18.06.2009

Ключи от информации. Часть 1

Майкл Демидов, Softkey.info
Интервью Шахнозы Салмановой, директора по маркетингу Aladdin

Компания Aladdin – ведущий разработчик средств аутентификации и один из ключевых игроков рынка информационной безопасности в России. Основное направление деятельности Aladdin - разработка и поставка средств защиты данных. В сложных экономических условиях задача обеспечения безопасного использования информационных ресурсов является приоритетной для бизнеса любого масштаба. В сегодняшнем интервью изданию Softkey.info своими взглядами на развитие рынка информационной безопасности в 2009 году делится Шахноза Салманова, директор по маркетингу компании Aladdin.


– Эксперты говорят о том, что сегмент информационной безопасности пострадает менее других отраслей рынка ИКТ от последствий международного финансового кризиса. Как вы оцениваете данный прогноз? Насколько он близок Aladdin?

Это мнение поддерживают многие эксперты, и я с ним согласна. Почему? Потому что слишком высока цена риска для бизнеса в случае реализации любой из угроз, связанных с ИБ. Тем более что в условиях неустойчивой финансовой ситуации на первый план выходят угрозы внутреннего характера, то есть угрозы, исходящие от собственных сотрудников компаний. Стремясь "подготовиться" к возможным увольнениям, сокращениям доходов и другим неприятным последствиям оптимизации, в кризисных условиях сотрудники нередко пользуются своими правами доступа к конфиденциальным данным, копируя и унося "ликвидный товар" за пределы офиса – на всякий случай. Такие "информационные заначки" являются первопричиной утечки секретных сведений и коммерческой информации, что может отразиться на бизнесе компании-жертвы самым неблагоприятным образом. Этот вывод подтверждается аналитикой: почти половина (45%) респондентов исследования кадрового холдинга "Анкор" признали, что единожды использовали коммерческую информацию в личных целях, а 3% делали это неоднократно. При этом большинство респондентов (62% опрошенных) уверены, что подобного рода действия характерны для трети сотрудников в сфере ИТ и телекоммуникаций. Именно поэтому вопросам обеспечения безопасности информации в условиях кризиса нужно уделять повышенное внимание. Многие руководители понимают это, поэтому спад рыночной активности в меньшей степени сказывается на сегменте ИБ.

Что касается ситуации в компании Aladdin, то, естественно, мы не можем быть оторваны от основных рыночных процессов. Сейчас мы предполагаем, что рынок ИБ в этом году сохранит объем 2008 года, однако это справедливо в абсолютных величинах. То есть затраченные заказчиками суммы в рублях останутся практически теми же, но в условиях инфляции и снижения курса рубля к основным валютам покупательная способность рубля снижается, а издержки растут. Поставщики, работающие с иностранными партнерами, следовательно, привязанные к курсу доллара или евро, вынуждены снижать прибыльность своего бизнеса, чтобы удержать клиентов. У Aladdin достаточно богатый опыт выживания в нестабильных экономических условиях – мы помним уроки 1998 и 2001 годов, поэтому для нас основным приоритетом является поддержка партнеров и заказчиков, обеспечение максимально комфортных условий работы для них даже в такое непростое время. Да, конечно, рынок ИБ страдает от кризиса в меньшей степени, чем ИТ. Но основной удар принимают на себя компании-лидеры, несущие ответственность за сохранение и поддержание рынка.


– Какие технологии сейчас наиболее востребованы в связи с ростом угроз утечки конфиденциальных данных?

Одной из наиболее острых проблем в области ИБ является утечка конфиденциальных данных. По данным исследования компании Perimetrix, с этим согласны 73% опрошенных респондентов, назвавших утечку данных основной проблемой 2008 года. И это неудивительно: согласно уже приводимому мной отчету компании "Анкор" предложения о продаже коммерческих сведений своей компании поступали к 13% респондентов, и почти каждый десятый принял бы такое предложение при условии заманчивой цены.

Какие технологии позволяют снижать подобного рода риски? Прежде всего это использование централизованных систем аутентификации на базе аппаратных средств (USB-токенов, основанных на смарт-карт технологиях), остается наиболее востребованной технологией информационной безопасности, поскольку существенно повышает уровень защиты чувствительных данных от неавторизованного доступа и угрозы утечки. Создание системы аутентификации пользователей, по сути, является первичной платформой для дополнительных защитных мер, таких как безопасный доступ к базам данных, порталам, обеспечение контроля физического доступа и контроля доступа к приложениям.

Один токен можно использовать для решения целого ряда различных задач, связанных с шифрованием пользовательских данных, электронной цифровой подписью документов и аутентификацией самого пользователя. С одним и тем же USB-ключом сотрудник может входить в Windows, участвовать в защищенном информационном обмене с удаленным офисом (например, с помощью VPN), работать с веб-сервисами (технология SSL), подписывать документы (ЭЦП), а также надежно сохранять закрытые ключи и сертификаты в памяти своего токена. В сочетании с криптографическим шифрованием системных дисков, защитой отдельных файлов и съемных носителей, а также аутентификацией до загрузки операционной системы токены позволяют обеспечить необходимый уровень безопасности от утечки конфиденциальной информации для организаций любого масштаба.

В этой связи в последнее время мы также наблюдаем повышение спроса на решения для шифрования данных, в особенности на мобильных носителях – ноутбуках. Эти изменения в структуре спроса объясняются тем, что, сокращая издержки, компании вынуждены переводить сотрудников на "домашнюю" работу. Обеспечение безопасной мобильной среды или удаленного рабочего места (например, из дома) требует надежной защиты данных в ходе обработки, хранения и информационного обмена между офисом и мобильным пользователем - эту задачу решает наша линейка продуктов Secret Disk.


– Как разрешить дилемму между бизнесом и защитой информации (может ли ИБ не превращаться в только лишь строку расходов компании, не приносящую никаких прибылей, в чем выгода ИБ для бизнеса сейчас)?

Для того чтобы ответить на ваш вопрос, давайте рассмотрим простой и всем нам знакомый пример со спамом. В среднем сотрудник затрачивает на обработку одного спам-сообщения 15–20 секунд. Если в организации не внедрены соответствующие технологии и не принимаются эффективные меры по борьбе со спамом, на адрес электронной почты сотрудника может приходить от 100 до 200 спамерских сообщений в день. Несложный расчет покажет, что потеря рабочего времени составит от 25 минут до 1 часа в день. Ответив на вопросы, сколько в среднем стоит 1 рабочий час и какова общая численность сотрудников, имеющих доступ к электронной почте, можно оценить экономический эффект от проведения мероприятий по борьбе со спамом. Для наглядности представим данные в таблице.


В качестве другого примера можно привести проблему потери/кражи ноутбука. По данным Ponemon Institute, опубликованным недавно на СNews, потеря ноутбука в среднем обходится компании в $50 тыс. Большая часть этой суммы - деньги, потерянные из-за утраты важных данных. Шифрование данных позволяет снизить потери более чем на $20 тыс. – вот и прямая выгода от применения средств информационной безопасности.


– Какая сейчас ситуация в целом на рынке? Какие ключевые тренды вы бы могли выделить в связи с экономическим положением?

На данный момент основной тренд среди заказчиков – оптимизировать имеющиеся издержки и поддерживать уже внедренные технологии. Компании продолжают делать вложения в информационную безопасность, но это скорее "политика аккуратного инвестирования", а не освоение новых технологий. В числовом выражении около 80% бюджетов заказчиков расходуется на поддержку имеющихся технологий, 20% - на покупку новых.

В конце 2008 года было достаточно много предположений о надвигающемся переделе рынка, но оснований говорить о переделе пока недостаточно, хотя обстановка в целом накаленная, нервозная для всех компаний независимо от масштабов бизнеса и рыночной доли. Ее активно подогревают различные слухи и сплетни, не имеющие под собой реального основания. Кто-то продает бизнес, кто-то кого-то перекупает, кто-то и вовсе готов уйти с рынка - все это создает нездоровую атмосферу как для заказчиков, так и для игроков рынка.