легко идут на создание центров разработки ПО и крайне неохотно — на местное производство компонентов, т.к. в этом случае инвестиции и, соответственно, риски резко возрастают.

CNews: Существующее законодательство в области ИБ существенно осложняет выход иностранных продуктов защиты информации на отечественный рынок. Как CA собирается решать данную проблему?

Сергей Тарасов: Деятельность международных ИТ-компаний включает разработки, производство и сбыт. Существующие в России ограничения на деятельность иностранных компаний и высокий уровень инвестиционных рисков приводят к тому, что Россия для многих компаний является лишь рынком сбыта. Будучи американской компанией, СА — не исключение. Основным препятствием развития местного производства продукции иностранных компаний является все та же боязнь внешнего врага.

Несомненны проблемы, которые создают применяемые в России процедуры сертификации продуктов. В мире сертификация более распространена, чем в России. В нашей стране проблема сертификации состоит в том, что люди, ответственные за сертификацию, очень часто рассматривают ее в качестве источника прибыли. Для производителя важен не сам факт необходимости сертификации его продуктов, а насколько проста процедура получения сертификата. Россия—не самая бюрократическая страна в мире, но алгоритм действий по сертификации настолько несовершенен, что многие компании не могут или не хотят ее проходить. В результате в проигрыше остается в первую очередь Россия.

CNews: Какова стратегия СА в России? Какие задачи стоят перед представительством на ближайшие год-два?

Сергей Тарасов: Необходимо сказать о двух основных стратегических направлениях для СА в России. В России бренд СА плохо узнаваем, несмотря на то, что мы входим в пятерку крупнейших в мире компаний-производителей ПО. Это связано с историей и отчасти с тем, что CA недостаточно активно позиционировала себя на российском рынке. Кроме того, решения по обеспечению управления, которые предлагает CA, только в последние годы стали востребованными в нашей стране.

Поэтому первая стратегическая задача нашего представительства — сделать бренд СА и ее продукты узнаваемыми в России. Необходимо, чтобы сразу возникала ассоциация между названием компании и тем, на что ориентированы ее продукты и решения,—управление сложными информационными системами и обеспечение безопасности этих систем.

Вторая задача CA—расширение партнерства. В ближайшее время мы не собирается работать в России напрямую. Партнерские отношения с ключевыми системными интеграторами российского рынка, имеющими доступ к корпоративным клиентам, — стратегическая задача CA. У нас немало надежных партнеров в России, но их усилий недостаточно для охвата всего российского рынка.

Залог успеха нашей стратегии заключается в том, что СА пришла в Россию в подходящий момент времени. Этап насыщения рынка компьютерами и ИТ-продуктами достиг той точки, когда сложность ИТ-инфраструктур большинства компаний достаточно высока.

С ростом сложности инфраструктуры возникает проблема управляемости этой инфраструктурой. Когда ИТ-система становится ключевым звеном бизнеса, возникает проблема ее безопасности. Поэтому именно сейчас продукты и технологии СА будут особенно востребованы. Преимущества решений СА над конкурентами заключаются в обеспечении комплексной безопасности всей инфраструктуры в целом.

CNews: На какие продукты компании или сервисы вы делаете ставку в нашей стране? Какие решения в сфере ИБ СА планирует вывести на рынок в России в ближайшее время?

Сергей Тарасов: Говоря о продуктах, нужно отметить решения и услуги, ориентированные на обеспечение безопасности. Продукты и сервисы СА не являются простыми средствами защиты компьютеров, а представляют собой средства информационной безопасности в целом. Некоторые продукты влияют на безопасность инфраструктуры косвенно, поскольку прежде чем ее обеспечивать, необходимо иметь ясное представление о самой инфраструктуре, защитой которой предстоит заниматься.

Для начала необходимо знать основные характеристики защищаемой системы. Продукты семейства Unicenter—Unicenter CDM, Unicenter DNA, Unicenter NSM, Unicenter Service Desk—это комплекс модульных интегрированных решений для автоматизации процессов управления ИТ-инфраструктурой. Использование этих продуктов оказывает значительное влияние на обеспечение ИБ благодаря ясному и наглядному для администраторов системы представлению инфраструктуры.

Решение семейства Brightstor—Arcserve Backup представляет собой «коробочный» продукт, ориентированный на резервное копирование информации. Его использование вносит свой вклад в обеспечение безопасности информационной системы. Продукты семейства eTrust—eTrust IAM, eTrust SCC, eTrust SCM, PestPatrol, Netegrity — представляют собой полный спектр решений для непосредственного управления безопасностью ИТ. Сейчас мы выводим на российский рынок ряд новых продуктов, а также решения, до сих пор мало знакомые российским пользователям как решения компании СА. Все они дополняют семейство eTrust: русифицированный eTrust SCM (Security Content Manager) — решение по контролю всех видов трафика, включает встроенный антивирус, анализ контента почтовых сообщений и файлов, защиту от активного кода, спама и несанкционированного доступа. Netegrity — пакет по управлению безопасностью через web-сервисы, обеспечивающий построение через web безопасной инфраструктуры в Интернете. PestPatrol — программное обеспечение для обнаружения spyware. Компании Netegrity и PestPatrol в прошлом — производители программного обеспечения, приобретенные компанией СА с целью модернизации и совершенствования пакетов управления идентификацией пользователей и средств защиты от различных вредоносных программ. В будущем СА планирует расширение своей продуктовой линейки за счет покупки компаний, специализирующихся на решениях в области безопасности и управления ИТ-инфраструктурой.

CNews: Известно, что для крупных международных компаний обычной практикой является покупка малых предприятий, имеющих перспективные разработки. Многие крупные компании открывают собственные центры разработки в России. Есть подобные планы у CA?

Сергей Тарасов: Покупка новых компаний — часть глобальной стратегии СА. Можно проследить, как постепенно CA подбирается к российскому рынку: в числе недавних приобретений появились компании-представители рынка Восточной Европы. Не так давно было объявлено о создании центра поддержки программного обеспечения мейнфреймов, который был открыт в Чехии. В России же мы пока присматриваемся, поэтому в ближайший год не планируем подобных приобретений.

Если говорить о технической поддержке, том на первом этапе по мере расширения нашего представительства и бизнеса в России мы будем опираться на ресурсы партнеров, т.е выполнять сервисные функции за счет аутсорсинга. Создание собственного центра разработки в России в ближайшие планы не входит. Использование партнерских отношений для поддержки наших программных продуктов является частью наших инвестиций в российские организации. Основные инвестиции идут через обучение и сертификацию российских специалистов, в результате которых сотрудники наших компаний-партнеров смогут стать экспертами в решениях СА. О локальных разработках решений и использовании российских компаний-разработчиков пока речи не идет. Тем не менее, для руководства СА Россия и СНГ являются весьма перспективным рынком, обладающим огромным потенциалом для роста и расширения партнерства с российскими организациями.

CNews: Спасибо.


Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2005 г.

Toolbar | КПК-версия | Подписка на новости  | RSS