Дмитрий Шепелявый:

Безопасность становится сквозной - с уровня оборудования до уровня бизнес-приложений

Директор департамента по работе с коммерческими организациями Oracle СНГ Дмитрий Шепелявый уверен, что при переходе на облачную архитектуру уровень безопасности ИТ-структуры существенно вырастет.

CNews: Какие изменения вы отмечаете на рынке ИБ в последнее время?

Дмитрий Шепелявый: Во-первых, это постановка задачи по защите данных в облаках. Cloud – слово громкое, но все понимают его по-разному. Степень зрелости услуги на западном и российском рынках отличается, но от этого требования к ИБ не меняются. Необходимость обеспечить безопасность является такой же задачей, как и интеграция облачного приложения с локальным приложением в компании. В основном, два этих момента тормозят распространение облачной архитектуры. Когда в России будут использовать полноценные облачные сервисы, проблема безопасности станет еще острее и с точки зрения российского законодательства, и с точки зрения менталитета российских компаний. Пока они стремятся контролировать информацию, собирая ее внутри себя. На Западе предприятия давно преодолели этот барьер.

Второй тренд – это защита информации в социальных сетях. Все больше и больше корпоративные сети начинают «перемешиваться» с социальными. Здесь и социальный маркетинг, и деятельность сотрудников в соцсетях, и деятельность конкурентов. В итоге возникает все больше вопросов с точки зрения обеспечения безопасности информации, которая попадает в социальные сети и берется из них. Недавно нашумевший инцидент в Facebook тому доказательство.

Следующий тренд – безопасность мобильных технологий. Все чаще и чаще конечными устройствами становятся не ПК, а планшеты, смартфоны. И точек передачи информации все больше: это и мобильные устройства, и сквозное распространение информации с мобильных устройств в социальные сети, в облака, в корпоративные сети. Уходит в прошлое традиционный подход к обеспечению ИБ, который представлял собой периметр-крепость. За периметром были «враги», а внутри периметра – «друзья». Сегодня понятие периметра размыто, границ почти нет. У корпоративных пользователей мобильных устройств должны быть установлены агент-клиенты, правильные пароли, устройства идентификации. Только так можно обеспечить безопасность.

CNews: Пользователи зачастую сами устанавливают на рабочие планшеты, смартфоны приложения для личного пользования. Существуют средства защиты, которые позволяют гарантировать отсутствие шпионских программ?

Дмитрий Шепелявый: Гарантировать отсутствие шпионских программ на персональном мобильном устройстве вряд ли кто-то сможет. Пользователь должен иметь хотя бы элементарные навыки безопасности и ответственно вести себя в интернете.

CNews: Проблема ИБ в облаках реально существует или надумана?

Дмитрий Шепелявый: Сложности есть. Но, по нашему мнению, проблема безопасности в облаке, как она сейчас представлена в умах заказчиков, скорее надумана. При разработке облачных архитектур, технологий виртуализации и обмена информацией протоколы – эта парадигма безопасности – уже встроены. Сложность кроется в отношениях между аутсорсером и заказчиком. Необходимо четко распределить ответственность, контроль, проанализировать риски, обеспечить компенсации, страховку и так далее. Кроме того, надо активно использовать надстройки алгоритмов протоколов, которые в облаке по умолчанию имеются на уровне дизайна. Предполагаем, что грамотное взаимодействие будет сформировано в России через несколько лет – два-три-четыре. К этому времени cloud из нашумевшего модного, но всего лишь слова превратится в ежедневные реалии бизнеса.

CNews: Насколько важен профессионализм заказчика при обращении к публичным облакам?

Дмитрий Шепелявый: Большое преимущество облачных вычислений в том, что профессионализм самого заказчика в области ИБ некритичен. Заказчик лишь получает услугу и отчеты, ему нечего терять, у него нет жестких дисков и данных, которые он может вынести на флэшке, потерять.

Важен профессионализм провайдера. Он должен обеспечить глобальную политику безопасности на основе новейших технологий и последних требований. В целом, при переходе на облачную архитектуру уровень безопасности ИТ-структуры существенно вырастет.

CNews: Не стремится ли бизнес вынести критичные данные не просто в облака, но в облака в оффшорах или странах, взаимодействие с которыми отечественных властей затруднено?

Дмитрий Шепелявый: Все компании, которые чего либо боятся, уже разместили в зарубежных ЦОДах наиболее критичные данные. Наличие или отсутствие облаков на этот процесс никак не влияет. А компании, которой бояться нечего, абсолютно все равно, где находится конфиденциальная информация. Имеет значение только стоимость обслуживания, качество услуг и разграничение юридической ответственности с провайдером.

CNews: Какие факторы стимулируют рост различных сегментов рынка ИБ?

Дмитрий Шепелявый: И в России, и в мире рост рынка ИБ в большой степени стимулируется законодательством, требованиями к оценке рисков в финансово-рекомендательных документах. Главный критерий для России – закон 152-ФЗ о персональных данных. Новая редакция немного развивает предыдущую. Вместе с тем, остались те же требования к сертификации, аттестации, не все положения раскрыты, сохранились технические требования.

Вторым важным фактором является распространение мобильных технологий, которое приводит к тому, что деятельность предприятий выходит за привычные рамки и границы. Это ведет к необходимости того, чтобы корпоративная информация была защищена вне зависимости от того, где она находится и откуда она доступна.

CNews: Отличается ли ситуация с сохранностью персональных данных в России и западных странах?

Дмитрий Шепелявый: Мы на уровне и даже в чем-то впереди, с точки зрения строгости требований.

Мы больше слышим об инцидентах на Западе, в США, потому что кодексы поведения западных компаний обязывают их разглашать такую информацию, это считается ответственной политикой по отношению к инвесторам, акционерам и заказчикам. В ДНК западной компании "зашито" быть прозрачной и открытой, в ДНК российской – нет. Но уровень сохранности персональных данных в России выше, количество инцидентов меньше, если мы говорим о нарушениях, которые могут потенциально повлечь финансовый ущерб (в банках, интернет-магазинах). Пока не так много компаний и частных лиц занимается финансовой деятельностью в интернете, а те, кто ее ведет, достаточно ответственные. В США, наоборот, любая домохозяйка имеет счета во множестве банков, интернет-магазинов. Пенсионерка 70-ти лет из Оклахомы покупает вещи, например, на eBay. Она вполне может держать для памяти свой пароль в кошельке на бумажке, на лобовом стекле автомобиля.

Когда у нас будут широко распространены электронные услуги, ими будет пользоваться значительная часть населения, когда в деревне или поселке можно будет получать пенсию через уведомления с портала госуслуг, проводить коммунальные платежи он-лайн, в конце концов покупать через интернет удобрения для огорода, тогда в России уровень мошенничества может возрасти до уровня, который сейчас отмечается в США. Безусловно, если своевременно не внедрять и не использовать соответствующие средства информационной безопасности. У нас как раз есть временной задел и все необходимые технологии.

CNews: Какая отрасль показала максимальную динамику спроса на решения ИБ в 2011 году?

Дмитрий Шепелявый: Финансовый, государственный сектора. Сейчас завершается постороение многих информационных систем для государственных организаций, вводятся электронные услуги, строится система межведомственного электронного взаимодействия. Во всех этих решениях средства безопасности вшиты на уровне дизайна, они и поддерживают рост выручки.

Спрос со стороны финансового сектора традиционен, потому что сегодня активно развиваются интернет-, мобильный банкинг. Оттачиваются средства борьбы с мошенничеством. К примеру, сейчас для крупных банков основной задачей становится безопасность интернет-банкинга для розничных и корпоративных клиентов. Востребованы скоринговые модели, методы выявления шаблонов действия нарушителей, динамическая оценка действий пользователя в интернет-банкинге, анализ отклонений от нормальной модели поведения. По нашим оценкам, год назад подобные аналитические решения, работающие в онлайн-режиме, были у банков из топ-5, по итогам этого года – у банков из топ-20.

CNews: Какие угрозы считаете наиболее серьезными?

Дмитрий Шепелявый: Для бизнеса, который ведет активную деятельность в интернете, – это DDoS-атаки.  И, конечно, для любой структуры критична утечка конфиденциальной информации. Обычно такое случается из-за того, что недостаточно четко определены права доступа к информации. ИТ-специалисты не очень любят делать тонкую настройку, ролевую модель, менять список прав и привилегий. Обычно пользователям даются излишние привилегии и права доступа. Кроме того, руководство не считает нужным проводить аудит ИБ с выявлением случаев несанкционированного доступа к информации. Третья причина – множественность способов доступа к информации, здесь мы опять возвращаемся к вопросу о мобильных технологиях.

CNews: Меняются ли подходы к обеспечению ИБ в организациях?

Дмитрий Шепелявый: Клиенты все больше заботятся о комплексности и взаимосвязанности средств обеспечения безопасности. Хотя сам этот тезис не нов, но до последнего времени все вопросы безопасности в основном решались нишевыми решениями, которые плохо интегрировались между собой. В результате возникал эффект «слабого звена» в цепочке.

Сейчас безопасность становится сквозной, с уровня оборудования до уровня бизнес-приложения, с помощью единых взаимосвязанных между собой, настраиваемых с единых консолей политик безопасности, средств защиты.

Такой подход реализует Oracle. Мы предлагаем передовую, соответствующую современным требованиям интегрированную линейку продуктов для защиты приложений Oracle Identity Management 11g. Она поддерживает полный жизненный цикл приложений, от разработки до внедрения и полномасштабного развертывания независимо от модели – непосредственно на предприятии или в среде облачных вычислений. Ключевым преимуществом является концепция «Безопасность как Сервис» (Service-Oriented Security – SOS), позволяющая использовать принципы сервис-ориентированной архитектуры (SOA) по отношению к безопасности для стимулирования более качественного проектирования, развертывания и управления. Компоненты Oracle Identity Management без труда интегрируются с бизнес-приложениями Oracle и компонентами семейства связующих технологий Oracle Fusion Middleware. Oracle Identity Management использует СУБД Oracle и интегрируется с ней посредством собственного каталога и службы виртуализации идентификационных данных, таким образом обеспечивая исключительную масштабируемость и снижение стоимости владения.

CNews: Как развивается ваш бизнес по направлению ИБ? На каких решениях и услугах вы в первую очередь сфокусированы в настоящий момент?

Дмитрий Шепелявый: За последние 5-6 лет, когда направление информационной безопасности стало активно развиваться, его среднегодовой темп роста составляет в Oracle СНГ примерно 100%. Клиенты заинтересованы в комплексном управлении информационной безопасностью предприятия и полагаются в этом на решения Oracle. В 2011 фанансовом году наиболее продаваемыми стали решения для обеспечения безопасности баз данных Oracle, которые де-факто являются стандартом для организаций любого типа и масштаба.

В семействе связующего программного обеспечения Oracle Fusion Middleware многократно вырос спрос на технологии управления учетными данными и доступом Oracle Identity Management и качественно обогатилась его структура. Комплексное решение по управлению ИБ – Oracle Identity Management 11g – ориентировано на компании со штатом более 1000 рабочих мест. Oracle Identity Management позволяет организациям управлять полным жизненным циклом идентификационных данных пользователей на ресурсах организации как внутри периметра защиты, так и вне его, независимо от того, какие приложения используются в организации. Различные компоненты, составляющие Oracle Identity Management, спроектированы для совместной работы так, чтобы удовлетворить каждому требованию по управлению учетными данными и контролю доступа, предъявляемому бизнес-транзакцией.

В центре внимания Oracle – повышение прозрачности управления безопасностью. Несмотря на наличие большого количества инструментов, использование ими отдельных специализированных консолей не позволяет администраторам, операторам и офицерам безопасности получить целостною картину настроек и текущего состояния безопасности. Единый подход к проектированию почти всех компонентов IT-инфраструктуры и использование промышленных стандартов позволяет Oracle обеспечить с помощью взаимосвязанных консолей сквозное управление и контроль состояния безопасности с уровня оборудования до уровня бизнес-приложений.

Отличный пример - наши бизнес-приложения нового поколения Oracle Fusion Applications, обеспечивающие безопасность, встроенную в связующее программное обеспечение, СУБД и ОС. Они полностью основаны на стандартах, используют SOA-архитектуру для простой интеграции и предлагают современный пользовательский интерфейс с поддержкой аналитики и мобильных устройств. И эти приложения могут быть развернуты как непосредственно на предприятии, так и в среде облачных вычислений.

CNews: Спасибо.