Новости

Информационная безопасность: вызов бизнесу XXI века

Уже в конце 80-х-начале 90-х годов с появлением цифровых хранилищ информации, электронных денежных счетов, клиринговых расчетов, Интернета возникли проблемы защиты информации.
3 ноября 2007

Первыми на вызов времени откликнулись военные структуры, банки и другие учреждения, деятельность которых связана с хранением ценной и секретной информации. За ними последовали субъекты крупного бизнеса. Сегодня информационная безопасность является важным вопрос уже и для представителей среднего и малого предпринимательства. О проблемах информационной безопасности мы беседуем с одним из ведущих российских специалистов в этой отрасли Александром Власовым.

Уже в конце 80-х-начале 90-х годов с появлением цифровых хранилищ информации, электронных денежных счетов, клиринговых расчетов, Интернета возникли проблемы защиты информации. Первыми на вызов времени откликнулись военные структуры, банки и другие учреждения, деятельность которых связана с хранением ценной и секретной информации. За ними последовали субъекты крупного бизнеса. Сегодня информационная безопасность является важным вопрос уже и для представителей среднего и малого предпринимательства. О проблемах информационной безопасности мы беседуем с одним из ведущих российских специалистов в этой отрасли Александром Власовым.

- Александр Викторович, насколько актуальны проблемы информационной безопасности в современной России?

- Анализируя данные, представленные ведущими компаниями российского рынка ИБ и экспертами отрасли, можно прогнозировать, что приоритетное внимание в крупных корпорациях в ближайшее время будет уделяться внутренним угрозам. В наибольшей степени востребованы решения и услуги, позволяющие обеспечить эффективную защиту от инсайдеров, халатности сотрудников и информационного саботажа. Основные российские специализированные компании начали осторожно предлагать услуги в области информационной безопасности не как часть "проектного пакета", а в качестве самостоятельного продукта. Например, появляются отдельные предложения по экспертизе проектов и решений, расчету финансово-экономических показателей системы обеспечения информационной безопасности, аудиту информационной безопасности, анализу информационных рисков. Можно с достаточной долей уверенности прогнозировать весьма серьезные изменения в политике заказчиков, которые, вероятно, захотят снизить свою зависимость от единственного партнера и будут заказывать услуги по аудиту, экспертизе, анализу не той компании, которая реализует проект, а, например, конкурирующей фирме. На конец 2007 года запланировано принятие стандарта ISO 27005, который делает управление рисками ключевой доминантой системы управления информационной безопасностью предприятий, компаний, организаций.

- Какие способы хищения информации сегодня существуют? Если возможно, назовите несколько примеров подобных хищений.

- На сегодняшний момент существует масса способов хищения информации. Один из самых распространенных методов заключается в получении доступа к сети и серверам. Приведу один из наиболее нашумевших примеров из истории зарубежных компаний. В годовом отчете компании TJX Companies, гиганта розничной торговли, представленном в конце марта 2007 г. в Комиссию по ценным бумагам и биржам (США), утверждалось, что информация, касающаяся по меньшей мере 45,6 млн кредитных карт, была похищена неизвестными, взломавшими компьютерную систему банковских транзакций в период с июля 2005 г. до середины января 2007 г. При этом количество похищенных аккаунтов было подсчитано исходя из записей о транзакциях в период с 31 декабря 2002 г. по 23 ноября 2003 г. Данные за период после ноября 2003 г. были уничтожены "в обычном порядке ведения дел", но и они также могли быть похищены. На сегодняшний день это самая крупная кража данных, превзошедшая по своим масштабам даже взлом в 2005 г. вычислительной системы CardSystems Solutions, где хранились данные 40 млн кредитных карт, и кражу ноутбука, на жестком диске которого хранились 26,5 млн личных дел из дома сотрудника Управления по делам ветеранов США. Банда мошенников, специализирующихся на подарочных картах, использовала украденные номера кредитных карт для приобретения товаров на сумму более $8 млн. Следует отметить, что в своем финансовом отчете компания постаралась свести к минимуму количество сообщений о последствиях кражи. В России самым громким преступлением в сфере высоких технологий, пожалуй, можно назвать кражу базы данных клиентов компании МТС. Пять с половиной миллионов абонентов оказались полностью рассекреченными. База данных, поступившая в продажу, содержала секретную информацию о каждом абоненте МТС: дату рождения, паспортные данные, адрес, индивидуальный номер налогоплательщика и многое другое. Каждый желающий мог купить пиратский диск прямо на улице. В качестве еще одного примера можно вспомнить скандал, связанный с похищением и широкой продажей базы данных Пенсионного фонда, содержащей около 7 млн записей с паспортными данными, домашними адресами и размером доходов с указанием источника

- Какие способы защиты информации сегодня востребованы в мире и России?

- Прежде всего, здесь нужно отметить, что Россия по сравнению со странами Западной Европы и США находится пока на относительно низком уровне развития в сфере ИБ. Если зарубежные компании в своей деятельности активно используют криптографию, то мы пока довольствуемся антивирусами, паролями, антиспам-фильтрами и т.п. Однако многие начинают уже понимать такие термины как ROSI (Return on Security Investment - оценка эффективности инвестиции в безопасность) и KPI (Key Performance Indicator - ключевой показатель эффективности) систем безопасности. Пока таких проектов единицы. Но, думаю, в этом году потребители придут к пониманию и принятию новых подходов к защите информации. Ясно, что организации не могут защищать то, чем они не управляют, и когда речь заходит о защите информации, это означает две вещи - управление данными и управление доступом к ним. Первоначально при построении систем информационной безопасности организации ориентировались на защиту периметра, при этом делая упор на антивирусную защиту. Однако укрупнение бизнеса и появление новых угроз требуют усложнения защиты, внедрения новых программных и аппаратных средств. Все острее в последние годы встает вопрос защиты от внутренних угроз, создаваемых злоумышленниками, находящимися как внутри, так и вне компании (социальная инженерия). Организации, уже создавшие ИТ-инфраструктуру, начинают внедрение более серьезных средств, защищающих ранее незащищенные области.

- Что представляет собой современный российский рынок средств и систем информационной безопасности? Основные производители и их предложения.

- Согласно проведенным исследованиям, объем российского рынка ИБ равен $250 млн, что составляет 1,8% от всего ИТ-рынка. Это не соответствует мировой практике, где рынок ИБ занимает от 4 до 6% от рынка информационных технологий. Несмотря на такие показатели, рынок ИБ продолжает оставаться одним из самых быстрорастущих сегментов в российском ИТ-рынке. При первоначальном построении систем ИБ в России клиенты и поставщики решений ориентировались в первую очередь на построение инфраструктуры защиты. Решались, прежде всего, технические проблемы. Но такой подход постепенно уходит на второй план. Клиенты уже ориентируются не на инфраструктуру, а на экономическую отдачу и защиту бизнес-процессов. И на рынке ИБ стали появляться проекты, ориентированные именно на это. Важнейший влияющий на развитие рынка ИБ фактор - вступление России в международные организации и общее встраивание экономики России в международные связи. Несомненно, положительно повлияет на отечественный рынок ИБ вступление России в ВТО, где действует большое количество стандартов. Российским предприятиям придется этим стандартам соответствовать. В результате компаниям придется внедрять системы, в рамках которых будет формироваться отчетность по этим стандартам. Растущий рынок привлекает все новых игроков. За последнее время в России открылись представительства McAfee, SafeNet, BitDefender и т.п. В будущем российским пользователям станут доступны многие технологии и решения. Основными производителями на отечественном рынке являются:

- компания Aladdin - ведущий российский разработчик и поставщик средств аутентификации, продуктов и решений для обеспечения информационной безопасности; - информзащита - разработчик концепции и реализатор подсистемы информационной безопасности государственной автоматизированной системы "Выборы"; подсистемы информационной безопасности корпоративной сети Министерства финансов; ряда проектов по защите информационных систем региональных управлений Банка России; - компания "Крипто-Про". Основное направление деятельности - разработка средств криптографической защиты информации и развитие инфраструктуры открытых ключей (PKI) на основе использования международных рекомендаций и российских криптографических алгоритмов. Активно участвует в процессе продвижения российских криптографических алгоритмов на международном уровне; ОКБ САПР разрабатывает и производит СЗИ семейств АККОРД и ШИПКА. Компанией создана методология аппаратной защиты, в основе которой - необходимость наличия резидентного аппаратного компонента компьютерной системы, обеспечивающего ее защиту от НСД; - С-Терра СиЭсПи - разработчик средств сетевой защиты. Сертифицированные продукты и решения на их основе для построения виртуальных защищенных сетей, комплиментарные с решениями компании Cisco Systems и использующие российские криптографические средства; - компания "Центр речевых технологий" разрабатывает и производит компьютерные программы, технологии и образцы техники для правоохранительных органов РФ и других стран.

- "Лаборатория Касперского" - самый известный в России производитель систем защиты от вирусов, спама и хакерских атак. Входит в десятку ведущих мировых разработчиков программного обеспечения для защиты информации от Интернет-угроз. Этот перечень можно продолжать до бесконечности, но в рамках отведенного мне времени это не представляется возможным.

- Каковы перспективные направления развития философии и систем защиты безопасности су? Ваш футуристический прогноз.

- Проблема в том, что никаких прогнозов на этот счет делать нельзя, потому что они все равно не окажутся достаточно смелыми. Еще в 2001 г. утверждалось, что необходимо вложить миллиарды долларов государственных средств в то, чтобы проникновение сотовой связи в России к 2010 г. достигло хотя бы 30%. Если мы посмотрим на сегодняшние отчеты, то увидим, что этот показатель достигнут уже давно, сейчас цифры совершенно иные. Подобное явление мы можем наблюдать и в сфере ИБ, так как в России все зависит не от потребителей или государства, а от самих производителей средств ИБ. Рынок будет расти только в том случае, если отечественные производители будут сами активно образовывать и информировать потребителей, не рассчитывая на помощь со стороны государства. Когда же наши производители это поймут - неизвестно. На этот счет у нас прогнозов нет.