Рубрикатор |
Статьи | ИКС № 11 2011 |
Лилия ПАВЛОВА | 09 ноября 2011 |
Бои невидимого фронта
Аналитики прогнозируют дальнейшую эскалацию гонки вооружений в области информационной безопасности, что для рынка ИБ – хорошая перспектива. На ее фоне компании начинают привыкать к перспективе менее приятной – проведению по осени во многом дублирующих друг друга «военных парадов».
InfoSecurity и INFOBEZ – с разницей в три дня. | Найди 10 отличий |
Кто кого?
Раздвоение с прошлого года традиционной осенней выставки по информационной безопасности стало, по выражению одного из экспертов рынка, «адским адом» для маркетологов компаний, поскольку участие в двух подряд мероприятиях означает для них двойные затраты – денег, времени и сил. Не все могут позволить себе такую выставочную активность.
В итоге в InfoSecurity Russia (организатор «Гротек») в этом году приняли участие 129 компаний, а в последовавшей через неделю INFOBEZ-EXPO (организатор РЕСТЭК) – более 70 (в прошлом году – соответственно 104 и 53). Суммарный рост числа участников двух мероприятий означает, что увеличиваются не только объемы рынка, но и количество его игроков. Как сообщил Игорь Назаров (ФСТЭК) на открытии InfoSecurity, в 2008–2010 гг. число выданных ФСТЭК России лицензий росло более чем на 10% в год, а за неполные три квартала 2011 г. выдано более 300 лицензий на деятельность в различных сферах, связанных с защитой информации.
В характеристиках конкурирующих площадок рынок несколько расходится. Одни игроки считают, что это близнецы; другие – что на InfoSecurity сильнее экспозиция, а на INFOBEZ’е – деловая программа. Сходятся же все в том, что этот двойной смотр достижений компаниям в тягость, а рынку в целом не нужен. Но поскольку, похоже, организаторы этих двух мероприятий свое противостояние намерены продолжать, то работающим в сфере информационной безопасности компаниям придется внести в свои деловые календари «День сурка». Вероятно, особенно остро это ощущает генералитет, вынужденный на открытиях повторяться слово в слово, ведь тренды за неделю не меняются. Как дважды заметил Алексей Кузьмин (ФСБ), в этом году выставка (и та и другая) демонстрирует переход рынка безопасности в новое качество, когда от разработки отдельных средств защиты информации компании перешли к созданию законченных технологических систем, что еще в прошлом году было редкостью.
На передовой
Конечно, конкурентная борьба между организаторами двух выставок – лишь досадная деталь, а не поле сражения на рынке безопасности. На передовой действуют другие силы: информационные злоумышленники vs информационные безопасники. По классификации Ильи Шабанова (Anti-Malware), в армии злоумышленников состоят: аналитики (занимаются поиском уязвимостей и путей распространения вредоносного ПО), разработчики вредоносного кода, вспомогательных программ и сервисов, веб-раз-работчики и владельцы подставных сайтов, «черные оптимизаторы», продавцы криминальных товаров и услуг, включая платежные шлюзы, организаторы заказных DDoS-атак. Их натиск обещает усилиться в условиях распространения облачных сервисов, использования мобильных устройств, применения личных компьютеров (планшетов и смартфонов) в деловых целях.
Что безопасники «на местах» могут противопоставить злоумышленникам уже сейчас? В своем выступлении на одном из круглых столов INFOBEZ'а эксперт рекомендовал: внимательно управлять установленным в компании ПО, разработать стратегию централизованного закрытия уязвимостей, ограничить доступ к интернет-сайтам и работу с внешними устройствами, применять политики использования мобильных устройств, ввести принудительное шифрование данных, гарантировать защиту баз данных (характерно, что, по данным Forrester Research, 75% компаний этого не делают). При этом роль государства в обеспечении информационной безопасности признается ключевой во всех странах. Как отметил Михаил Емельянников (агентство «Емельянников, Попова и партнеры»), среди драйверов ИБ-рынка компании самых разных отраслей ставят на первое место соответствие требованиям регулятора (на второе – соответствие бизнес-требованиям, на третье – управление рисками).
Что касается вендоров, то им также необходимо заручиться поддержкой регулятора в виде комплекта сертификатов, подтверждающих соответствие продуктов требованиям государства. По словам Александра Лысенко («Код Безопасности»), сегодня успех вендору может принести именно полноценное портфолио сертифицированных продуктов, позволяющих строить комплексную систему безопасности. Сам «Код Безопасности» пополнил в этом году свой портфель продуктом vGate R2, предназначенным для обеспечения безопасности виртуальной инфраструктуры на базе платформ VMware Infrastructure 3, VMware vSphere 4 и VMware vSphere 4.1, а также, как подчеркивает компания, помогающим привести виртуализированные системы в соответствие требованиям законодательства и отраслевых стандартов. К слову, продукт получил присуждаемую в рамках InfoSecurity премию ЗУБР в номинации «Информационная безопасность».
Кто разрушил стереотип
На волне интереса к облачным сервисам вот уж года два держат высокий накал дискуссии на тему информационной безопасности в облачных средах. Стереотип молодого тренда – распространению XaaS препятствует невозможность защитить информацию в облаках. Вот и на InfoSecurity Алексей Сапожков (IBM) высказал уверенность: будущее – за «гибридными облаками» (аналитики предполагают, а исследования IBM подтверждают, что компании готовы отдать на аутсорсинг до 80% ИТ-сервисов), однако процесс миграции в гетерогенные среды тормозится по ряду причин, самая серьезная из которых – информационная безопасность. Нет у потенциальных пользователей облачных сервисов уверенности в надежной защите их информации, нет даже приблизительного понимания, как это можно сделать. «Мы, вендоры, тоже виноваты, – признал А. Сапожков. – Количество готовых прикладных систем, которые работают в облачной среде, незначительно; перенос ИТ-сервисов в облака идет крайне медленно. Кроме того, вендоры мало работали с департаментами безопасности, концентрируясь на бизнес-подразделениях компаний. Между тем централизация ресурсов ставит перед защитой информации новые вопросы, на которые ИБ-департаменты не находят ответа». Усугубляет проблему, по его мнению, отсутствие в законодательстве понятия собственно облачной платформы, а также необходимость сертифицировать отдельные участки облака, а не единую облачную среду предоставления услуг.
Эксперта IBM поддержал Георгий Гаджиев («Микротест»), отметив, что сертификация отдельных объектов облака (серверов, гипервизора, СХД, виртуальных машин, периметра, сетевых и оконечных устройств) порождает «много способов придраться и наложить санкции», поэтому рынок ждет от государства возможности комплексной сертификации облачной платформы. Из других нерешенных вопросов безопасности в облаках он назвал отсутствие стандартов на форматы объектов и шифрование данных, а также методов взаимодействия гетерогенных облачных сред; сложность вывода данных из облака; неотрегулированность хранения персональной и финансовой информации в публичных облаках; отсутствие нормативных правовых актов по типам и соответствующим методам хранения информации в облачных структурах.
Но, похоже, в обеспечении информационной безопасности в облачных средах в этом году действительно наметился перелом. Сначала Максим Климов («Российские космические системы») сообщил, что в созданное в нынешнем году гибридное облако РКС благополучно мигрировали: геопортал Роскосмоса, сайты администрации Ярославской области и «ГЛОНАСС Форума». Бюджетные организации оказались не столь консервативными, недоверчивыми и враждебными к облакам, как считает подавляющее большинство вендоров и системных интеграторов. Кроме того, за три месяца эксплуатации облака на нем уже собрались и функционируют более 3 тыс. информационных проектов (в основном это сайты, но есть и более сложные проекты). С точки зрения инфобезопасности стратегическим преимуществом решения РКС М. Климов назвал его отечественные истоки: «Конечно, крупнейшие западные разработчики на много лет опередили отечественных, но наш продукт написан российскими программистами с использованием западных наработок с открытым кодом. Это дает 100% уверенности, что система управления облачной инфраструктурой может быть проанализирована на наличие недекларированных возможностей».
Вторая новость пришла от компании ТСС, технологического партнера Diamond Security Group. Созданная компанией и представленная на InfoSecurity система Diamond ACS предназначена для защиты сложных гетерогенных распределенных автоматизированных систем. Сертификат ФСТЭК России, полученный в январе этого года, подтверждает, что система соответствует требованиям технических условий и руководящих документов к межсетевым экранам (2-й класс) и средствам вычислительной техники (3-й класс), обеспечивает 2-й уровень контроля отсутствия недекларированных возможностей и может использоваться при создании автоматизированных систем до класса защищенности 1Б включительно, а также для защиты информации в ИСПДн до класса 1 включительно. В комплексе применяются только СКЗИ, имеющие необходимые сертификаты ФСБ России. Проще говоря, это означает, что система может использоваться для защиты не только конфиденциальной информации или персональных данных, но и государственной тайны. По словам Александра Атаманова (ТСС), система уже нашла своих заказчиков в госструктурах и крупных компаниях. На основе технологии Diamond ACS совместно с компанией Ланит реализован облачный сервис безопасности по защите персональных данных, а в сотрудничестве с компанией «Оверсан» сейчас реализуется масштабный проект по интеграции средств защиты информации в продукты Skalaxy. Комментируя выход решения на рынок, Александр Сергеев («Оверсан») заявил: «Люди придумали тезис, что защитить информацию в облаке невозможно, и все об этом говорят. А надо не говорить, а делать. Вот мы вложили деньги – и нашли решение».
Относительно же «дыр в законодательстве» А. Сергеев заметил, что с целью их латания недавно созданная Ассоциация облачных технологий организует рабочие группы с участием представителей Госдумы и заинтересованных ведомств. При этом полное отсутствие в российском законодательстве понятия облачной платформы не помешало «по-настоящему законодательно» сертифицировать и аттестовать облачную систему, добавил он.
Борьба за нишу началась?
Решения под другое быстро набирающее силу направление – информационную безопасность в мобильном мире, где соседствуют частная и деловая жизнь, – предлагают крупные зарубежные вендоры. Лидерами «магического квадранта» рынка защиты мобильных данных в 2011 г. Gartner называет компании Check Point Software Technologies, McAfee и Sophos. На InfoSecurity Russia Антон Разумов (Check Point) представил решения компании «на все случаи жизни» для защиты конечных точек сети, которые обеспечивают безопасность данных на таких мобильных платформах, как портативные компьютеры, смартфоны и сменные носители. Одна из последних разработок – программный продукт Mobile Access Software Blade, помогающий организовать быстрый и безопасный доступ к корпоративной почте, информации и приложениям с мобильных устройств.
Между тем на обеих выставочных площадках «засветилась» новая для широкого рынка информационной безопасности компания – Научно-испытательный институт систем обеспечения комплексной безопасности (НИИ СОКБ). По словам представителей института, до недавнего времени у него был только один, хотя и крупный заказчик; а в этом году компания дебютировала на InfoSecurity Russia и INFOBEZ-EXPO в качестве полноценного рыночного игрока. НИИ СОКБ представил систему SafePhone для защиты мобильных средств связи в масштабе всей организации. Это центр управления корпоративной сотовой связью, построенный в классической трехзвенной архитектуре «клиент – сервер приложений – СУБД». SafePhone поддерживает мобильные устройства, работающие под управлением ОС Symbian, iOS, Android, Windows Mobile. Возможно, на «квадрант лидеров» разработчики SafePhone не посягают, но на российском рынке этому решению (разумеется, имеющему сертификаты соответствия требованиям регулирующих органов по необходимым классам защиты) место, надо полагать, найдется.
Впрочем, почему бы не замахнуться и на «квадрант лидеров»? Ведь наши программисты – одни из лучших в мире, как злоумышленники, так и безопасники. К слову, в упомянутом исследовании IDC в десятке ведущих поставщиков ПО для информационной безопасности («Лаборатория Касперского», Symantec, Microsoft, Dr.Web, ESET, IBM, «Информзащита», Infowatch, Check Point, HP ArcSight) отечественные разработчики выступают на равных с мировыми грандами.