ЧетвергЧт, 28 марта 20:59 16+
Сейчас  °C
USD$ 92,59 ▲0,02 EUR 100,27 ▼-0,14

«Интернет один на всех, следовательно, и угрозы у всех одинаковые»

8 апреля 2013 года, 10:47 Тема: «ITFORUM 2020/Взгляд в будущее»  

 

— Алексей, когда в России впервые заговорили об информационной безопасности?

— Впервые, пожалуй, еще во времена Ивана Грозного, когда речь шла о защите различных государственных секретов, которые надо было охранять от супостатов. Тогда же появились и вопросы, связанные с криптографией.

Если же говорить о компьютерной эпохе, то у нас этим стали заниматься и говорить об этом во времена Комитета государственной безопасности и во времена существования в семидесятых годах так называемой Гостехкомиссии, которая применяла контрмеры в ответ на действия иностранных технических разведок. То есть государственная тайна и противодействие — это те две области, с которых начиналась тема информационной безопасности в России. Коммерческая же тематика информационной безопасности для различных предприятий началась с конца восьмидесятых, но реально — с начала девяностых, когда бывшие сотрудники КГБ ушли на «вольные хлеба» и стали развивать эту тематику для фирм и компаний, которые защищали свои коммерческие тайны.

— Какие трудности испытывали первые в стране специалисты по информационной безопасности и с какими угрозами им пришлось столкнуться?

— Поскольку специалисты являлись выходцами из спецслужб и занимались борьбой с иностранными разведками, то применяли они те же самые методы. В основном это была борьба с «закладками», с «подслушкой», защита той или иной коммерческой тайны, переговоров и тому подобного.

Как только стала появляться достаточно дешевая компьютерная техника, которая начала в массовом порядке поставляться на предприятия, начали решать вопросы, связанные с антивирусной защитой.

И уже потом, по мере появления активного использования Интернета, перед российскими специалистами встали задачи по противодействию различным компьютерным червям, атакам, несанкционированному доступу к интернет-ресурсам, взломам web-сайтов и, соответственно, разработке технологий в борьбе с этими угрозами.

— Насколько эффективна в России подготовка специалистов по информационной безопасности?

— Проблема разбивается здесь на несколько частей. Первая заключается в том, что у нас специалистов не хватает, и ежегодная нехватка, по различным оценкам, составляет около пятидесяти тысяч человек, особенно наблюдается дефицит специалистов в области информационной безопасности.

Вторая проблема связана с тем, что у нас государственные стандарты в области безопасности, к сожалению, написаны без учета потребностей бизнеса, в который потом пойдут специалисты. Люди получают достаточно большое количество теоритических знаний, которые на практике либо не нужны, либо не применяются, а те навыки, которые действительно будут востребованы, в государственный стандарт не входят, а расширять его очень сложно по причине действующего законодательства. Поэтому, в основном, образование в области информационной безопасности в России заключается либо в посещении курсов повышения квалификации, длительность которых составляет от семидесяти двух часов и выше, где выпускники, уже устроившиеся на работу, получают необходимые знания, квалификацию в той или иной области, либо это самообразование.

— Какие тенденции на рынке мировой информационной безопасности проявляют активность на данный момент? И какие из них применяют российские специалисты?

— Тенденции у нас одинаковые и с Европой, и с Америкой. Во-первых, переход на облачные вычисления. Если во всем мире к этому достаточно активно подошли, у нас пока только рассматривают эту возможность, и здесь вопросы безопасности играют важную роль, поскольку возникает задача защиты данных, переданных в «облако».

Во-вторых, это мобильность и мобильные устройства, которые активно проникают в деятельность государственных органов либо коммерческих компаний. У руководства, как минимум, есть планшетники либо смартфоны, у IT-шников этих гаджетов может быть в разы больше, да и многие рядовые сотрудники ими пользуются, и все они, разумеется, хотят получать с них доступ к корпоративным ресурсам, или с их помощью ходить в Интернет. Отсюда возникает задача управлять этими гаджетами, защищать их и решать юридические вопросы, связанные с тем, что личные устройства получают доступ к корпоративным ресурсам.

В-третьих, это виртуализация — еще одна достаточно модная тема в IT-области, которая позволяет существенно сэкономить и сбалансированно подойти к управлению ресурсами на предприятии, но при этом возникают вопросы с защитой, поскольку виртуальные ресурсы начинают перемещаться неконтролируемо между физическими серверами.

Есть еще большое количество смежных тем, которые начинают постепенно набирать популярность. Это защита критически важных объектов, в частности индустриальных систем, которые работают на объектах топливно-энергетического комплекса и промышленности. Большое количество атак, которые происходили в мире, сейчас привели к тому, что государство, различные компании задумываются над тем, как защищать такого рода критически важные объекты, чтобы самолеты не начали падать или атомная электростанция вдруг не выключилась из-за хакерской атаки. Сюда же относятся различные системы электронного документооборота и вообще электронное правительство, как таковое. Сейчас граждане отдают свои персональные данные и другую конфиденциальную информацию в место не особо для них понятное, и они хотят знать, что эта информация эффективным образом защищается и передается между ведомствами. И это тоже одна из ключевых задач, которые сейчас обсуждаются на международной арене и, в том числе, в России.

— С чего же начинается построение системы информационной безопасности на предприятии? На что следует обратить внимание в первую очередь?

— Начинается всё с понимания того, что мы должны защитить. То есть мы должны провести классификацию информации и информационных систем для того, чтобы понять, что вот это для предприятия или ведомства важно, а вот это оставляем на потом, а этим вообще можно не заниматься, потому что данная информация общедоступна. После того, как мы оценили и классифицировали так называемые активы, мы должны понять, насколько высоки риски, то есть оценить вероятность реализации той или иной угрозы и потенциальный ущерб от неё. Оценив риски, мы уже можем выстраивать некий план защиты, применяя организационные и технические мероприятия, и обозначаем последствия, в том числе и юридические, за нарушение тех или иных установленных правил, для чего разрабатываем соответствующие регламенты, которые регулируют вопросы защиты информации внутри предприятия либо ведомства.

— Кстати, о защите. Насколько безопасно хранить данные при помощи облачных технологий?

— Наверное, в этом плане облачные технологии не сильно отличаются от каких-либо других способов хранения данных, поскольку всё зависит от владельца этого «облака». Если он относится к вопросам безопасности серьёзно, то он действительно будет предпринимать необходимые меры по тому, чтобы защитить сами данные в «облаке», это раз, и по тому, чтобы обеспечить защиту передачи этих данных в «облако» и обратно, это два.

Основные задачи и проблемы, которые на сегодня связаны с «облаками», это юридические аспекты, касающиеся трансграничной передачи персональных данных. По законодательству многих стран, при осуществлении данного процесса возникает большое количество нюансов и ограничений на передачу персональных данных между государствами. Вторая проблема с «облаками» носит характер тоже отчасти правовой. Это доступ к данным, которые хранятся в «облаке», со стороны правоохранительных органов, будь то спецслужбы иностранных государств или российские спецслужбы, которые либо по судебному решению, либо по каким-то иным основаниям получают доступ к такого рода информации. Разумеется, граждане или компании, которые отдают данные в «облако», не всегда горят желанием, чтобы кто-то получал доступ к коммерческой тайне либо к другим видам информации ограниченного доступа. То есть защита данных в облаках скорее носит не технический характер, здесь практически все вопросы решены, а именно правовой.

— Вы вскользь упомянули концепцию Bring Your Own Device (BYOD), как вы считаете, приживется ли она в России?

— Я думаю, она уже прижилась, потому что, как я уже сказал, практически любой руководитель, любой IT-шник, а, зачастую, и менеджеры среднего звена приносят на работу мобильные устройства, смартфоны или планшетники и хотят читать с их помощью почту, находясь в командировке или в отпуске, или по дороге на работу, поэтому концепция Bring Your Own Device (принеси своё устройство) уже внедрена на многих российских предприятиях. Единственное, что в России пока не так значимо, это масштаб проникновения данной концепции. Пока он не так велик, как, например, в Европе или Америке. Там практически для любого сотрудника такая возможность существует, у нас же, как всегда, наблюдается запаздывание на 2−3 года. Тем не менее, помимо концепции BYOD, в России активно применяется концепция Bring Your Own Technology, когда пользователю дают возможность принести вообще всё, что ему нужно для работы.

Это не только, грубо говоря, канцтовары, компьютер, но и свои приложения, которые он, например, где-то приобрел, они ему удобны, чтобы вести досье по клиентам, по сделкам и он не готов пользоваться тем, что ему дает предприятие, потому что, например, привык к каким-то другим программным продуктам. И если компания идет на такие «послабления», то продуктивность работы сотрудника повышается вместе с бизнес-показателями предприятия.

— Какие могут быть риски при применении данных концепций?

— Риски носят, с одной стороны, юридический характер, если, например, сотрудник приносит что-то, что он либо скачал на пиратском сайте в Интернете, либо просто купил на компакт-диске сомнительного происхождения, нарушив тем самым чье-то право на интеллектуальную собственность. С другой стороны, эти риски в меньшей степени связаны с безопасностью, нежели с управлением «зоопарком» различных решений.

Как только у нас усложняется система по причине появления большого количества продуктов, увеличивается число «дыр» в них, которые надо закрывать. Для этих целей применяются самые различные продукты и технологии, что приводит к увеличению затрат на безопасность. В условиях ограниченного бюджета чем-то приходится жертвовать, в итоге какие-то элементы остаются незащищенными, и именно через эти слабые звенья злоумышленники осуществляют свою противоправную деятельность.

— Сейчас в России доступны такие сервисы, как «госуслуги», «универсальная электронная карта», электронные медицинские полисы. На что следует обратить внимание при пользовании данными услугами с точки зрения информационной безопасности и защиты персональных данных?

— К сожалению, у гражданина нет выбора. Он не может указывать, как должны защищаться его персональные данные, которые он передает на портал госуслуг либо в рамках универсальной электронной карты, либо в других муниципальных сервисах или государственных услугах, поскольку эти требования прописаны либо на уровне закона, либо на уровне федерального органа исполнительной власти, который внедряет или отвечает за внедрение той или иной технологии или услуги. И гражданин, несмотря на то, что по Конституции либо по соответствующему законодательству имеет право знать, как защищаются его данные и каким-то образом влиять на это, на практике таких полномочий не имеет. Как правило, все попытки защитить свои права при передаче персональных данных каким-либо государственным органам завершаются некоей отпиской типа «в действии госоргана не найдено нарушений», либо «не хотите — не пользуйтесь государственными услугами». То есть гражданин в этом плане на сегодняшний день пока не очень хорошо защищен на практике, хотя на бумаге у нас полный набор из законодательства, которое должно полностью защищать его права как субъекта персональных данных.

— Как планирует развиваться законодательство РФ в сфере информационной безопасности?

— Сейчас это законодательство очень активно развивается. Если на заре возникновения данной тематики в Советском Союзе у нас было всего два регулятора, которые эту тему активно продвигали — Комитет государственной безопасности и Гостехкомиссия, — то на сегодняшний день у нас таких регуляторов 13. Это и ФСБ, и Федеральная служба по техническому экспортному контролю, и Банк России, который регулирует финансовые учреждения, и Минсвязь, и Роскомнадзор, и Национально-террористический комитет и другие структуры, и каждая из них выпускает свои нормативные акты различного уровня, начиная от федерального закона и заканчивая ведомственными приказами. И если с 92-го года по 2011-ый, когда у нас активно стала развиваться данная тема, в России вышло всего порядка ста нормативных актов, касающихся регулирования информационной безопасности, то в последние два года уже издано свыше ста нормативных актов. То есть мы за столь короткий срок выпустили документов законодательного уровня больше, чем за предыдущие 18 лет существования этой отрасли. Ключевые направления развития законодательства у нас сосредоточены в следующих областях. Первое — это персональные данные, по которым сейчас готовится около 8 нормативных актов различных уровней. Второе — это национальная платежная система, которую регулирует банк России, запланировавший на ближайший год выпуск около десяти нормативных актов. Третье — это государственные информационные ресурсы, по которым будут выпущены нормативные документы, обязывающие муниципальные государственные органы применять соответствующие технологии для защиты государственных информационных систем. Четвертое — это направление, которое сейчас активно набирает обороты, — защита критически важных объектов, в том числе в информационной сфере. Это объекты ТЭК и промышленности, имеющие отношение к национальной безопасности в РФ.

Пятое направление — это операторы связи, для которых разрабатывается определенное количество нормативных актов, уточняющих ту или иную сферу регулирования по вопросам защиты информации в рамках их деятельности.

— Как воздействует законодательство в области информационной безопасности на развитие IT-предприятий?

— У нас в России, к сожалению, а может быть к счастью, тематика IT и тематика информационной безопасности развивались параллельно. Если на Западе — в Европе и США — законодательство развивается вместе, так как безопасность и IT неразрывно взаимосвязаны, то в России безопасность всю жизнь продвигали спецслужбы, а информационные технологии — коммерческий рынок. Поэтому у нас законодательство по безопасности не учитывает, за редким исключением, тех технологий, которые применяются даже государственными органами.

Буквально до начала 2013 года у нас было запрещено и не регламентировано использование госорганами технологий беспроводного доступа, мобильных устройств, все это было практически вне закона. Сейчас только появляются первые нормативные акты для того, чтобы реализовывать такую возможность. И, в целом, к сожалению, у нас практика отставания законодательства от информационных технологий присутствует, а если рассматривать тематику, связанную с применением различных средств шифрования данных, то она просто устарела и сильно отстает от практики применения информационных технологий и тех процессов обработки информации, которые применяются ведомствами либо коммерческими компаниями. Поэтому IT-организации различных предприятий либо закрывают глаза на действующее законодательство, рассчитывая на то, что до них не дойдут руки у проверяющих, либо стараются на бумаге выполнить какие-то требования, а на практике реализуют то, что удобно для бизнеса, для предоставления услуг гражданам, либо пытаются соблюдать, но опять же в небольшом объеме, потому что если начать соблюдать все, то бизнес, по сути, встанет, так как многие вещи чисто физически невозможно выполнять с точки зрения российского законодательства.

Это касается и технических вопросов, например, та же самая криптография в России должна быть только сертифицированная, а это ставит крест на применении браузеров в Интернете, на применении мобильных устройств доступа к системам дистанционного банковского обслуживания. Второй вопрос связан с юридическими аспектами защиты информации, поскольку эта деятельность является лицензируемой в России, и, по мнению наших регуляторов, любая организация, которая защищает информацию, а это по законодательству любая организация, а их у нас в стране зарегистрировано 5 млн, должна иметь соответствующие лицензии. То есть и монстр в виде «Газпрома», и какой-нибудь «ларек», который торгует товарами в Интернете, с точки зрения закона равны и должны иметь лицензию либо ФСБ на деятельность в области шифрования, либо ФСТЭК. А деятельность без лицензии — это преступление.

— В последние несколько лет IT-рынок развивается гипердинамично, но Россия слегка отстает от остального мира, и сначала новые тренды приходят в столицу, а затем растекаются по регионам. Насколько в связи с этим велика разница в Нижегородской области?

— В данном случае Нижегородская область не сильно отличается от Москвы по востребованности и использованию информационных технологий, потому что потребности у всех одинаковые. Как только мы говорим об IT, об Интернете, то это уравнивает всех: и Москву, и Владивосток, и Калининград, и Чукотку, и другие регионы, поскольку технологии у всех идентичные, а Интернет один на всех, следовательно, и угрозы у всех одинаковые: это вирусы, утечка информации, защита персональных данных, атаки и отказ в обслуживании, взлом сайтов, кража информации, взлом критически важных объектов, поэтому и потребности в защите тоже одинаковые. Но поскольку разница возникает с точки зрения производительности, пропускной способности тех же самых интернет-каналов, то за пределами федеральных центров требуются чуть более слабые средства защиты.

С точки зрения использования информационной безопасности, Нижегородская область ни чем не отличается от Москвы, близость к столице и достаточно развитая IT-инфраструктура приводят к тому, что применяются все те же самые технологии, что и во всем мире. Что касается других регионов, то в них возможно отставание, но оно связано с тем, что востребованность самих технологий не так сильна. Если взять рядовое село, то вряд ли стоит ждать, что оставшиеся там пожилые люди будут активно пользоваться интернет-банкингом, требующим информационной защиты.

— Чем вам как эксперту по информационной безопасности интересен предстоящий IT-форум, который пройдет в Нижнем Новгороде? В каких мероприятиях примете участие?

— Традиционно я активно сотрудничаю с нижегородским клубом IT-директоров, уже не первый год участвую в их мероприятиях, и могу сказать, что он — один из наиболее активных в России. Клуб очень динамично развивается, всегда рассматривает актуальные для большого количества IT-специалистов темы, и более того, он не концентрируется только на вопросах о технологии, но и рассматривает смежные темы, например, как управлять персоналом IT-службы, как не сгореть на работе и другие. Поэтому я буду принимать участие в секции нижегородского клуба IT-директоров и расскажу о вопросах защиты информации при подключении к облачным технологиям и использовании мобильных технологий. Второе мероприятие, которое я намерен посетить, это секция, посвященная защите информации критически важных объектов. Нижегородская область традиционно славится своими промышленными предприятиями, автомобильными заводами и другими организациями, так что вопросы защиты индустриальных систем и систем управления технологическими процессами на объектах являются актуальными и важными, и мы будем обсуждать, какие проблемы сегодня существуют, как их решать эффективно, в том числе, и с точки зрения бюджета.

Автор: Корр. Дмитрий Шкода



Картина дня
Рекомендуем