версия для печати
Борис Симис
Positive Technologies

Борис Симис:

Многие увлекаются бумажной работой, забывая про реальную безопасность

На вопросы CNews отвечает Борис Симис, директор по развитию бизнеса компании Positive Technologies.

CNews: Какие основные тенденции можно отметить в области ИБ в России в настоящий момент?

Борис Симис: Я бы отметил следующие тенденции. Во-первых, усиление отраслевой специфики проектов по ИБ. Базовые решения по информационной безопасности были, есть и будут. Но с ними более-менее все понятно; такие решения как антивирусная защита, межсетевые экраны, VPN стали типовыми. Они есть в той или иной мере практически у каждой организации.

При этом на рынке стали востребованы решения по защите бизнеса, учитывающие его специфику. Решения по борьбе с мошенничеством для телеком компаний. Решения по защите систем дистанционного банковского обслуживания. Решения по защите ERP-систем в промышленности. Это интересные и сложные проекты, но это и вызов для компаний-производителей, интеграторов и консультантов. По моему мнению, смогут выжить лишь те, кто научится оказывать бизнес-ориентированные услуги.

Вторая тенденция, которую я бы отметил - это возрастание роли регуляторов. Такое ощущение, что уже мало кто верит в мире, что компании будут серьезно заниматься информационной безопасностью по собственной воле. Поэтому их принуждают этим заниматься. В Америке, например, это следует из некоторых положений Sarbanes–Oxley Act. В банковской сфере это обязательный для применения участниками платежных систем стандарт PCI DSS. В России  это нашумевший закон «О персональных данных». Есть термин Comliance management, который по-разному трактуется, но в нашей сфере я бы его озвучивал как «управление соответствием стандартам». Мне кажется, что под знаком этого термина пройдут ближайшие несколько лет в области информационной безопасности.

CNews: Насколько определяющим для развития рынка ИБ в России в 2009 г. оказался ФЗ 152 –Закон "О персональных данных", по вашему мнению?

Борис Симис: История с ФЗ 152 достойна хорошего детектива, причем с еще не ясной развязкой. Когда закон появился, к нему был скорее теоретический интерес. Потом появились нормативные документы регуляторов, которые фактически «взорвали» рынок и мозги многих специалистов по ИБ. Большинство компаний, предоставляющих решения в области безопасности, подняли флаг Персональных данных и устроили массированную атаку на умы заказчиков. Фактически можно сказать, что 2009 год прошел под знаком Персональных данных.

Посмотрите, сколько публикаций, конференций, выступлений посвящено этой теме. При этом заказчики по-разному отнеслись к закону «О персональных данных». Одни стали реализовывать мощные системы по защите ПД и вкладывать в это серьезные деньги. Вторые тоже озаботились вопросом защиты ПД, но ограничились организационными мероприятиями, заняв выжидательную позицию. Третьи просто решили ничего не делать по принципу «есть много нормативных документов, всем соответствовать все равно не получится».

Кто из них прав, покажет время, но я думаю, что свой резон есть и у одних, и у других, и у третьих. Выводов из этой истории можно сделать много.

С одной стороны, я не припомню, чтобы какая-нибудь другая тема по информационной безопасности так активно обсуждалась руководством крупного бизнеса, Государственной Думой. При этом интересно, что обсуждение было в основном в ключе - как минимизировать расходы на непонятную статью под названием «информационная безопасность». Тут я вижу опасность в том, что наличие жестких и непонятных бизнесу требований часто приводит к построению «потемкинских деревень». В областях, где обязательна, например, сертификация систем управления качеством, это очень заметно. С другой стороны, интересно было наблюдать за поведением игроков рынка ИБ. Многие ИБ-консультанты должны низко в пояс поклониться ФЗ 152, так как он помог им пережить нелегкий кризисный год.

Что касается нашей компании, то мы достаточно взвешено реагировали на всю эту шумиху. С одной стороны, наши решения понятно встраиваются в системы защиты персональных данных. С другой стороны, мы их позиционируем для решения гораздо более широких задач, связанных с контролем защищенности и соответствия стандартам, и задача защиты персональных данных - лишь одна из них.

CNews: В чем вы видите специфику и основные сложности проектов по защите информации?

Борис Симис: Я не «открою Америку», сказав, что основная сложность заключается в том, что проекты по защите информации, с одной стороны, могут требовать серьезных вложений и усложняют и без того не простую ИТ-систему, а с другой стороны, достаточно трудно объяснить, как потраченные на ИБ деньги могут помочь бизнесу.

Вторая сложность, которую я бы отметил, это наличие непростого законодательства в области ИБ. Остальные сложности скорее технические, и, как правило, решаемые.

И тут я, наверное, не стал бы говорить на тему, как решать сложные вопросы проектов по защите информации. Скорее надо говорить о построении процесса защиты бизнеса, в котором вопрос защиты информации занимает соответствующее место.

Как правило, такие призывы часто на практике остаются красивыми фразами консультантов, а руководители и ИБ-специалисты львиную долю времени тратят на пробивание отдельных проектов. Но к системному подходу надо стремиться, и там где он работает, пользу от него ощущает и бизнес, и ИТ, и безопасность.

CNews: Как убедить бизнес, что надо инвестировать в информационную безопасность?

Борис Симис: По моему опыту, руководство крупных организаций, государственных или частных, достаточно плохо осведомлено об угрозах, связанных с применением ИТ. Выгода от внедрения того или иного ИТ-решения может быть очевидна. А обратная сторона, то есть новые угрозы, которым теперь подвергается бизнес, представляются эфемерными. И я вижу задачу служб информационной безопасности - в адекватном донесении до коллег, руководства, бизнес-подразделений, маркетинга возможных негативных сценариев, которые могут случиться при реализации угроз ИБ. Задача эта благородная, но не благодарная! Делать это надо профессионально и взвешенно, учитывая специфику предприятия. Где-то надо разговаривать на языке оценки рисков, финансовых сценариев, где-то на языке нормативных документов и предписаний.

CNews: Насколько реальны ИБ-угрозы для бизнеса?

Борис Симис: Достаточно реальны. Посмотрите новости за 2009 год. Начало года - DoS атаки на системы дистанционного банковского обслуживания (ДБО). Причем любой специалист скажет, что DoS атаки на ДБО системы, как правило, используются для «прикрытия» мошеннических операций.

Середина года - взлом сети банкоматов известных российских банков. Фиксировались утечки данных в телефонных компаниях. В государственных учреждениях проблемы с ИБ не так публично обсуждаются, но раньше можно было зайти на Савеловский рынок и посмотреть продающиеся там базы данных. Теперь они перекочевали в интернет.

Частные пользователи тоже становятся жертвами мошенников и злоумышленников, даже не подозревая об этом. В этом году широко обсуждалась утечка учетной информации из крупных социальных сетей.

Информационные технологии стали частью современного бизнеса, государство декларирует переход на электронное взаимодействие с гражданами, личная жизнь людей все больше опирается на компьютер с интернетом. И угрозы информационной безопасности соответственно становятся все актуальней.

CNews: С вашей точки зрения, насколько российские организации защищены от злоумышленников - на практике?

Борис Симис: Не хотелось бы заниматься запугиванием, но могу привести такой пример. Компания Positive Technologies проводит работы по оценке защищенности наших заказчиков. В большинстве своем это либо крупные государственные и коммерческие структуры, либо небольшие компании, где ИТ-системы играют ключевую роль (процессинги, интернет-порталы). Так вот, в 100% случаях удается получить доступ к ключевым системам заказчиков в обход средств защиты информации. При этом в большинстве случаев не применяются какие-то «супер технологии», а используются широко известные уязвимости и методы проникновения. От этого становится, честно говоря, немного грустно. А иногда немного страшно.

Или, например, статистика по парольной защите. Наша компания в ходе выполнения работ, по просьбе заказчиков, подбирала пароли к учетным записям критичных систем. Это ERP-системы, банковские системы, системы управления.

В результате мы получили статистику по более чем 185 тысячам учетных записей, реально применяющихся в крупных компаниях в России. И что мы видим? Примерно 15% паролей содержатся в публичных словарях. Это означает, что применить их может любой пытливый школьник из любой точки мира. Посмотрите отчет «Анализ проблем парольной защиты в российских компаниях», там есть интересные факты. Из тысячи людей 6-7 имеют паролем пустую строку для доступа к критичным ресурсам! И таких примеров очень много, несмотря на победные реляции о сертификациях и «построении процессов». Наряду с интересными и важными проектами по безопасности, часто можно увидеть показные и формальные сертификации. В этой связи, к сожалению, очень часто приходится использовать термин «бумажная безопасность». Это когда в организации много сил и средств тратится на создание проектной документации, разработку регламентов, закупку средств. Что само по себе и неплохо. Но только реальная защищенность от этого не повышается. Но мы позитивно смотрим на эту ситуацию и пытаемся, по мере сил, донести до заказчиков информацию об их реальной защищенности.

CNews: Востребована ли отечественным рынком модель предоставления ПО как услуги – в сфере ИБ, на ваш взгляд? Как можно оценить потенциал спроса в этой нише?

Борис Симис: Я не думаю, что это наиболее популярная модель взаимодействия поставщиков и потребителей. Во всяком случае, большинство наших проектов проходит по схеме приобретения ПО именно как ПО. Но есть ряд заказчиков, которым удобно покупать услуги.

Причем, на наш взгляд, более востребованной является не классическая «ПО как сервис», или в иноземной терминологии модель SaaS, а предоставление именно сервиса, т.е. практически готового процесса по контролю защищенности, отслеживанию изменений, анализу рисков и т.д. Это позволяет заказчикам передать провайдеру не только функции, связанные с техническим обслуживанием систем, но и ряд экспертных и процессных задач, уменьшая требования к штатному расписанию.

Кстати, может быть, не все про это помнят, но именно компания Positive Technologies стала первооткрывателем на этом рынке. В 2005 году мы предлагали сканер XSpider в виде услуги. Это был своего рода пилотный проект, который обогнал запросы рынка информационной безопасности в России. Теперь мы запускаем подобный проект, но уже основанный на продукте другого класса - системе контроля защищенности и соответствия стандартам MaxPatrol, которую сейчас приобретают как ПО, а в 2010 году можно будет приобрести и как услугу.

Это будет интересно, прежде всего, тем, кто в первую очередь задумался о контроле защищенности своего внешнего информационного периметра, и хочет это сделать быстро и с наименьшими затратами. Если же говорить о контроле защищенности внутренних ресурсов, то здесь, я предполагаю, в основном будут приобретать ПО в собственность, так как это не связано с передачей чувствительной информации внешней организации. В целом, я поддерживаю такой подход.

CNews: Какие наиболее значимые проекты ИБ были реализованы вами за последний год?

Борис Симис: 2009 год был очень интересным для Positive Technologies. С одной стороны, кризис, а с другой стороны, мы стали активно реализовывать проекты по внедрению системы MaxPatrol. По нашим оценкам, обороты за 2009 год вырастут минимум вдвое по сравнению с 2008 годом, и думаю, это неплохой результат для кризисного года.

Наибольший всплеск проектов в этом году у нас был в банковской сфере. Не буду называть конкретных организаций, не все готовы делиться информацией о своих проектах в сфере ИБ. У нас интересные проекты в крупных российских банках, связанные с построением систем контроля соответствия стандартам, в результате которых служба ИБ получает понятные KPI состояния защищенности своей ИТ-системы. В зарубежных банках внедрение MaxPatrol связано с необходимостью контроля купленных российских банков и приведения их систем в защищенное состояние.

В телекоммуникационной и нефтегазовой области внедрение нашей системы вызвано задачей централизованного контроля состояния филиалов, регионов, дочерних организаций. То есть управляющая компания формирует конкретные технические стандарты для сетевого оборудования, баз данных, прикладных систем, рабочих станций, серверов и контролирует, как настройки всего этого оборудования в регионах соответствует стандартам центра.

В государственных структурах наши решения традиционно используют для построения процессов управления уязвимостями, и этот год не стал исключением.

CNews: Каковы ваши планы развития ИБ-практики в ближайшее время? Как корректируется ваше предложение под актуальные запросы рынка?

Борис Симис: Как известно, компания Positive Technologies специализируется в вопросах контроля защищенности в двух аспектах: оказание услуг по оценке защищенности и разработка программных продуктов. Это сканер безопасности XSpider и система контроля защищенности и соответствия стандартам MaxPatrol.

Сердцевиной компании является наша лаборатория, Positive Technologies Research Lab, - команда уникальных специалистов, призванием и делом которых является поиск уязвимостей в различных системах и ежедневный детальный контроль всех изменений в этой области. Многие найденные нашей лабораторией уязвимости опубликованы в соответствующих международных базах данных. Специалисты Positive Technologies участвуют в международных ассоциациях, таких как Web Application Security Consortcium, (ISC)2. И своими решениями и услугами мы даем возможность нашим заказчикам получить уникальную информацию, что называется, из первых рук.

Если говорить про услуги, то это оценка защищенности информационных систем, тестирование на проникновение. Такие услуги мы оказываем давно, и накопили серьезный опыт в разных областях. В 2010 году мы сможем типизировать подобные работы уже под более специфичные задачи. Например, оценка защищенности банковских приложений, ERP систем, систем технологической связи, биллинга. Расширяется перечень сервисных услуг с использованием системы MaxPatrol.

По нашим программным продуктам планов тоже «громадьё». В 2010 году выйдет новая версия легендарного сканера XSpider. Основная наша задача в 2010 году - помогать строить системы «реальной защищенности». Ядром таких систем служит MaxPatrol - система контроля защищенности и соответствия стандартам. Мы ожидаем продолжения крупных проектов по внедрению MaxPatrol.

Кроме этого, нас сильно заботит положение частных пользователей, которые совершенно не защищены при работе в интернете, и практически этого не понимают. Мы реализуем решения по оценке защищенности домашних компьютеров, которые представим вместе с нашими партнерами в ближайшее время.

CNews: Спасибо.

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS