Сергей Груздев: «Безопасность – это управление рисками»
Согласно данным IDC, компания Aladdin Knowledge Systems в 2004 г. вышла на первое место в мире по продажам средств аутентификации. Это дало повод нашему корреспонденту встретиться с генеральным директором российской компании Aladdin Сергеем Груздевым и побеседовать с ним как экспертом о ситуации на рынке систем обеспечения информационной безопасности.
На сколько глубоко осознают важность информационной безопасности?
Если судить по бюджетам компаний, то пока не вполне: денег на ее обеспечение выделяется несоразмерно мало. Еще каких-то лет пять назад безопасность воспринималась как понятие «черно-белое»: есть сертификат — значит, система защищена, нет сертификата — не защищена. Сейчас модель изменилась, передовые пользователи понимают, что безопасность — величина градуальная, более того, категория экономическая. Уровень безопасности должен определяться потребностями бизнеса, исходя из стоимости защиты информации и величины возможных потерь при ее утечке. Как в страховом бизнесе. По существу, безопасность — это управление рисками.
Как распределяются эти риски?
Статистика говорит, что в общем объеме потерь компаний от несоблюдения информационной безопасности ущерб от компьютерных вирусов составляет всего 2%. 4% потерь вызваны действиями хакеров, еще 10—15% — сбоями электропитания. Около 20% ущерба наносят действия нелояльных сотрудников, а 60% -следствие ошибок персонала.
Если сопоставить эти данные с бюджетами компаний на обеспечение информационной безопасности, то можно увидеть, что последние годы почти все средства уходили на антивирусы и брандмауэры, немного — на покупку ИБП, а на устранение главных рисков не предусматривается и не тратится по существу ничего. Роль «человеческого фактора» явно недооценивалась, хотя меры, принимаемые здесь, давали бы эффект в несколько раз больший.
Что можно сделать для этого?
Теоретически все ясно: разработаны хорошие регламенты, концепция Public Key Infrastructure («Инфраструктура открытых ключей») интенсивно развивалась в последние годы, и сейчас технологии строгой аутентификации уже выходят на стадию промышленного внедрения. Они встраиваются практически во все продукты ведущих вендоров, таких как Microsoft, Cisco, Oracle, SAP, IBM и др. Основой технологии PKI являются сертификаты, в которых прописывается открытый ключ и данные, позволяющие сопоставить его с владельцем, а закрытый ключ должен храниться в безопасном месте. Все сводится к тому, что для его хранения нужен защищенный отчуждаемый носитель, т. е. смарт-карта или USB-ключ. Лучший способ завоевать доверие больных — испытать прописываемый рецепт на себе. Может быть, поэтому корпорация Microsoft в прошлом году ввела для своих сотрудников доступ в корпоративную сеть исключительно по смарт-картам.
Сегодня много говорят о биометрической идентификации, но это именно идентификация, а не аутентификация, и находится эта технология еще на ранней стадии развития. А смарт-карты и USB-ключи уже вышли на этап зрелости технологий, началось их промышленное внедрение, они набирают критическую массу, их продажи растут в разы.
Какин тенденции можно отметить на рынке?
Прежде всего — внимание ведущих вендоров и государства к информационной безопасности. Мы подготовили типовые решения по строгой аутентификации пользователей для продуктов Microsoft, Cisco, Oracle, SAP, IBM и других вендоров - всего более 200 проектов.
Знаковым событием для рынка стало появление сертифицированной версии Windows XP, которая будет поставляться на рынок вместе с нашим средством аутентификации — USB-ключом или смарт-картой eToken. Другое знаковое событие — принятие 16 июля закона о коммерческой тайне и подготовка закона о защите персональной информации, за утечку которой предусматривается уголовная ответственность.
Следующим по значимости событием считаю планируемую на 30 сентября конференцию «Обеспечение безопасного доступа к информационным ресурсам», которая пройдет в рамках выставки Softool. На ней ведущие вендоры (Microsoft, Oracle, Cisco, SAP, RSA, IBM и др.) расскажут о концепции и архитектуре безопасности своих продуктов, и, конечно же, об особенностях работы со смарт-картами и токенами.
Приходите, надеюсь, конференция даст полную картину рынка.
Спасибо, постараемся там побывать.