Происходящие в информационных технологиях перемены, которые аналитическая компании IDC определяет как переход на третью платформу ИТ, характеризуемую распространением облачных архитектур, мобильностью доступа, социальными сетями и повышением внимания к обработке больших данных, не могут не отражаться на подходах к обеспечению безопасности корпоративных ИТ.
О том, как эволюционирует корпоративная ИБ в условиях перехода на так называемую третью ИТ-платформу, научному редактору PC Week/RE Валерию Васильеву рассказал руководитель направления корпоративных продуктов в странах развивающихся рынков “Лаборатории Касперского” Владимир Удалов.
PC Week: Как меняются основные подходы к построению корпоративной ИБ в пору масштабных изменений в ИТ, которые IDC называет переходом на третью ИТ-платформу?
Владимир Удалов: Начну с того, что эти изменения происходят в условиях мирового экономического кризиса, обостряющих конкуренцию. Умение применять в своей работе современные информационные технологии становится для любой компании ощутимым конкурентным преимуществом. Те из них, которые успешно применяют облачные сервисы, умеют выстраивать работу с социальными сетями, настроили мобильные устройства своих сотрудников на эффективную работу с корпоративными данными, получают преимущества перед своими конкурентами.
Можно сказать, что новации в ИТ — благо для бизнеса. Однако для корпоративных ИБ-служб ситуация не столь радужная, поскольку для них эти новации банально увеличивают объем работы, причем в условиях стесненного и запаздывающего бюджетирования.
Каждый из компонентов этой третьей платформы порождает новые векторы атак на корпоративные ИТ, и ИБ-специалистам приходится думать об их отражении. Исследования IDC демонстрируют рост озабоченности со стороны корпоративных ИБ-служб использованием облаков, социальных сетей, мобильных приложений. Но поскольку сегодня для бизнеса многих компаний отсутствие ИТ-сервисов, базирующихся на возможностях третьей ИТ-платформы серьезно ударит по эффективности и конкурентоспособности, то бизнес-руководство заинтересовано в таких сервисах и требует от ИТ-служб их надежности, доступности, безопасности.
PC Week: Получается, что внутри компаний по отношению к третьей ИТ-платформе наметилась коллизия интересов бизнеса и ИБ-службы?
В. У.: Да, мне это так и видится. Руководители компаний понимают, что их подчиненные готовы работать в дороге, дома по вечерам, даже находясь в отпуске — были бы только для этого им предоставлены технические возможности. И по мнению руководства, абсурдно запрещать персоналу делать это. Поэтому оно требует от ИТ- и ИБ-служб обеспечить такие возможности сотрудникам компании, хотя консервативно настроенной ИБ-службе не всегда по душе идеи мобильности и доступности данных из любой точки мира.
Однако лед тронулся. Начиналось все с мобильного доступа к корпоративной электронной почте. А сегодня дело дошло и до социальных сетей. Кстати, обратите внимание на то, как в связи с популяризацией использования социальных сетей в корпоративных бизнес-процессах коммерциализировалась сеть Facebook. Чем больше она становится повседневным рабочим инструментом для специалистов по маркетингу и продажам, тем более агрессивной становится реклама, нацеленная на пользователей.
Противоречия между бизнес-задачами и обеспечением безопасности бизнеса наблюдаются на самых разных уровнях, начиная с государственного. Так, в разных странах экономисты, входящие в правительственные институции, готовы использовать любые средства, — в том числе “либерализацию” регулирования ИТ-отрасли, — в стремлении преодолеть кризис и стимулировать экономику. Силовики же, отвечающие за национальную безопасность стран, со своей стороны, настаивают на запретительных мерах.
PC Week: Как же эту коллизию можно разрешить?
В. У.: В структуре управления — как государствами, так и отдельными компаниями — становятся все более востребованными фигуры, на которые возлагается поиск баланса между интересами первых и вторых. Внутри компаний эта задача зачастую поручается руководителям службы ИБ.
Выполнение этой задачи облегчается присутствием на рынке требуемых для этого ИБ-продуктов и решений — “безопасникам” есть из чего выбирать. Например, используя доступные на рынке средства, можно организовать доступ в социальные сети только определенным категориям сотрудников и запретить другим в зависимости от их бизнес-ролей.
Но проблема, как показывает наш опыт общения с клиентами, заключается не в отсутствии доступных средств защиты, а в том, чтобы все это доступное многообразие средств защиты интегрировать между собою и заставить работать слаженно и эффективно. Сегодня явно ощущается спрос на интегрированные решения, предназначенные для системного управления корпоративными политиками, причем распространяющимися не только на область корпоративной ИБ, но на всю ИТ-инфраструктуру вкупе с системами, обеспечивающими ее защищенность. Однако компании должны быть готовы к тому, что решения, нацеленные на задачи системного управления ИТ и ИБ, сложны уже хотя бы потому, что включают по нескольку десятков компонентов.
PC Week: А что можно сказать про нынешнее состояние безопасности компонентов третьей ИТ-платформы?
В. У.: Облачные сервисы, мобильные приложения, социальные сети становятся все более притягательными для киберпреступников. В качестве печальных примеров можно напомнить о недавних успешных хакерских атаках на такие социальные сети и сервисы, как Twitter, Evernote, LinkedIn.
Социальные сети — среда, аккумулирующая самые разные данные о миллионах людей, причем среда, изначально предполагающая обмен информацией между людьми, которые сознательно выстраивают доверительные отношения между собою. Это создает благоприятные условия для использования злоумышленниками изощренных приемов социальной инженерии в социальных сетях и, как результат, для хищения персональной информации о многих людях с последующим ее использованием для атак на другие ИТ-ресурсы, в том числе и на те корпоративные, к которым подключены жертвы взломов социальных сетей.
От подобных атак могут уберечь средства защиты, размещаемые на пользовательских устройствах, — endpoint-решения. Облачные структуры можно защищать ИБ-системами корпоративного уровня, развертываемыми на стороне владельцев этих структур.
Кстати, до сих пор специалисты “Лаборатории Касперского” слышат от представителей некоторых компаний заявления о том, что виртуальная среда (одна из широко применяемых в облаках технологий) более безопасна по сравнению с физической. Это заблуждение. Хотя взломы гипервизоров — вещь довольно экзотическая, но серверы, работающие “поверх” гипервизора, подвержены тем же уязвимостям, что и физические серверы. К тому же не стоит забывать, что корпоративная ИТ-инфраструктура не ограничивается только гипервизорами и виртуальными машинами — по-прежнему остаются серверы приложений, конечные пользовательские устройства доступа, сети передачи, системы хранения данных… А результирующая безопасность корпоративной ИТ-среды как и раньше определяется наименее защищенным ее компонентом. Доступ к конфиденциальным корпоративным данным можно получить, и не взламывая облачный сервис, где они хранятся, — достаточно получить доступ к ноутбуку сотрудника, у которого есть логин и пароль для доступа к этому облачному сервису. Поэтому мы не перестаем напоминать о важности защиты конечных точек.
PC Week: Все чаще российские ИБ-специалисты используют термин “доверенная среда”, которая должна объединять участников бизнес-процессов, прибегающих к одним и тем же ИТ-ресурсам: компанию — владельца бизнес-процессов, ее бизнес-партнеров и клиентов, в том числе и ИТ-аутсорсеров. Каким аспектам в построении доверенной среды принадлежит наибольшая значимость — техническим или организационным?
В. У.: В том или ином виде доверенные среды существовали всегда: доверенная среда загрузки, VPN-каналы… Сегодня это понятие, следуя за интересами бизнеса, расширяется. Однако нужно помнить о том, что чем сложнее ИТ-среда, тем сложнее ее защищать. И прежде чем расширять пределы доверенной среды, необходимо навести порядок в привычных для компаний границах, а это, на мой взгляд, сегодня задача скорее организационная, чем технологическая. Обратите внимание на то, как часто компании становятся жертвами кибервзломов из-за вовремя не установленных патчей. Сегодня взломщики успешно используют дыры в ПО, заплатки на которые разработчики выпустили несколько лет назад. Нужно внимательнее относиться к базовым компонентам защиты. А в стремлении к масштабным доверенным средам следует помнить о балансе между задачами, для решения которых они предназначаются, и сложностью обеспечения их защищенности.
PC Week: Однако в нашей стране уже есть такие области применения ИТ, которые необходимо покрывать масштабными доверенными средами. В качестве примера можно назвать электронное правительство, электронные госуслуги населению. Найден ли этот самый баланс для них?
В. У.: Я, к сожалению, не располагаю информацией о безопасности конкретно этих сред. Однако поскольку продукты нашей компании используются и в государственных структурах, у нас есть опыт работы с ИБ-специалистами, работающими в них. Исходя из этого опыта могу сказать, что они вполне компетентны и представляют серьезность стоящих перед ними задач в области ИБ. Вместе с тем обобщать это довольно частное наблюдение для того, чтобы дать взвешенную оценку защищенности упомянутых доверенных сред, думаю, не стоит.
PC Week: Информационная безопасность — область, находящаяся в фокусе внимания государственного регулирования во многих странах, в том числе и в нашей. Какими должны быть принципы государственного регулирования ИБ для частного бизнеса?
В. У.: Согласно данным аналитиков IDC, около 30% компаний обеспокоены тем, насколько безопасность их ИТ-инфраструктуры отвечает требованиям законодательства. Много это, мало или в самый раз для того, чтобы компании не становились жертвами кибератак, чтобы ни они сами, ни их клиенты не терпели ущерба от них?
Наверное, отсутствие требований со стороны регуляторов — желанная ситуация для частного бизнеса. Однако я, вы и многие другие граждане нашей страны, скорее всего, хотели бы, чтобы те структуры (неважно, государственные или частные), которые оперируют нашими персональными данными, контролировались бы в этой части и со стороны закона.
PC Week: То есть вы полагаете, что рыночных механизмов воздействия недостаточно, чтобы компании только под их воздействием относились бы к защите персональных данных адекватно реальным угрозам их безопасности?
В. У.: Разумеется, компании могут заботиться о безопасности данных, которыми они оперируют, руководствуясь, например, репутационными рисками, т. е. будучи мотивированы рыночными механизмами. Однако при отсутствии риска быть наказанными за неисполнение законов, регулирующих требования к корпоративной ИБ, у них всегда остается искушение скрывать свои промашки в организации ИБ. Государству и бизнесу необходимо искать правильный баланс между законодательными требованиями и рыночными механизмами влияния на безопасность предлагаемых бизнесом продуктов и услуг с учетом того, с какими данными и какого объема работает тот или иной конкретный бизнес.
P C Week: Как показывает международный опыт, в эпоху так называемых целенаправленных продолжительных кибератак (Advanced Persistent Threats, APT) защититься от атаки невозможно, можно только снизить вероятность ее успешности. В этих условиях особую роль начинает играть апостериорная защита, включающая в себя процедуры и механизмы поиска и наказания организаторов и исполнителей APT. Какие требования к корпоративной ИБ предъявляют эти процедуры и механизмы?
В. У.: Все-таки я бы рекомендовал компаниям сосредоточиться на том, чтобы предотвращать APT-атаки, добиваться того, чтобы они стали неприемлемо сложны и дороги для злоумышленников. Мне представляется это возможным. Ведущие мировые ИБ-компании начали предлагать средства, ориентированные на отражение именно таких атак. У “Лаборатории Касперского” тоже есть интересные наработки в области защиты от сложных таргетированных атак. В них выражается новый подход, новая концепция обеспечения информационной безопасности, соответствующая современному развитию ИТ. Мы их вскоре представим.
PC Week: Благодарю за беседу.