"IT-безопасность: необходимость или забава?" (интервью с Д. Мананниковым, исполнительным директор LETA IT-company) (А. Беневольский, "Консультант", N 1, январь 2008 г.)

"IT-безопасность: необходимость или забава?"
(интервью с Д. Мананниковым,
исполнительным директор LETA IT-company)

Сложно представить бизнес без применения современных информационных технологий - он не выдержит конкуренции и исчезнет. То же самое рано или поздно может произойти с компанией, которая пренебрегает элементарными правилами информационной безопасности, в том числе внутренней. О ситуации в области защиты конфиденциальных данных (ILDP - Informational Leakage Detection and Prevention) в России "Консультанту" рассказал Дмитрий Мананников.

- Дмитрий, расскажите, пожалуйста, о том, каковы основные результаты развития рынка информационной безопасности в России в 2007 году.

- Темпы роста российского рынка информационной безопасности (ИБ) на сегодняшний день значительно превышают общемировой показатель. Что касается ILDP-ceгмента, то он развивается опережающими весь рынок ИБ темпами. По итогам 2007 года его объем составляет порядка 26 миллионов долларов США, а в 2008 году ожидается рост этого показателя на 63 процента.

Утечка внутренних данных вызывает все большую обеспокоенность отечественных компаний. Значительная часть нарушений, о которых известно на сегодняшний день, связана с неправомерными действиями самого персонала предприятий. Почти в 70 процентах случаев мошенники использовали портативные устройства: ноутбуки, flash-карты, КПК, смартфоны и фотоаппараты. Основная доля хищений приходится на информацию о персональных данных клиента (65%), финансовой отчетности (25%) и объектах интеллектуальной собственности (10%).

В России наблюдается выделение обеспечения IT-безопасности в качестве некой отдельной услуги, придание ему большего значения. Его стали, наконец, воспринимать как метод закрытия финансовых рисков. ИБ трансформируется в один из инструментов управления компанией. Причем решения по обеспечению информационной безопасности принимает тот управленец, который не только видит свой сегмент, но и четко понимает структуру работы всего предприятия, логику построения бизнес-процессов компании.

- Какие задачи стоят перед системами информационной безопасности?

- Основная цель, достижению которой призвано содействовать обеспечение информационной безопасности, - обнаружить, идентифицировать риски (возникающие при нарушении конфиденциальности, доступности и целостности "критичной", важной для организации информации) и правильно обработать полученные результаты.

Системы ИБ должны обеспечивать сохранение коммерческой тайны предприятия. Ее, согласно нашему законодательству, компания для себя определяет сама, хотя и существует некий перечень той информации, которая не может к ней относиться. Все остальное собственник вправе "обозвать" коммерческой тайной. Как только он определил, что защищает, начинается выбор средств, которыми будет обеспечиваться защита.

- Расскажите, чем следует руководствоваться при выборе средств? Какие бывают виды систем безопасности?

- Потеря информации для той или иной организации сопряжена с определенным финансовым риском. Компания может понести прямые финансовые потери, недополучить прибыль либо столкнуться с репутационным кризисом ввиду разглашения какой-либо информации. Поэтому к построению системы защиты данных нужно подходить комплексно.

"График 1. Динамика роста рынка ILDP в России"

Выбирается некий средний показатель, к которому необходимо привести все риски компании. Часть из них можно перекрыть, инвестируя в безопасность огромные деньги. Однако на практике часто бывает так, что риск, при его наступлении, несущественен. Например, самый большой ущерб бизнесу может принести прямое попадание метеорита в здание. В данной ситуации компания может заказать исследования в NASA и начать строительство над зданием противометеоритного купола, а может просчитать, что вероятность попадания в здание метеорита ничтожна, и не пытаться перекрыть этот риск. Т.е. максимально возможное перекрытие - не всегда есть правильное, экономически обоснованное решение.

Как правило, на основании анализа из рисков выбираются неприемлемые для компании и устанавливается тот уровень, до которого их нужно минимизировать. Однако следует заметить, что стопроцентно надежной системы защиты априори не существует. Сейчас на рынке можно выделить два основных подхода к обеспечению внутренней безопасности. Они предполагают:

1. создание специализированной комплексной корневой системы с централизованным управлением. В этой системе создаются до 70 процентов сообщений о возможных инцидентах в сфере ИБ:

2. внедрение ряда не связанных между собой систем, которые закрывают отдельные проблемные участки.

На данный момент большинство проектов по защите от внутренних угроз строится с использованием второго подхода. Также часто обращаются к функционалу "обычного" ПО - например, продуктов компаний Microsoft, Cisco. На его основе создаются регламенты работ с конфиденциальной информацией.

Операторы услуг в области информационной безопасности способны предлагать решения, которые могут нейтрализовать любые IT-риски. ИБ - это комплекс организационно-технических мер. И специалисты должны быть готовы помочь клиенту выстроить систему ИБ на предприятии, разработать регламентационную документацию, установить определенное оборудование.

Основное конкурентное преимущество передовых компаний в данной сфере услуг - использование в работе процессного подхода, являющегося базисом для бизнес-процессов самого предприятия, и системы SLA (соглашения об уровне качества). Когда заключается SLA, то клиенту сообщается, что ему будет обеспечен конкретный уровень качества. Т.е. в данном случае оператор услуг вместе с клиентом проводит анализ его рисков, по результатам строит ту или иную систему, и заказчик знает, какую поддержку он получит в любой момент времени. За этим подходом, бесспорно, будущее обеспечения информационной безопасности. Ведь сейчас мы постепенно отказываемся от тесного общения с техниками, от выставления спецификаций и т.д. И целью системы ИБ в настоящий момент является не только оснащение "набором железа", но и повышение стоимости бизнеса клиента путем минимизации рисков.

- С какими последствиями сталкиваются российские компании, не выстроившие должным образом систему информационной безопасности?

- Основные последствия утечки данных состоят не только в оттоке клиентов, но и в прямых финансовых потерях. При этом "стоимость" хищения значительно разнится в зависимости от области деятельности компании и вида украденной информации.

Обязательного комплекса мер в случае хищения конфиденциальных данных законодательством нашей страны не предусмотрено. Следовательно, никто и ничто не обязывает российские компании сообщать о подобных инцидентах. Тем не менее, несмотря на то что отечественные организации могут не бояться преследования со стороны правоохранительных или надзорных органов, их руководители отчетливо понимают, что избежать потери репутации и косвенных убытков вряд ли удастся.

На мой взгляд, основной урон хищение данных наносит репутации компании и уже потом приводит к упущенной выгоде, потере клиентов и прямым финансовым убыткам вкупе с падением конкурентоспособности. Усугубляет ситуацию и тот факт, что до 70 процентов инцидентов остаются неизвестными для топ-менеджмента пострадавшей компании. Это затрудняет анализ причин, замедляющих развитие бизнеса, в случае если утечки повлияли на этот процесс.

- Какой процент бюджета IT, на Ваш взгляд, следует выделять для достижения должного уровня информационной безопасности? Есть ли статистические данные о том, сколько компании тратят на ИБ?

- Сегодня объем необходимых затрат, направленных на достижение ИБ, достаточно сложно оценить. Прежде чем давать какую-либо рекомендацию, нужно быть знакомым с бизнесом компании. Однако постепенно российский рынок выработает модель типизации по отраслевому признаку, и тогда можно будет предлагать какое-то усредненное решение. На данный момент типизирован только банковский сектор: существует единый отраслевой стандарт ЦБ РФ по информационной безопасности, который выдвигает некие нормы.

Еще в начале 2007 года можно было сказать, что бюджет на ИБ в крупных компаниях составлял порядка 20 процентов от годового бюджета IT. Однако при выходе на уровень управленческих решений в области защиты данных этот показатель начинает варьироваться, т.к. не всегда является экономически целесообразным.

Схема работы систем ILDP

                       /-------------------------\  /-------------------\

                       |  /-------------------\  |  |Офицер безопасности|

        /--------------+-|   Корпоративная   |  |  \-------------------/

        |              |  | электронная почта |  | Контроль трафика  

        |              |  \-------------------/  |-------\           |

        |              |  /-------------------\  |                  |

/-----------------\    |  |Исходящие интернет-|  |  /----------\     |

|Корпоративная ин-|----+-|сообщения          |  |  |Система   |     |

|формационная сис-|    |  \-------------------/  |  |контентной|-----/

|тема             |-\  |  /-------------------\  |  |фильтрации|

\-----------------/ \--+-|  Печать документа |  |  \----------/

        |              |  |                   |  |       

        |              |  \-------------------/  |-------/

        |              |  /-------------------\  | Контроль действий

        |              |  | Сменные носители  |  |

        \--------------+-|                   |  |

                       |  \-------------------/  |

                       \-------------------------/

- Существуют ли ценовые границы, которые следует соблюдать при разработке системы безопасности?

- Цена замка не должна быть выше цены содержимого амбара. Поэтому максимальные затраты на проработку и внедрение системы безопасности не могут превышать стоимость самой информации. А нижняя граница, как всегда, стремится к нулю. Иногда можно принять рисковое решение и в принципе не строить систему безопасности. И это может быть оправданно.

- Какие организации являются основными клиентами компаний, предоставляющих услуги на рынке информационной безопасности? Ведь в сегодняшней ситуации спрос на такие услуги пока невелик...

- Это малый процент от большой общности! По оценкам специалистов, более 5000 компаний в России нуждаются в дополнительных мерах защиты своих IT-систем. Почти у половины из них (48%) годовые бюджеты на информационные технологии не превышают 250 000 долларов, причем на решение проблем безопасности отводится лишь некоторая часть этих средств. Лишь у 20 процентов предприятий бюджет позволяет выполнить полный спектр действий, способных выстроить эффективно работающую систему безопасности. В остальных же случаях деньги расходуются на "латание наиболее явных дыр", исходя из IT-рисков, но никак не бизнес-рисков предприятия.

Наиболее уязвимы компании среднего бизнеса, руководство которых оставляет решение вопросов информационной безопасности "на потом". Однако тенденция последних нескольких лет и анализ наиболее известных инцидентов, связанных с кражей приватных данных, дают основания полагать, что такая стратегия слишком рискованна.

В последние годы интерес к проблеме защиты коммерческих данных стали проявлять не только представители крупного бизнеса с парком ПК от 500 и выше, но и представители среднего бизнеса (от 50 до 500 ПК). Прирост потребителей услуг в сегменте ILDP за 2006 и 2007 годы у них примерно одинаков.

В среднем доля выделяемых на ИБ средств составляет примерно 8 процентов от общего бюджета IT-подразделения.

- Как в области обеспечения информационной безопасности должно строиться взаимодействие финансового и IT-директоров?

- В среднеотраслевой компании финансист - это управленец, который внутри команды топ-менеджмента, как правило, не работает. Его деятельность направлена на увеличение общей прибыли компании, а не на рост бюджета: он принимает общие координационные решения.

IT-сектор у нас в стране начинает развиваться в правильном направлении. Информационная безопасность однозначно приобретает все большие масштабы, что опять же показывает рост рынка. В IT-службах выделяются управленцы, ими руководящие.

"График 2. Основные угрозы ИБ"

"График 3. Основные каналы утечки информации"

Среднестатистический IT-специалист, как бы хорошо он ни понимал специфику своих задач (как правильно выстроить сеть, как настроить сервер и т.д.), не всегда осознает - нужно это вообще бизнесу или нет. Например, любой IT-менеджер скажет, что двухчасовой простой автоматизированной банковской системы гораздо опаснее двадцатиминутного простоя операторского ПК. Но при этом банковский регулятор ЦБ РФ позволяет задерживать межбанковские платежи на срок до четырех часов, а рейсы в ЦБ предписывает отправлять строго по графику. Таким образом, простой автоматизированной банковской системы никак не отразится на деятельности банка, а вот неотправка последнего рейса в ЦБ в 19:00 и незакрытие оператором банковского дня влечет за собой штрафы ЦБ, соизмеримые с размером дневной выручки банка.

Поэтому необходима четкая оценка обстановки в компании и взаимопонимание между финансовым и IT-подразделениями.

- Во время беседы с Вами складывается такое впечатление, что границы между сферами деятельности топ-менеджеров стираются. Так ли это?

- Не совсем. Специфика той деятельности, к которой управленец относился ранее, все равно остается за ним. Никто лучше него в ней не разбирается. Но принимать решения он должен, опираясь на знания о функционировании бизнеса в целом. К примеру, сейчас СЮ - это однозначный управленец с неким углубленным пониманием IT-инфраструктуры. Прогнозировать, в кого он вырастет, очень сложно. Мне кажется, это отраслевой момент. У меня большой опыт работы в банковской сфере, и я встречал много зампредов, которые выросли из технических подразделений, людей, которые после IT-департамента получали себе в нагрузку процессинг, электронные банковские системы и выходили на более высокий управленческий уровень. И через какое-то время, на мой взгляд, они окончательно уйдут в финансовый сектор, потеряют связь с техникой.

- Какие тенденции можно выделить в развитии рынка информационной безопасности?

- Не все специалисты в полной мере осознают смысл понятия "риск". Часть из них работают лишь с целью покупки множества антивирусов, Fire Wall, а потом устанавливают их и считают, что все будет хорошо. А ведь необходимо смотреть на свою деятельность с точки зрения закрытия рисков.

Российские компании все больше заботит коллективная безопасность. Сегодня уже недостаточно просто доверять своему партнеру по бизнесу, имеющему доступ к вашей конфиденциальной информации. Важно быть уверенным в его системе защиты.

В обозримом будущем у российских предприятий появится стремление не только выстроить комплексную систему защиты, но и обеспечить более широкий выбор конкретных программных средств защиты. В ближайшие два-три года российские предприятия вызовут большой интерес всех крупнейших разработчиков систем ILDR

Беседовал А. Беневольский,

эксперт "Консультанта"

Дмитрий Огородников, руководитель департамента информационной безопасности компании "Энвижн Груп":

"Банки являются весьма привлекательной мишенью для кибермошенничества. Среди наиболее значимых угроз, которым они подвергаются, следует выделить: риски мошенничества в электронных системах банковского обслуживания, риски потери доступности сервисов критичных прикладных систем (автоматизированных банковских и электронных биржевых систем, систем скоринга и пр.), а также риски утечки персональных данных и данных о финансовой состоятельности клиентов.

Производственные предприятия также несут ощутимые риски ИБ. Здесь приоритет меняется в сторону потери "работоспособности" систем управления предприятием и нарушения конфиденциальности бизнес-стратегий, know-how и другой критичной информации, от которой зависит успех развития бизнеса предприятия".

Валерий Андреев, директор по науке и развитию компании ИВК:

"2007 год характеризовался повышением актуальности вопросов ИБ во всех слоях IT-сообщества. Это объясняется высоким уровнем опасности, исходящей как из сети Интернет, так и из самих объектов автоматизации. Поэтому в 2007 году значительно повысилась популярность антивирусных средств и средств защиты периметра. В сознание заказчиков стала проникать идея зависимости возможностей защиты информационной системы от ее архитектуры и использования особого класса ПО промежуточного слоя (middleware) как системообразующей основы. К сожалению, по-прежнему тормозится широкое развитие технологий электронной цифровой подписи, поэтому крупные компании обходятся тем, что есть, развивая инфраструктуру вширь и переключаясь на оттачивание бизнес-процессов.

Я не согласен с экспертами, которые практически гарантируют рынку ИБ ежегодный прирост в 25 процентов. Мне кажется, что цифры в этом году скромнее. Но вот 2008-й и, тем более, 2009 год способны дать такой прирост".

Анжела Федорченко, директор по маркетингу компании АСВТ:

"Для оператора связи создание мощной системы ИБ - это важнейшая задача, напрямую связанная с управлением рисками и обеспечением непрерывности функционирования бизнеса. С одной стороны, ему, как и любому предприятию, нужно защитить свои информационные ресурсы, особенно данные биллинга и другую конфиденциальную информацию о клиентах. И защита должна быть очень надежной, ведь от этого зависят и репутация, и сама возможность ведения бизнеса по предоставлению услуг связи. С другой стороны, эффективность систем ИБ клиентов во многом зависит от того, насколько безопасными будут сервисы хранения и передачи информации. Значимость этого фактора постоянно возрастает, поскольку предприятия-абоненты все чаще используют техническую инфраструктуру оператора не только для передачи информации и хостинга web-сайтов, но и для хранения своих информационных ресурсов, баз данных и ключевых приложений, с которыми работают сотрудники и партнеры".

"Консультант", N 1, январь 2008 г.