Обзор Защита информации и бизнеса от инсайдеров подготовлен

Алексей Раевский: Закон о персональных данных не оправдал всех ожиданий

На вопросы CNews ответил Алексей Раевский, генеральный директор компании SecurIT.

CNews: В настоящее время рынок систем защиты от внутренних угроз активно развивается. Можно ли уже сейчас выделить основные направления на этом рынке?

Алексей Раевский: Очевидно, что направления развития рынка тех или иных средств защиты информации определяются тем, какие существуют угрозы. Если говорить про внутреннюю безопасность, то наиболее очевидными угрозами являются мобильные запоминающие устройства и носители, неконтролируемое использование интернет-сервисов, слабая аутентификация пользователей и т.д. Этот список можно продолжить, однако данные угрозы входят в первую пятерку ежегодного «хит-парада» угроз в отчете CSI/FBI как по своей распространенности, так и по ущербу.

Кроме этого, отдельно стоит сказать про угрозы несанкционированного физического доступа к носителям информации — жестким дискам и магнитным лентам в процессе транспортировки и хранения вне офиса, а также к ноутбукам, которые имеют тенденцию оказываться за пределами офиса и там пропадать или теряться. Про эту угрозу часто забывают, причем совершенно незаслуженно. За последние полтора-два года новостные ленты буквально пестрели сообщениями о потерянных и украденных магнитных лентах и ноутбуках, а в числе «пострадавших» оказались мировые лидеры в области банковских и страховых услуг.

CNews: Многие проблемы безопасности, особенно внутренней, можно решить путем «наведения порядка», то есть давно известными организационными методами. Однако компании зачастую пренебрегают этим эффективным и недорогим «решением». Есть ли этому логичное объяснение?

Алексей Раевский: Боюсь, это не совсем так. Уже много раз говорилось, что безопасность — это комплексная проблема, и ее нельзя решить каким-то одним способом раз и навсегда. На мой взгляд, это основополагающее утверждение, которым должен руководствоваться каждый руководитель службы безопасности. Оно относится как к техническим, так и к организационным средствам.

Кроме этого, внедрение жестких организационных мер, связанных с безопасностью, может негативно повлиять на моральный климат в коллективе, разрушить командный дух, подорвать доверие друг к другу и к руководству. Мало кто из руководителей будет рисковать такими важными вещами.

Поэтому всегда приходится искать компромисс, благо спектр предлагаемых технических решений весьма широк. Если грамотно и осознанно подойти к этому вопросу, всегда можно найти приемлемое решение.

CNews: В этом году SecurIT особенно активно развивал один из своих продуктов — Zlock. Расскажите немного о продукте и о планах его развития.

Алексей Раевский: Систему контроля доступа к USB устройствам Zlock мы выпустили в начале этого года. Мы посчитали это направление довольно перспективным, поэтому было принято решение развивать его наиболее активно. Так, в течение 2006 года два раза выпускались очередные версии продукта. Последняя версия, Zlock 1.2, практически полностью реализует функционал аналогичных систем, некоторые из которых развивались более пяти лет, а также имеет ряд уникальных возможностей.

Этот продукт уже имеет ряд внедрений, причем как у средних, так и у достаточно крупных заказчиков, с количеством рабочих мест больше тысячи. Мы сейчас готовим примеры внедрения Zlock с описаниями конкретных проектов, и планируем их опубликовать в ближайшее время. В наших планах дальнейшее развитие этого направления, как за счет совершенствования Zlock, так и, возможно, за счет выпуска новых средств защиты информации от внутренних угроз.

CNews: Какие требования предъявляются к продуктам подобного класса?

Алексей Раевский: Требования к продуктам определяются тем, что они ориентированы на крупные предприятия с развитой ИТ-инфраструктурой. Это означает, прежде всего, определенные требования к качеству продукта, которое можно обеспечить только применением соответствующих процедур при проектировании, разработке и контроле качества.

Кроме этого, продукт должен обеспечивать централизованную установку, управление, аудит, осуществлять разделение функций ИТ-администратора и офицера безопасности, интегрироваться в любую, даже самую разветвленную ИТ-инфраструктуру, и т.д.

CNews: По мнению ряда экспертов, 2007 год станет переломным в плане осознания данной проблемы, прежде всего, в крупных компаниях, где организационные меры традиционно не столь эффективны. Как вы это прокомментируете?

Алексей Раевский: В принципе, это вполне вероятный сценарий развития событий на рынке средств защиты информации от внутренних угроз. В настоящее такие средства являются довольно новыми для большинства участников рынка, идет процесс распространения информации, привыкания к новым угрозам и новым требованиям. Рано или поздно этот процесс должен стабилизироваться, выработаются определенные требования, появятся доминирующие модели, рынок консолидируется.

Произойдет это в следующем году или позже, сказать сложно, это предмет для отдельного исследования. Тем не менее, можно провести аналогии с другими сегментами рынка, например, средств защиты периметра сети, в которых и процесс и отдельные его стадии были точно такими же.

CNews: Как изменилось в этом году отношение российского рынка к проблеме защиты данных на носителях? Какие отрасли проявляют наибольшую заинтересованность в подобных решениях?

Алексей Раевский: Могу сказать, что интерес рынка к защите носителей также растет. Угрозы, связанные с несанкционированным доступом к носителям с конфиденциальной информацией также можно отнести к разряду внутренних, и со средствами защиты от этих угроз ситуация такая же, как и с сегментом в целом.

Возможно, темпы роста немного ниже, в связи с психологическими особенностями восприятия данной угрозы — все-таки потеря или кража носителя или ноутбука — это неприятное событие, которое подсознательно никто не хочет ассоциировать с собой. Если сравнивать эти средства, скажем, с защитой USB портов, то можно провести аналогию с установкой в квартире железной двери и страхованием имущества от кражи. Первое делает практически каждый, а второе — очень немногие, хотя и то и другое решает одну и ту же задачу.

Тем не менее, все больше руководителей перестают полагаться на традиционное «авось» и предпочитают принимать меры заранее. Особенно приятен рост интереса к решениям для защиты носителей со стороны банков и финансовых организаций — по всей видимости, они начинают понимать, что в их задачу входит не только сохранение денежных средств своих клиентов, но и обеспечение конфиденциальности их операций.

CNews: Как государственное регулирование рынка информационной безопасности помогает в борьбе с инсайдерами?

Алексей Раевский: К сожалению, в части борьбы с инсайдерами в законодательной базе есть некоторые пробелы. Надежда, что принятый в этом году закон о персональных данных их закроет, увы, не оправдалась — в окончательный вариант закона не вошли положения об ответственности держателей баз данных с персональной информацией, содержавшиеся в первоначальных вариантах.

Получается, что у большинства крупных предприятий, например, у операторов сотовой связи, нет стимула бороться с инсайдерами. Закона нет, а испортить имидж монополисту не очень страшно. В конечном итоге это приводит к тому, что различные базы данных на любой вкус и цвет продаются на черном рынке, и никто при этом не виноват.

CNews: Спасибо.