Стратегия и тактика защиты

В середине марта компания IDC и издательство «Открытые системы» провели конференцию «Информационная безопасность предприятий: как противостоять новым угрозам?». В конференции принял участие вице-президент европейской исследовательской лаборатории IDC Мартин Каннинг. Он также ответил на несколько вопросов обозревателя еженедельника Computerworld Россия Валерия Коржова

В Западной Европе доля ИТ-бюджета, расходуемого на информационную безопасность, постепенно растет. Сейчас в большинстве компаний она составляет от 5 до 7%. Причем, чем крупнее компания, тем больше она тратит на безопасность. В России этот показатель в несколько раз ниже, на обеспечение безопасности выделяется 1-2% ИТ-бюджета. По сути, сейчас в России ситуация такая же, какая была в Европе несколько лет назад, но я думаю, что положение будет быстро меняться к лучшему.

По классам продуктов затраты на различные компоненты очень отличаются в разных странах. В среднем по Западной Европе около 40% средств идет на аппаратное обеспечение, еще столько же — на программное и около 20% — на услуги. Однако рынки услуг и программного обеспечения очень быстро растут. В России всегда сложно продавать услуги. В частности, такой развитый в Западной Европе рынок, как аудит безопасности, в России только зарождается. Медленное развитие этого рынка, скорее всего, связано с недоверием русских компаний по отношению к внешним аудиторам. Кроме того, российские компании недостаточно внимания уделяют организации бизнес-процессов.

В общем случае информационная безопасность и организация бизнес-процессов очень тесно связаны и чрезвычайно важны для благополучия компании. Даже в Западной Европе компании только сейчас начинают это осознавать. К сожалению, большинство компаний еще не умеют выделять в своих бизнес-процессах зону риска, пристальное внимание к которой позволило бы избежать многих неприятностей. Компаниям проще купить технологию. На Западе ситуация стала меняться в лучшую сторону — крупные компании начали анализировать свои бизнес-процессы и искать их слабые места. К сожалению, это дело достаточно дорогое, но очень важное для нормального функционирования компании.

Если сравнить компанию с организмом, то информационная безопасность в нем исполняет роль иммунной системы. В организме есть места, через которые вирусы проникают внутрь, — это зоны риска бизнес-процессов. Если этим зонам уделять должное внимание, то можно защититься от болезней. А есть гомеопатический метод лечения всего организма целиком. Он хорош, но требует определенного времени. Однако, если не проводить текущие лечебные процедуры, то пациент может умереть быстрее, чем сработает глобальный метод лечения. Поэтому у компании должны иметься как средства оперативного воздействия на ситуацию, так и стратегические процедуры обеспечения информационной безопасности.

Оперативное вмешательство предназначено для решения сиюминутных задач, которые требуется выполнять как можно быстрее. Стратегические же действия нужно согласовывать со стратегией развития компании, с ее бизнесом, но кроме этого стоит также учитывать и квалификацию сотрудников, и продуманность бизнес-процессов. В частности, обучение персонала основам информационной безопасности — это стратегическое средство, которое скажется в долгосрочной перспективе. Немедленных результатов от этого ждать не следует, но проводить его необходимо.

Если же говорить о слабых местах информационной системы, то в первую очередь нужно позаботиться о защите от вирусов, которые проникают через Internet. Не менее опасным может оказаться использование непроверенных сменных носителей. Другая серьезная проблема, с которой сталкиваются службы информационной безопасности в Западной Европе, — быстрое развитие беспроводных технологий. Их использование обычно не регламентируется, а проблем от них очень много. Например, ИТ-менеджерам ряда крупных компаний приходилось ежемесячно обходить свои «владения» со сканерами, чтобы обнаружить новые, только что возникшие беспроводные сети, через которые можно атаковать корпоративную сеть. Обучение сотрудников основам информационной безопасности будет полезно для решения подобных проблем.

Обязательные средства оперативного вмешательства, которые должны быть в каждой компании, — это антивирусы, межсетевые экраны и детекторы вторжений. Все они предназначены для защиты внешнего периметра. При этом необходимо понимать, что абсолютной защиты не существует, а потому нужно защищать то, что действительно ценно, утрата или разглашение чего может сильно подорвать бизнес. То есть список потенциальных опасностей тесно связан с бизнес-стратегией компании. Поэтому на постройку хорошей системы обороны требуется определенное время. В долгосрочной стратегии нужно создать единую систему управления всеми элементами защиты. Нужно также определить, кому и к каким ресурсам разрешен доступ, это должно быть решено на уровне политики.

Однако, вкладывая деньги в оперативные инструменты защиты, нужно согласовывать эти покупки со стратегическими планами. Так, покупая межсетевой экран, антивирус или детектор вторжений, нужно позаботиться об обновлении их рабочих данных и оперативной обработке порождаемых ими отчетов. Нередко компании покупают детекторы вторжений, которые фиксируют много сообщений об атаках, но эти сообщения просматриваются раз в месяц. И даже когда случается что-то по-настоящему опасное, не всегда находится человек, способный разобраться в этом ворохе сообщений и решить проблему. Поэтому оперативные средства неэффективны без стратегических мероприятий.

Я не думаю, что кто-то предложит универсальный продукт для защиты любых информационных систем всеми доступными средствами. Тем не менее производители продуктов на рынке информационной безопасности сейчас действительно выходят за пределы своих сфер влияния. Но, на мой взгляд, для рынка будет полезнее консолидация усилий нескольких производителей, нежели создание универсального продукта одной компании. Это будет меньше смущать людей при покупке средств защиты. Поэтому маловероятно появление единого продукта для всех случаев жизни, поскольку тогда он станет привлекательной мишенью для всех нападающих — хакеров, вирусописателей и др. Каждый производитель, имеющий широкий ассортимент продуктов, предлагает свои средства для централизованного управления, что важно для организации надежной защиты. Создание единой консоли управления должно быть главной задачей любого альянса производителей средств защиты.

Возможности продуктов будут расширяться, а их интерфейсы — становиться проще, поскольку пользователь должен постоянно знать о состоянии своего средства защиты. Однако пока непонятно, как можно просто и наглядно продемонстрировать пользователю, насколько его рабочая среда защищена. Именно эта задача должна быть решена в продуктах информационной безопасности следующего поколения. Тогда пользователю уже не нужно будет долго учиться, чтобы контролировать безопасность и защищенность своего компьютера. Я думаю, что через год больше внимания будут уделять проблемам аутентификации, авторизации, администрирования и управления личной идентификационной информацией.