На недавней конференции InfoSecurity Russia посетителей заметно заинтересовало выступление вице-президента MIS Training Institute Кена Катлера (Ken Cutler). Американский институт, где он работает, — одна из старейших профильных организаций в мире по подготовке специалистов по информационной безопасности и аудиту информационных систем, а сам г-н Катлер имеет более чем 25-летний профессиональной опыт в области ИБ. Но внимание посетителей, конечно, привлекли не титулы гостя, а тема доклада: “Управление информационной безопасностью и рисками в период экономического кризиса: краткое руководство по выживанию”.
Надо сказать, что многообещающее название не обмануло участников конференции: в своей презентации автор в весьма эмоциональном стиле не только рассказал о современных тенденциях в области обеспечения безопасности, разработки актуальных методик и стандартов ИБ, но также проанализировал с точки зрения безопасности самые современные технологии (Web 2.0, облачные вычисления, виртуализацию и др.) и дал конкретные советы по уменьшению расходов на ИТ с одновременным улучшением информационной безопасности организации в нынешних сложных экономических условиях. После этого выступления Кена Катлера уточнить детали высказанных им идей смог обозреватель PC Week/RE Андрей Колесов.
PC Week: В вашем докладе я увидел вот такую ключевую идею: новые технологии решают старые, известные проблемы пользователя, но при этом создают новые, неизвестные. И более того, новые оказываются зачастую еще более сложными и опасными. Я вас правильно понял?
Кен Катлер: Не совсем так. Что касается роста сложности, то я в целом согласен, хотя должен сделать уточнение: чаще все проблемы остаются старыми, просто мы думаем, что нам удалось их окончательно устранить, а они все же проявляются, причем порой неожиданно для нас. Что касается повышения опасности, то тут все не так просто. Все же в общем случае технический прогресс заметно увеличивает надежность, снижает риски. Но одновременно резко повышаются объемы использования этих технологий, и в суммарном исчислении проблемы увеличиваются.
Вот простой пример. Мы говорим о негативном влиянии автомобилей на экологическую ситуацию. При этом мы часто сравниваем влияние транспорта сегодня и двести лет назад. Но представьте на минуту, что мы сейчас полностью заменим машины на “экологически чистые” гужевые повозки. Боюсь, что жить на планете будет, мягко говоря, некомфортно.
Решение проблем технического прогресса, например экологических, путем отказа от новых средства и возврата к старым просто невозможно. И мы говорим о проблемах ИТ-инноваций не для того, чтобы пользователи отказались от этих средств, а чтобы люди были готовы к каким-то трудностям и, главное, знали, как их преодолевать.
PC Week: В своем докладе вы привели десять самых “горячих” технологий сезона 2009/10. Этот список открывают модель SaaS (софт как сервис) и технологии виртуализации. Какие проблемы с точки зрения ИБ несут они?
К. К.: Давайте посмотрим на SaaS. Я бы тут выделил в первую очередь два таких аспекта — расстояние и национальные границы. Доступ к сервису выполняется через Интернет. В любом случае это снижает надежность соединения по сравнению с локальной сетью. Кроме того, нужно понимать, что SaaS — это уже довольно часто критически важные для предприятия функции (в отличие от информационного Web-сайта). Недоступность сервиса из-за отсутствия связи может стать серьезной проблемой для непрерывности бизнеса. Второй важный аспект — то, что сам сервис может располагаться за пределами вашей страны, а значит, его деятельность будет регулироваться совсем не теми законами, что применяются у вас. Более того, речь может даже идти о проблемах на уровне не только на юрисдикции, но и культуры.
Я бы не сказал, что надежность хранения ваших данных у провайдера ниже, чем в вашей внутренней сети, скорее наоборот, но все же тут тоже нужно учитывать много нюансов. Наверное, больше внимания нужно уделить тому, что начать использование SaaS гораздо легче, чем потом отказаться от него, например, если выяснится, что поставщик сервиса вас в чем-то не устраивает. Миграция с одного сервиса на другой может быть намного более сложной задачей, чем аналогичный переход в случае локальных систем.
SaaS — это перспективно, и он может быть очень полезным для заказчиков. Но принимая решение о использовании таких сервисов, нужно иметь в виду все возможные риски. Главное тут — отношения с поставщиком должны строиться на четко сформулированных положениях соглашения об уровне обслуживании (SLA). При этом не нужно забыть о заключении такого контракта с интернет-провайдером. И еще я бы очень рекомендовал включить в договор с SaaS-поставщиком пункт о возможности проведения аудита его работы со стороны клиента.
PC Week: А что можно сказать о “подводных камнях” виртуализации? В последние годы мы слышим только об исключительно целебных качествах этой технологии, которая должна “вылечить” все ИТ-проблемы компаний?
К. К.: Тут тоже есть целый букет проблем безопасности, причем взаимосвязанных. Прежде всего нужно понимать, что в аппаратно-программном комплексе традиционной структуры — “компьютер — ОС — прикладные программы” — появляется четверное звено, гипервизор. Чем больше компонентов, чем сложнее система, тем меньше ее надежность. Гипервизор становится сверхкритичным звеном — сбой здесь сразу “аукнется” во всех гостевых виртуальных машинах. Динамическая балансировка нагрузки — это, конечно, классно, это помогает повысить эффективность использования ресурсов, но надежность динамической системы все же ниже, чем у статической. Если окажется, что ваша ИТ-инфраструктура из-за недостаточной мощности не справляется с общей нагрузкой, это может привести к выходу из строя всей инфраструктуры, а не отдельного сервера.
Хотя виртуализация в целом уже показала свою надежность, окончательной уверенности в том, что эта технология обеспечивает целостность ИТ-решений на все 100%, пока нет. Поэтому заказчики, для которых надежность является главным приоритетом (например, военное ведомство США), все же пока предпочитают придерживаться подхода “каждом серверу — отдельный компьютер”.
Но все же наиболее важная проблема, с которой уже реально столкнулись компании, которые широко используют виртуализацию, — это управление своей ИТ-инфраструктурой в целом, и в первую очередь управление конфигурациями и изменениями. Легкость создания виртуальных машин привела к тому, что их стало слишком много, что процесс их создания — более того, их жизненный цикл — становится неуправляемым.
PC Week: В вашей презентации я обратил внимание на вот такое высказывание по поводу виртуальных машин: “Их легко создать, но очень тяжело убить”.
К. К.: Да, это очень хороший пример. Вот самый простой случай: вам нужно уничтожить какие-то данные. При использовании физического сервера ПО и информация хранятся на вполне конкретном жестком диске. Его можно защитить, спрятав, например, в сейф. Диск можно очистить, переформатировать, в конце концов, уничтожить под прессом. А как вы гарантированно уничтожите виртуальную машину, точнее, ее копии, которые делаются легко и хранятся неизвестно где? Контролировать процесс создания и перемещения виртуальных машин намного сложнее, чем в случае физических сред.
PC Week: В вашем списке “горячих” технологий есть такая популярная вещь, как Web 2.0. Какого рода проблемы тут вы выделяете в первую очередь?
К. К.: Здесь действительно очень много вопросов, в том числе в плане информационной безопасности. Я бы их разделил на две группы — технические и организационные. Наверное, можно сказать так: основное достоинство Web 2.0 — это как раз организационные аспекты, возможность повышения эффективности деятельности компании на основе новых средств поддержки групповой работы. Но с технической стороны реализация данных идей — это почти сплошные пробелы в плане безопасности.
Например, резко возрастает вероятность потери ключей доступа к персональным ресурсам. Начинает использоваться масса новых приложений, в том числе от малоизвестных разработчиков, с недостаточно хорошим уровнем тестирования кода. Это часто сопровождается неуправляемым процессом установки ПО. Федеративная модель взаимодействия в социальных сетях ведет к резкому увеличению использования разных программ и сервисов, при этом начинается путаница с сертификатами, и в какой-то момент пользователи или перестают обращать внимание на выдаваемые предупреждения по безопасности, или просто отключают проверку подлинности компонентов.
Но с организационным эффектом все не так просто. Поддержка взаимодействия сотрудников — это, конечно, хорошо, но при этом может теряться управляемость работой коллектива. Трудно, скажем, точно сказать, перевешиваются ли достоинства внедрения социальных сетей их недостатки. Да, компания выигрывает от того, что улучшается обмен знаниями, но она несет и потери от того, что люди просто “болтают”, не выполняя служебные обязанности. Так что Web 2.0 — это палка о двух концах, ею нужно пользоваться очень аккуратно.
PC Week: Наверное, тут нужно остановиться и немного отойти от обсуждения технологий, перечисленных в вашем списке, тем более что он не ограничивается приведенными в докладе десятью позициями. А что вы посоветуете делать предприятиям, чтобы избежать опасностей и снизить риски при внедрении новых ИТ-средств?
К. К.: В самом общем случае совет очень прост: вопросы безопасности нельзя упускать из виду, ими нужно постоянно заниматься. Если вы рассматриваете любой проект — не только ИТ, который хотите реализовать у себя в компании, — то там обязательно должен присутствовать раздел “Безопасность”. И будет очень хорошо, если вы привлечете к работе независимого оппонента, не заинтересованного в реализации данного проекта, для анализа рисков, связанных с выполнением этих работ. Если речь идет об использовании любых форм аутсорсинга, в том числе SaaS или облачных вычислений, то желательно включать в контракт пункт о возможности проведения вами в том или ином виде аудита вашего контрагента.
Нужно также понимать, что почти все новые вещи (продукты, услуги), впервые появляющиеся на рынке, чаще всего являются недостаточно хорошо оттестированными. К сожалению, довольно часто ИТ-подразделения хотят выступать героями, продвигая новшества, чтобы повысить свой рейтинг в организации, но при этом лакируя ситуацию, скрывая имеющиеся трудности или не видя их.
Что касается специалистов по ИБ, то они пока чаще всего придерживаются пассивной стратегии, решая проблемы по мере их поступления. А сейчас нужно использовать проактивный подход, который подразумевает исключение или хотя минимизацию вероятности появления самих рисков. Кроме того, нужен комплексный подход к решению вопросов безопасности, при этом надо иметь в виду, что самое слабое звено в ИТ-системе — это люди, сотрудники компании. Основные утечки конфиденциальной информацией связаны с действием злонамеренных инсайдеров или с обычной небрежностью персонала.
PC Week: Насколько я знаю, вы приехали не только для участия в конференции, но для проведения занятий по обучению российских специалистов по безопасности. Насколько вы довольны вашими учениками здесь? В какой степени они готовы восприниматься ваши идеи?
К. К.: Я провожу занятия во многих странах, в том числе в Северной Америке и в Европе. В России я делаю это в рамках уже довольно давнего сотрудничества с учебным центром “Микроинформ”. Должен сказать, что аудитория слушателей в вашей стране является самой подготовленной, с ними очень интересно работать. Надеюсь, что и им со мной тоже.
PC Week: Спасибо за беседу.