Основные тенденции в сфере ИБ
По мнению Андрея Брюханова, главного конструктора и заместителя директора Центра ИБ компании «Инфосистемы Джет», рассматривать проблему обеспечения безопасности в отрыве от ИТ нельзя было никогда. «Но ИТ развиваются быстрее, чем средства защиты, — говорит он. — Например, протокол HTTP может стать не только инструментом легального обмена информацией, но и средством несанкционированного доступа в сеть или несанкционированной передачи конфиденциальных данных. Использование шифрования в HTTP (SSL/TLS) делает контроль трафика практически невозможным. А ведь в большинстве организаций этот протокол — легальный способ взаимодействия с внешним миром».
Андрей Петухов, директор управления систем ИБ компании «АйТи», в числе ключевых тенденций отмечает «расслоение» угроз. Иными словами, уже сейчас можно четко разделить существующие угрозы в области ИБ на массовые и «точечные». Массовые связаны с контентом — спам, вирусы и пр. «Точечные» — это конкретные преступления, например несанкционированный доступ к информации, «электронные» кражи и т. д.
Особое внимание сегодня уделяют средствам надежной аутентификации пользователей. Для этого применяются смарт-карты и биометрические системы. Продолжается интеграция различных средств защиты между собой и с прикладным ПО, что знаменует выход на уровень централизованного управления системами защиты информации (СЗИ). В результате появляется возможность осуществлять централизованный сбор информации от различных систем, анализировать ее и использовать активные средства противодействия попыткам несанкционированного доступа.
Наиболее яркий пример эволюции средств ИБ — переход к «гибридным» технологиям, находящимся на стыке традиционных направлений и совмещающим комплекс инструментов обеспечения безопасности, — как на информационном, так и на физическом уровне. К их числу относятся, например, комплексные системы управления доступом к физическим и информационным ресурсам. А интеграция кодов доступа на смарт-картах с системой управления персоналом позволяет предотвратить действия, совершаемые от лица сотрудника, находящегося в отпуске или в командировке.
Сейчас в организациях к межсетевому экрану и антивирусной программе все чаще добавляется система обнаружения (предотвращения) вторжений (Intrusion Detection System, IDS/IPS), системы анализа контента и др. Но главное, приходит понимание того, что все это должно работать вместе, дополняя друг друга, говорит Михаил Романов, эксперт по ИБ компании «Техносерв А/С».
Современные ИС, как правило, представляют собой гетерогенные системы, включающие различные прикладные решения, работающие на разных платформах. При этом они слабо интегрированы между собой, считает Андрей Есенков, ведущий эксперт Департамента ИТ компании КРОК. Уровень защиты таких систем недостаточен для обеспечения требуемого уровня безопасности, особенно с точки зрения идентификации и аутентификации пользователей и управления их доступом к информационным ресурсам. Проблема заключается в том, что входящие в гетерогенную среду ОС, каталоги, БД и приложения имеют различные системы идентификации. Поэтому на первое место, по мнению Андрея Есенкова, выходят системы централизованного управления идентификационной информацией (учетными записями и паролями).
Развиваются средства контекстного анализа информации с целью противодействия спаму, вирусным атакам, утечке конфиденциальных данных. Это означает, что система должна «понимать» смысл написанного и в соответствии с этим предпринимать определенные действия или передавать информацию экспертам для последующего анализа. Поскольку подавляющая часть текстовой информации представлена на естественном языке, говорит Михаил Пышкин, менеджер проектов Департамента ИТ компании КРОК, то возникает необходимость в соответствующих технологиях. «Сегодня лишь считанные компании ориентируются в таких технологиях и тем более получают результаты», — говорит он.
В государственном секторе проблема обеспечения безопасности стала приоритетной в связи с террористическими угрозами. Во многих странах выделяют немало денег на инструментальные средства для анализа аудио-видеопотоков и текстов, поскольку они позволяют существенно сократить затраты времени и уменьшить количество специалистов, занятых анализом оперативной информации, собираемой по различным каналам.
Перспективный бизнес — защита «особых объектов»
Одна из первоочередных задач — охрана объектов повышенной важности, таких, как аэропорты, вокзалы, стадионы, театры, торговые комплексы и другие места массового скопления людей. Насколько перспективно для ИТ-компаний участие в таких проектах и в каких формах оно чаще всего происходит?
«Проект по оснащению системами безопасности таких объектов всегда выгоден системному интегратору как с финансовой точки зрения, так и с точки зрения приобретения опыта и квалификации», — утверждает Андрей Петухов. Учитывая внимание владельцев объектов к решению проблем безопасности, такие проекты обычно хорошо финансируются. Но поскольку проекты нередко очень масштабны, системный интегратор в одиночку не может их реализовать и для решения конкретных задач привлекает субподрядчиков.
Андрей Петухов считает, что для надежной охраны крупных объектов необходимо сосредоточить усилия на разработке технологий идентификации людей и потенциально опасных веществ, а также совершенствовать системы, позволяющие отслеживать местоположение подвижных объектов. По мнению Андрея Брюханова, интеграторам не следует «зацикливаться» на внедрении новомодных решений, они должны помнить о принципах комплексного подхода и, главное, о том, что ключевая роль принадлежит человеческому фактору.
Корпоративный рынок ИБ
Корпоративный сектор также все больше внимания уделяет безопасности бизнеса. Григорий Кацман, руководитель направления ИБ в московском офисе компании PricewaterhouseCoopers, важной тенденцией считает растущую потребность в комплексных решениях по ИБ в корпоративном секторе. Такие решения должны обеспечивать управление всеми аспектами ИБ: и «классическими», например антивирусной защитой или защитой от несанкционированного доступа, и такими, которые подчас остаются без должного внимания. К ним следует отнести, к примеру, создание и управление политиками и процедурами ИБ или поддержку пользователей и администраторов ИС.
Одним из требований, предъявляемых бизнесом, является включение ИБ в бизнес-процессы компании. Если раньше речь шла о защите от конкретных угроз с помощью конкретных продуктов («продуктовый» этап), об обеспечении конфиденциальности, доступности и целостности информации (системный этап), то сегодня решения по обеспечению ИБ изначально «закладываются» в инфраструктуру ИС, в архитектуру всех ключевых ИТ-решений. На повестке дня появляются такие задачи, как обеспечение непрерывности бизнеса и управление ИТ-рисками, устойчивость ИС, жизнеспособность систем в критических ситуациях.
В соответствии с моделью уровней зрелости организации, разработанной аналитической компанией Gartner, в корпоративном секторе существует 4 уровня развития ИБ:
- уровень 1 — внедрение базовых механизмов защиты;
- уровень 2 — создание комплексных систем обеспечения ИБ;
- уровень 3 — интеграция механизмов защиты;
- уровень 4 — управление информационными рисками.
По мнению экспертов КРОК, около половины крупных российских корпоративных заказчиков находятся на уровне 3, а наиболее зрелые достигли уровня 4.
По оценкам специалистов, объем российского рынка ИБ составляет сейчас несколько сотен миллионов долларов и растет примерно 50—100% в год. Спрос смещается от простых программ и устройств к комплексным решениям и аутсорсингу ИБ. Соответственно, уменьшается роль узкоспециализированных компаний и возрастает роль компаний-интеграторов. Наблюдается сдвиг от защиты внешнего периметра сетей к контролю и обеспечению внутренней безопасности компаний, к защите от злоумышленников изнутри.
Электронный паспорт
В недалеком будущем в России будут введены электронные паспорта. Без сомнения, многие документы, предназначенные для идентификации граждан и содержащие ту или иную персональую информацию, также приобретут электронную форму.
Как считают в ведущих ИТ-компаниях, объемы финансирования подобных проектов будут весьма солидными, и отрасль ИТ может рассчитывать на крупные заказы, связанные с организацией в масштабах всей страны инфраструктуры, обеспечивающей использование электронных паспортов и иных документов.
Свобода или безопасность?
Многочисленные системы идентификации, электронные карточки и метки могут стать системами постоянного наблюдения и фиксации местонахождения человека. Поэтому нельзя сбрасывать со счетов этический и правовой аспекты развития систем безопасности.
Андрей Петухов считает, что идентификация личности без ее ведома сегодня невозможна. Равно как и постоянное наблюдение за человеком. «Такие технологии существуют в кино и фантастических романах, — говорит он. — Для идентификации человека необходимо, чтобы соответствующие параметры (отпечатки пальцев, рисунок сетчатки глаза и пр.) присутствовали в соответствующем банке данных. Получить же их без ведома человека невозможно. Равно как невозможно, не поставив человека в известность, «вживить» человеку GPS-приемник и излучатель, позволяющие вести за ним постоянное наблюдение со спутника».
Технологии идентификации и глобального позиционирования активно развиваются и уже используются в повседневной жизни. Но... с согласия личности.
Другой вопрос — контроль общественной безопасности в местах проведения массовых мероприятий или зон повышенного риска. Гражданин должен знать, какие шаги для обеспечения безопасности предприняло государство, чем рискует сам гражданин и как применение этих мер контролируется обществом, защищая граждан от злоупотреблений. Естественно, все это требует принятия решений на законодательном уровне.
По мнению Михаила Романова, массовое внедрение сложных систем идентификации граждан с помощью биометрии или других технологий — процесс довольно длительный. За это время общество, скорее всего, привыкнет к таким системам.
Мнение эксперта
Елена Волчинская, советник аппарата Комитета Государственной Думы по безопасности:
Обеспечение ИБ рассматривается уже как глобальная проблема, требующая объединения усилий всех стран. Это подтверждают итоговые документы Всемирной встречи на высшем уровне по вопросам информационного общества (декабрь 2003 г.), в которых укрепление доверия и безопасности при использовании информационных и коммуникационных технологий (ИКТ) рассматривается в качестве одного из основных принципов построения открытого информационного общества. Объединению усилий европейских стран служит также Конвенция по киберпреступности, принятая Советом Европы в ноябре 2001 г.
Сегодня важно не только разрабатывать средства обеспечения ИБ, но прежде всего на государственном уровне поставить задачу защиты объектов критической инфраструктуры (в том числе систем газо- и энергоснабжения, водообеспечения, систем транспорта и связи и др.) и комплексно ее решать. Задача государства состоит в принятии технических регламентов, обеспечивающих достижение этой цели.
Несколько слов надо сказать о правовых аспектах. Использование электронных технологий для идентификации личности упрощает и делает более надежным сам процесс идентификации, что, безусловно, облегчает жизнь личности, обществу и государству. Вы же не будете возражать, если ваша банковская карточка будет защищена настолько, что не позволит злоумышленнику снять деньги с вашего счета. Работодателю электронные пропуска и системы наблюдения позволяют контролировать использование рабочего времени работниками и пресекать или предупреждать возможные нарушения с их стороны. Государство получит возможность контролировать адресные дотации и льготы и т. д. Вопрос в том, что при обеспечении прав и интересов одного из субъектов должны соблюдаться права и интересы других, и на защиту этих прав должен встать закон. Идентифицировать человека с помощью меток или карточек без его ведома невозможно, а систем глобального наблюдения нет и не будет, это слишком дорогое и бессмысленное занятие.
Обязательным условием введения новых электронных технологий для осуществления традиционных правовых отношений является установление ответственности за нарушение прав, обеспечение этой ответственности, развитие системы гражданского контроля. Одним из принципиальных нормативных актов должен стать закон об информации персонального характера (о персональных данных). Но ГД не может его принять уже в течение 6 лет.
В Европе защита персональной информации — священный принцип, нарушать который не позволено ни бизнесу, ни правительству. Еще в 1981 г. Совет Европы принял Конвенцию о защите личности в связи с автоматической обработкой персональных данных. После этого были приняты или изменены законы большинства стран ЕС. Затем в 1995 г. в рамках Евросоюза была принята Директива, налагающая на все страны—члены Союза серьезные ограничения на сбор, использование и хранение персональных данных. В российском законодательстве присутствуют разрозненные нормы, а проект базового закона об информации персонального характера не рассматривается. Определенные новации должны быть внесены и в Закон «Об оперативно-розыскной деятельности» в части большей прозрачности оперативно-розыскной деятельности с использованием СОРМ, разумеется, не в ущерб работе компетентных органов».
«Под влиянием событий последних лет меняется парадигма международной безопасности: пересматриваются приоритеты источников угроз, оптимизируется институциональная структура обеспечения безопасности, ведется разработка новых методов и средств обеспечения безопасности, включая более эффективное взаимодействие государства и общества, а также государств между собой.
