Последние несколько лет мировой рынок информационной безопасности переживает небывалый всплеск интереса к себе со стороны общественности. Убаюканные в начале века пресс-службами антивирусных гигантов пользователи информационных систем были внезапно разбужены грандиозными международными скандалами, в которые были вовлечены и первые лица государств, и спецслужбы, и много кто еще.
Специалисты и эксперты ИБ довольно долго наводили порядок после волны хактевизма, поднятой гонениями на Джулиана Ассанджа. Казалось бы, кто еще может удивить рынок? Но, как оказалось, все только впереди! Эффектное появление на сцене Эдварда Сноудена окончательно похоронило иллюзию былой идиллии на рынке информационной безопасности. То, что было известно только узкому кругу специалистов, вдруг стало известно всем! Другое дело, кто и как воспользовался этой информацией.
Одними из первых свои вопросы стали задавать финансисты: а стоить ли тратить такие колоссальные бюджеты на информационную безопасность, если в реальности эта безопасность, с их точки зрения, часто оказывается «бумажной» и выглядит как сертификат соответствия тому или иному нормативному акту? При этом с практической стороной дела мало кто из чиновников и топ-менеджеров был хорошо знаком.
Общий язык с бизнесом
Эдвард Сноуден заставил по-новому взглянуть на старые вещи. И если внутри ИБ-рынка и спецслужб все было относительно спокойно, то извне стали часто задавать два вопроса. Это, во-первых, соотношение величины затрат на ИБ в сопоставлении с достигнутой реальной безопасностью бизнеса. А во-вторых, как относиться ко всем этим стандартам ИБ, насколько они стимулируют развитие отрасли? На что опираться при построении системы безопасности?
И как с этим не поспорить, если буквально недавно – в ноябре 2014 г. – банк HSBC Turkey сообщил об очередном инциденте: утечке платежных данных 2,7 млн клиентов. А ведь наверняка банк выполнял все мыслимые и немыслимые нормативы по безопасности.
Алексей Раевский, генеральный директор компании Zecurion, считает: «Позиция топ-менеджеров, отвечающих за финансирование, вообще вопросов не вызывает. Их профессиональное стремление сократить любые траты под любым предлогом вполне очевидно, тем более когда речь идет о такой непонятной и не приносящей доходов сфере, как ИБ. На мой взгляд, такое мнение несколько наивно. К сожалению, часто приходится сталкиваться и со специалистами по ИБ, которые считают, что если какое-то средство не обеспечивает 100% защиты, то его вообще нет смысла использовать».
В истории Сноудена есть весьма поучительные вещи, оставшиеся по какой-то причине в тени. Рассуждает Евгений Зубов, руководитель отдела информационной безопасности департамента сетевой интеграции «Ланит»: «Действительно, инцидент со Сноуденом заставил многих специалистов изменить свои взгляды на обеспечение ИБ. Но, как мне кажется, в «не самом правильном направлении». Зачастую СМИ не совсем верно интерпретировали произошедшее, и в результате уровень конспирологической паранойи резко возрос, а вот уровень защиты информации никак не изменился. Если отбросить слухи и домыслы, которыми успел обрасти скандал, то становится понятно, что Эдвард Сноуден – пример того, как организация с самыми большими расходами на безопасность в мире оказалась совершенно беспомощной, столкнувшись с «внутренним» нарушителем. Это еще раз подчеркивает необходимость усиления контроля над деятельностью сотрудников и повышению их компетенции в вопросах ИБ».
Уже отмечалось, что многое, из того, что стало достоянием общественности, было хорошо известно в среде специалистов и вызвало резонанс, главным образом, в СМИ. Но это лишний раз показывает, кто кому и что доверяет.
Иван Мелехин, технический директор компании «Информзащита», отстаивает свою позицию: «Эффект от появления Сноудена произошел, скорее, на страницах прессы и в головах у обывателя. Мало того, среди профессионалов его откровения вызывают зачастую довольно скептическую реакцию, ровно в силу того, что никаких откровений в них и нет. На мой взгляд, никаких трендов внутри отрасли ИБ это появление не вызвало».
Безусловно, такие организации как АНБ или ФСБ имеют технологические возможности преодолевать системы защиты, которые строят большинство коммерческих организаций. Но если бизнес организации не состоит в финансировании терроризма или незаконной торговле оружием, насколько важно для нее строить свою защиту исходя из возможностей нарушителя, аналогичных таким крупным государственным организациям? А вопросы защиты государственной тайны, по крайней мере, в России, регламентируются совершенно отдельными нормативными актами, строгость требований которых на порядок превышает то, с чем сталкиваются коммерческие организации.
Подходы к стандартизации надо менять
Павел Эйгес, региональный директор Intel Security в России и СНГ, продолжает дискуссию: «После всех последних разоблачений в прессе в области ИБ, действительно, у некоторых участников рынка возникло сомнение в целесообразности построения сложных и дорогостоящих систем ИБ, а также соблюдения всех норм отраслевых стандартов.
Однако оно достаточно быстро прошло, ведь стандарты – это свод действительно лучших практик защиты информации, собранных по крупицам во всем мире. Их реальное соблюдение, помимо всего прочего, создает фундамент информационной безопасности организации, не позволяющий в один момент лишиться всего в случае массированной персонализированной атаки».
Другое дело, что значительная часть нормативных актов сейчас не стимулирует бизнес двигаться далее, главное для предпринимателей – сертификат соответствия и ничего более. Именно этот «бумажный подход» зачастую является причиной всех бед и дискредитации стандартов, а не разоблачения господина Сноудена.
«Прогрессивная же часть бизнеса, на мой взгляд, наоборот, обратилась к разработчикам с жестким требованием о движении вперед и воздействии на регуляторов со стороны как бизнеса, так и вендоров. Так, что технические новинки уже или на подходе, или в стадии признания отраслью в качестве промышленного стандарта, как в случае с новой шиной безопасности Threat Intelligence Exchange», заключает Павел Эйгес.
Паранойя, шпионские игры или прагматизм
Что же, по отечественной традиции, на вопрос – кто виноват, ответы понятны. А вот, что делать? Ведь вскрыты факты, которые игнорировать невозможно. И речь идет не только о репутационных рисках, но и о реальной безопасности. Алексей Раевский продолжает: «Действительно, выяснилось, что во многих продуктах западных вендоров имеются закладки, дающие доступ к защищаемой информации спецслужбам США. С точки зрения ИБ такие решения действительно ущербны и считаются скомпрометированными. Если же посмотреть на этот вопрос с точки зрения бизнеса, то надо ответить на вопрос, насколько защищаемая информация интересна спецслужбам США?».
Такой вопрос может быть актуален для некоторых российских компаний, имеющих в США какие-то бизнес-интересы. Теоретически, можно предположить сговор американских партнеров или конкурентов со спецслужбами и получение доступа к конфиденциальной информации в ущерб ее владельцу. Но такая ситуация, во-первых, малореальна, а, во-вторых, не так уж и много российских компаний имеют интересы в США, чтобы можно было говорить о какой-то тенденции.
«Естественно, речь не идет о защите государственной тайны, там использование продукции западных вендоров строго регламентировано и вероятность попадания средства ИБ с закладками в процесс работы с гостайной невозможна. Между тем, даже несмотря на все разоблачения, обсуждаемые средства неплохо справляются с защитой от хакеров, вирусов, инсайдеров и атак и вполне могут принести пользу своим владельцам, и даже окупить потраченные на них деньги. Поэтому создается впечатление, что отказ от продукции скомпрометированных вендоров продиктован скорее желанием почувствовать себя полноценным участником шпионских игр, а не прагматизмом бизнес-интересов», – заключает эксперт.
Не существует «универсальной таблетки от всех болезней» в области ИБ. Поэтому с бизнесом надо учиться разговаривать на его языке, использовать исключительно комплексные решения и ни в коем случае не экономить на организационных мерах, как неотъемлемой части процесса предотвращения утечек информации.
Салманова Шахноза, руководитель отдела маркетинга компании «Анкад» добавляет свое мнение: «Никакая программная или аппаратная защита не даст высокого уровня защищенности без применения организационных мер, а на 100% гарантировать безопасность данных не могут вообще никакие способы. Поэтому, конечно, каждый сам решает, насколько критична его информация и как ее защищать. Правило Парето – 80/20, – тут вполне уместно: часто за 20% бюджета можно защитить 80% информации. Например, теми же антивирусами и оргмерами. Вопрос в критичности оставшихся 20% информации и оценке ее «стоимости». Это вопрос дальнейшего сложного компромисса. Но и одни оргмеры без средств защиты точно не помогут. И наконец, чтобы не казалось, что только у нас все так плохо, нужно отметить, что многие страны столкнулись с теми же сложностями».
Вопросы обоснования затрат на информационную безопасность вставали перед CISO всегда и всегда являлись крайне сложными и спорными. Постепенно, с ростом уровня зрелости компаний и внедрением комплексных подходов по управлению рисками, данные вопросы переходят из области «понятий» и умения убеждать в рамки формального контролируемого процесса.
«Самое главное, что необходимо помнить: вне зависимости от способов обоснования бюджета на системы защиты и стоимости этих систем без регулярного тестирования их работоспособности нельзя говорить об эффективности их внедрения. К сожалению, по нашему опыту проведения аудитов, если организация не проводит регулярных тестирований работоспособности не только технических средств защиты, но слаженности и тренированности специалистов, ответственных за обнаружение и ликвидацию инцидентов, то такая организация может быть взломана. Причем нарушителем с существенно меньшими технологическими возможностями, чем АНБ или ФСБ», – ставит точку в дискуссии Иван Мелехин.
В качестве резюме хотелось бы отметить то, что, без всякого сомнения, рынок информационной безопасности – один из самых высокотехнологичных, динамичных, зарегулированных и интересных. И сейчас такой момент времени, когда на виду вопросы выработки общего языка между экспертами ИБ с одной стороны и топ-менеджерами и общественностью с другой стороны. Естественно, что решения должны опираться на стимулирующие развитие стандарты и нормативные акты. И мы все видим определенное движение на рынке, основанное, прежде всего, на прагматизме.
Поделиться
