Рынок средств информационной безопасности (ИБ) даже в пору экономического кризиса остается растущим. Задачи корпоративной ИБ все теснее сливаются с оперативными и стратегическими целями основного бизнеса в компаниях. А это — повод внимательнее всмотреться в нынешнее состояние данной сферы. О наиболее значимых в настоящее время свойствах рынка ИБ, о его движущих силах и некоторых особенностях в России научному редактору PC Week/RE Валерию Васильеву рассказал вице-президент IBM по информационной безопасности Роб Лэмб.
PC Week: Какие задачи в обеспечении корпоративной ИБ вы считаете наиболее актуальными сегодня?
Роб Лэмб: Время предъявляет все новые и новые требования к корпоративной ИБ, она эволюционирует. Сегодня это происходит в большой степени под влиянием внешних регуляторов. Как следствие — в ИТ-инфраструктуре быстро увеличивается количество ИБ-продуктов, поэтому компаниям сегодня важно оценить необходимость тех или иных мер для своего бизнеса и выбрать оптимальный минимум решений для их реализации.
Покажу на реальном примере, что такая оптимизация возможна. У одного из госпиталей в Нью-Йорке (а здравоохранение в США очень жестко регулируется по линии ИБ) было около девятисот различных ИБ-решений, необходимость которых во многом обусловлена регулятивными требованиями. В результате работы специалистов из IBM с этим заказчиком количество данных продуктов удалось уменьшить до восьмидесяти, что обеспечило госпиталю экономию примерно 2 млн. долл. в год.
PC Week: Но разве до сего дня компании не стремились экономить свои ресурсы, оптимизировать затраты на ИБ и решать в первую очередь самые насущные задачи в этой области? Изменилось ли что-либо в корпоративных подходах к ИБ сегодня?
Р. Л.: До недавнего времени компании были сосредоточены на внедрении приложений, а безопасностью они занимались уже потом, наложенными средствами (это, кстати, тоже прямой путь к продуктовому “зоопарку” в корпоративной ИБ-инфраструктуре). В последние же годы ИБ рассматривается как ключевой компонент любых бизнес-приложений и бизнес-процессов. В идеале безопасность должна максимально встраиваться в них уже на этапе разработки, т. е. с самого начала. При этом сокращается и количество необходимых внешних инструментов защиты.
Я уже упоминал, что на состояние корпоративной ИБ все более сильное влияние оказывают внешние регуляторы, прежде всего государственные. И механизмы соответствия этим требованиям компании теперь стремятся встраивать непосредственно в приложения.
PC Week: Чего больше для корпоративной ИБ в отраслевом, государственном и межгосударственном регулировании ИБ — плюсов или минусов?
Р. Л.: Это влияние сегодня огромно, особенно в США — там действует множество как отраслевых, так и государственных стандартов и законов в данной области. По-моему, регулирование — положительный фактор. Но здесь важен разумный баланс: требования регуляторов должны вести к повышению уровня ИБ, а не к увеличению количества продуктов, которые вынуждены применять компании. Сегодня баланс, на мой взгляд, приемлемый. Однако он может и измениться.
К тому же следует помнить, что хотя соблюдение стандартов и законов — это движение в правильном направлении, никакие сертификаты не гарантируют компаниям реальную безопасность. ИБ не есть результат присутствия тех или иных продуктов (межсетевых экранов, систем предотвращения вторжений и сканирования уязвимостей и т. д.), это следствие системного подхода компании, ее стратегии, которую очень сложно регулировать какими-либо внешними требованиями. Известно, например, что практически все предприятия розничной торговли, которые по тем или иным причинам допустили утечку клиентских данных, имели сертификаты соответствия стандарту PCI DSS.
PC Week: Как в вашем представлении должен выглядеть каркас системы ИБ современной компании — ее платформа, архитектура, основные компоненты?
Р. Л.: Структура безопасности, которую предлагает IBM, основана на методологии управления, контроля и аудита информационных систем COBIT (Control Objectives for Information Technology) и включает в себя пять компонентов (мы их называем доменами). В той или иной мере все эти домены присутствуют в системе обеспечения ИБ любой современной компании.
Первый домен — организация безопасного доступа людей к корпоративным информационным ресурсам. Она дает уверенность в том, что люди, имеющие самое разное отношение к компании (сотрудники, клиенты, контрагенты), на протяжении всего цикла взаимодействия с нею получают только тот доступ к ресурсам, который для них предписан действующими правилами.
Второй домен — защита хранимых, используемых и передаваемых данных — предназначен для контроля доступа к информации, её шифрования и защиты от утечек.
В домене защиты приложений и процессов отражено наше стремление обеспечивать безопасность не просто на стадии эксплуатации приложений и бизнес-процессов, но уже на этапе их проектирования.
Главное назначение домена защиты сетей, серверов и рабочих станций заключается в обеспечении защиты от внешних злоумышленников; при этом речь идёт прежде всего о превентивной (а не сигнатурной) защите на основе информации об уязвимостях. В сравнении с доменом организации безопасного доступа, открывающего доступ тем, кому он разрешен, этот домен закрывает доступ тем, для кого он не предназначен.
Домен физической безопасности ресурсов компании представляет собой интеллектуальные системы видеонаблюдения, распознающие движение объектов, лица людей, номера автомобилей, системы, контролирующие состояние всевозможных датчиков, и т. п.
PC Week: Из года в год эксперты говорят о недопустимо высокой уязвимости приложений. Какой подход вы считаете более правильным: быструю разработку приложения, направленную на эффективность решения соответствующей задачи, и последующую организацию его защиты наложенными средствами — или разработку более трудоемкую и долговременную с параллельным решением задач ИБ на протяжении всего жизненного цикла приложения?
Р. Л.: Разумеется, ИБ нужно закладывать непосредственно в приложение уже на стадии его разработки. Если ИБ-проблему обнаружить на этом этапе (за счет использования таких инструментов, как, например, Rational Application Development с функционалом AppScan), то ее устранение обойдется в 25 долл. А вот случись это при промышленной эксплуатации приложения, и “цена вопроса” возрастает до 16 тыс. долл. Тут следует понимать, что в программный код приложения невозможно включить всю логику обеспечения ИБ — просто на этапе проектирования надо заложить в него необходимые интерфейсы к внешним системам, реализующим такую защиту. Если, например, управление учетными записями и доступом встраивать в каждое приложение, то разработка удлинится и станет дороже, усложнится и поддержка приложения. Гораздо проще сделать адаптер к внешнему специализированному приложению с таким функционалом, который в этой части будет обслуживать все другие.
PC Week: Но программисты заявляют, что если они начинают думать о безопасности кода, то перестают думать о его эффективности при решении основной задачи! Как справиться с этой коллизией?
Р. Л.: Сегодня, когда программистам доступны такие инструменты разработки, как наши продукты Rational, им гораздо легче найти баланс между этими двумя требованиями — эффективностью и безопасностью программного кода. Дело за тем, чтобы разработчики ПО шире использовали подобные инструменты в своей практике.
PC Week: Какие факторы, на ваш взгляд, оказывают сегодня наиболее сильное влияние на ИБ?
Р. Л.: Во-первых, то, о чем я уже говорил, — требования внешних регуляторов. Во-вторых, хочу отметить изменение в компаниях роли руководителей направления ИБ. Несколько лет назад этой позиции просто не было. Ныне ИБ-директор приобретает все большее влияние, причем это влияние не внутреннего полицейского, а консультанта для бизнеса. Например, в таких технологиях, как облачные вычисления и виртуализация, бизнес-руководство и ИТ-директор видят сокращение расходов, а ИБ-директор консультирует их, как эти выгодные для бизнеса технологии сделать еще и безопасными, чтобы они не привели к неожиданным потерям.
PC Week: Оцените современное состояние совместимости ИБ-продуктов разных вендоров.
Р. Л.: Для обеспечения такой совместимости существуют специальные решения — консоли сбора и анализа ИБ-данных от разных систем и устройств. У IBM это кроссплатформенная консоль Tivoli Security Information & Ivent Manager, которая имеет адаптеры примерно к 3,5 тыс. продуктов разных производителей, начиная от устройств сетевой защиты и заканчивая тяжелыми бизнес-приложениями класса ERP. Она умеет собирать с них информацию о зарегистрированных ими ИБ-событиях, нормализовать собранные данные и отображать на операторской панели состояние ИБ в соответствии с заложенными ИБ-политиками.
PC Week: Какой подход продуктивнее для ИБ-заказчиков — моновендорность или выбор лучшего у каждого поставщика с последующим объединением набора под “зонтиком” такой консоли?
Р. Л.: В идеале моновендорный подход лучше. Но вот на практике он реализуем редко. Поэтому заказчикам нужна разумная минимизация количества поставщиков, с которыми они имеют дело. Чем их меньше, тем легче работа с контрактами, проще оперативное управление средствами обеспечения ИБ, меньше затраты на обучение персонала. А в итоге — более низкая стоимость владения ИБ-системой.
PC Week: У себя в IBM в обеспечении ИБ вы тоже следуете моновендорному подходу?
Р. Л.: Разумеется, во всей своей территориально распределенной структуре (и в России тоже) мы стремимся максимально использовать собственные ИБ-продукты. Прежде всего это Tivoli IAM (для управления доступом сотрудников), Tivoli Compliance Manager (для контроля состояния рабочих станций), Tivoli ISS (для предотвращения вторжений по сети).
PC Week: А есть ли ИБ-задачи, которые в IBM решаются с помощью продуктов других вендоров?
Р. Л.: Могу сказать, что мой ноутбук защищён антивирусом Symantec, а для шифрования данных на нем я использую программу PGP.
PC Week: Похоже, моновендорность — нереализуемый вариант даже для IBM. Какой же объем программирования под конкретного заказчика в ИБ-проектах приходится выполнять компании IBM для преодоления несовместимости ее ИБ-решений с продуктами других вендоров, представленными в ИТ-среде заказчиков?
Р. Л.: Чтобы объединить ИБ-решения разных вендоров (в том числе и продукты IBM, организующие корпоративную ИБ в разных доменах, которые мы делаем практически независимыми друг от друга), заказчику нужна та самая консоль мониторинга и аналитики, имеющая адаптеры к подавляющему большинству этих продуктов. Таким образом, для обеспечения интероперабельности нет необходимости создавать между отдельными ИБ-продуктами какие-либо дополнительные интерфейсы, и поэтому потребность в дополнительном кодировании, специальной разработке под заказчика у нас возникает редко.
PC Week: В России объем госзакупок составляет существенную долю в обороте IBM. Дайте вашу оценку российскому госсектору как заказчику средств ИБ: какова его зрелость в данной области, деловая прозрачность для ИБ-поставщиков?
Р. Л.: В прошлом году заказы от госструктур в общем объеме продаж ИБ-продуктов IBM в России составили существенную долю. Но это был кризисный год. Сейчас ситуация выправляется, бизнес активизируется, и его доля увеличится.
Практически все ИБ-проекты в госструктурах диктуются государственным регулированием, а не инициативами и информированностью руководителей госорганизаций и предприятий. Можно сказать, что в Москве уровень зрелости госзаказчиков в области ИБ высокий. Однако чем дальше от столицы, тем в большей мере организация ИБ в госструктурах определяется госрегулированием, поскольку собственного понимания реальных угроз и способов защиты от них там нет.
Мы не продаем свою продукцию в России напрямую, поэтому выполнение требований государственных тендеров — прерогатива наших партнеров. Именно они готовят необходимую конкурсную документацию, и, насколько нам известно, организация тендерных процедур для госзаказчиков им понятна, хотя требований там, как правило, больше и они жестче, чем у бизнес-структур. Конечно, со своей стороны мы оказываем необходимую помощь в представлении требуемых для участия в конкурсах документов, организуем также сертификацию наших ИБ-продуктов, которая для госзаказчиков является обязательным требованием.
PC Week: Благодарю за беседу.