Мировой кризис, начавшийся в 2008 г., не мог не затронуть российский рынок информационной безопасности. Однако, как и любой кризис, он, по мнению экспертов, стал неким очищающим процессом, который благотворно сказывается на состоянии рынка. Бюджеты сократились, и ИБ-заказчики стали более требовательными, а ИБ-разработчики и ИБ-провайдеры вынуждены улучшать качество своих решений и услуг. В условиях обострившейся конкуренции более адекватными стали цены.
О состоянии российского рынка ИБ в пору экономической нестабильности научному редактору PC Week/RE Валерию Васильеву рассказывает заместитель генерального директора компании “Аладдин Р.Д.” Алексей Сабанов.
PC Week: Какие ИБ-угрозы вы считаете наиболее опасными для российских компаний и организаций в настоящее время? Есть ли среди этих угроз те, что присущи только нашей стране?
А. С.: Российский рынок ИБ интенсивно развивается, и все актуальные угрозы достаточно быстро находят отражение в адекватных решениях по снижению рисков их реализации. Немного мешает то, что российский рынок ИБ совершенно непрозрачен. Нет ни одного нормативного документа, обязывающего организации и предприятия раскрывать свои потери от вирусных атак или целенаправленных атак киберпреступников. Просачивающиеся в средства массовой информации отдельные сообщения о финансовых убытках, понесенных из-за инцидентов ИБ, как правило, сопровождаются извинениями редакций в следующем же номере… Наверное, поэтому многие из нас пользуются зарубежными аналитическими отчетами: различными магическими квадрантами, оценками зрелости рынка и отдельных компаний и т. п. При этом мало кто знает, что, например, в Gartner, эти оценки зачастую делаются всего-навсего на основе контентного анализа СМИ и содержат системные ошибки, порождающие непоследовательности и противоречия.
Из угроз на первом месте, скорее всего, все же стоят мошенничества. Особенно ярко это видно на примере банковской сферы. На сентябрьской конференции InfoSecurity Russia прозвучала оценка потерь от мошенничеств в ДБО в 2,5 млрд. евро в России.
Среди прочих наиболее актуальных и масштабных ИБ-угроз отмечу широкомасштабное использование Интернета, который до сих пор далеко не безопасен для большинства предприятий и организаций.
Однако и без Интернета проблем у компаний хватает: по-прежнему требует наведения и поддержания порядка доступ к корпоративной сети и информационным ресурсам. Персонализация доступа с применением “электронного паспорта” — цифровых сертификатов — существенно снижает риски реализации атак, как внешних, так и внутренних.
Задача аутентифицированного доступа актуальна и для модных ныне (а в общем-то, давно известных и эволюционно развивающихся) облачных вычислений. Беда в том, что сегодня в облаках очень трудно “измерить” безопасность, а следовательно, трудно реально оценивать риски.
Что касается “национальных особенностей” ИБ-угроз, то сегодня в этом смысле Россия, как мне представляется, не отличается от остального мира.
PC Week: Адекватны ли предлагаемые ИБ-ведорами средства защиты современным ИБ-угрозам?
А. С.: В общем, конечно, да, адекватны. Однако сегодня я не готов дать оценку полноты безопасности всех предлагаемых рынку российских ИБ-решений, хотя многие продукты мы интенсивно тестируем сами, а еще больше решений встречаются у заказчиков в десятках проектов. Решения разные, а в процессе их эксплуатации заказчик (и интегратор) зачастую сталкивается с массой побочных проблем. Оценивать отдельное средство защиты зачастую бывает весьма непростой задачей.
В настоящее время для обеспечения успешного продвижения на рынке вендор должен много инвестиций тратить на авангардные, опережающие массовый спрос продукты и решения. Мне повезло, я работаю в такой компании. У нас было 10 открытых инновационных проектов за последние 3 года. В итоге мы дали рынку 7 действительно высокотехнологичных решений, которые направлены на существенное снижение рисков современных атак в области информационной безопасности.
PC Week: Какова доля отечественных разработок в продаваемых в России ИБ-продуктах? К каким категориям средств защиты они относятся?
А. С.: В существующих условиях корректно вычислить такую долю на всем рынке ИБ практически невозможно. Попробую пояснить, почему это так. Далеко не все закупки ИБ-продуктов проходят через открытые аукционы и поддаются оценке. Российские разработки, как правило, имеют давнюю историю и давно освоенные ниши. Коммерческие структуры вообще не отчитываются о своих проектах в области ИБ.
Следующий вопрос: как считать? В конечных ценах или по отпускной стоимости? Иногда это может существенно сказаться на результатах. Тем не менее для всех игроков рынка очевидно, что основная часть используемых в России средств ИБ — это сертифицированные продукты. По моим оценкам, доля сертифицированных средств защиты информации, находящихся в эксплуатации, составляет не менее 70%. И это правильно. Самыми широко используемыми средствами являются средства антивирусной защиты, особенно для рабочих станций и серверов. На втором месте — межсетевые экраны и средства построения VPN. На третьем — средства аутентификации.
Весьма интересна ситуация с решениями для обеспечения ИБ в госструктурах. Вообще без сертификации ИБ-решения попасть в госорганы просто не могут. По этому поводу есть четкие указания регуляторов. В результате, большинство государственных предприятий и учреждений используют сертифицированные решения российской разработки. По моим оценкам, таких решений в госструктурах свыше 80%.
PC Week: Сравните, пожалуйста, состояние ИБ по разным бизнес-сегментам и регионам России.
А. С.: В своем вопросе вы затронули очень важную тему. Как профессионально оценить состояние ИБ по сегментам? Как оценить состояние ИБ по регионам? Это очень серьезная проблема. В стране нет ни одного агентства, ни одной компании, которая могла бы оценить состояние ИБ по сегментам. Да и рынок ИБ, как я уже сказал, у нас совершенно непрозрачный, и информация об ИБ-инцидентах в компании редко выходит за ее пределы.
Что же касается моих личных оценок, то вот они. Состояние ИБ в разных бизнес-сегментах и регионах России, конечно же, различается. Традиционно считается, что наиболее защищенной в нашей стране является банковская отрасль. Действительно, она защищена хорошо: банки владеют методиками оценки рисков, используют наиболее совершенные решения для обеспечения ИБ, а возникающие у них ИБ-проблемы руководители соответствующих отделов и служб там решают грамотно и комплексно. Но банков в России около тысячи, и наряду с передовыми есть такие, где информационной безопасности практически нет. Большая часть мелких и средних банков, по признанию экспертов из самой банковской среды, защищены недостаточно и даже не имеют необходимого числа ИБ-специалистов.
По моему опыту, отлично защищены наши ведущие нефтяные компании. У них есть профессионально разработанная стратегия ИБ, больше ИБ-бюджеты, там работают лучшие ИБ-специалисты. По среднему уровню обеспечения ИБ нефтегазовый бизнес я бы поставил даже несколько выше, чем банковский.
Наряду с крупными банками и нефтегазовыми компаниями существуют и другие структуры с не менее высоким уровнем обеспечения ИБ. Упомяну среди прочих предприятия атомной промышленности, обязанные уделять вопросам безопасности особое внимание в силу своей специфики.
Во многом ситуация с организацией ИБ в конкретной компании зависит от ее руководителей, от понимания ими связанных с безопасностью проблем. Для кого-то это критично, а для кого-то нет. Поэтому я с полной уверенностью утверждаю, что есть мелкие и средние компании, которые очень хорошо защищены.
Защищенность по регионам тоже характеризуется большой неоднородностью, и сказать, что предприятия в Екатеринбурге или Самаре защищены хуже, чем в Москве, будет несправедливо.
PC Week: На какие ИБ-продуты российские организации и предприятия тратят сегодня больше всего средств?
А. С.: Это известно — на антивирусные средства. Другое дело, зачастую делается это неэффективно, порой даже бездумно. Простой пример: предприятие тратит средства на антивирусную защиту рабочих станций и серверов, на обучение сотрудников работе с этими средствами защиты, а на интернет-шлюзах и в узлах корпоративной сети никакой защиты не предусматривается! Известно: лучшая оборона — эшелонированная оборона. Она должна включать уровни рабочих станций, серверов, а также узлов сети. Лучше, если на всех трех уровнях используются ИБ-продукты разных производителей.
PC Week: ИБ находится под пристальным вниманием регуляторов разного уровня. Адекватны ли действия российских регуляторов области ИБ современным угрозам ИБ? Какие действия регуляторов вы оцениваете наиболее высоко?
А. С.: Да, адекватны! Кстати, работы у них очень и очень много, и объем ее растет. Поэтому и объявляемые ими планы о мерах регулирования иногда изменяются. Мне, например, не хотелось бы сейчас работать у регуляторов: работы много, ответственность огромная, ресурсов недостаточно. Какие их действия оцениваю наиболее высоко? Наверное, гибкость, которую они показали в ходе обсуждения таких законов, как “Об электронной подписи” и “О персональных данных”. Чтобы проявлять такую гибкость, нужно обладать высокой квалификацией и умением воспринимать то, что говорят участники рынка.
PC Week: А как вы оцениваете согласованность и эффективность действий всех участников российского рынка ИБ? Что и как, на ваш взгляд, здесь следовало бы изменить?
А. С.: Участников рынка, по большому счету, трое: государство в лице регуляторов, разработчики и потребители. Согласованности и эффективности в их действиях пока просто нет. Кого ни возьми — заказчиков, производителей, регуляторов, — каждый решает свою частную задачу, и, конечно, каждого можно понять. Однако ИБ-культура многих потребителей остается низкой настолько, что они даже не знают, что именно в области ИБ обязаны делать по требованиям регуляторов, а что им реально необходимо для ведения бизнеса и без указаний извне. Результат действий всех участников российского ИБ-рынка заставляет вспомнить персонаж Аркадия Райкина: отдельно к пуговицам претензий нет, а костюм носить невозможно. Наш ИБ-рынок развивается неровно — порой последовательно, а порой хаотично, и до цивилизованного состояния ему еще предстоит пройти ряд этапов.
PC Week: Благодарю за беседу.