В условиях постоянно меняющегося законодательства сложно соблюдать все требования к улучшению информационной безопасности, которые регуляторы предъявляют компаниям. Дополнительную головную боль создают, как ни странно, новые технологии. Массовое распространение получают мобильные технологии и социальные сети, различные приложения и пользовательские устройства, облачные вычисления и виртуализация. Таким образом, количество и многообразие ИТ-ресурсов компании постоянно увеличивается, что создает новые сложности для ИБ-специалистов и вынуждает полностью пересмотреть свой взгляд на ИБ. О том, как лучше отечественным организациям поступить в этой ситуации, рассказывает Андрей Голов, генеральный директор компании"Код Безопасности".
CNews: Развитие технологий диктует новые требования по обеспечению информационной безопасности. Какие современные проблемы стоят сейчас перед компаниями? Назовите основные угрозы и риски.
Андрей Голов:Действительно, использование новых ИТ всегда влечет за собой появление новых уязвимостей. Сейчас наибольшее влияние на модернизацию ИТ оказывают четыре основных технологии - "облака", применение мобильных устройств, Big Data и использование социальных сетей. Каждая из этих технологий имеет свои специфические угрозы, о которых уже достаточно много писали и говорили признанные эксперты.
При этом новые технологии развиваются быстро, а проблемы растут еще быстрее, особенно для организаций, обязанных выполнять требования регуляторов. Например, наши регуляторы только в этом году "узаконили" применение виртуализации, но до сих пор от них нет требований для мобильных платформ. Именно так происходит гиперразрыв между быстрым развитием технологий и сертифицированными средствами защиты. Но мы стараемся за всем успевать, воспринимая эту ситуацию как драйвер в развитии ИБ.
Кроме этого новой угрозой становится разрозненность средств защиты. Растут проблемы с интеграцией разных по функционалу продуктов в единую среду управления: начиная от защиты мобильных сотрудников и виртуализированных ресурсов, заканчивая защитой периметра сети. Причем этот вопрос надо решать в первую очередь, еще на этапе проектирования системы безопасности. Легче всего это сделать, если применять решения от одного вендора. В этом случае, разные СЗИ можно объединить воедино и иметь управлять ими из одной точки.
CNews: Спектр проблем с безопасностью с каждым годом расширяется: компании вынуждены защищать и внутреннюю информацию, и данные, предоставленные клиентами. Какой политики следует в этой ситуации придерживаться ИБ-отделу?
Андрей Голов:Надо понимать, что систему безопасности нельзя, к сожалению, разделить на инфраструктуру и систему управления - это единый комплекс. Сейчас мы видим столкновение двух подходов: западного и российского. У нас безопасность выросла из спецслужб, а у них все по-другому. Так какой политики в результате нужно придерживаться? Стоит ли запрещать все, что не разрешено, или нет?
Не нужно ограничивать бизнес в его потребностях. Безопасность ни в коем случае не должна стать тормозом или, наоборот, начать принимать решения. Она может всего лишь информировать о существующих рисках. И это не слова из учебника - это действительно так. ИТ-отдел сейчас принимает живое участие в развитии компании. И если он будет разговаривать с бизнесом на одном языке, вероятность успеха очень высока.
На государственном рынке все немного по-другому. Там есть регуляционные требования, которые нужно выполнять. ФСТЭК и ФСБ - это генераторы обязательных практик информационной безопасности по стране. Может быть, они несколько консервативны, но говорят достаточно здравые вещи. Конечно, если у меня есть от них "бумажка", это еще не значит, что я защищен, но регуляция как стандарт по безопасности позволяет ничего не забыть.
CNews: Какова роль интеграции решений по ИБ в общей политике безопасности компании? Чем плох "зоопарк систем", которым так любят пугать на профильных конференциях?
Андрей Голов:С точки зрения интегратора и даже заказчика использование разных решений - это неплохо. Тот же Банк России, например, рекомендует использовать две антивирусные системы, для надежности. С другой стороны, это влечет за собой кучу проблем, связанных с поддержкой и централизованным управлением, тогда как управление - это самое главное в вопросе безопасности. Если система выходит из-под контроля, то разрушается сама безопасность. Атака может быть многоуровневой, распределенной, и одна система может ее не уловить. А решение от одного вендора позволяет связать все эти продукты воедино и управлять ими из одной точки.
Возьмем нашу компанию. У нас самая широкая продуктовая линейка среди российских разработчиков этого типа ПО. При этом у нас сейчас идет большой проект по созданию централизованного управления и мониторинга всех наших продуктов. Таким образом, мы сможем объединить все решения в единый организм. Для заказчика будет масса плюсов: гарантированная совместимость и бесшовная интеграция, упрощающие внедрение, единая точка контроля всех защитных систем, позволяющая оперативно отслеживать происходящие события, а также единый подход к изготовлению продуктов и единая техподдержка, облегчающие освоение и эксплуатацию наших продуктов.
"Зоопарк систем" ведет к потере контроля над управляемостью. Это разные консоли, политики управления, поддерживающие инженеры, то есть одна проблема решается большим количеством людей, что не так просто. Необходимо создавать и устанавливать системы корреляции, агрегации событий. Это достаточно тяжело, поэтому желательно, чтобы "скелет" безопасности выстраивался на продуктах одной компании. А те элементы, которых не хватает, лучше потом наращивать дополнительно.
CNews: А если посмотреть на вопрос с финансовой точки зрения?
Андрей Голов:С финансовой точки зрения нужно учитывать стоимость и качество техподдержки. Чем больше заказчик, чем шире его инсталляционная база, тем внимательнее и трепетнее относится к нему вендор. То же самое касается и написания дополнительного функционала, и ценообразования. Это ведь взаимный бизнес: с одной стороны, нам платят деньги, с другой - мы удовлетворяем потребности. Именно это является толчком к развитию продуктов. Мы очень внимательно слушаем рынок, и поэтому наши решения востребованы.
CNews: Какие факторы нужно учитывать при построении системы информационной безопасности?
Андрей Голов:Полнота функционала, масштабируемость, управляемость и единая концепция - вот то, что нужно учитывать. Главное, чтобы у ИБ-департамента был единый замысел, понимание архитектурного решения, план построения защиты, процессов интеграции компонентов между собой, четкие правила выбора этих компонентов и осознание того, как этим механизмом управлять.
Информационные технологии сейчас развиваются гораздо быстрее, чем мы успеваем справляться с новыми рисками, которые они несут за собой. Масштабирование данных, высокие скорости каналов, переход на мобильные платформы, смена инфраструктурной базы - все это происходит очень быстро. Нужно быть не просто в тонусе, а в одном ритме с этими процессами. Если раньше "Код Безопасности" мог позволить себе разрабатывать один продукт полтора-два года, то теперь это нереально: те "фичи", которые ты запланировал тогда, сейчас становятся неактуальными. В результате мы сменили подход к производственной стратегии и разбили нашу разработку на пакеты функциональных обновлений (Feature Pack), а дополнительный функционал поставляем заказчику значительно быстрее, до выхода основного релиза.
CNews: Какие плюсы от реализации ваших решений увидит клиент?
Андрей Голов:Наш главный плюс - комплексность поставляемого решения. Это не значит, что мы решаем вообще все потребности, например, у нас нет анализа угроз и сканирования уязвимостей - для этого есть специальные, нишевые, игроки. Еще один плюс - гарантированная надежность и опыт эксплуатации в самых крупных ИТ-системах России. Продукты "Кода Безопасности" проверены временем. Наши решения успешно используют более 7000 заказчиков в течение 17 лет. Дополнительно отмечу постоянное развитие наших продуктов. У нас крепкие связи с заказчиками. Если у нескольких заказчиков возникает какая-то одна потребность, то мы не разрабатываем отдельную версию для них, а предоставляем усовершенствованный продукт всем. Это как антивирус: чем он шире стоит, тем лучше - быстрее пишутся обновления. Назову еще несколько положительных факторов: управляемость и техподдержка.
CNews: В чем ваше конкурентное преимущество, если сравнивать с крупными западными поставщиками решений?
Андрей Голов:Это самый сложный и интересный вопрос. Во-первых, мы решаем разные задачи. В некоторых из них, например, в вопросах сетевой безопасности, честно скажу, мы несколько уступаем. Но это не только мы - любой российский вендор. Пропускная способность защищенных каналов связи по зарубежным криптоалгоритмам выше, чем у нас. Но мы должны все-таки четко понимать, что говорим о безопасности. "Код Безопасности" - поставщик решений, и 80 % наших заказчиков - это госсектор. Мне тяжело представить (даже если забыть обо всех регуляторах), как на критически важных для безопасности нашей страны объектах можно использовать решения западных организаций, представляющих потенциальную угрозу.
Россия использует иностранные ИТ-решения в виде операционных систем, баз данных, приложений. Наши решения позволяют использовать данные ИТ-инструменты безопасно. Мы изначально предполагаем, что эти приложения и системы являются недоверенными. Это касается, в том числе, и использования компьютеров. Мы прекрасно знаем, что большинство компьютеров собирается с использованием импортной элементной базы без всяких гарантий, что в этих компьютерах нет "закладок". Наши модули доверенной загрузки работают таким образом, что даже если там и есть какие-то "закладки", то это не представляет угрозы.
Естественно, все наши продукты сделаны в соответствии с требованиями наших регуляторов. У нас все сертифицировано и надежно, хотя мы делаем бизнес не ради сертификата. Он лишь доказательство того, что наши продукты функционируют в тех условиях и в соответствии с теми требованиями, которые предъявляют регуляторы. Я считаю, что указания отечественных регуляторов нельзя назвать неоправданно жесткими. Наоборот, такие требования - это концентрация хорошего опыта по безопасности. А мы добавляем к ним функциональность, упрощающую использование наших продуктов и обеспечивающую поддержку самых современных ИТ-технологий.
Не стоит забывать, что иностранные разработчики далеко, а "Код Безопасности" здесь, поэтому нам существенно проще отслеживать и удовлетворять потребности наших заказчиков.
CNews: Чем вы отличаетесь от других российских вендоров?
Андрей Голов:Самое главное наше преимущество - широта линейки, поэтому мы можем удовлетворять самые разные потребности заказчика. Конечно, мы конкурируем с отечественными вендорами, но именно отдельными линейками, а по совокупности продуктов в России у нас прямого конкурента нет. Тем не менее мы понимаем и слабость такой позиции, поэтому пытаемся резко усилить ее, в том числе и с помощью единой консоли, о которой я говорил.
Здесь нет ничего супернового, никакой сверхидеи. Многие западные вендоры с широкими продуктовыми линейками решили эту проблему достаточно давно. Ведь одна из угроз, которая стоит перед многими владельцами современных ИТ-систем - их чрезмерная сложность, которая постоянно увеличивается, что может в какой-то момент привести к потере управляемости. Внедряя решения, способные контролировать несколько продуктов, удается снизить общую сложность системы. Просто теперь и мы "дозрели" до этой необходимости, т.к. у многих наших заказчиков в эксплуатации находится два и более наших продукта.
Централизованная консоль будет отдельным продуктом, который позволит увязать все компоненты воедино, сделать единую точку входа в нашу так называемую экосистему продуктов. Мы переходим от торговли продуктами к торговле функционалом. И вы сами сможете собрать тот набор, который вам нужен. Единая консоль позволит создать систему управления и систему мониторинга. К концу декабря планируется выпустить технический релиз.
"Код Безопасности" считает такую стратегию беспроигрышной на российском рынке. У нас пока нет задачи биться за новые территории - у нас и так вся Россия. Наша главная задача - выпускать качественные решения, удовлетворяя перспективам и потребностям государства в защите национальных интересов и граждан.