Обзор подготовлен	При поддержке

Илья Трифаленков: Для бизнеса неопределенность губительнее, чем любые, самые жесткие условия

На вопросы CNews отвечает Илья Трифаленков, директор Центра Информационной Безопасности компании «Инфосистемы Джет».

CNews: Какое влияние, на ваш взгляд, оказала административная реформа 2004 г. на российский рынок информационной безопасности? Какие факторы в целом определяли его развитие?

Илья Трифаленков: Если говорить непосредственно про реформу, то для нас основным моментом является то, что она сопровождалась реформированием двух основных структур, которые в нашей стране традиционно отвечают за информационную безопасность — это ФАПСИ и Гостехкомиссия России. Первая была переведена в состав ФСБ, а вторая преобразована в федеральную службу по техническому и экспортному контролю. Это не могло не сказаться на рынке и самая первая проблема — это длительное время организационной неразберихи. Когда организация преобразуется, она не может полноценно выполнять свои функции, образуются проблемы со смежными областями, зонами ответственности и т.д. И в связи с этим было достаточно много проблем: несмотря на то, что, формально, нормативно-правовая база вроде бы не изменилась, стал другим порядок работы. С точки зрения Гостехкомиссии, к тому же, произошли и кардинальные изменения нормативно-правовой базы, ведь сейчас вводится в действие новый комплект стандартов в области безопасности электронно-вычислительной техники (стандарты на основе ГОСТ Р ИСО/МЭК 15408), разрабатываются принципиально новые стандарты в виде технических регламентов (45 и 46, "О безопасности информационных технологий" и "О требованиях к средствам обеспечения безопасности информационных технологий"). Сочетание этих факторов привнесло определенную дезориентацию на рынке, четкие нормативные требования в некоторой мере перестали действовать, что не могло не сказаться на объемах поставок продуктов и общей ситуации.

Сейчас обстановка постепенно становится более спокойной, и можно говорить о том, что вся система возвращается в свое русло, что не может не радовать. Ведь для бизнеса неопределенность губительнее, чем любые, самые жесткие условия. Условия работы, конечно, будут меняться. Но сейчас хотя бы стало понятно, как они будут меняться. В частности, в законе о техническом регулировании и связанных с ним технических регламентах, по сравнению с предыдущим законодательным подходом, в котором информация по сути делилась на «гостайну» и «не гостайну», появляется более гибкий подход, основанный на критичности информационных систем, на возможном ущербе, который может быть нанесен в результате нарушения их функционирования или безопасности. Это куда более близко к жизни, и он заметно упростит нашу работу, ведь даже сейчас в некоторых госструктурах на предложение защитить информацию отвечают: «у нас нет гостайны и защищать нам нечего».

Наконец, сейчас начинают работать унифицированные требования, которые опираются не на форму собственности, а на «живые» вещи, которые можно померить и обсуждать — гораздо лучше, чем было раньше. Работа сейчас затрудняется в основном тем, что механизмы, которые реализуют новые подходы, еще не созданы, и будут они создаваться на практике, путем проб и ошибок.

Рынок информационной безопасности, несмотря на это, развивается достаточно ровно, без скачков или спадов. При этом растет он все же довольно бурно — информационные технологии сегодня тесно связаны с жизненно-важными процессами любой организации, и их нужно защищать, ИБ стала зримой частью общей безопасности организаций.

CNews: Какие наиболее проблемные места в системах защиты российских компаний вы могли бы выделить на данный момент?

Илья Трифаленков: Основная проблема, с которой приходится встречаться — это «кусочное» построение сетей и систем безопасности. У нас практически нет систем, которые строились, согласно сколько-нибудь определенному плану. Чаще всего они создавались кусками и очагами, и такая очаговая информатизация очень сильно сказывается на безопасности. Очень часто при организации систем безопасности, приходится вначале проводить стандартизацию и наводить порядок, без чего нельзя построить реально работающую систему безопасности. Такой процесс унификации можно назвать неизбежным, не было еще случая, что бы без него, при работе с  большой системой, можно было обойтись. Идеальных заказчиков, как, впрочем, и идеальных исполнителей, не бывает — у каждой компании есть свои слабые и сильные стороны.

В госорганизациях и коммерческих структурах существуют разные схемы стимулирования процесса создания системы информационной безопасности. В коммерческой структуре оно идет изнутри и настолько  серьезно, насколько оценена руководством ценность той информации, которой они располагают, а в госорганах оно скорее идет сверху, от инспекций и проверок, там работают скорее внешние стимулы. Причем стоит отметить, что если раньше многие ведомства не уделяли внимания информационной безопасности, то сейчас этот процесс начался, в том же Минтрансе и Мининформсвязи есть хорошие программы по защите информации.

CNews: Каким важным аспектам защиты уделяется сегодня, на ваш взгляд, недостаточно внимания?

Илья Трифаленков: Безопасность — это сложный процесс, который надо выполнять комплексно и повсеместно. Основное, от чего страдают российские компании, (а в мире, кстати, ситуация если и отличается), то незначительно и не всегда в лучшую сторону, это стремление заменить процесс разовыми мерами или акциями. Существует мнение: «вот мы поставим продукт или получим аттестат на систему, все будет работать и все будет хорошо». К сожалению, ситуация не такова. Если постоянно над этим не работать, то в какой-то момент состояние защищенности теряется, причем этот момент сложно отследить. Многие организации это понимают, хотя и далеко не во всех.

CNews: Прошедший год стал рекордным по количеству вирусных эпидемий и объему спама. Как изменилась в этой связи структура спроса на решения ИБ?

Илья Трифаленков: С одной стороны, рост числа вирусов и спама, конечно, сказывается на спросе. Спрос на решения по анализу содержимого информации — а спам от не спама отличается только содержимым — заметно вырос, они стали гораздо более актуальными. И продажи решений по контентному анализу также заметно выросли. Как производитель таких средств мы, в общем, рады растущему осознанию необходимости подобных решений.

С другой стороны, надо сказать, что заметные сейчас проблемы с вирусами и спамом — это в первую очередь проблемы видимые, а не самые важные. Есть много проблем, которые не так видны и раскручены, но не менее серьезны. Среди них можно назвать проблему управления безопасностью, когда есть много точек контроля защиты информационных ресурсов. Обеспечить единство и непротиворечивость такого контроля в большой, распределенной системе, да еще принадлежащей разным организациям (а сегодня это часто случается) — вот это проблема. Она более сложная, чем вирусная, которая, в конце концов, больше процесс — пишутся новые вирусы, пишутся новые антивирусные сигнатуры и все знают, как с этим бороться. А вот осуществление атаки, связанной с несогласованностью работы разных средств защиты, гораздо более опасно. Это требует не просто покупки нового продукта, хотя средства автоматизации этого процесса тоже есть, это требует анализа логики работы разных систем.  

CNews: На консалтинг, аудит и послепродажные сервисы в сфере ИБ, по данным CNews, приходится до 40% выручки интеграторов. Какова динамика спроса на данные услуги, по вашим наблюдениям в последние годы?

Илья Трифаленков: Несомненно, продажи таких услуг активно растут. У нас направление услуг послепродажного обслуживания, поддержки и аутсорсинга безопасности — одно из самых быстрорастущих. И именно там можно ожидать заметного прорыва. Понятно почему: то, что безопасность, это процесс, проявляется именно на этих услугах. Как только в компаниях осознают, что это надо делать постоянно, безопасность становится вопросом обслуживания и аутсорсинга. Доля таких услуг будет увеличиваться, а ее структура — меняться. От простого обслуживания, от простых консультаций, большая ее часть поменяется на аутсорсинг безопасности, на ведение вопроса безопасности внешним квалифицированным исполнителем. Это произойдет потому, что квалификация, которая требуется для работы в сложной системе, постоянно растет и держать таких специалистов предприятию становится накладно. Хотя вопрос это непростой — передать безопасность на сторону очень сложно и психологически тяжело. Но можно заметить, что охрану, например, передают часто какому-либо ЧОПу, и никто сильно не беспокоится о понижении уровня безопасности. Правда всякое серьезное предприятие стремится контролировать этот самый ЧОП.

Механизмы контроля за аутсорсером должны быть, и они уже существуют и отработаны нами на нескольких проектах. Их может даже создать кто-либо еще, сторонний контроль над нами, как аутсорсерами вполне возможен. Так что за аутсорсингом безопасности, по моему мнению, в большой степени будущее этого рынка. У нас услуги по сервису безопасности занимают до 35% в структуре наших доходов, что уже немало. Причем из них больше половины — это сложные услуги, связанные с анализом инцидентов, с периодическим контролем защищенности систем, контролем изменений в системе с точки зрения безопасности, и с обслуживанием. Без более простых услуг, типа ответов на вопросы и обыкновенной техподдержки, тоже нельзя, однако востребованность сложных услуг говорит о развитии рынка и понимании, что реально нужно заказчикам.

CNews: Относительно недавно в России начали отмечать увеличение спроса на решения по разграничению доступа сотрудников к информационным ресурсам. Как часто заказчики инициируют подобные проекты?

Илья Трифаленков: На мой взгляд, разграничение доступа — это компонента информационной безопасности, и если заказчику нужна информационная безопасность, то ему не нужно отдельно реализовывать аудит или разграничение доступа. Ведь то или иное — лишь один из механизмов, и этот механизм был востребован всегда. И с нас его всегда требуют.

CNews: Как развивался бизнес компании в направлении ИБ за последний год? Какие наиболее интересные проекты были реализованы?

Илья Трифаленков: Да, за прошлый год мы сдали несколько больших и интересных систем безопасности. Среди них комплексные системы масштаба крупного города и системы для коммерческих структур. Например, система безопасности дежурной части города Москвы, сложная и, несомненно, с высокими требованиями по отказоустойчивости и надежности, потому что на нее замкнута повседневная работа правоохранительных органов. Можно назвать систему управления бюджетным процессом города Москвы, которую также мы сделали в прошлом году и, что важно, аттестовали. Наверное, это самая большая по своим размерам аттестованная система в России. Можно упомянуть и несколько систем для коммерческих структур, например, несколько комплексных систем защиты SAP/R3, которые также нами были реализованы в интересах крупных промышленных предприятий.

Из событий, не связанных с конкретными проектами, можно выделить новый продукт контентного анализа траффика СКВТ «Дозор», который выступил дополнением к средствам анализа электронной почты. Этот, не имеющий, на наш взгляд, аналога в России продукт, анализирующий web-протокол, включая фильтрацию содержимого информационного обмена, осуществляемого по протоколам HTTP и FTP, авторизацию пользователей и протоколирование их действий, был разработан нами, выпущен в этом году и его нельзя не вспомнить.

Web-протокол используется для самых разных применений — от создания приложений и туннелирования внешних приложений, для того, что бы уходить на внешние почтовые сервера и так далее. И, как всякий сложный протокол, он оставляет потенциальному злоумышленнику множество возможностей, начиная от получения информации с web-серверов о пользователях и заканчивая действиями злоумышленников через web-почту типа распространения спама или утечки конфиденциальной информации. Он является одним из двух основных протоколов, которые сейчас присутствуют в интернете, по сути дела это либо почта, либо web — и он обязательно нуждается в контроле. С другой стороны решать проблемы можно только тогда, когда мы анализируем все web-запросы глубоко, не просто анализируя команды, но и просматривая содержимое, контент. С третьей стороны это протокол онлайновый. Если почту мы можем спокойно задержать и анализировать письмо, например, две секунды, чего никто не заметит, то задержка загрузки страницы на две секунды — это скандал, ИТ-служба себе такого позволить не может. И перед нами образовалась такая непростая задача, как обеспечение хорошей глубины анализа на хорошей скорости. И ее решение технически оказалось очень непростым.

Мы уже установили «Дозор» порядка в десяти проектах, в составе комплексных решений — от межсетевых экранов до антивирусной защиты и контроля доступа. Появление такого кирпичика в стене решений по защите информации, которого раньше не было, стало очень важной частью работы. Раньше это было большой проблемой — не было цельных решений, были импортные продукты, но они не особенно удачны, особенно в приложении к российской действительности. Мы начали делать свой продукт именно потому, что не находили адекватного решения на рынке, иначе и не стали бы заниматься собственной разработкой.

CNews: Планируете ли вы расширение своего арсенала защиты в ближайшее время?

Илья Трифаленков: Мы планируем появление и новых продуктов, и новых услуг. В этом году наша компания стала первой, специалисты которой получили сертификаты BSI по проведению аудита по стандарту ISO 17799. Замечу, что многие ИТ-компании уже у себя провели такой аудит, но не получили авторизации на его самостоятельное проведение. Наша задача состояла не в том, что подтвердить, что у нас все хорошо: а в том, чтобы была признана квалификация наших специалистов для проведения таких работ. Мы видим большие перспективы этой работы — русская компания с русским подходом  гораздо более понятна, чем иностранцы. И если не сертифицировать, то хотя бы готовить к сертификации — мы знаем это процесс в деталях, что очень важно. И мы уже начали такие работы.

Если говорить по продуктам, то, несмотря на то, что мы в этом году не выпускаем новых продуктов, у нас есть направление, которое мы видим перспективным. В первую очередь это решения по защите корпоративных баз данных — проблема их утечки, образно говоря «проблема митинского рынка», на котором продаются базы данных персональной информации, осознана всеми. У этой задачи есть особая специфика, и сейчас мы нащупали несколько путей, по которым мы будем создавать решения в этой области. Именно осознание этой проблемы заказчиками, понимание того, что корпоративные базы данных какой то организации представляют собой ценность, стимулируют спрос на решения по их защите.

CNews: Каким вам видится развитие рынка защиты информации России в ближайшие годы?

Илья Трифаленков: Я предполагаю, что рынок по-прежнему будет расти. Но это только с одной стороны. С другой стороны он будет в значительной мере ориентироваться на общемировые критерии и тенденции. Наша нормативная база, что я считаю ее большим плюсом, в достаточно хорошем состоянии, она соответствует мировой. Эти факторы говорят о том, что рынок будет активно развиваться, пусть без рывков. Изменений законодательства, вызывающих резкое изменение состояния на рынке, типа ОСАГО, у нас пока не планируется, хотя желающих законодательно закрепить обязательство закупать ту или иную услугу много. Все наши решения осознаны и рынок понимает, что они в достаточной степени важны, и мне вовсе не хочется такого «подарка» рынку.

На нашем рынке уже есть серьезные западные игроки рынка информационной безопасности, такие как Ernst&Young, KPMG и ведущие мировые производители типа Cisco, Checkpoint и Symantec. С другой стороны мы понимаем, что нет компании, которая весь спектр решений готова предоставлять самостоятельно. Любое современное производство — это в первую очередь удачная кооперация, разделение труда: мы будем делать то, что умеем лучше других и пользоваться тем, что другие делают лучше нас. И я здесь не вижу никаких угроз нашему рынку и компании. У нас есть целый ряд плюсов в знании российский специфики, что является, чуть ли не определяющим при предоставлении услуг по безопасности. Какие то продукты лучше делают западные производители, какие то, например, по контекстному анализу или антивирусные решения, вполне конкурентоспособны и в российском исполнении. Я полагаю, что наиболее оптимальный путь — это когда идет естественное соревнование технологий, и хотя иногда в нем примешивается соревнование маркетинговых фондов, нам есть, чем ответить.

CNews: Спасибо.