На наших глазах возникает новый ландшафт информационно-коммуникационных технологий (ИКТ). В терминологии, которую использует главный аналитик IDC Френк Дженс, этот процесс ведет к формированию третьей платформы ИКТ. Если две предшествующие платформы опирались на мэйнфреймы с терминальным доступом и на клиент-серверную архитектуру с сетевым доступом соответственно, то важнейшими составляющими новой платформы ИКТ г-н Дженс называет облачные сервисы, мобильный широкополосный доступ, социальные аспекты в ИКТ, большие данные и аналитические подходы к их использованию.
Эти выводы г-на Дженса подтверждает статистика ИКТ-рынка. Прошлый год, как констатирует IDC, был примечателен тем, что объем хранимых неструктурированных данных (аудио, видео, мультимедиа) сравнялся с объемом структурированной информации. В году нынешнем, по прогнозам IDС, объемы данных, передаваемых по мобильным сетям, сравняются с объемами данных в проводных сетях, а количество мобильных устройств доступа вдвое превысит количество стационарных.
В денежном выражении рост вложений в третью (в терминологии г-на Дженса) платформу ИКТ на этапе до 2020 г. составит 70% (для сравнения: аналогичный показатель для второй платформы, как предполагают в IDC, будет равен примерно 30%). По прогнозам IDC, 5 млрд. долл. оборота рынка ИКТ в 2020 г. поделятся между второй и третьей платформами в отношении 3:2, в то время как сегодня это отношение составляет примерно 5:1. Опросы IDC показывают, что компании намерены в ближайшие три года перевести в облака около 45% корпоративных ИТ-услуг.
Главные современные вызовы для информационной безопасности (ИБ) содержат в себе именно аспекты, связанные с формированием третей платформы ИКТ. Так, корпоративные пользователи предпочитают применять личные, более удобные для себя персональные мобильные устройства для доступа не только к личным, но и к служебным ИТ-ресурсам. В то же время многие из этих устройств, как и устанавливаемые на них программные приложения, не рассчитаны на поддержку корпоративных политик ИБ. Поэтому консультант по ИБ корпорации HP Денис Батранков рекомендует для повышения защищенности мобильных пользовательских устройств устанавливать на них наиболее надежные, проверенные операционные системы.
По мнению консультанта по безопасности компании Check Point Software Technologies Антона Разумова, несмотря на то, что для обеспечения ИБ мобильного доступа в компаниях имеются наложенные решения корпоративного уровня, применять в качестве корпоративных те устройства, которые изначально были разработаны для индивидуального использования, вообще не стоит. Он напомнил, что платформа iPhone, например, при функционировании активно взаимодействует с облачным сервиcом iCloud, и обеспечить ее защищенность в соответствии с требованиями корпоративных ИБ-политик просто невозможно. Поэтому г-н Разумов предлагает четко ограничивать список допускаемых для корпоративного использования консьюмерских устройств и устанавливаемых на них ОС и полностью распространять на них реализуемые в компании ИБ-политики, в первую очередь связанные с обновлением ПО и шифрованием на мобильных устройствах чувствительных данных.
Денис Батранков отметил, что операторы мобильной связи на своей стороне могут развертывать соответствующие ИБ-средства для предоставления услуг, повышающих защищенность как индивидуальных, так и корпоративных клиентов от мошенничества, вредоносного и нежелательного контента. Эти средства, по его наблюдениям, уже в достаточном количестве присутствуют на рынке. Однако подвижку в направлении такого рода обслуживания он видит только со стороны операторов домовых сетей, предлагающих защиту домашних компьютеров. Бóльшая же часть российских операторов, обслуживающих мобильных клиентов, сегодня, на его взгляд, в подобных услугах не заинтересована, хотя со стороны корпоративного сектора проявляется интерес к сервисам обеспечения ИБ мобильных подключений персонала.
С облачной архитектурой ИКТ связывают активизацию перехода к сервисной модели предоставления ИКТ-ресурсов. Однако следует учитывать, что в облаках ИКТ-ресурсы разделяются между многими пользователями, которые могут ничего не знать друг о друге, тем более что соседи по разделяемым ресурсам динамично меняются. При этом управление этими ресурсами (полностью или частично) переходит к провайдерам облачных услуг. Столь же неопределенным в облаках оказывается положение владельцев больших данных, лишенных представления о точном месте нахождения своих данных, о режимах их применения и допущенных к ним пользователях.
Разумно предположить, что все участники процесса предоставления ИКТ-ресурсов в парадигме третьей платформы должны быть готовы к тому, чтобы разделять между собою связанные с переходом на эту платформу ИБ-риски. Действительно, такой процесс идет, и соглашения об уровне предоставляемых услуг (SLA) становятся все более зрелыми, а список включаемых в них требований расширяется, объединяя наряду с техническими также финансовые и юридические аспекты. Однако, как подчеркивает руководитель направления консалтинга компании EMC Russia & CIS Алексей Грачев, компаниям не стоит уповать на SLA c провайдерами ИТ- и ИБ-услуг, как бы грамотно эти соглашения ни были составлены. Им надлежит помнить о том, что ответственность как за надлежащее использование ИКТ-ресурсов, так и за их бизнес в целом в любом случае лежит на них, владельцах и руководителях компаний.
Российский ИБ-рынок, по оценкам IDC, вырос в 2011 г. на 25% и составил более 800 млн. долл., продемонстрировав особенно высокую динамику в сегменте аппаратных решений и ИБ-услуг и умеренный рост в сегменте ПО для ИБ. Субъективно фиксируя рост зрелости российских пользователей в области ИБ, вице-президент и региональный директор IDC в России и странах СНГ Роберт Фариш отмечает, что давать более точные оценки состояния и динамики ИБ-рынка мешает его чрезвычайная закрытость, а также отсутствие должных метрик.
Денис Батранков отметил послекризисный рост вложений российских компаний, особенно в развертывание тяжелых ИБ-систем, что он связывает с повышением зрелости заказчиков, а также с увеличением потока данных от средств защиты и общим усложнением корпоративных ИБ-систем. Как фактор влияния со стороны общества и государства на технологическое развитие ИБ в стране он отметил интерес к решениям операторского и корпоративного уровня, обеспечивающим фильтрацию веб-контента и ограничение доступа в Интернет.
Руководитель направления развивающихся технологий компании Cyber Ark Андрей Дулькин отметил смещение фокуса в корпоративной ИБ с задач соответствия требованиям регуляторов на борьбу с кибератаками. Он связывает это с тем, что в прошлом году киберпреступникам удалось провести несколько громких атак на крупные международные компании, которые в результате понесли серьезные убытки, а также с ростом профессионализма корпоративных заказчиков, переходящих от ИБ ради “галочки” соответствия внешним требованиям к защищенности от реальных ущербов.
Согласно наблюдениям г-на Дулькина, в связи с недавними успешными APT-атаками (Advanced Persistent Threats — целенаправленные многоплановые продолжительные угрозы) на известные крупные коммерческие структуры в процесс регулирования ИБ начали включаться страховые компании. Они оказывают давление на своих клиентов, требуя от них снижения ИТ-рисков за счет использования вполне определенных технологических решений и средств.
Самым слабым звеном в процессе обеспечения ИБ был и остается человек. Чтобы противостоять современным ИБ-угрозам, в том числе и таким, как APT, г-н Разумов рекомендует использовать в корпоративной ИБ-системе эшелонирование, активно вовлекать в процесс обеспечения информационной безопасности непосредственно персонал, применяя для этого как организационные, так и технологические средства, внедрять широкий спектр ИБ-продуктов, закрывающих разнообразные векторы атак и способных интегрироваться между собой для наращивания функционала и выявления коррелляций между ИБ-событиями и оперативным реагированием на них.
По мнению г-на Грачева, работа со всеми участниками процесса обеспечения корпоративной ИБ — администрацией компании, ИБ-специалистами, рядовым персоналом, клиентами, партнерами — должна строиться не столько на наказании, сколько на вовлечении их в сознательное обеспечение этого процесса, на понимании своей роли, своих прав и обязанностей в нем.