Информационная безопасность. Что угрожает компаниям

Вопросы информационной безопасности с каждым днем становятся все актуальней. Участившиеся кибератаки на корпоративные сайты, «слив» хакерами персональной информации в сеть, появляющиеся один за другим вирусы... Об информационной безопасности и о новейших тенденциях в этой сфере мы поговорили с Оксаной Поляковой – руководителем коммерческого департамента компании «Аладдин Р.Д.», крупнейшего разработчика и поставщика средств аутентификации, а также продуктов и решений для обеспечения информационной безопасности и защиты конфиденциальных данных.

Чем для вашей компании и для вас, как ее сотрудника, ознаменовался 2011 год?

В 2011 году произошло знаковое для всей отрасли событие: 25 июля 2011 г. был подписан №261-ФЗ, следовательно, появилась необходимость обеспечивать защиту персональных данных с учетом  новых требований. Это большой шаг вперед в плане развития правильного отношения общества к персональным данным. Большая часть российских компаний так или иначе является операторами ПДн, а ситуация с их обработкой и хранением, к сожалению, пока далека от идеальной. Кроме того, в этом году наша компания продемонстрировала стремление к «прозрачности», обнародовав финансовые показатели за 2010 год. На сегодняшний день рынок информационной безопасности  – это довольно «закрытый» сегмент, что является признаком его незрелости. Мы же придерживаемся позиции максимальной открытости ведения бизнеса.

Какие ключевые тенденции наблюдаются сейчас в вашей сфере?

В последнее время бурными темпами развивается информатизация: программа построения электронного правительства, государственные услуги переводятся в электронный вид, вводятся электронные счета-фактуры и т.д. Соответственно, становятся актуальными требования об обеспечении юридически значимого электронного документооборота, для которого, в свою очередь, необходима квалифицированная цифровая подпись. Наша компания принимает активное участие в работе различных рабочих групп по данной тематике. На данные момент решения, разработанные нами, активно используются в проекте Ростелекома по созданию и поддержке портала «Государственные услуги».

Много внимания сейчас уделяется вопросам защиты данных в связи с участившимися кибератаками, кражами и обнародованием персональной информации как рядовых пользователей, так и медийных персон. Что должна учитывать каждая организация, которая не желает попасть в подобную ситуацию?

Необходимо понимать, что защита должна быть комплексной и детально продуманной. Безопасность должна быть обеспечена на всех уровнях: на рабочих станциях и серверах, а также на шлюзах Интернет и в узлах корпоративной сети. Кроме того, обязательно соблюдать политику ИБ: информационная безопасность – это не только защита путем использования технических средств, но и соблюдение политик безопасности. И, конечно, важной частью любой системы являются люди: необходимо обучить работников правильно обращаться с конфиденциальной информацией, организовать предоставление доступа сотрудников только к тем корпоративным данным, которые им реально необходимы для выполнения должностных обязанностей, а также обеспечить безопасную передачу данных во внешнюю среду.

Недавно в Берлинский парламент по результатам выборов прошла «Пиратская партия». Как компания-разработчик средств защиты программ от незаконного распространения, что вы думаете о будущем таких организаций? Нормальна ли такая ситуация?

Я считаю нормальным, что разработчик, вложивший в создание программного или иного продукта интеллектуальные, временные и человеческие ресурсы, имеет право решать, как будет распространяться его продукт – на коммерческой или свободной основе. В этом отношении мне непонятна позиция Пиратской партии Германии. Я считаю, что большого будущего такая организация не имеет, поскольку основы ее программы противоречат большинству законов об интеллектуальной собственности и авторском праве.

Насколько защита, обеспечиваемая вашими продуктами, отвечает сегодняшним реалиям? Как быстро вы реагируете на новые способы кражи информации, и как быстро решение внедряется в продукты?

На протяжении всей истории компании мы стремились использовать в наших продуктах самые современные технологии. Думаю, во многом благодаря этому мы заняли лидирующее положение в отрасли. Зачастую мы предлагаем заказчикам защиту от тех угроз, которые только начинают появляться и еще не получили широкого распространения. Кроме того, мы тщательно следим за изменением требований законодательства, отраслевых стандартов и регулирующих норм в области ИБ, а также своевременно проводим работы по сертификации и доработке продуктов. Так что можно с уверенностью сказать, что решения, предлагаемые нашей компанией, соответствуют требованиям времени.

Многие компанииперешли на активное использование «облачных» технологий. Как вы считаете, это начало новой эпохи в IT или использование «своего» сервера не уступит позиций, в силу каких причин это может произойти?

Технологии «облачных» вычислений приобретают в последнее время все большую востребованность, и это вполне оправданно: «облачные» среды помогают предприятиям достигать высокий уровень бесперебойности и доступности сервисов, предоставляемых клиентам. При этом ответственность за надлежащее содержание всего оборудования и инфраструктуры лежит на хозяине хостинга, снимая с предприятия значительную часть материальных затрат.

Однако привлекательность размещения ИС предприятий в «облаке» пока довольно трудно оценить. Владельцы «облачных» сред, как правило, декларируют абсолютную конфиденциальность информации, но насколько это обещание реально – большой вопрос. Степень защищенности персональных данных, обрабатываемых в «облаке», оценить довольно трудно, не говоря уже о том, что обработка и хранение ПДн в «облачных» средах должны осуществляться с соблюдением российского законодательства. Таким образом, использование данных технологий требует четкой проработки вопросов обеспечения конфиденциальности информации, выбора технологий и средств защиты.

Развиваются ли ваши продукты в облачном направлении? Перспективно ли для вас использование «облаков»?

Мы считаем, что у «облаков» большое будущее, и с развитием этих технологий необходимость в средствах, обеспечивающих защиту и конфиденциальность информации, хранящейся в облаке, становится все более очевидной. Поскольку мы всегда стремимся разрабатывать решения, которые отвечают нынешнимпотребностям клиентов, а также решают те задачи, которые могут появиться в будущем, так что информационная безопасность в «облачных» технологиях – одно из наших ключевых направлений. На сегодняшний день мы уже предлагаем рынку решение по защите баз данных с использованием российской криптографии, сертифицированное ФСБ России.

О чем не нужно забывать тем фирмам, которые переходят на облачные серверы, чтобы их использование не принесло вреда?

В первую очередь, необходимо помнить, что в данном случае потенциальной угрозой нарушения конфиденциальности информации являются и владельцы «облачного» сервиса, услугами которого принято решение воспользоваться. Говоря просто, задача обеспечения легитимной обработки информации в «облачных» средах сводится к тому, чтобы сделать информацию неинтересной как злоумышленникам, так и регуляторам. Для этого требуется лишь выполнить преобразование осмысленной информации в бессмысленные данные средствами шифрования. Причем выполнение шифрования следует производить в границах контролируемой зоны, доступной для регуляторов, но не для киберпреступников, а на хранение в «облако» передавать уже обезличенные данные. Также в контролируемой зоне должны находиться системы управления ключами шифрования.

Что нового стоит ожидать от ваших разработчиков в ближайшем году? Ждут ли нас какие-то глобальные изменения уже существующих или появление новых интересных продуктов?

Наши разработчики постоянно совершенствуют продукты компании в соответствии с потребностями заказчиков, так что вскоре мы выпустим несколько обновлений уже известных решений. Кроме того, в ближайшее время должны быть обновлены и получены новые сертификаты ФСТЭК и ФСБ России по нашим решениям.

Сейчас мы выводим на рынок семейство считывателей смарт-карт ASEDrive, в том числе с биометрической аутентификацией. Они производятся с использованием новейших японских технологий, благодаря чему их отличают такие преимущества, как высокая надежность, увеличенный срок службы и лучшее на рынке соотношение цены и качества.

Также мы планируем в ближайшее время вывести на рынок еще ряд продуктов, но не хотелось бы настолько забегать вперед.