Rambler's Top100
Статьи ИКС № 2-3 2009
Михаил ЕМЕЛЬЯННИКОВ  10 марта 2009

Плюсы и минусы кризиса для российского рынка информационной безопасности

В условиях мирового экономического кризиса нет ответа на вопросы: чего ждать и что предпринять. Тем больше прогнозов и желающих их сделать. Положим и свои три копейки.

Михаил Емельянников, ИнформзащитаРынок – не базар, им управляют

В силу значительной зарегулированности российский рынок не очень похож на европейский или американский, но вовсю использует все технологические достижения и Европы, и Америки. Кроме того, по многим позициям своих, отечественных решений на рынке нет и в перспективе не видно, а угрозы и тренды – они одни и те же.

Яркий пример регулирования – закон «О персональных данных». Приняв его, государство показало, что диктовать правила защиты сведений, критичных с социальной точки зрения, будет жестко и без оглядки на возможные затраты обладателей информации. Причем отодвигать на отдаленную перспективу вступление в силу требований упомянутого закона оно явно не желает, несмотря на грянувший кризис и задержки с выходом нормативно-методических документов. Значит, банкам, операторам связи, страховщикам, платной медицине, предприятиям-обладателям больших ERP- и CRM-систем придется в 2009 г. вкладывать в защиту персональных данных немалые деньги.

Но 2009 годом затраты не ограничатся. Во-первых, регуляторы неизбежно найдут недостатки в построенных системах защиты и придется «докручивать» их до вида, приемлемого для органов контроля и надзора. Во-вторых, 2009 г. – это только начало. Всех за год не проинспектируют, и работа будет продолжаться уже на базе опыта инспекций первого года полноценной работы закона.

На подходе – закон о служебной тайне, а также определение того, как обеспечить безопасность остальных категорий сведений ограниченного доступа. В первую  очередь речь идет о профессиональной тайне, включающей тайну связи, врачебную, адвокатскую, нотариальную, банковскую, аудиторскую и тому подобные тайны.

А с расходами по обеспечению защиты информации придется, видимо, смириться как с данностью. Затраты на создание эффективного контроля в информационных системах, согласно правилу 404 закона Sarbanes-Oxley (SOX), для компании-игрока фондовой биржи оценивали первоначально примерно в $54 тыс. Сегодня это уже в среднем $2 млн на компанию и никого эта цифра не смущает. Отказываться от жестких мер ответственности за невыполнение SOX в США пока тоже не собираются.

Другое «движение рынка» – криптография. Давно назрела потребность сформулировать ясный и не нуждающийся в толкованиях ответ на вопрос о возможности (вернее, невозможности) применения в России несертифицированной (в первую очередь сильной) зарубежной криптографии. Необходимость поддержать в условиях кризиса российских производителей средств защиты информации (СЗИ) и лицензиатов, проводящих тематические исследования, – подходящий повод принять однозначное решение. К тому же вырисовываются побочные последствия: возможность давления на мировых вендоров с целью перенесения производства их продукции «для нас» в Россию и связанное с таким переносом создание дополнительных рабочих мест, приток инвестиций вендоров, возможность контроля сборки дистрибутивов СЗИ со стороны государственных регуляторов. Грех было бы не воспользоваться.

Можно ожидать, что более четко заработает группа по стандартам ИБ Банка России – СТО БР ИББС, наиболее современным и проработанным из существующих стандартов ИБ в России; они достаточно полно охватывают большинство аспектов деятельности по обеспечению безопасности ИС кредитно-финансовых учреждений.

А предоставление Минкомсвязи права устанавливать требования к безопасности информационных систем и систем связи и возложение на вернувшийся под его крыло Россвязькомнадзор новой функции надзора в области ИТ позволяет предположить, что в области ИБ появляется еще один регулятор с большими возможностями и амбициями.

Но усиление роли регуляторов на рынке ИБ – тенденция не только российская. По данным исследования Ernst & Young, среди факторов, оказывающих наибольшее влияние на практику ИБ предприятия, 54% опрошенных компаний на первое место ставят требования регуляторов (рис. 1), хотя с тезисом, что приведение системы информационной безопасности в соответствие требованиям регуляторов положительно сказалось на ее состоянии, полностью согласны 23% респондентов, а согласны в целом – еще 57%.

Кризис: а был ли мальчик?

Самый главный вопрос сегодня: будут ли в условиях кризиса инвестиции в ИТ или все замерзнет до инвестиционной весны, которая наступит неизвестно когда?

Мне кажется, будут. Но их адресность и формы несколько изменятся. Почти до нуля уменьшится количество крупных инфраструктурных проектов (ERP–CRM–OSS/BSS от мировых лидеров). Им – точно не время.

Но за последние пару лет информационные технологии стали и в России полем конкурентных битв. Вспомним хотя бы инцидент в «Сургутнефтегазе», когда блокирование ресурсов DDoS-атакой из распределенной бот-сети и спам-рассылка дискредитирующего характера сочетались со скупкой падающих в цене акций на фондовой бирже. Что делать с такими проявлениями ИТ? Оставить как есть и ждать атак с непредсказуемыми последствиями для бизнеса? Или вкладывать деньги, но не в ИТ-безопасность вообще, а в защиту критичных бизнес-процессов? Последний ответ мне кажется правильнее. Если, конечно, есть что защищать.

Другой аспект кризиса. Уже сформировалось почти единодушное мнение, что 2009 г. станет годом оптимизации людских ресурсов. Американская компания Basex, занимающаяся исследованиями по проблемам информационной перегруженности, опубликовала печальный отчет за 2008 г. и не менее печальный прогноз на год 2009-й.

28% рабочего времени в офисах расходуется на общение с помощью мессенджеров, чтение ненужной электронной почты и непрофильных электронных публикаций. К этому надо добавить время, необходимое для концентрации на рабочих проблемах после серфинга и изучения «левой» информации. Еще 15% времени уходит на поиск (не всегда успешный) информации в Интернете. С учетом встреч, совещаний, обсуждений с сотрудниками на решение главной задачи – собственно создание «продуктивного контента» остается лишь 25% рабочего времени.

Это ли не поле деятельности для упорядочения работы компании? Пути снижения затрат, которые потребуют и определенных инвестиций, и непопулярных у персонала мер, – блокирование неправомерных действий, учет бюджета времени работников, оптимизация документооборота, фильтрация спама. Добавьте главный тренд последних лет – инсайдерство в организации, которое только обострится в период кризиса. Вот и направления для проектирования систем ИБ в кризисных условиях. И в некризисных, кстати, тоже.

От продуктов к сервисам

Еще один тренд рынка ИБ – переход от предложения продуктов и решений к предложению сервисов.

По данным опубликованного в 2008 г. исследования по ИБ компании PricewaterhouseCoopers (The Global State of Information Security 2007), вера в то, что установка хорошей программы защиты снимает проблемы безопасности, практически утеряна. При этом представители только 22% опрошенных компаний заявили, что не испытывали инцидентов в области безопасности. Рост осведомленности специалистов о реальном (и плачевном) состоянии защищенности приводит к мысли о том, что сама по себе «железка» или программа проблем не решает. Эти средства должны быть правильно настроены, сконфигурированы, а персонал должен адекватно воспринимать поступающую со средств защиты информацию и незамедлительно реагировать на опасные инциденты.

От инцидента к дивиденду?

В России значительная часть отечественных предприятий и организаций ничего с точки зрения информационной (или, если хотите, компьютерной) безопасности не делает и делать не собирается. В лучшем случае – бесплатный антивирус, администрируемый кое-как и по наитию, и межсетевой экран (лучше тоже бесплатный или доставшийся с серверным софтом), настроенный как бог на душу положит. Средства разграничения до-ступа, даже встроенные в ОС и приложения, не используются, идентификация – хорошо, если есть парольная, а политика парольной защиты отсутствует напрочь. И так ведет себя не только практически весь сектор SMB (не говоря о SOHO), но и многие достаточно крупные компании. Почему? Ответ прост. Серьезных инцидентов не было, а если и были – о них никто не узнал.

Какие инциденты становятся известными руководству и иногда выходят наружу? Повлекшие социальные последствия масштабные утечки баз данных (у операторов связи, банков), причем только тогда, когда они становятся коммерческим продуктом. Но даже и в этом случае не приходилось слышать о выявлении и примерном наказании виновных. Если у пупкинского механического завода, который и режим-то коммерческой тайны не устанавливал, украдут какую-ту информацию с сервера или рабочей станции, об этом никто никогда не узнает. Но когда на завод «наедут» рейдеры, руководство и владельцы будут долго удивляться: откуда к «врагам» попали материалы совета директоров и правления, перечни активов, внутренние цены на продукцию и схема охранной сигнализации? Оттуда. Из «беззащитной» ЛВС.

Заколдованный круг сегментации

Снова обратимся к Глобальному отчету PricewaterhouseCoopers (рис. 2) и увидим, что в 2007 г. у подавляющего большинства респондентов были установлены основные средства защиты. Но приоритет на покупку СЗИ в 2008 г. замечен не более чем у трети (от 14 до 33%) компаний (в зависимости от продукта). Примерно та же картина характерна и для российских компаний, зрелых с точки зрения ИБ. Из этого можно сделать вывод: продуктовый рынок ждут трудные времена.

И хотя есть еще неохваченный сегмент SMB и SOHO, но... Чтобы для него появились средства защиты, надо, чтобы их были готовы покупать, иначе разработчик не будет вкладывать деньги в их создание. Стоимость же и решения в целом, и удельная (на одну рабочую станцию, сервер и т.п.) должна быть сравнительно низкой, не более двух-трех десятков долларов за лицензию. Значит, их создание возможно только при очень большом объеме продаж (классический пример – антивирус). Однако спроса, по сути, нет. И формировать его некому, кроме производителей и продавцов. А они-то рынка не видят. И так далее, по замкнутому кругу.

Можно ориентироваться и на крупные предприятия, но им нужно или что-то принципиально новое, без чего не обойтись, решая бизнес-задачи (а не защищая «все» в ИС), или что-то принципиально лучшее имевшегося ранее.

Новые закупки могут спровоцировать… принципиально новые угрозы, а также технологический прорыв или хотя бы скачок. Возможно и то и другое. Поэтому продавать продукты будет трудно, особенно в период кризиса.

А вот услуги – другое дело. С огромным количеством накопленного в системах «железа» и софта надо что-то делать (деньги затрачены, а эффективность использования близка к нулю). Нужно наладить процедуры обеспечения безопасности (управления инцидентами, мони-торинга и т.д.), понимать, о чем говорят сообщения СЗИ, управлять инцидентами, причем не увеличивая совокупную стоимость владения. Значит, надо найти специалистов, способных максимально задействовать механизмы безопасности тех или иных продуктов, обработать разнородную информацию от различных подсистем ИБ и научить разбираться в этом персонал владельца. Можно еще проще – отдать всю эту кухню спецам на аутсорсинг.

Будут востребованы услуги, связанные с бизнес-процессами, – управление рисками, поддержание непрерывности бизнеса и катастрофоустойчивости, ролевое управление правами и полномочиями, предотвращение утечек конфиденциальной информации. И, естественно, обеспечение соответствия требованиям российских и международных регуляторов. Необходимо не средство управления доступом, а технология управления, соответствующая бизнес-процессу. Нужна не система выявления/предупреждения атак, а методология предотвращения воздействий из внешней среды на процесс электронных продаж или защиты баз данных от несанкционированной модификации. И часто будет оказываться, что никакие новые продукты для этого не требуются.

Даже наиболее распространенное из СЗИ – антивирусное ПО – может делать гораздо больше, чем обнаруживать вредоносный контент. Они способны блокировать отправку и получение файлов определенных типов и размеров, снижать опасности проникновения вирусов при работе в Интернете за счет ограничения ряда действий пользователя и веб-сайта и т.п. И может оказаться, что для снижения риска утечек средства контентного анализа и не нужны, надо просто изучить возможности используемого продукта. Но это уже – из разряда услуг.

Слияния и поглощения

Если учесть системное запаздывание российского рынка по сравнению с западным (лаг, по моим наблюдениям, составляет примерно два года), то и грядущий этап слияний и поглощений, характерный в последние годы для Европы и Америки, не за горами. Сейчас на рынке немало нишевых компаний «одного решения», выжить с которым в тяжелые времена непросто. Помимо упомянутых выше трудностей с продажами вообще, скажется и необходимость урезания маркетингового бюджета, иногда практически до нуля. К тому же серьезные заказчики хотят иметь комплексные интегрированные решения, которые небольшой компании предложить трудно. Добавим проблемы с кредитованием малого и среднего бизнеса (что бы ни говорили чиновники о его поддержке) и ужесточение конкуренции среди крупнейших игроков рынка в условиях сокращения объемов заказов и поставок.

Выживут сильнейшие. Мышам тяжело бежать в стаде слонов. Затопчут.
Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!