Все более реальная угроза киберпреступности означает, что и государство, и бизнес должны начинать инвестировать в информационную безопасность (ИБ), оберегая не только свою “виртуальную собственность”, но и благополучие людей, доверивших им свои персональные данные. О том, как развивается рынок ИБ в России и как остановить переход молодых специалистов на сторону “черных” хакеров, корреспонденту PC Week/RE Наталье Сидельниковой рассказал начальник управления предпринимательства и поддержки промышленности Комитета экономического развития, промышленной политики и торговли Правительства Санкт-Петербурга Юрий Шойдин. Он также является сопредседателем комитета по ИБ СоДИТ, членом комитета по информатизации Общественного совета при губернаторе Санкт-Петербурга и членом правления Санкт-Петербургского клуба ИТ-директоров, поэтому о проблемах ИБ знает не понаслышке.
PC Week: Как вы оцениваете современное состояние рынка систем информационной безопасности в России?
Юрий Шойдин: Я не готов оценить объем рынка в количественных показателях, но положительная тенденция явно заметна, особенно в последние несколько лет. Связано это в первую очередь с тем, что рынок “взбодрил” Федеральный Закон № 152 “О персональных данных”. Правда, произошла существенная подмена понятий. Изначально формулировка закона говорила о защите субъектов персональных данных, т. е. нас с вами. Но затем все стали говорить о защите персональных данных, т. е. о технических средствах. Соответственно, это было выгодно интеграторам, которые начали активно работать на этом рынке, и рынок, в свою очередь, начал расти.
На рынке “черных” хакеров крутятся колоссальные деньги. Уровень технических средств и возможностей на той стороне очень высок. И противостоять ему можно только адекватными мерами и адекватными затратами с нашей стороны. Поэтому не вызывает удивления, что рынок ИБ будет расти. Облачные технологии, которые концентрируют большие объемы информации, тоже, несомненно, будут целью недружественных вторжений. При такой концентрации обеспечение безопасности, с одной стороны, упрощается, а с другой — усложняется тем, что средства защиты должны быть более мощными и продуманными.
PC Week: Много ли в России компаний — разработчиков программного обеспечения по ИБ?
Ю. Ш.: Российских компаний не много, но они есть, и их представители регулярно собираются на своих тематических мероприятиях: это Сочинская конференция по информационной безопасности, InfoSecurity Russia и другие.
PC Week: Вы говорите о росте рынка, а многие жалуются на существенный кадровый дефицит в области ИБ. Как эта проблема сказывается на состоянии отрасли?
Ю. Ш.: Рынок развивается — эта тенденция налицо. Однако, не очень бурно. Сдерживающим фактором здесь в первую очередь является невостребованность услуг ИБ самим бизнесом, а во вторую — отсутствие на рынке квалифицированных кадров. Появится хороший спрос на услуги ИБ — появятся, конечно, и кадры. Сейчас поиск квалифицированного специалиста по ИБ является серьезной проблемой. Несмотря на то что ряд российских вузов (например, Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики (ИТМО), Уральский государственный университет и др.) имеют соответствующие кафедры и готовят специалистов по информационной безопасности, их количества все равно недостаточно. Если сегодня посмотреть на Санкт-Петербург, то можно сказать, что специалисты по информационной безопасности работают либо в очень крупных компаниях, либо в банках. Средний и малый бизнес практически не пользуются их услугами.
PC Week: Можно ли частично решить проблему с кадрами, переманив специалистов по ИБ с “темной” стороны на “светлую”?
Ю. Ш.: Надо четко понимать, что средняя зарплата специалиста по информационной безопасности — от 60 до 80 тыс. руб., а на рынке “черного хакерства” им могут предложить несколько миллионов рублей в течение месяца. Так что удержать таких специалистов по ИБ на “белой” стороне всегда очень тяжело.
PC Week: А какие меры нужны для того, чтобы не дать им перейти на “темную” сторону?
Ю. Ш.: Определенные меры предпринимаются, но они больше касаются пропаганды и объяснения. К сожалению, нельзя защититься от вирусов и порнографии в Интернете только техническими средствами. Нужно постоянно объяснять, что хорошо, а что нет. Я думаю, такая проблема никогда бы не появилась во времена Сталина. Тогда была пропаганда. Да, жесткая и контролируемая, но в чем-то, наверное, оправданная. Нужны правильная идеология, пропаганда правильного подхода к защите и ценности информации и работа с молодежью.
PC Week: Проводится ли такая работа на уровне государства?
Ю. Ш.: Не готов ответить на этот вопрос, я, во всяком случае, не сталкивался с такой политикой на уровне государства. Но зато в России существует отделение игр CTF (Capture the Flag), которое возглавляет Председатель правления Ассоциации руководителей служб информационной безопасности (АРСИБ) Виктор Минин. СTF — это игра “белых” хакеров, которые собираются в команды и соревнуются в своих умениях. К слову сказать, в прошлом году наша сборная заняла 3-е место в мире! Обычно это команды из профильных вузов, а игры проходят под курированием ФСБ. И эти ребята после окончания учебы идут работать в государственные органы и соответствующие структуры, которые занимаются информационной безопасностью. Но, подчеркиваю, это, к сожалению, общественная нагрузка, которую взяли на себя Союз IT-директоров России (СоДИТ) и АРСИБ. Это общественное движение, никем не финансируемое сегодня. То есть мы просто пытаемся таким образом работать с молодежью, понимая необходимость этого и проблемы, которые могут возникнуть в будущем.
PC Week: Значит, специалисты по ИБ — важный стратегический ресурс страны. А на самом ли деле киберпреступность может представлять собой опасность для государства? Для его свободы и благополучия?
Ю. Ш.: С одной стороны, киберпреступность — это далекая и виртуальная угроза для многих, с другой стороны, от утечки данных страдают миллионы людей по всему миру, а ущерб оценивается миллиардами долларов. Что такое государство? Государство — это все мы. Представьте, что атака будет совершена на такую базу хранения персональных данных, как, например, Единый Центр Документов. И все окажется в руках злоумышленников. Опасно ли это? Думаю, что да. А вообще, если говорить про государство, то, конечно, существуют Государственные информационные системы, которые должны быть построены в соответствии с требованиями ФСТЭК России, что обеспечит их необходимую защищенность.
К сожалению, киберпреступность только прогрессирует. В России есть специализированные организации, которые занимаются расследованием компьютерных преступлений. Очень прискорбно, что на сегодняшний день сама информационная безопасность государственных информационных систем не является отдельной статьей расходов в бюджете страны. Это касается большинства регионов России. На это просто нет денег.
PC Week: Есть ли какой-то вид данных, которые надо охранять особенно тщательно, так как они представляют наибольший интерес для хакеров?
Ю. Ш.: Виной всему деньги. Редко нападение происходит ради обычного хулиганства. Исключением может служить нападение на сайт “Зенита” два года назад. Это была чисто хулиганская выходка, имеющая яркий политический оттенок еще при предыдущем губернаторе Санкт-Петербурга. В основном, конечно, все совершается из-за денег. Все мероприятия, которые проводят “черные” хакеры, направлены на извлечение тех данных, которые позволят либо воспользоваться счетами граждан и организаций, либо другим способом заработать деньги.
PC Week: Тогда, вероятно, в попытке заполучить доступ к счетам хакеры чаще всего атакуют банки?
Ю. Ш.: Нет, не всегда требуется совершать атаки на хранилище данных, чтобы получить доступ к счетам. Зачем, например, нападать на банк, когда можно снять деньги с огромного количества людей более простым способом. Несколько лет назад “Лабораторией Касперского” был обезврежен интересный вирус, который снимал деньги с карточки, когда ее вставляли в банкомат. После того, как человек вводил пин-код, появлялось сообщение о том, что банкомат неисправен, и карточка выдавалась обратно. А все данные пересылались злоумышленникам, которые сразу же снимали деньги.
PC Week: Вернемся на уровень компании. Как вы можете определить главные составляющие ИБ в компании?
Ю. Ш.: Трудно охарактеризовать составляющие, так как область информационной безопасности очень обширна и разнородна. Надо четко дифференцировать, о чем мы говорим: об облачных технологиях, о мобильных устройствах, о домашних компьютерах и т. д. Но всегда есть несколько основных вещей. Информационная безопасность, как и любая безопасность, предполагает понимание того, что мы защищаем, от чего и как. Определив, что мы защищаем, мы начинаем понимать, как это надо делать. Если речь идет о банковской карте, то, например, не нужно оставлять ее на столе без присмотра, так же как и собственный паспорт. Если речь идет о виртуальных системах и облачных вычислениях, то их нужно защищать сертифицированными средствами (программным обеспечением, техническими устройствами и т. д.). Важно применять правильные (эффективные и достаточные) средства защиты.
Необходимо помнить, что в любой системе безопасности самое слабое звено — человек. Поэтому административные меры, правила работы с информацией и ее хранения также очень важны. Иногда они даже более важны, чем технические меры, конечно в зависимости от специфики бизнеса.
Важным является и наличие в организации нормативно-распорядительной документации. Нельзя построить безопасность, в том числе информационную, без нормативных документов. Они должны иметься и быть при этом актуальными, и составлять их нужно с умом. Ведь проблема не в том, чтобы написать документ, а в том, чтобы потом его все исполняли.
PC Week: Существует открытое программное обеспечение по ИБ. Как вы считаете, насколько оно надежно по сравнению с платными аналогами?
Ю. Ш.: Есть лицензионное программное обеспечение, которое подразумевает высокую плату на входе. Есть условно-бесплатное программное обеспечение, которое распространяется свободно, но затем мы должны потратить значительную сумму денег, чтобы оно работало так, как нам необходимо. Во втором случае мы несем все риски по обеспечению информационной безопасности самостоятельно. Здесь вопрос выбора: ничто не плохо, ничто не хорошо. В большей степени использование того или иного вида программного обеспечения зависит не от информационной безопасности, а от тех правил и той стратегии, которые приняты в организации. Специалисты по ИБ и ИТ-директора должны сообщать руководству о рисках, которые несет то или иное решение, и вносить свои предложения по их минимизации.
В целом свободное программное обеспечение требует более пристального внимания со стороны компании, чем лицензионное.
PC Week: А какую тенденцию вы можете выделить? Российские компании чаще используют платное или бесплатное программное обеспечение в области ИБ?
Ю. Ш.: Я знаю и те и другие компании. Если говорить об официальном программном обеспечении, то, на мой взгляд, перекос сейчас в сторону платного — немалая доля компаний использует лицензионное ПО. Но уже существует значительный сегмент условно-бесплатного ПО. Проблема в том, что самый большой сегмент — нелицензионное программное обеспечение. Если мы берем крупный бизнес, то там обычно всё лицензионное с какой-то долей свободного ПО. Если мы берем средний и мелкий бизнес, то, скорее всего, оно там нелицензионное, что несет потенциальную угрозу.
При этом надо понимать, что есть области защиты, например персональные данные, где должны применяться только сертифицированные средства и лицензионное программное обеспечение. Это области, где регуляторами выступают Роскомнадзор, ФСТЭК и ФСБ.
В России еще есть другая тенденция, которую можно описать фразой: “Мы бедные, потому что жадные”. Я понимаю, что есть насущные проблемы бизнеса, но с течением времени и усложнением информационных систем у нас не останется другого выбора, кроме как выходить на нормальный уровень обеспечения информационной безопасности, иначе может наступить коллапс. Хочется, чтобы руководители бизнеса видели в ИБ не только свои затраты, но и конкурентное преимущество.
PC Week: Спасибо за беседу.