Вендоры систем информационной безопасности, принявшие участие в состоявшейся в Москве конференции IDC под названием “Информационная безопасность сегодня: реалии экономики и защита бизнеса”, полагают, что пришла пора обсуждать состояние ИБ не в период финансового кризиса как краткосрочного явления, а в новых, долговременных экономических условиях. С их наступлением прекратился ненормально быстрый, не подкрепленный реальной стоимостью активов рост российской экономики (в том числе и ИТ-отрасли), который, как выразился руководитель программ исследований IDC Russia/CIS Тимур Фарукшин, напоминал надувание очередного экономического “мыльного пузыря”.
ИБ-бюджеты в новых условиях
По оценкам экспертов, волна секвестирования бюджетов практически не затронула ИБ (в отличие от финансирования ИТ в целом), несмотря на то что обоснование инвестиций в это направление — дело непростое, поскольку требует рассчитывать расходы на то, чего, как правило, удается избежать, хотя и при оценке убытков от случившихся ИБ-инцидентов компании зачастую испытывают затруднения. Не способствует улучшению дел с расчетами ИБ-рисков также недостаточное публичное освещение инцидентов в области ИБ, на что указала Юлия Грекова, глава представительства компании Check Point в СНГ.
Как считает Кирилл Керценбаум, руководитель группы технических специалистов корпорации Symantec в России и СНГ, для российского рынка ИБ кризис принес больше пользы, чем вреда. По его наблюдениям, в более благоприятные времена отечественные компании позволяли себе слабо аргументированные инвестиции в ИТ, а теперь они вынуждены экономить, рачительнее относиться к использованию ИТ-ресурсов, углублять свою экспертизу. При этом, полагает он, выиграют компании, налаживающие не экстенсивную, а интенсивную экономию, не сокращение, а мотивированное перераспределение инвестиций в ИБ, способное обеспечить конкурентные преимущества. Тем более что теперь обосновывать затраты на ИБ стало проще, поскольку из-за нестабильности экономических условий реализация одной-единственной угрозы может оказаться критической и выбить компанию с рынка.
Вместе с тем повышенное внимание к проблемам ИБ со стороны бизнеса не означает, что компании не заинтересованы в сокращении расходов и в этой области. Согласно наблюдениям директора по развитию бизнеса компании Web-Control Андрея Акинина, компании озабочены снижением стоимости владения активами и поэтому внимательнее оценивают политику лицензирования продуктов. Олег Гудилин, руководитель отдела стратегического маркетинга “Лаборатории Касперского”, отметил связанные с этим вновь наметившийся рост (после заметного сокращения в последние годы) использования нелицензионных копий и превышение количества инсталляций, предусмотренного лицензионными договорами (хотя с его наблюдениями согласны не все вендоры). Он обращает внимание на то, что это усиливает угрозы, связанные со снижением качества защиты и с риском подвергнуться санкциям со стороны контролирующих лицензионную чистоту ПО органов, которые намерены активизировать свою работу в связи с указанными тенденциями.
При выборе ИБ-продуктов перестал работать критерий долгосрочных возвратов инвестиций. “Сегодня объяснять заказчику, что вложенные средства вернуться через пару лет бессмысленно, — заметил Михаил Кондрашин, руководитель центра компетенции компании Trend Micro в России и СНГ. — Компании предпочитают вкладывать ресурсы не в развитие, а в корпоративные стабилизационные фонды, ожидая наступления самых черных дней”. В качестве общего критерия оценки эффективности ИБ-решений, сохраняющего актуальность и во время резких изменений экономических условий, Антон Разумов, консультант по безопасности Check Point Software Technologies, предлагает заказчикам использовать совокупную стоимость владения. Еще одним стратегически правильным оптимизатором вложений в ИБ эксперты считают внедрение систем управления ИБ, значимость которых сегодня тоже актуализировалось.
ИБ-угрозы и перспективы развития ИБ
Кризисные явления влекут за собой смещение акцентов в угрозах и принципиальные изменения в защите от них. Уже сегодня ежедневно “Лаборатория Касперского” регистрирует несколько тысяч новых вредоносных кодов. Согласно аналитическим выводам, к 2015 г. каждый час в мире будет появляться более 25 тыс. образцов нового вредоносного ПО. С такой динамикой роста, как утверждает Михаил Кондрашин, не в состоянии справиться даже десяток параллельно работающих антивирусных движков. Выход из ситуации Trend Micro видит в развитии подхода, опирающегося на облачные вычисления, с их помощью интеллект обработки угроз переносится на серверы ИБ-провайдера. Клиенту в реальном времени передается от провайдера только та информация, которая актуальна для защиты его вычислительной конфигурации и активных процессов.
С продвижением вычислительных технологий “в облако” фокус защиты переносится с операционных систем на сервисы и приложения, подчеркнул Павел Ершов, директор департамента по работе с государственными и общественными организациями “Microsoft Россия”. Наблюдаемый рост угроз, связанных с утечками информации, ведет к смещению интересов заказчиков от контроля доступа к корпоративным вычислительным ресурсам к контролю информации и поиску соответствующих решений.
Точкой роста вложений в ИБ вендоры признают начавшее набирать силу в нашей стране еще в докризисные времена давление на бизнес со стороны внешнего регулирования в области ИБ, влияние которого эксперты признают положительным. “Внедряя передовые технологии, российские компании сквозь пальцы смотрели на эффективность своих бизнес-процессов, на состояние своей ИТ-инфраструктуры, — отметил Кирил Керценбаум. — Это привело к тому, что компании оказываются в тупике, когда узнают о предстоящих изменениях в повседневной работе, необходимых для соответствия закону “О персональных данных”: не сколько следует докупить серверов, модулей ОЗУ и другого “железа”, а что нужно перекроить в организации бизнес-процессов. Это одна из самых больших проблем, с которой мы сталкиваемся”. Одновременно вендоры отмечают слабую проработку самого закона и мероприятий, направленных на то помощь компаниям в подготовке к моменту вступления закона в полную силу, что усиливает для российских фирм угрозы несоответствия нормативным требованиям.
К полноценному вступлению закона “О персональных данных”— ответственному по мнению всех участников рынка ИБ этапу — готовятся и сами вендоры, занимаясь сертификацией своих ИБ-продуктов в соответствии с требованиями закона. “Пока единого интегрированного продукта, обеспечивающего выполнение закона, нет, — считает Кирилл Керценбаум, — Хотя, возможно, он и появится”. Но даже если это случится, соответствия закону не добиться внедрением какого-либо ИБ-продукта, подчеркивают эксперты. Соответствие — это комплекс организационных мер, подкрепленных технологиями, это следствие ИБ-зрелости компаний. В то же время, по отзывам специалистов, многие из них не готовы даже идентифицировать в своих информационных системах персональные данные. В такой непростой ситуации компаниям резонно привлекать консультантов, на которых можно перенести часть ответственности за реализацию системы обеспечения нормативных требований. Вместе с тем, напоминают эксперты, готовность компании к выполнению этих требований — всего лишь необходимое условие обеспечения ИБ, но не достаточное.
Характеризуя современный мировой рынок ИБ в целом, старший специалист по разработке стратегии ИБ подразделения IBM ISS Джошуа Корман сказал, что он мал, незрел, фрагментирован, развивается медленно: “Сегодня нет ИБ-решений для бизнес-процессов, есть только отдельные компоненты. Вместе с тем пришла пора реализации комплексной ИБ”. Он полагает, что такая ИБ нужна клиентам и они готовы использовать комплексные решения, но при этом не в состоянии их самостоятельно внедрять. Комплексность, по его мнению, может обеспечить только сотрудничество заказчиков с консультантами, вендорами и интеграторами.
Продолжая тему комплексного подхода к обеспечению ИБ, Денис Батранков, консультант по информационной безопасности IBM в России и СНГ, обратил внимание на то, что, думая о новом дизайне информационных сетей, новых, более дешевых технологиях, таких как VoIP, Web 2.0, виртуализация, начиная внедрять их, нам сразу следует заботиться об ИБ, “чтобы не тратить гораздо больше ресурсов на исправление уязвимостей в этих технологиях впоследствии”.