Круговая информационная защита

Рынок средств информационной безопасности растет в нашей стране не по дням, а по часам. А вот конкретные сведения о проектах защиты корпоративных информационных систем в прессу просачиваются крайне скудно.

Исполнители (системные интеграторы, аудиторы, консалтинговые фирмы и т. д.), конечно, заинтересованы в обнародовании своих успехов, но заказчики полагают, что это может принести им вред. Поэтому, когда компания «Информзащита» распространила пресс-релиз о работах по обеспечению безопасности Единой информационной системы «Спектр», находящейся в ведении ФГУП «Главный радиочастотный центр», это послужило поводом для своеобразной «виртуальной» дискуссии.

Кому нужна открытость?

Мы спрашивали руководителей маркетинговых отделов, существует ли, по их мнению, проблема информационной закрытости в сегменте средств информационной защиты и, в случае положительного ответа, как они ее преодолевают. Кроме того, им предлагалось поразмыслить, какие аргументы стоит использовать при переговорах с заказчиком, чтобы убедить его публиковать в разумном объеме информацию о проекте ИБ.

ШАХНОЗА САЛМАНОВА: «Каждый хакер хочет прославиться, взламывая самые разрекламированные системы защиты»

Руководитель отдела рекламы и PR «Информзащиты» Шахноза Салманова констатирует, что заказчики почти никогда не распространяются о спецификациях проекта, подрядчиках и поставщиках оборудования. Мало того, они скрывают сам факт построения систем защиты информации (СЗИ). Одной из главных причин такой тенденции является нежелание привлекать внимание потенциальных злоумышленников к объектам защиты.

«Иногда лучше молчать, чем говорить» — это правило, заверяет директор по маркетингу корпорации Uni Екатерина Кононова, весьма точно передает отношение заказчиков к освещению деталей проектов, связанных с обеспечением информационной безопасности. Между тем, отмечает она, специалисты российских фирм, реализующих такие проекты, «шепотом и по большому секрету» могут рассказать о сотнях успешных внедрений СЗИ, о которых в прессе вы не найдете ни слова. В смысле осторожности общения с прессой российские заказчики и исполнители очень похожи на их зарубежных коллег.

«Чем больше я размышлял над этим вопросом, тем больше приходил к мнению, что в области информационной защиты проблема закрытости сведений о реализуемых проектах неизбежна, — заявляет руководитель службы по связям с общественностью ОАО «Элвис-Плюс» Роман Кобцев. — И в дальнейшем эта тенденция, скорее всего, будет только усиливаться».

Заместитель директора по консалтингу «Информзащиты» Максим Эмм решил подойти к проблеме с позиции «кому это нужно?», а иными словами, попытаться определить мотивацию заказчика, публикующего сведения о внедрении СЗИ. Его выводы тоже оказались не очень утешительными. Эмм считает, что в нашей стране заказчики обычно заинтересованы лишь в публикациях, способных дать какую-либо коммерческую выгоду — повысить капитализацию компании, улучшить ее отношения с государственной властью (GR) и т. п. Чем поможет бизнесу освещение обсуждаемых проектов, непонятно ни пишущим, ни читающим, ни заказывающим публикации. «Вкладывая деньги в систему защиты информации, заказчик не ожидает прямого возврата инвестиций, поскольку его цель — повысить информационную безопасность предприятия и снизить ущерб в случае инцидентов», — вторит ему Екатерина Кононова из корпорации Uni.

Похоже, системные интеграторы из области ИБ (которые, по идее, должны быть кровно заинтересованы в пиаре своей деятельности) не хотят тратить силы на переубеждение заказчиков и умывают руки. Вступая в спор с клиентом, они рискуют потерять его расположение, а это куда хуже, чем отсутствие статьи в журнале. Кроме того, обеспечение ИБ крупных предприятий чаще всего относится к компетенции сотрудников, привыкших работать в условиях военной дисциплины. Любое отступление от регламента взаимоотношений воспринимается заказчиком крайне критично. «Практически все силовики (а руководителями отделов безопасности обычно становятся бывшие представители силовых структур) руководствуются принципом «лучше перестраховаться», — продолжает Роман Кобцев. — И в этом есть рациональное зерно: до 80% разведывательных данных черпаются из открытых источников».

В поисках золотой середины

Как известно, в любом споре истина находится где-то посередине. Другими словами, исполнители и заказчики при желании могли бы найти компромиссный подход к публикации сведений о проектах в области ИБ. Могли бы, но не хотят, а потому «истина» устанавливается заказчиком. В свою очередь, системные интеграторы ищут другие формы pr-активности, такие как проведение целевых тематических мероприятий или корпоративных семинаров.

Итак, опрошенные нами специалисты считают, что открытость в области информационной безопасности не приносит ощутимых бизнес-выгод, — разве только «облагораживает» имидж компании в глазах потенциальных клиентов. Данное утверждение справедливо прежде всего по отношению к фирмам, деятельность которых связана с массовым обслуживанием и доверительным управлением материальными активами клиентов. Как ни парадоксально, речь идет о банках, кредитных и страховых компаниях, биржах и прочих торговых площадках, то есть именно о тех организациях, которые информационную закрытость возвели в ранг незыблемого постулата. И если на Западе публичность финансовых учреждений является залогом доверия к ним, то в России такой аргумент пока не способен поколебать решимость «бывших представителей силовых структур» держать круговую оборону.

«Ценность улучшения репутации нивелируется привлечением внимания злоумышленников к объекту и увеличением числа атак, — объясняет Шахноза Салманова. — Каждый хакер хочет прославиться, взламывая разрекламированные системы защиты». Однако не только хакеров прельщает возможность попользоваться этой информацией. Заказчиками системных интеграторов часто бывают «акулы» бизнеса из кредитно-финансовой, топливно-энергетической и промышленных сфер, которые находятся под пристальным вниманием СМИ, государства и даже криминальных структур. Поэтому устремления исполнителей и заказчиков ИБ-проектов диаметрально противоположны.

«Если мы при публикации таких сведений думаем, как лучше похвастать очередным техническим достижением, то наши клиенты размышляют, как бы не полить воду на мельницу «разведки» конкурентов или не в меру любопытной «желтой» прессы», — рассуждает Роман Кобцев. Чем крупнее и влиятельнее компания, тем более насущна для нее задача защиты коммерческой тайны и централизации канала взаимодействия с обществом.

Беда лишь в том, что, упраздняя общепринятые инструменты «пиаровской» деятельности (пресс-конференции, публикации success stories о проектах, интервью с заказчиками и исполнителями и т. п.), системные интеграторы не устраняют проблему утечки конфиденциальной информации. Если она не просачивается по официальным каналам, в ход идут неофициальные. Легко представить, какой объем «секретных» сведений об инсталлированных СЗИ циркулирует в кулуарах тех самых конференций и семинаров, на которых специалисты активно обмениваются опытом. Причем, с точки зрения потенциального злоумышленника, это куда более качественная информация, чем та, которую подготавливают для прессы сотрудники pr-служб.

Свет в конце туннеля?

Проблема освещения деятельности в сфере защиты информации зашла в тупик. Это осознают в большинстве интеграторских фирм, которым требуется не только извещать рынок о своих заслугах, но и расширять поле деятельности, подводя новых заказчиков к идее внедрения комплексных систем безопасности. И лишь немногие игроки ИБ-рынка считают возможным перестраивать свою практику работы с заказчиком и искать взаимоприемлемое решение проблемы.

Похоже, роль проводника новых идей взял на себя маркетинговый отдел «Информзащиты». В отличие от тех, кто уверен, что для злоумышленника имеет ценность любая информация о системе ИБ (включая имя ее разработчика и сам факт установки), специалисты «Информзащиты» говорят о необходимости открыть некоторые сведения о проектах. «Открытой должна быть информация о факте проведения работ и целях проекта, — считает Шахноза Салманова. — Например, можно рассказать о защищаемой подсистеме, но схему установки, режим работы средств ЗИ, настройки и пароли разглашать, конечно, нельзя». А улучшению корпоративного имиджа заказчиков способствуют не только публикации о реализованных проектах, но и сведения о прохождении аттестации Гостехкомиссии или о сертификации системы в соответствии с «престижными» требованиями (IBS7799, SysTrust/WebTrust).

Заместитель директора по консалтингу «Информзащиты» Максим Эмм определил и другую полезную сторону открытости. По его мнению, крупные компании, пропагандирующие прозрачность своего бизнеса, заинтересованы в независимом аудите их систем ИБ. Аудит показывает, на каком этапе ИТ-эволюции находится фирма и насколько широко используются информационные технологии для поддержки ее бизнеса.

К сожалению, отмечает Эмм, аудит системы ИБ не является необходимым условием для анализа деятельности фирмы — в отличие от аудита финансового. А ведь положительное заключение аудиторов по защищенности ИТ может стать одним из конкурентных преимуществ компании с высоким уровнем автоматизации бизнес-процессов. На этот критерий уже обращают внимание западные инвесторы.

Более того, в «Информзащите» выработали некоторые рекомендации для заказчиков, позволяющие им получать пользу от публикаций о внедряемых у них системах защиты. К примеру, владельцам электронных магазинов и торговых площадок следует информировать общественность о мерах по обеспечению безопасности уже на стадии опытной эксплуатации и тестировании ресурса, чтобы в ходе последующих атак хакеров выявить и устранить максимальное количество уязвимостей.

ЕКАТЕРИНА КОНОНОВА: «Специалисты по секрету могут расссказать о сотнях успешных внедрений СЗИ, о которых в прессе нет ни слова»

Связь между уровнем информационной защищенности фирмы и ее инвестиционной привлекательностью косвенно подтверждают и в корпорации Uni. Екатерина Кононова отмечает, что проблема информационной непрозрачности рынка ИБ не исчерпывается только сложностями с освещением реализованных проектов. За рубежом гораздо более острые дискуссии вызывает замалчивание заказчиками сведений об инцидентах и сбоях в их системах безопасности. Причины этого очевидны: при выявлении проблем и сбоев информационной системы цена акций компании немедленно упадет.

По результатам исследования Computer Security Institute (США) только 36% фирм, понесших убытки от вторжения в их сети, официально сообщили о таких инцидентах правоохранительным органам. Как предполагает директор по маркетингу корпорации Uni, по мере дальнейшего проникновения ИТ в сферу управления бизнесом данная проблема будет все более актуальной и для российских специалистов.

Энергетики раскрывают карты

Когда уже верстался этот номер, от компании «Элвис-Плюс» пришло информационное сообщение о завершении первого этапа строительства защищенной сети передачи данных для РАО «ЕЭС России». Цель крупномасштабного проекта, осуществляемого совместными силами «Элвис-Плюс», «Орион-Энерго», «Омега-Трин» и «Аквариус-Консалтинг» — обеспечить предприятия электроэнергетического комплекса России службами, предназначенными для обмена конфиденциальной информацией внутри отрасли. Построенная сеть защищенной передачи данных состоит из 21 опорного узла, развернутого в представительствах РАО «ЕЭС России», ОДУ СО ЦДУ «ЕЭС России», МЭС «ФСК ЕЭС», которые соединены между собой каналами связи общего назначения. В планах по развитию проекта — дальнейшее подключение к опорной сети около 470 предприятий энергетического комплекса.

В рамках проекта внедрены следующие технологии и решения:

• средства обнаружения вторжений на базе Cisco IDS;
• виртуальные частные защищенные сети на базе VPN семейства «Застава»;
• межсетевые экраны на базе Cisco PIX;
• средства централизованного управления сетью Cisco Works и централизованного управления VPN-соединениями, построенными на оригинальных решениях компании «Элвис-Плюс»;
• центры регистрации и хранилища цифровых сертификатов формата Х.509.

Одновременно была реализована многоуровневая структура удостоверяющего центра электронных цифровых подписей (УДЦ). В состав каждого опорного узла входят локальные центры регистрации пользователей ЭЦП, которые управляются из единого центра. Таким образом, РАО «ЕЭС России» первой предложила услугу электронного нотариуса для региональных абонентов. Сегодня подобных услуг не представляет ни один из действующих в стране УДЦ.